Cookies richtig setzen: TTDSG Gesetz & Cookie Alternativen

Um trotz der zunehmenden Reglementierungen Informationen über das Nutzerverhalten auf Websites zu erhalten, gilt der „digitale Fingerabdruck“ vielen Werbetreibenden als mögliche Lösung. Hierbei werden, um die DSGVO-Bestimmungen zu umgehen, keine allgemeinen Cookies gesammelt – vielmehr identifiziert man den User mithilfe einiger, sehr gezielter Abfragen.

Diese können sein:

• Art des Browsers
• System des Endgeräts
• Bildschirmauflösung
• Standort-Bestimmung anhand der IP-Adresse

Mit dieser Methode lässt aber nur die DSGVO umgehen – die TTDSG nicht. Beliebt ist sie dennoch. Vor allem, weil insbesondere Third-Party-Cookies aktuell zunehmend von Browsern wie Safari und Mozilla Firefox unterbunden werden. Selbst der Google-eigene Browser Chrome will Ende 2022 Cookies komplett verbannen. Aber ist damit auch das Zeitalter der Marketing-Tools wie Google Analytics, Google Ads usw. vorbei? Wohl kaum – denn Google selbst feilt bereits an verschiedenen Lösungsansätzen zum Thema „Cookieless Tracking“. Mit der Erweiterung von Google Universal Analytics auf Google Analytics 4 beispielsweise basiert die Analyse nun auf einzelnen Nutzer:innen anstatt auf einzelnen Sessions.

Da Cookies auch für Google mittelfristig keine Rolle mehr spielen dürften, verfolgt der Internetgigant vor allem einen Ansatz, um weiter nutzerspezifisches Targeting zu gewährleisten: Topics. Bei diesem Verfahren bestimmt ein Browser eine Handvoll Themenkategorien der Websites, wie beispielsweise „Fitness“ oder „Reisen & Verkehrsmittel“. Diese Topics können von Webseitenbetreiber:innen zu Werbezwecken ausgelesen werden, gleichzeitig aber auch vom User selbst, um diese ggf. zu korrigieren. Laut Google geschieht die Einordnung der Topics direkt im Browser, ohne dass externe Server beteiligt werden. Dies spricht schon einmal für den Datenschutz, da laut Google keine Daten an Dritte weitergeleitet werden.

Die auf dem Browserverlauf der Nutzer:innen basierenden Themen werden nur drei Wochen lang aufbewahrt, dann gelöscht und anschließend neu nach dem aktuellen Browserverlauf wieder für drei Wochen kategorisiert. Insgesamt werden pro drei Wochen nur drei Themen ausgewählt, jeweils ein Thema aus jeder der letzten drei Wochen. So kann aktuelle, interessenbasierte Werbung zielsicher ausgespielt werden. Anscheinend bietet das Modell Vorteile für beide Seiten: Die Daten des Users werden nicht an Dritte weitergegeben und gleichzeitig weiß der:die Werbetreibende, dass interessenbasierte Werbung auch tatsächlich auf echten Interessen der Nutzer:innen basiert.

Ob der neue Topics-Ansatz mit der kommenden E-Privacy konform geht, wird auch die Zukunft zeigen. Denn nach wie vor käme Google mit Tools wie Google Analytics, Google Ads und Google Chrome – der größte Analyse-, Werbe- und Browser-Anbieter auf der Welt – eine zentrale Rolle beim Targeting zu, die im Konflikt mit dem Ziel des Datenschutzes stehen würde. Sicher ist auf jeden Fall: Third-Party Cookies haben ausgedient.

Google Analytics wurde bereits in einigen Ländern wie Österreich, Frankreich und den Niederlanden als rechtswidrig erklärt. Ob und wann die deutsche Regierung nachziehen wird, ist fraglich. Für die Nutzung von Google Analytics sollten Sie auf jeden Fall folgende Tipps berücksichtigen (Stand Juni 2022) – auch wenn diese keine Rechtssicherheit bieten. Um sicherzugehen, sollten Sie in jedem Fall Ihren Datenschutzbeauftragten oder einen Anwalt konsultieren.

1. Datenschutzerklärung Google Analytics: Die Datenschutzerklärung muss einfach zu erreichen und vollständig sein. Es gibt im Netz eine Vielzahl an Datenschutz-Generatoren, die kostenlos eine rechtsichere Datenschutzerklärung ohne juristische Vorkenntnisse erstellen. Die Bezahl-Versionen räumen sogar Updates ein, wenn sich die Rechtslage einmal ändert.

2. Consent-Tool: Das Consent-Tool ist und bleibt der wichtigste Bestandteil des Datenschutzes. Dennoch besagen Studien, dass über 40 % der Websites gravierende Mängel in Sachen Datenschutz aufweisen. Hier gilt: Cookie-Tracking nur mit echter Einwilligung. Da Cookie-Tracking aber nur mit echter Einwilligung rechtssicher ist, empfiehlt es sich, auch hier eines der zahlreichen Cookie-Consent-Tools aus dem Netz einzubauen.

3. Vertrag zur Auftragsverarbeitung mit Google abschließen: Um Google Analytics nach den Vorgaben des Datenschutzes nutzen zu können, ist ein AVV (ein sogenannter Auftragsverarbeitungsvertrag) unausweichlich. Glücklicherweise ist dieser schnell unterzeichnet – man findet ihn im Analytics-Konto unter: Verwaltung -> Kontoeinstellung -> Datenverarbeitungsbedingung.

4. IP-Anonymisierung: Für jede neue Google-Universal-Analytics-Version muss die IP-Anonymisierung gewährleistet sein. Dies kann entweder über einen Java-Script-Code im Head-Bereich geschehen oder einfacher über den Google Tag Manager. Bonus: Das neue Google Analytics 4 implementiert die Anonymisierung vom Beginn an.

5. Widerruf der Einwilligung: Der User muss seine Einwilligung zur Nutzung seiner Daten jederzeit widerrufen können. Hier sind drei Optionen möglich: Über das Consent-Tool über ein Browser-Plugin: Hier hat der User proaktiv die Möglichkeit, seine Einwilligung zu widerrufen. Der Plugin-Link muss in der Datenschutzerklärung beim entsprechenden Passus hinterlegt werden. Opt-out für mobile Nutzung: Plugins funktionieren nicht für Mobile Device oder Tablets. Hier muss ein spezieller Java-Script-Opt-in- bzw. Opt-out-Cookie gesetzt werden.

6. Den Umstieg wagen: Am Umstieg von Google UA auf Google Analytics 4 führt leider kein Weg vorbei. Mit dem Static Models (Machine Learning) kommt Google Analytics 4 ohne Third-Party-Cookies aus und ist damit für den Moment eine gute Alternative. Bis zum 01.07.2022 sollten Analytics-User eine funktionierende Analytics-4-Version implementiert haben, damit kein Datenverlust droht. Denn: Im Juli 2023 wird Google UA abgeschaltet. Unsere Empfehlung: Sowohl UA als auch GA 4 parallel laufen lassen.

7. Feinschliff: Zu guter Letzt sollte noch einmal die Datenschutzerklärung auf Herz und Nieren geprüft werden. Sind die Speicherung und die Verarbeitung der Nutzerdaten korrekt? Passt der Zeitraum zu dem in Analytics angegebenen Zeitraum? Wird darauf hingewiesen, dass bzw. ob die Daten anonymisiert werden? Wird der AVV, der mit Google abgeschlossen wurde, in der Datenschutzerklärung erwähnt?