Cookieless Tracking: DSGVO-konforme Tracking-Alternativen

Cookies wurden im Internet lange Zeit nach dem Wild-West-Prinzip gesetzt: Es gab scheinbar keine Regeln dafür. Mit der Einführung der DSGVO änderte sich das; denn es wurden Richtlinien auf den Weg gebracht, wie die personenbezogenen Daten von Surfenden besser vor dem Tracking ohne Einwilligung im Internet durch Cookies geschützt werden können. Weiterführend sollte die ePrivacy-Verordnung beim Thema Cookie-Tracking endgültig Klarheit schaffen. Das Problem: Die ePrivacy-Verordnung sollte eigentlich 2020 fertig werden, ist dies aber bis heute nicht. Und während um dieses Werk, das u.a. den korrekten Einsatz von Cookies regeln soll, noch immer gerungen wird, hat die Technologie die Rechtsprechung einmal mehr überholt. Cookieless Tracking heißt der neue Trend. Doch wie soll dies funktionieren? Und was bedeutet dies für Internetnutzer und Werbetreibende?

Tracking & Datenschutz: Nutzung von Cookies nur noch mit Zustimmung

Die DSGVO wird immer wieder „nachgebessert“ – auch im Zusammenhang mit dem Thema Cookies. Es muss Usern beispielsweise möglich sein, Cookies individuell auszuwählen und somit die Auswahl nicht technisch-notwendiger Cookies zu unterlassen, damit sie eine Website komplett frei von Analyse- und Tracking-Cookies besuchen können. Weitere Fragen zum Cookie-Thema sind aber noch immer nicht final geklärt und während beispielsweise weiter darum gerungen wird, ob es Anbietern von Webshops erlaubt sein darf, dass Cookies von Anfang an auf berechtigtes Interesse laufen dürfen, ist die Technologie bereits einen Schritt weiter – in der post-Cookie Ära. Hintergrund: Mit dem Wegfall der Cookies bzw. der mangelnden Einwilligungen in Analyse- und Tracking-Cookies, können User schwer oder teils gar nicht mehr getrackt werden – was u.a. für Werbetreibende Milliardenverluste bedeutet. Das neue Mittel der Wahl: Tracking ohne Cookies, auch Cookieless Tracking genannt. Diese Methode soll nun die vor allem im Online-Marketing befürchtete Katastrophe abwenden. Wie aber funktioniert das? Und was sagt die DSGVO zu diesem Thema?     

Was ist Cookieless Tracking?

Tracking ohne Cookies wird auch serverseitiges Tracking genannt, denn dieses Tracking läuft über einen Internetserver und nicht mehr wie beim „herkömmlichen“ Tracking mit Cookies (auch clientseitiges Tracking genannt) über den Browser (Client). Beim bisherigen Tracking mit Cookies werden viele Informationen über eine im Internet surfende Person gesammelt und zu einem Profil zusammengesetzt. Das funktioniert, indem die surfende Person mittels Cookies über viele Websites hinweg im Internet verfolgt wird. So können nach und nach Daten über sie erhoben werden – diese allerdings vornehmlich gerätespezifisch. Verwende besagte Person plötzlich ein anderes Gerät, zum Beispiel ein neues Smartphone in einem anderen W-Lan-Netzwerk, so dauert es ein wenig, bis dies alles dem bereits bestehenden Profil zugeordnet werden kann. Möglich ist dies durch den digitalen Fußabdruck, der beim Surfen mal kleiner und mal größer im Internet hinterlassen wird. Ohne Cookies funktioniert das Tracking nun anders – und es gibt verschiedene Möglichkeiten.

Tracking ohne Cookies: Diese Alternativen können Unternehmen nutzen

Die aktuell am häufigsten eingesetzten Trackingmethoden, die ohne Cookies auskommen, sind:

• Übermittlung technischer Profile, auch Device Fingerprint Tracking: Hier werden Informationen über die Geräte der Nutzer gesammelt. Also beispielsweise die verwendete technische Hardware, installierte Updates oder Merkmale wie Google-Fonts können ein recht genaues Bild einer Person liefern. So wird jemand, der auf einem uralten Laptop mit veralteten Browsereinstellungen surft andere Werbeangebote bekommen wie jemand, der vom neusten Smartphone mit vielen technische Plugins ausgestattet das Internet betritt. Das Perfide dabei: Es werden anders als bei der Setzung von Cookies keine Daten lokal bei den Nutzern gespeichert – und können so auch nicht blockiert oder gelöscht werden. Auch das Surfen im privaten Modus oder mit Adblocker hilft hier nicht mehr weiter. Jedoch haben die gängigen Anbieter von Browsern hier bereits reagiert und erlauben mittels verschiedener Einstellungen nur noch die Übertragung eingeschränkter technischer Profile. Diese cookieless-Trackingmethode ist also nicht sehr genau. Zudem wichtig zu wissen: Auch dieser Trackingmethode müssen User beim Besuch einer Website aktiv zustimmen bzw. diese ablehnen (Einwilligungspflicht).
• Kohorten-Targeting: Mit dieser Methode arbeitet beispielsweise Facebook. User werden mittels Browserdaten in verschiedene Kohorten, also Gruppen, eingeteilt. Eine einzelne Gruppe besteht meist aus mehreren tausend Menschen. Dieses Tracking ist dadurch aber keineswegs ungenau: Wenn Person X beispielsweise in der Kohorte „Sportwagen“, „Luxusuhren“ und „Fernreisen“ ist, ergibt sich ein doch recht genaues Bild von ihr. Für diese Trackingmethode braucht es allerdings enorm viele Datensätze, damit eine Person in viele Kohorten abgelegt werden kann – nur so entsteht ein möglichst genaues Bild.
• ID-gestütztes Targeting oder auch User-ID-Tracking: Dies ist vor allem für Websites interessant, die einen Login-Bereich bieten. Loggt sich ein User auf einer Website in einen Mitglieds-Bereich ein, kann durch das Verfolgen der Aktivitäten, die einer ID zugeordnet werden können, das Verhalten einer Person genauestens ausgewertet und auch geräteübergreifend verfolgt werden (sog. Cross-Device-Tracking). So können sehr detaillierte Profile erstellt werden – allerdings nur, wenn die User angemeldet sind und dem Tracking zustimmen.
• ID-Graph Tracking (auch deterministic and probabilistic matching genannt): Hier werden alle Daten gesammelt, die User beim Surfen freiwillig hinterlassen, beispielsweise in Formularfeldern: Mailadressen, Anschrift oder Telefonnummer. Gesammelt werden diese Daten unter einer zufällig erzeugten ID – es wird quasi ein Profil unter einem Pseudonym angelegt. Dieses Profil wird nach und nach mit anderen cookieless erhobenen Informationen angereichert, wie etwa Browserdaten. Surft die Person über ein anderes Gerät im Internet, so wird das neu entstehende Profil mit bereits virtuell bestehenden Profilen abgeglichen. Überschneiden sich zwei Profile durch ein sehr ähnliches Surfverhalten, werden sie gematcht. Zusammengehörende (Deterministic Matches) oder vergleichbare (Probabilistic Matches) Profile zu erkennen und zusammenzuführen, wird mittels KI, also künstlicher Intelligenz, und Algorithmen erledigt. So können Nutzer sehr zuverlässig immer wieder erkannt und Profile erweitert werden. Wichtig: Für dieses Tracking braucht es eine Einwilligung des Nutzers, da personenbezogene Daten verarbeitet werden.
• eTracker ohne Cookies: eTracker cookieless ist ein Website-Analyse-Tool aus Deutschland, das datenschutzfreundliche Website-Analysen durchführt. Es kann mit oder ohne Cookies betrieben werden und gilt als datenschutzfreundlichere Alternative zu Google Analytics.

Tracking ohne Cookies – DSGVO-konform?

Manche der oben genannten Methoden sind insofern datenschutzfreundlich, weil sie keine personenbezogenen Daten erheben. Profile von Surfenden werden dennoch erstellt. Andere der cookieless-Tracking-Methoden erheben personenbezogene Daten und müssen daher zwingend über eine Einwilligung laufen. Fest steht, dass das Tracking ohne Cookies einen immer wichtigeren Stellenwert im Internet einnehmen wird – vor allem jetzt, wo das TTDSG in Kraft ist und dann, wenn die ePrivacy Verordnung kommen und die Richtlinien für „klassische“ Cookies noch einmal anziehen wird. Dementsprechend werden in absehbarer Zeit noch mehr und / oder verfeinerte Methoden für das Tracking ohne Cookies auf den Markt kommen. Dies dürfte Werbetreibende freuen, denn so können weitere Werbeeinnahmen gesichert werden. Für Internet-User gilt hingegen nach wie vor: Setzen Sie sich mit dem Cookiebanner (das künftig so oder in ähnlicher Form für Tracking ohne Cookies gelten wird) auf Websites auseinander und treffen Sie die Tracking-Einstellung, mit der Sie sich am wohlsten fühlen.