Cookies richtig setzen: TTDSG Gesetz & Cookie Alternativen

Welche aktuellen Spielregeln Sie beachten müssen

Veröffentlicht: 21. June 2022
Tags: #Insider #Technologie

Unschöne Pop-up-Banner und massive Verluste beim Sammeln relevanter Daten: Der Umgang mit Cookies fällt den meisten Website-Betreiber:innen nicht leicht. Und auch wenn Begriffe wie „Cookieless Tracking“, „Digital Fingerprint“ oder das serverseitige Tracking die Hoffnung von Werbetreibenden schüren – der aktuelle Stand erlaubt keinen so umfassenden Zugriff auf Userdaten, wie es früher einmal der Fall war.

Was ist also dran am Ende der Cookie-Banner? Und wie reagieren Tech-Giganten wie Google auf die aktuellen Anforderungen des Telekommunikations-Telemedien-Datenschutz-Gesetzes vom 01.12.2021 (TTDSG), welches die Einwilligung der Nutzer:innen per Cookie-Consent-Banner vorgibt? Wir wollen die geltenden Regeln und Möglichkeiten einmal kurz einordnen.

Von der DSGVO zum TTDSG: Das ist neu

DSGVO (seit dem 25.05.2018)
Die DSGVO regelt den Schutz aller personenbezogenen Daten, um einerseits personifizierte Werbemaßnahmen abzuwehren und andererseits Gefahren durch Phishing zu vermindern. Eine Checkliste für E-Mail-Marketing und Leadgenerierung in Zeiten der DSGVO haben wir hier zusammengestellt.

 

TTDSG (seit dem 01.12.2021)
Cookies, Fingerprinting, Web-Storage etc. benötigen die Einwilligung der Nutzer:innen. Diese ist unabhängig davon, ob es sich um personenbezogene Daten handelt.

Neu ist vor allem die Einwilligung der Nutzer:innen: Werden aus einem Endgerät Informationen genutzt oder Daten dort per Cookie gespeichert, muss diese Einwilligung erfolgen – egal, ob die Daten anonymisiert oder gehasht werden. In der Theorie wird hierbei nicht zwischen First-Party-Cookie und Third-Party-Cookie unterschieden – Cookie bleibt Cookie und erfordert eine Einwilligung. Lediglich First-Party-Cookies, die als unbedingt erforderlich gelten, bilden eine seltene Ausnahme. Hierzu zählen zum Beispiel Warenkorb-Cookies, Nutzereingaben, Login, Sprachauswahl etc.

First- und Third-Party-Cookies: Worin unterscheiden sie sich?

First-Party-Cookies kommen direkt vom Betreiber der Website, auf der sich der User befindet. Sie steigern einerseits die UX (Warenkörbe werden gemerkt, Suchanfragen gespeichert, E-Mail-Adressen erkannt) und ermöglichen es den Betreiber:innen andererseits, im Backend Reportings über das Nutzerverhalten anzufordern.

Third-Party-Cookies dagegen kommen von Drittanbietern wie Google oder Meta und dienen dem Targeting sowie dem gezielten Schalten von Werbung durch beispielsweise Werbeagenturen. Die Cookies werden genutzt, um Erfolge der Werbemaßnahmen mittels Google Ads zu messen oder mit Google Analytics zu auszuwerten.

Der digitale Fingerprint: ein Zukunftsmodell?

Um trotz der zunehmenden Reglementierungen Informationen über das Nutzerverhalten auf Websites zu erhalten, gilt der „digitale Fingerabdruck“ vielen Werbetreibenden als mögliche Lösung. Hierbei werden, um die DSGVO-Bestimmungen zu umgehen, keine allgemeinen Cookies gesammelt – vielmehr identifiziert man den User mithilfe einiger, sehr gezielter Abfragen.

Diese können sein:

  • Art des Browsers
  • System des Endgeräts
  • Bildschirmauflösung
  • Standort-Bestimmung anhand der IP-Adresse

Mit dieser Methode lässt aber nur die DSGVO umgehen – die TTDSG nicht. Beliebt ist sie dennoch. Vor allem, weil insbesondere Third-Party-Cookies aktuell zunehmend von Browsern wie Safari und Mozilla Firefox unterbunden werden. Selbst der Google-eigene Browser Chrome will Ende 2022 Cookies komplett verbannen. Aber ist damit auch das Zeitalter der Marketing-Tools wie Google Analytics, Google Ads usw. vorbei? Wohl kaum – denn Google selbst feilt bereits an verschiedenen Lösungsansätzen zum Thema „Cookieless Tracking“. Mit der Erweiterung von Google Universal Analytics auf Google Analytics 4 beispielsweise basiert die Analyse nun auf einzelnen Nutzer:innen anstatt auf einzelnen Sessions.

Cookie Alternative: Google Topics

Da Cookies auch für Google mittelfristig keine Rolle mehr spielen dürften, verfolgt der Internetgigant vor allem einen Ansatz, um weiter nutzerspezifisches Targeting zu gewährleisten: Topics. Bei diesem Verfahren bestimmt ein Browser eine Handvoll Themenkategorien der Websites, wie beispielsweise „Fitness“ oder „Reisen & Verkehrsmittel“. Diese Topics können von Webseitenbetreiber:innen zu Werbezwecken ausgelesen werden, gleichzeitig aber auch vom User selbst, um diese ggf. zu korrigieren. Laut Google geschieht die Einordnung der Topics direkt im Browser, ohne dass externe Server beteiligt werden. Dies spricht schon einmal für den Datenschutz, da laut Google keine Daten an Dritte weitergeleitet werden.

Die auf dem Browserverlauf der Nutzer:innen basierenden Themen werden nur drei Wochen lang aufbewahrt, dann gelöscht und anschließend neu nach dem aktuellen Browserverlauf wieder für drei Wochen kategorisiert. Insgesamt werden pro drei Wochen nur drei Themen ausgewählt, jeweils ein Thema aus jeder der letzten drei Wochen. So kann aktuelle, interessenbasierte Werbung zielsicher ausgespielt werden. Anscheinend bietet das Modell Vorteile für beide Seiten: Die Daten des Users werden nicht an Dritte weitergegeben und gleichzeitig weiß der:die Werbetreibende, dass interessenbasierte Werbung auch tatsächlich auf echten Interessen der Nutzer:innen basiert.

Ob der neue Topics-Ansatz mit der kommenden E-Privacy konform geht, wird auch die Zukunft zeigen. Denn nach wie vor käme Google mit Tools wie Google Analytics, Google Ads und Google Chrome – der größte Analyse-, Werbe- und Browser-Anbieter auf der Welt – eine zentrale Rolle beim Targeting zu, die im Konflikt mit dem Ziel des Datenschutzes stehen würde. Sicher ist auf jeden Fall: Third-Party Cookies haben ausgedient.

Google Analytics: 7 Tipps, was Sie jetzt beim Werben beachten sollten

Google Analytics wurde bereits in einigen Ländern wie Österreich, Frankreich und den Niederlanden als rechtswidrig erklärt. Ob und wann die deutsche Regierung nachziehen wird, ist fraglich. Für die Nutzung von Google Analytics sollten Sie auf jeden Fall folgende Tipps berücksichtigen (Stand Juni 2022) – auch wenn diese keine Rechtssicherheit bieten. Um sicherzugehen, sollten Sie in jedem Fall Ihren Datenschutzbeauftragten oder einen Anwalt konsultieren.

1. Datenschutzerklärung Google Analytics: Die Datenschutzerklärung muss einfach zu erreichen und vollständig sein. Es gibt im Netz eine Vielzahl an Datenschutz-Generatoren, die kostenlos eine rechtsichere Datenschutzerklärung ohne juristische Vorkenntnisse erstellen. Die Bezahl-Versionen räumen sogar Updates ein, wenn sich die Rechtslage einmal ändert.

2. Consent-Tool: Das Consent-Tool ist und bleibt der wichtigste Bestandteil des Datenschutzes. Dennoch besagen Studien, dass über 40 % der Websites gravierende Mängel in Sachen Datenschutz aufweisen. Hier gilt: Cookie-Tracking nur mit echter Einwilligung. Da Cookie-Tracking aber nur mit echter Einwilligung rechtssicher ist, empfiehlt es sich, auch hier eines der zahlreichen Cookie-Consent-Tools aus dem Netz einzubauen.

3. Vertrag zur Auftragsverarbeitung mit Google abschließen: Um Google Analytics nach den Vorgaben des Datenschutzes nutzen zu können, ist ein AVV (ein sogenannter Auftragsverarbeitungsvertrag) unausweichlich. Glücklicherweise ist dieser schnell unterzeichnet – man findet ihn im Analytics-Konto unter: Verwaltung -> Kontoeinstellung -> Datenverarbeitungsbedingung.

4. IP-Anonymisierung: Für jede neue Google-Universal-Analytics-Version muss die IP-Anonymisierung gewährleistet sein. Dies kann entweder über einen Java-Script-Code im Head-Bereich geschehen oder einfacher über den Google Tag Manager. Bonus: Das neue Google Analytics 4 implementiert die Anonymisierung vom Beginn an.

5. Widerruf der Einwilligung: Der User muss seine Einwilligung zur Nutzung seiner Daten jederzeit widerrufen können. Hier sind drei Optionen möglich: Über das Consent-Tool über ein Browser-Plugin: Hier hat der User proaktiv die Möglichkeit, seine Einwilligung zu widerrufen. Der Plugin-Link muss in der Datenschutzerklärung beim entsprechenden Passus hinterlegt werden. Opt-out für mobile Nutzung: Plugins funktionieren nicht für Mobile Device oder Tablets. Hier muss ein spezieller Java-Script-Opt-in- bzw. Opt-out-Cookie gesetzt werden.

6. Den Umstieg wagen: Am Umstieg von Google UA auf Google Analytics 4 führt leider kein Weg vorbei. Mit dem Static Models (Machine Learning) kommt Google Analytics 4 ohne Third-Party-Cookies aus und ist damit für den Moment eine gute Alternative. Bis zum 01.07.2022 sollten Analytics-User eine funktionierende Analytics-4-Version implementiert haben, damit kein Datenverlust droht. Denn: Im Juli 2023 wird Google UA abgeschaltet. Unsere Empfehlung: Sowohl UA als auch GA 4 parallel laufen lassen.

7. Feinschliff: Zu guter Letzt sollte noch einmal die Datenschutzerklärung auf Herz und Nieren geprüft werden. Sind die Speicherung und die Verarbeitung der Nutzerdaten korrekt? Passt der Zeitraum zu dem in Analytics angegebenen Zeitraum? Wird darauf hingewiesen, dass bzw. ob die Daten anonymisiert werden? Wird der AVV, der mit Google abgeschlossen wurde, in der Datenschutzerklärung erwähnt?

Fazit:

Die oben genannten Punkte geben Ihnen einen ersten Überblick zur Nutzung von Tools wie Google Analytics. Aber: Die Rechtsprechung kann sich hier jederzeit ändern. Behalten Sie also die Lage im Blick und passen Sie Ihre Methoden und Tools gegebenenfalls an. Bei der Umsetzung helfen wir Ihnen natürlich gerne. Allerdings übernehmen wir als Digitalagentur keinerlei Anspruch auf Rechtssicherheit. Deshalb ist in jedem Fall das Vorgehen mit Ihrem Datenschutzbeauftragten oder einem Anwalt abzustimmen. Denn auch für Sie gilt: Safety first!

Ansprechpartner

Jörg Burwinkel

Online Marketing Manager
Dass sich Jörg in Niedersachsen ebenso zu Hause fühlt wie in der digitalen Welt, ist ein großes Glück für uns...

Telefon: +491703736893
E-Mail: joerg.burwinkel@muuuh.de

Mehr über Jörg Burwinkel
Jörg Burwinkel von MUUUH! Digital
Wir sind die Kreativagentur für kundenzentrierte Marken, Kampagnen und Plattformen.––
Mehr MUUUH! Digital