Status quo
Es ist kompliziert: Die sogenannte »Cookie-Richtlinie« der EU schreibt eine ausdrückliche, leicht verständliche Einwilligung der Nutzer*innen zum Speichern von Cookies vor. Das funktioniert für gewöhnlich mit den Cookie-Zustimmungs-Bannern (»Consent-Bannern«), die bei erstmaligen Aufruf der Website eine Zustimmung zum Speichern von Cookies erfragen. Diesen Umgang mit Cookies wollte man EU-weit vereinheitlichen. Eine EU-Richtlinie ist aber nicht per se ein Gesetz, sondern muss von den Mitgliedsstaaten umgesetzt werden. In Deutschland ist das nicht geschehen, da die Bundesregierung die Vorgaben dieser EU-Richtlinie durch bereits vorhandene Gesetze und Regelungen als erfüllt betrachtet. Das erscheint strittig, weil das deutsche Telemediengesetz (TMG) keine ausdrückliche Einwilligung (das sogenannte »Opt-in«) verlangt, sondern nur die Möglichkeit zum Widerspruch (»Opt-out«).
Webseitenbetreiber*innen stellt das vor Unklarheiten, welches Wort nun eigentlich gilt und damit auch vor rechtliche Risiken. Selbst bei der vorbildlichen Variante, bei erstmaligen Seitenaufruf um ausdrückliche Einwilligung zu bitten, wird es schnell unübersichtlich. Viele Websites setzen hier auf »Dark pattern«, also Cookie-Bannern, deren Button »alle akzeptieren« in grünem, großen Format natürlich eher zum Klick verleitet als der minimal kleine, graue Button »nur Auswahl akzeptieren« daneben. Bei Fällen, in denen mit Häkchen nicht nur bei den technisch-notwendigen Cookies, sondern auch bei Analyse/Tracking-Cookies eine Vorauswahl getroffen war, haben verschiedene Gerichte eine unangemessene Benachteiligung festgestellt.
Die Datenschutz-Grundverordnung (DSGVO) schreibt vor, dass die Rechtsgrundlagen für das Speichern der Cookies in der Datenschutzerklärung genannt werden. Auf einen Cookie-Banner hat sie keinen Einfluss. Auch deshalb erhoffte man sich von der lang angekündigten ePrivacy-Verordnung Klarheit. Hier zeichnet sich aber durch ein stetiges Verschieben das nächste Drama ab. Die ePrivacy-Verordnung könnte technisch nicht notwendige Cookies verbieten, wenn man ihnen ausdrücklich nicht zustimmt.
Der Nutzen von Cookies
Bis hierhin warf der Artikel vermutlich mehr Unsicherheiten auf, als er Klarheiten gegeben hat. Eine einfache Möglichkeit, Risiken im Umgang mit Cookies zu minimieren, ist natürlich, Cookies selbst zu reduzieren. Cookies von Trackern sind nur nicht vor dem Gesetz technisch nicht notwendig, sondern auch zum Tracken nicht unbedingt von Nöten. Ihr Nutzen liegt hauptsächlich darin, wiederkehrende Nutzer*innen zu identifizieren. Damit hat das Tracking mit Cookies einen direkten Einfluss auf die Darstellung wiederkehrender und einmaliger Nutzer in der Analysesoftware. Auch die Zahlen zu den definierten Zielen und eCommerce Conversations werden ungenauer, wenn Cookies deaktiviert werden. Wenn ein Nutzer beispielsweise über einen Kampagnen-Link auf die Website stößt, sich die Produkte im Shop ansieht, aber erst beim nächsten Besuch der Website kauft, wird der Kauf nicht der Kampagne angerechnet. Stattdessen handelt es sich vor den Augen der Tracking-Software um einen neuen, unbekannten Nutzer.
Datenschutzfreundlich tracken
Wer aber diesen Verzicht eingehen kann, weil man vielleicht ohnehin keinen Online-Shop besitzt, ist mit der quelloffenen Tracking-Software Matomo (früher Piwik) gut beraten. Unter Datenschutzaspekten unterscheidet sich Matomo von anderen marktüblichen Lösungen wie Google Analytics primär durch die Möglichkeit, es auf eigenen Servern zu betreiben. Die Daten seiner Nutzer*innen muss man also nicht an fremde Server weiterleiten.
Von Haus aus ist in Matomo die Anonymisierung von IP-Adressen für einen datenschutzkonformen Einsatz aktiviert. Wer ohne Cookies tracken will, muss jedoch seinen Tracking-Code händisch anpassen:
// disableCookies-Methode vor trackPageView aufrufen:
paq.push(['disableCookies']);
paq.push(['trackPageView']);
[...]
Gerne unterstütze ich Sie mit meiner Agentur beim datenschutzkonformen Tracken zum Verfolgen Ihrer Marketingziele. Dabei lässt sich auch der Cookie-Banner vermeiden.
Dieser Artikel ist keine rechtliche Beratung oder Empfehlung.