Was sich beim Cookie-Tracking ändert und wie sich Unternehmen darauf vorbereiten sollten
Cookies sind in aller Munde, ständig hört man von neuen Gerichtsurteilen in Bezug auf den Datenschutz. In der nächsten Zeit wird sich einiges ändern, doch was bedeutet das eigentlich für Unternehmen und wie bereiten Sie sich am besten darauf vor? Wir geben Antworten und Hilfestellungen, damit Sie Ihre Websites zum sicheren Nutzungserlebnis für Ihre User machen.
Cookies – sie begegnen uns täglich, doch was ist ihre Aufgabe?
Cookies sind kleine Dateien, die beim Zugriff auf einer Website Informationen über das Verhalten der NutzerInnen und deren Geräte abspeichern und diese auch an Drittanbieter weitergeben. Diese sollen den NutzerInnen einerseits das Surfen erleichtern, indem sie die Login-Daten beim erneuten Zugriff auf die Website automatisch einfügen. Anderseits sind sie die beste Möglichkeit für Unternehmen, durch die gewonnenen Daten, ihre Zielgruppen, deren Gewohnheiten und Bedürfnisse kennenzulernen und darauf zu reagieren.
Cookies können nach ihrem Zweck und ihrer Speicherdauer unterschieden werden.
Unterscheidung nach Zweck: Technisch notwendige Cookies, Funktionale Cookies, Performance Cookies, Werbe- & Targeting-Cookies
Unterscheidung nach Speicherdauer: Session Cookies, dauerhafte (persistente) Cookies
Was ist der Unterschied zwischen First- & Third-Party-Cookies?
First-Party-Cookies zeigen an, dass die besuchte Domain einen Cookie setzt, auf den nur die Webseitenbetreibenden selbst im Nachhinein Zugriff haben. Im Gegensatz dazu, werden Third-Party-Cookies beim Besuch einer Website von Drittanbietern gesetzt, wie bspw. Google Analytics. Diese Art von Cookies ermöglichen eine websiteübergreifende Nachverfolgung der NutzerInnen. Den NutzerInnen kann so eine eigene User-ID zugewiesen werden, die ermöglicht, deren Surfverhalten von UserInnen über einen längeren Zeitraum zu beobachten, ohne explizite Anmeldung. Der Einsatz von 3rd-Party-Cookies ist also eine beliebte Methode des digitalen Marketings, da sie personenbezogene Werbung ermöglicht. Umstritten ist jedoch, dass schwer kontrollierbar ist, was noch mit den erfassten Daten passiert. Aufgrunddessen kommt es zu immer strengeren Regularien.
TTDSG – was bringt das neue Gesetz?
Der Einsatz von 3rd-Party-Cookies wird immer weiter reglementiert und teilweise gar nicht mehr zugelassen. Für Unternehmen und Websitebetreiber bedeutet das vor allem: vorbereitet sein!
Im ersten Schritt muss gewährleistet sein, dass alle Cookies beim Aufruf der Website korrekt aufgelistet werden und erklärt wird, zu welchem Zweck sie getrackt werden. Um dies zu gewährleisten, ist am 01. Dezember 2021 das Telekommunikation-Telemedien-Datenschutz-Gesetz in Kraft getreten, das Bestimmungen zum Fernmeldegeheimnis und zum Datenschutz bei Telekommunikations- und bei Telemediendiensten regelt, kurz TTDSG.
Laut § 25 Abs. 1 S. 1 TTDSG bedarf die Speicherung von und der Zugriff auf Informationen auf den Endgeräten der Nutzer, deren aktive Einwilligung. Zusätzlich ändern sich die Regeln bezüglich der Speicherdauer von nutzerbezogenen Daten.
Die Einwilligungspflicht gilt unabhängig davon, ob die auf den Endgeräten gespeicherten oder aus diesen ausgelesenen Informationen personenbezogen oder anonym sind. Damit wird praktisch der gesamte Datenstrom, der auf Endgeräten ein und ausgeht und damit jeder nutzerbezogene Datenverkehr erfasst.
Ob die eigene Website regelkonform ist, lässt sich leicht mit der Vielzahl an kostenfreien Cookie-Scannern ermitteln und gemeinsam mit dem Programmierer darauf reagieren.
Wichtig für Firmennetzwerke: die Speicherung von Informationen in geschlossenen Netzwerken ist einwilligungsfrei, allerdings muss dann trotzdem noch die DSGVO eingehalten werden.
Was bedeutet das für Unternehmen?
Es ist davon auszugehen, dass der Einsatz Third-Party-Cookies auf Grund neuer Reglementierungen, aber auch seitens der Browserherstellenden teilweise gar nicht mehr zugelassen werden. apple ist hier Vorreiter und lässt seit dem iOS 14 Update im vergangenen Jahr keine Werbecookies mehr in Apps und im hauseigenen Browser Safari zu. Auch Mozilla ergriff Maßnahmen für eine gesteigerte Privatsphäre von NutzerInnen und die anderen Browseranbieter werden zwangsläufig mitziehen müssen, denn eine Trendwende ich nicht zu erwarten. Künftig wird erwartet, dass Tracking-Ansätze, die eine stabile Identifizieren ermöglichen, an Beliebtheit gewinnen werden. Es wird wahrscheinlich auf den Einsatz von serverseitigem Tracking hinauslaufen, bei dem alle Daten auf dem eigenen Server des Websitebetreibers gespeichert und im Nachgang ausgewertet werden können. Der Websitebetreiber hat also die volle Kontrolle über die erfassten Daten und darüber, wer sie sehen darf.
Dies hat aus kommunikativer Sicht zur Folge, dass man gerade in Kommunikation und Marketing die User:innen nicht mehr so konsequent wie bislang in ihrem Informationsfluss und ihrer Customer Journey nachverfolgt werden können. Die Herausforderung ist es in Zukunft, neue Tracking-Ansätze zu identifizieren und zu testen, die eine regelkonforme Identifizierung der Zielgruppen und deren Bedürfnisse ermöglichen. Die Analyse der Daten wird also wichtiger denn je, um die Kommunikationsmaßnahmen auf die Wünsche und Bedürfnisse der nun anonymisierten Zielgruppen abzustimmen.
Checkliste: Was müssen Unternehmen und Websitebetreiber beachten?
- Cookies in Bezug auf TTDSG, DSGVO und ePrivacy überprüfen und anpassen
- Trackingdaten, die an Third-Parties gehen, müssen anonymisiert sein
- Test von neuen Analyse-Tools, die regelkonform sind
- Kommunikationsmaßnahmen auf zugänglichen Datenanalysen aufbauen