Das Messen des Benutzerverhaltens auf Webseiten (Tracking z.B. mit 3rd-Party Cookies) wird zunehmend anspruchsvoller: Die erhöhten Privacy-Ansprüche gemäss DSGVO verbieten das Tracking personenbezogener Daten ohne explizite Einwilligung des Nutzers. 

Und auch die Weitergabe deren Daten nach Amerika wird wegen des Kappens des US-Privacy-Shields immer problematischer (z.B. bei Google Analytics, Adobe Analytics, YouTube, Facebook Pixel, LinkedIn Analytics, etc.).

Top-Herausforderung für Online Marketer: Reduktion der 3rd-Party Cookies
In einer Befragung durch die IAS bezüglich Media Herausforderungen, sehen 49% der Online Marketer die Reduktion von 3rd-Party Cookies als Problem und 36% das adäquate messen.
Copyright: Integral Ad Science, hier ihr vollständiges PDF

Was ist das Problem? “Übertriebenes” Tracking persönlicher Daten

Den meisten Nutzern ist nicht bewusst, von wievielen Online Marketing Diensten ihr Surfverhalten verfolgt wird, um ihnen im richtigen Moment die passende Werbung einzublenden.

An sich wäre das ja eine gute Sache, denn die allermeisten Online-Dienste wie Suchmaschinen und Social Networks nutzen wir kostenlos. Entsprechend wird das Angebot über Werbung finanziert.

Da wir bei Google, Facebook & Co. meist einloggen und viele dieser Anbieter zusätzliche Messmethoden auf weiteren Webseiten und Apps betreiben (u.a. Cookies und Tracking-Pixels), entsteht ein detailliertes Bild unseres Interessenprofils. Dieses wird Werbetreibenden mehr oder weniger anonym zur Verfügung gestellt. 

Die Gegenreaktion: Schutz durch DSGVO der EU oder CCPA von Kalifornien

Weltweit regt sich Widerstand gegen die übertriebene Auswertung von Nutzerdaten: In Europa gilt die Datenschutz Grundverordnung DSGVO (GDPR auf Englisch), in den USA ist davon das kalifornische CCPA Gesetz inspiriert, in UK das Gesetz PECR, in Brasilien LGPD, etc. 

Auch in der Schweiz wird das Datenschutzgesetz DSG in eine ähnliche Richtung überarbeitet.

Für Betreiber von Webseiten in Europa bedeutet dies, dass sie ohne explizite Einwilligung u.a. keine personenbezogenen Daten wie IP-Adressen senden dürfen an Unternehmen in Staaten mit ungenügenden Datenschutzgesetzen. 

Seit die EU 2015 das Datenschutzabkommen “Safe Harbor” mit den USA gekündigt hat und auch die Nachfolgeregelung namens “EU-US Privacy Shield” seit Juli 2020 nicht mehr gilt, werden US-Firmen wie Google oder Facebook als nicht sicher genug eingestuft für die Haltung europäischer Nutzerdaten. Denn gemäss Patriot Act haben staatliche Behörden in den USA ohne Wissen der Betroffenen Zugriff auf gespeicherte Daten.

Relevanz von Social Media Plattformen in den USA: Facebook vor YouTube, Instagram, LinkedIn, Twitter, Pinterest, Snapchat, TikTok und Reddit
Wegen der hohen Beliebheit bleiben Social Networks wichtig. Aber sie tracken eben in den USA unter dem Patriot Act.
Copyright: Integral Ad Science

Welchen Einfluss dieser Entscheid auf den Schweizer “Swiss-US Privacy Shield” hat und auf die Ausnahmeregelungen unter den “Standard Contractual Clauses (SCC)”, ist noch unklar. 

Was bedeutet das für Website-Tracking mit Google Analytics und Cookies?

Unter dem Eindruck des zunehmenden Privacy-Bedürfnisses haben diverse Anbieter reagiert: Apple reduziert ab iOS 14.5 die Möglichkeit, das Surfverhalten ihrer Nutzer für Werbezwecke auszuwerten. Das hat ihnen eine Beschwerde von Facebook eingebracht: Wenn das Social Network ihren Werbekunden nicht mehr belegen kann, wie effizient ihre Werbeflächen eingesetzt wurden, könnte das Werbevolumen sinken.

Auch für Agenturen könnte es zunehmend schwieriger werden, unterschiedliche Werbemassnahmen an den effektiven Nutzerbedürfnissen auszurichten.

Zudem haben Browser wie Mozillas Firefox, Apples Safari, Microsofts Edge und bald auch Googles Chrome eine reduzierte Gültigkeitsdauer von sogenannten 3-rd Party Cookies vorgenommen: Drittparteien platzieren auf diese Weise ein kleines Tracking-Script auf dem Rechner des Nutzers, um wiederkehrende Benutzer und ihre Online-Käufe wiederzuerkennen. 

Statt wie früher 30 Tage lang lassen sich jetzt Konversionen wie Online-Buchungen oder Anfragen aber nur noch 7 Tage lang einer Werbekampagne zuweisen (sogenannte Attribution). Danach ist unbekannt, woher eine Konversion stammt.

Aus historischen Daten kann jeder Online-Shop jetzt abschätzen, wie viele Informationen künftig für die Optimierung von Werbekampagnen verlorengehen. 

In den Reportings werden die Kosten pro Konversion (CPC) in die Höhe schiessen, einfach weil man weniger Konversionen den Kampagnen wird zuordnen können.

Nach Messungen des Schweizer Tracking-Anbieters fusedeck verlieren Webseiten bei korrekt eingesetztem Opt-In Cookie-Banner bis zu 93% (!) der bisherigen Nutzerdaten.

Im Extremfall weisen Manager ihre Webabteilungen an, europäische Alternativen zu Google Analytics oder Adobe Analytics zu prüfen, um keine Daten mehr in die USA zu transferieren.

Ob die eigene Webseite vom Thema betroffen ist, lässt sich mit dem Webseiten-Check des Datenschutz-Anbieters Sicherheit mit System SIMIS prüfen.

Tracking-Audit einer Webseite gemäss wwwschutz.de
Analyse des Trackings einer Schweizer Webseite gemäss wwwschutz.de.
Das ist nicht DSGVO-konform.
Copyright wwwschutz

Nutzereinwilligung mittels Cookie-Banner

Mittels Nutzereinwilligung (Consent) versuchen sich Webseitenanbieter schadlos zu halten.

Mit den ungeliebten Cookie-Bannern oder auch sogenannter Consent-Manager-Software, wird beim Webseitenbesucher die “explizite und informierte” Bewilligung eingeholt, dass man sein Nutzerverhalten registrieren und u.a. an amerikanische Verwerter senden darf.

Die Vorschrift, dass der Nutzer einen “informierten Entscheid” treffen darf, ist mit den oft üblichen Cookie-Bannern nicht erfüllt: Per simple Checkbox oder weil man die Seite “weiterhin verwendet” kann man keinen informierten Entscheid treffen.

Etwas besser sind da Consent-Manager wie CookieBot, UserCentrics oder Borlabs Cookie. 

Deren Problem ist, dass man sie nur mit grossem technischem Aufwand DSGVO-konform einbinden kann: Wird eine Seite geladen, sollten die Tracking-Scripts von Google Tag Manager, Google Analytics und allen anderen blockiert werden, bis der Nutzer seine Einwilligung gibt.

Warnhinweis für einen Verstoss gegen die DSGVO gemäss wwwschutz.de
Warnhinweis gemäss wwwschutz.de

Weil moderne Browser aber Scripts von unterschiedlichen Anbietern parallel laden, lässt sich dies in der Praxis kaum umsetzen. Consent-Manager bieten oft also nur eine Scheinlösung. Hier beschreibt wwwschutz, weshalb auch Consent-Manager nur ungenügenden Schutz bieten.

Wie reagieren Analytics-Anbieter?

Google wird natürlich nicht tatenlos zusehen, wie Kunden zu anderen Anbietern abwandern. Als Ersatz für das Tracking mit Cookies proben sie ein Verfahren namens “Federated Learning of Cohorts”, kurz FLoC: Einzelne User mit ähnlichem Nutzerverhalten werden als Gruppe zusammengefasst und dadurch anonymisiert (sogenannte “Privacy Sandbox” der Kohorte). 

Anhand von Auswertungen über die Kohorte kann Google gemäss eigenen Angaben 95% der früher über Cookies gewonnenen Informationen anonymisiert an ihre Werbepartner weitergeben.

DSGVO-konformes User-Tracking mit fusedeck

Einen anderen Weg geht der Schweizer Analytics-Anbieter fusedeck: Ihr Consent-Manager erlaubt Webseiten-Betreibern drei verschiedene Einstellungen: 

  • Gibt der User sein Einverständnis, wird konventionell mit Cookies getrackt. Weil die Daten in der Schweiz bleiben und von fusedeck nicht weiteren Anbietern zur Verfügung gestellt werden, ist das weniger problematisch als bei amerikanischen Anbietern. 
  • Gibt der User sein Einverständnis nicht, kann optional die Session via Fingerprinting gemessen werden. Wiederkehrende Nutzer werden dann nicht mehr erkannt.
  • Als dritte Option kann das Tracking vollständig deaktiviert werden.
Tracking mit fusedeck: Dynamische Einstellung des Trackings je nach Herkunft des Nutzers
Copyright: fusedeck

Die drei Optionen lassen sich unterschiedlich einstellen, je nachdem ob ein Nutzer aus der Schweiz oder dem EU-Raum die Webseite besucht.

Will man das wirklich datenschutzkonform umsetzen, darf man fusedeck natürlich nicht via Google Tag Manager einbinden, denn dann würden Daten in die USA geschickt.

Praktischerweise bietet fusedeck einen eigenen, sehr mächtigen Tag Manager, mit dem sich das Nutzerverhalten auf verschiedene Arten messen lässt. 

Weil fusedeck nicht Event-basiert misst, sondern via eine direkte Web-Socket-Verbindung, sind die Auswertungen genauer als bei Google: Beispielsweise wird die Aufenthaltsdauer pro Seite ausgegeben als tatsächlich aktiv am interagieren, wartend ohne Interaktion und inaktiv, weil man ein anderes Fenster im Fokus hat.

Bis zu 70% der Zeit sind Nutzer auf Webseiten inaktiv, während dieser Zeit also nicht relevant

Weil fusedeck eine Technologielösung ist des Schweizer Online-Vermarkters Capture Media, lassen sich diese Zielgruppen gezielt ausspielen: Kunden bezahlen für die Online-Anzeigen nur, falls die Nutzer tatsächlich mit den Inhalten interagieren. Für Bounces bezahlt man die generierten Klicks nicht.

Als fusedeck- und Google Analytics-Implementierer zeigen wir Ihnen gerne die Unterschiede und Möglichkeiten auf, wie Sie dank solcher Messdaten eigene Zielgruppen aufzubauen (Custom Audiences basierend auf Engagement-Daten).

Mehr über unsere Tracking- und Analytics-Dienstleistungen finden Sie hier.

Dieser Beitrag Cookies und die Herausforderungen für Web-Analytics erschien im Original auf dem Blog von BlueGlass: BlueGlass.