Alle Beiträge von Katrin Nebermann

etracker Analytics mit reinem Session-Tracking einwilligungsfrei

In der Standard-Konfiguration von etracker kann man komplett auf Cookie-Hinweise und Einwilligungs-Dialoge verzichten, sofern keine weiteren nicht-essenziellen Cookies eingesetzt werden. Auch als Fall-Back-Option ist etracker Analytics Cookie-less sehr hilfreich, da es ein Session-Tracking auch ohne Einwilligung bzw. bei Cookie-Ablehnung ermöglicht.

Mit dem aktuellen etracker Code werden standardmäßig weder Cookies gesetzt noch der Local Storage genutzt, um Webanalyse zu betreiben. Damit erfolgt, so unsere Rechtseinschätzung, weder eine „Speicherung von Informationen“ noch ein „Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind“ im Sinne von Art. 5 Abs. 3 der Richtlinie 2002/58 („Cookie-Richtlinie“).

Beim Seitenaufruf werden folgende Daten verarbeitet:

  • die pseudonymisierte IP-Adresse;
  • Informationen zum verwendeten Endgerät, Betriebssystem und Browser;
  • Geo-Informationen bis maximal Stadtebene;
  • die aufgerufene URL mit dazugehörigem Seitentitel und optionale Informationen zum Seiteninhalt;
  • die Website, von der auf die aufgerufene Einzelseite gelangt wurde (Referrer-Site);
  • die Folgeseiten, die von der aufgerufenen Webseite aus innerhalb einer einzelnen Website aufgerufen wurden;
  • die Verweildauer auf der Webseite;
  • weitere Interaktionen (Klicks) auf der Webseite wie eingegebene Suchbegriffe, heruntergeladene Dateien, angesehene Videos, bestellte Artikel.

Es werden somit lediglich die Webseiten-Daten von Webservern genutzt sowie Informationen, die der Webbrowser zum Abruf von Webseiten an den Webserver überträgt. Diese Informationen werden bei jedem einzelnen Seitenabruf übertragen. Es werden jedoch, anders als bei Cookies und vergleichbaren Technologien, keine Informationen aus dem Speicher des Endgeräts des Nutzers ausgelesen und auch keine Informationen auf diesem Endgerät gespeichert. Die pseudonymen Informationen ermöglichen es, einzelne Seitenaufrufe zu zusammenhängenden Sessions zu verbinden. Durch die Verknüpfung mit einem Zeitstempel wird dabei ausgeschlossen, dass Seitenaufrufe jenseits eines 24-stündigen Zeitfensters mittels dieser Informationen zu Customer Journeys beziehungsweise Nutzerprofilen verknüpft werden können.

Es handelt sich demnach auch nicht um Device Fingerprinting gemäß der „Stellungnahme 9/2014 zur Anwendung der Richtlinie 2002/58/EG auf die Nutzung des virtuellen Fingerabdrucks“ des Europäischen Datenschutzausschusses. Art. 4 Nr. 1 DS-GVO erwähnt in der Legaldefinition der Einwilligung Online-Kennungen ausdrücklich. Die DS-GVO fingiert damit aber keinen Personenbezug für alle Online-Kennungen. Vielmehr kommt es auf den Personenbezug bzw. die Personenbeziehbarkeit im konkreten Einzelfall an (so auch Hanloser: Geräte-Identifier im Spannungsfeld von DS-GVO, TMG und ePrivacy-VO Zeitschrift für Datenschutz (ZD) 2018, 213). Aufgrund der wenigen Informationselemente sowie der expliziten zeitlichen Limitierung ist es bei allen etracker Produkten ausgeschlossen, dass „eine Einzelperson mit diesem virtuellen Fingerabdruck verknüpft und somit identifiziert oder identifizierbar gemacht werden“ kann. Weiterhin werden die Informationen nicht Dritten zugänglich gemacht, das eingesetzte Hash-Verfahren ebenso wie die Einzel-Informationen nicht offengelegt. Auch dient es nicht dem „Zweck der Verarbeitung für die Bereitstellung personalisierter Inhalte und Werbung, d. h. zur direkten Kommunikation mit einer bestimmten Person“, sondern der aggregierten statistischen Auswertung der Website-Nutzung.

Selbst wenn man dazu kommen möchte, in der sitzungsbasierten Betrachtung eine Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 1 DS-GVO zu erkennen, wäre diese Verarbeitung nach unserem Dafürhalten auch ohne Einwilligung zulässig. Da aufgrund der Beschränkung auf die Sitzung keine Bildung von Persönlichkeitsprofilen und aufgrund der Architektur von etracker keine Verknüpfung der Daten mit anderen Datenbeständen möglich ist, bestehen nach unserer Auffassung keine überwiegenden berechtigten Interessen des Betroffenen, die den berechtigten Interessen des Betreibers der Website an einer Optimierung zur bedarfsgerechten Gestaltung seiner Internetangebote im Sinne von Art. 6 Absatz 1 f DS-GVO überwiegen.

Lediglich bei Widerruf setzt etracker standardmäßig Cookies, was als erforderlich einzustufen ist. Bei Vorhandensein eines solchen Widerspruchs-Cookies oder bei aktivierter Do-not-track-Voreinstellung im Browser werden keinerlei Daten durch etracker erfasst, auch nicht die Informationen des „User-Agents“.

Der Beitrag etracker Analytics mit reinem Session-Tracking einwilligungsfrei erschien zuerst auf etracker.com.

Automatisch zur gewünschten Seitenbezeichnung

Bei Webseiten gibt es zwei Arten, um Seiten automatisch zu identifizieren: den Seitentitel und die URL.

Hier am Beispiel der Knowledge Base auf etracker.com in der Titelleiste des Browsers zu sehen:

Der Title-Tag spielt im Suchmaschinen-Marketing eine wichtige Rolle, da er in den Suchergebnissen erscheint. Daher erfasst etracker diesen standardmäßig automatisch bei Seitenaufrufen und verwendet ihn in seitenbezogenen Reports als Seitennamen. Davon unabhängig erfasst etracker auch die URL und stellt diese zusätzlich als Attribut in Reports zu Verfügung.

Über das Browse-Icon rechts neben dem Seitennamen gelangt man zur jeweiligen Seite. Das ist sehr hilfreich, da man selten mit allen einzelnen Seiten und deren Inhalten vertraut ist und so schnell darauf zugreifen kann.

Sollten Sie als Analyst jedoch lieber die URL (ohne die Domainbezeichnung) als Seitenname verwenden wollen, können Sie dies in den Account-Einstellungen wunschgemäß anpassen.

URL-Parameter werden dabei standardmäßig nicht erfasst. Wenn Ihre Seiten-URLs sich ausschließlich anhand von GET-Parametern unterscheiden, sollten Sie diese in den Account-Einstellungen unter Berücksichtigung von GET-Parametern eintragen.

Über den Parameter et_pagename im etracker Code können Sie alternativ zur automatischen Erfassung wie gewohnt komplett individuelle Seitennamen übergeben.

So sind Sie mit etracker Analytics sehr flexibel und ersparen sich aufwändiges Tagging. Denn die verlässliche und aussagekräftige Messung der Seitenaufrufe ist nach wie vor Dreh- und Angelpunkt der Web-Analyse.

Der Beitrag Automatisch zur gewünschten Seitenbezeichnung erschien zuerst auf etracker.com.

Permission Marketing

Das Marketing der Zukunft überlässt den Nutzern die Entscheidung, ob sie auf dem Laufenden gehalten werden möchten oder nicht.

Das Konzept des Permission Marketings ist heute so aktuell wie nie zuvor – und dabei ist es gar nicht neu. Denn schon vor rund 20 Jahren hat der amerikanische Marketing-Guru Seth Godin den Begriff des Permission Marketings in seinem gleichnamigen Bestseller geprägt:

„Erlaubnisbasiertes Marketing ist das Privileg (nicht das Recht) erwartete, persönliche und relevante Werbung an Personen zu senden, die diese erhalten möchten.“ 1

Permission Marketing wird seitdem häufig mit E-Mail Newsletter Marketing gleichgesetzt; schließlich verlangen werbliche E-Mails per Gesetz die vorherige Einwilligung der Empfänger per Double-Opt-In.

Neuere Permission Marketing Kanäle wie Push Notifications setzen nicht nur eine Einwilligung voraus, sondern schließen sogar Spam gänzlich aus, indem der Browser oder das Betriebssystem den An- und Abmeldeprozess vorgibt.

Ebenso managen bei Online-Diensten wie Facebook, Instagram und Twitter die Plattformen das Abonnieren und Entfolgen von Benutzern. Damit zählen sie einerseits zu den Permission Marketing Kanälen, bieten aber andererseits auch ungefragte Werbemöglichkeiten.

Die Idee des Erlaubnis-Marketings geht jedoch weit über die reine Frage der Einwilligung hinaus. So verspricht Seth Godin im Untertitel seines besagten Buches zum Permission Marketing:

„Wie Sie aus Fremden Freunde machen und wie Freunde zu treuen Kunden werden.“2

Es geht somit darum, die Kundenbindung und den Kundenwert ins Zentrum der Marketing-Aktivitäten zu rücken. Das Unternehmen muss es sich sozusagen „verdienen“, mit dem Kunden oder Interessenten in Kontakt bleiben zu dürfen. Denn der Kunde entscheidet immer stärker, von wem er über welche Kanäle welcherart Inhalte empfangen möchte. Und: Er kann sich auch jederzeit auf einfache Art wieder „ausklinken“. Aber mit wertvollen Inhalten versorgt, bleiben Nutzer nicht nur dabei, sondern fühlen sich zugehörig und intensiv verbunden.

Warum ist Permission Marketing (wieder) so aktuell?

Unternehmen müssen gegen eine stetig wachsende Werbeflut, Walled-Garden-Plattformen und Tracking-Schutz ankämpfen. Die Möglichkeiten programmatischer Werbung haben zwar vermocht, die Streuverluste ungefragter Werbeansprache zu verringern, dennoch verliert Werbung an Wirkungskraft. Es wird immer schwieriger, die Aufmerksamkeit von Nutzern zu gewinnen, zu halten oder sie gar zum Klicken oder Kaufen zu aktivieren. Außerdem stumpfen wir angesichts der Fülle an Angeboten, Neuheiten und Deals immer mehr ab.

Programmatic Advertising gerät zudem durch rechtliche und Browser-seitige Einschränkungen unter Druck. Sollten die Aufsichtsbehörden Ernst machen und wie angekündigt die Pflicht zu informierten, aktiven, freiwilligen Cookie-Einwilligungen verfolgen, hat das genauso massive Auswirkungen wie Apples und Mozillas  sich kontinuierlich verschärfende Intelligent Tracking Protection.

Einen Ausweg bietet Permission Marketing, das weder durch Ad Blocking oder Ad Fraud noch durch Cookie-Löschen beeinträchtigt wird. Es adressiert Empfänger, die dein Produkt oder deine Dienstleistung wirklich interessiert. Beim erlaubnisbasierten Marketing liegen damit die Erfolgschancen generell höher als bei öffentlicher Werbung, denn die Botschaften wurden angefordert und der Empfänger rechnet mit ihnen.

Veränderte private Kommunikation verändert die Marketing-Kommunikation

Messenger wie Whatsapp sowie Dienste wie Facebook, Instagram und Snapchat haben die private Kommunikation merklich verändert. Gefragt sind kleinere „Kommunikations-Häppchen“, dafür aber mit höherer Frequenz. Zudem vermengen sich in den neueren Permission Marketing Kanälen privater Austausch mit professioneller Marketing-Kommunikation. Das eröffnet die Chance einer intensiveren Bindung der Kunden und Interessenten durch häufigere und moderne Ansprache.

Alle ringen um Aufmerksamkeit auf dieser virtuellen Bühne. Damit steigen auch die Ansprüche an die Marketing-Kommunikation: Sie soll ansprechen, begeistern, inspirieren, involvieren und eine emotionale Verbindung herstellen.

Best-practices für erfolgreiches Permission Marketing

Selbstbestimmung

Zur Selbstbestimmung gehört, dass Nutzer den von ihnen präferierten Kanal auswählen dürfen. Unternehmen stellen sogar fest, dass bei parallelem Anbieten von E-Mail Newslettern und News per Web Push kaum eine Kannibalisierung stattfindet, sondern vielmehr zusätzliche Abonnenten gewonnen werden. Daher ist es empfehlenswert, nicht nur auf einer Plattform oder einem Kanal aktiv zu sein, sondern alle relevanten Plattformen und Kanäle abzudecken.

Der erlaubnisbasierte Marketingansatz zielt zudem darauf ab, vor der direkten Ansprache das Opt-In des Nutzers einzuholen. Darüber hinaus kann es ebenfalls hilfreich sein, den Nutzer beim „Abonnieren“ selbst darüber entscheiden zu lassen, zu welchen Themen oder Anlässen er Informationen erhalten möchte und dieses nicht nur auf Basis des getrackten Verhaltens anzunehmen  Dies drängt sich insbesondere dann auf, wenn ein sehr bunter beziehungsweise heterogener Blumenstrauß an Angeboten offeriert wird.So kann die spätere Relevanz der Nachrichten für den Nutzer seine Motivation zur Einwilligung erhöhen.

Direktheit

Es ist großartig, wenn man es beispielsweise in den Instagram-Feed seiner Nutzer schafft. Aber es ist gefährlich, gänzlich von den Konditionen und Algorithmen der Netzwerke abhängig zu sein, wenn es um den Zugang zu seinen eigenen Nutzern geht. Daher gilt bei Content Distribution und Remarketing das Prinzip „Owned Media first“.

Aber auch innerhalb der eigenen Kanäle gibt es noch einmal gravierende Unterschiede, was die Direktheit der Auslieferung anbelangt. So müssen  E-Mails bekanntermaßen im Postfach der Nutzer erst einmal mittels prägnantem Betreff um Aufmerksamkeit buhlen. Besonders schwierig wird es, wenn die Nachrichten von Google im „Werbung“-Tab einsortiert werden. Demgegenüber erscheinen Push Notifications aus dem Browser, der App oder Wallet Card direkt auf dem Bildschirm der Nutzer und müssen nicht erst von ihnen geöffnet werden. Das erhöht automatisch auch die Klickrate enorm.

Personalisierung

Mit Permission Marketing sprichst du jemanden an, der offensichtlich Interesse an deinem Produkt oder deiner Dienstleistung hat. Somit ist schon einmal per se eine hohe Relevanz deiner Nachrichten gegeben. Besonders attraktiv sind personalisierte Inhalte, die zur aktuellen Position innerhalb der Customer Journey oder zu den Interessen und Präferenzen passen. Mit personalisierter Ansprache verhinderst du einerseits negative Erlebnisse, wenn zum Beispiel ein vor kurzem gekaufter Artikel nun zum Sonderpreis angepriesen wird. Andererseits vermag Personalisierung den Nutzwert besonders zu steigern, indem beispielsweise Angebote und Tipps passend zu gerade angeschauten oder gekauften Artikeln versendet werden.

In den Netzwerken kann man sich bestenfalls bei der Personalisierung auf dort verfügbare Profildaten stützen, bei den eigenen Kanälen hingegen kommen das eigene CRM und Tracking als Datenquelle beziehungsweise Auslöser ins Spiel. Hier bieten Marketing Automation Lösungen, die ein umfangreiches integriertes Tracking zur Segmentierung und Triggering von Kampagnen-Workflows anbieten, einen deutlichen Vorteil und vielfältige Möglichkeiten.

Kreativität

Experimentierfreude ist sowohl bei der Gestaltung von Opt-In-Einladungen als auch bei den Nachrichten gefragt. Beim Opt-In gibt es eine große Bandbreite an Formen vom direkt bildschirmfüllenden Pop-Up zu Besuchsbeginn auf der Website bis hin zu mehr oder weniger versteckten Kanal-Symbolen im Footer.

Abwechslung ist auch bei Anlässen und Inhalten gefragt. Es geht nicht nur um Schnäppchen, sondern auch um Unterhaltung, den Blick hinter die Kulissen und vieles mehr. Vielleicht ist der Weltnudeltag oder Weltnettigkeitstag eine Nachricht wert auch für dich eine Nachricht wert?

Ebenso erfordern erfolgreiche Personalisierung und Automatisierung Kreativität und ein iteratives Vortasten und Ausprobieren.  Ein angebundenes umfangreiches Tracking macht die Optimierung sehr viel einfacher, da nicht jede Veränderung des Regelwerks mit Eingriffen in die Website einhergehen muss.

Vorteile von Permission Marketing

Permission Marketing bringt sowohl für deine Nutzer als auch für dich als Anbieter viele Vorteile mit sich:

Erfolgssteigerung

Ein Opt-In vergibt man nur an ausgewählte Anbieter. Mit Permission Marketing wirst du also nie alle deine Nutzer erreichen. Dafür erreichst du aber diejenigen, die dies auch ausdrücklich wünschen. Das erhöht automatisch Engagement und Conversion Rates.

Kostensenkung

Für erwünschte Werbung ist die Wahrscheinlichkeit deutlich geringer, blockiert oder ignoriert zu werden. Zudem gibt es weder Streuverluste noch bist du von den Algorithmen und Kostenmodellen der Plattformen abhängig.  . Unabhängiger und günstiger ist meist der Versand von Nachrichten über eigene Kanäle. Und: Kunden zu halten ist um ein Vielfaches billiger als neue  zu gewinnen.

Starke Kundenbindung

Mit Permission Marketing kannst du deine Content Distribution voranbringen und Nutzer zurück auf deine Website holen. Insbesondere gibt dir erlaubnisbasiertes Marketing die Chance, eine dauerhafte Bindung zu deinen Nutzern aufzubauen. Die neuen Push Notification Kanäle sind hervorragend geeignet, um die Anzahl der Touchpoints zu erhöhen und auch kleinere News zu verbreiten.

Rechtssicherheit

Mit der Einwilligung gehst du vielen Datenschutz-rechtlichen Problemfeldern aus dem Weg. Push Notifications machen es noch einmal sicherer, da sie keinerlei persönliche Daten erfordern.

Auch ich als  Nutzer profitiere von Permission Marketing:

  • Ich spare mir den Besuch der Website, Erstellung von News-Feeds oder Ähnlichem, um Neuigkeiten automatisch mitzubekommen.
  • Ich verpasse keine Angebote mehr und erhalte vielfach exklusive Vorteile.
  • Ich werde als treuer Bestandskunde wertgeschätzt.
  • Ich kann bestimmen, von wem ich (Werbe)Botschaften erhalte und von wem nicht.

Fazit: Deine Nutzer bekommen, was sie wollen und du profitierst von langfristigen hochwertigen Kundenbeziehungen.

1) Seth Godin: Permission Marketing: Kunden wollen wählen können. Wie Sie aus Fremden Freunde machen und wie Freunde zu treuen Kunden werden, 01.01.2001.

2) Seth Godin: Permission Marketing: Kunden wollen wählen können. Wie Sie aus Fremden Freunde machen und wie Freunde zu treuen Kunden werden, 01.01.2001.

Der Beitrag Permission Marketing erschien zuerst auf etracker.com.

Rettung für Daten-getriebenes Marketing

In einer bisher einmaligen Aktion seit Inkrafttreten der DSGVO haben sich die Aufsichtsbehörden von 14 Bundesländern und sogar des Bundes eindeutig übereinstimmend positioniert: Der Einsatz von Google Analytics erfordert, egal in welcher Konstellation, die vorherige Einwilligung der Website-Besucher.

Wird die Pflicht zu informierten, aktiven, freiwilligen Einwilligungen in die Nutzung und Zusammenführung der Daten durch Google erfüllt, leidet jedoch die Datenbasis gewaltig, so dass eine aussagekräftige Web-Analyse in der Regel nicht mehr möglich ist.

Eine Alternative bietet hier etracker Analytics: Der Einsatz von etracker Analytics erfordert dank reiner Datenverarbeitung im Auftrag, Privacy by Design und Cookie-less Tracking by Default keine Einwilligung. Kampagnen-Tracking mit UTM-Parametern, Schnittstelle zu Google Ads für die automatisierte SEA-Optimierung, automatisiertes Event-Tracking und vieles mehr machen die Migration reibungsfrei.

In einem Video vom 12.12.2019 klären Olaf Brandt und Christian Bennefeld auf über:

Rechtslage

  • Aktuelle rechtliche Lage beim Tracking & Retargeting
  • Zusammenspiel Einwilligungen, Cookies und berechtigtes Interesse
  • Best Practice für hohe Datenqualität

Praktische Umsetzung

  • etracker einwilligungsfrei nutzen
  • Google Analytics friktionsfrei migrieren
  • Remarketing modernisieren

Schauen Sie sich das Webinar-Video an oder die Folien der beiden Vortragsteile.

Die Anleitungen zu den Ausführungen finden Sie hier:

Weitere Informationen zum Thema können Sie unserem Whitepaper
Gemäß DSGVO und Cookie-Richtlinie: Webanalyse ohne Rechtsrisiko und Datenverlust
entnehmen.

Einen Auszug des datenschutzrechtlichen Ergänzungsgutachtens zu etracker können Sie hier einsehen.

Der Beitrag Rettung für Daten-getriebenes Marketing erschien zuerst auf etracker.com.

15 Aufsichtsbehörden erklären Google Analytics ohne Wenn und Aber als einwilligungspflichtig

Das hat es bislang noch nicht gegeben: In einer konzertierten Aktion fordern 15 deutsche Aufsichtsbehörden Website-Betreiber auf, Google Analytics nicht ohne wirksame Einwilligung einzusetzen. etracker Analytics hingegen kann Cookie-los komplett ohne Einwilligung eingesetzt werden.

Die Aufsichtsbehörden haben in einer Art von „konzertierter Aktion“ durch aufeinander abgestimmte Pressemitteilungen alle Website-Betreiber aufgefordert, Google Analytics nicht länger ohne eine Einwilligung einzusetzen:

Die gemeinsame Position der Aufsichtsbehörden ist damit klar. Aussagen, wonach die Einwilligungspflicht durch Konfigurationen wie IP-Anonymisierung entfallen kann, werden unmissverständlich als veraltet und nicht mehr zutreffend erklärt.

Für den Einsatz von etracker Analytics gilt:

Gemäß Privacy-by-Design kommt etracker jetzt in der Standard-Konfiguration vollständig ohne Cookies aus. Man kann also Datenschutzkonformität, Daten-getriebenes Marketing und Nutzerfreundlichkeit (ohne nervige Einwilligungsdialoge) unter einen Hut bekommen.

Alle Details zum Thema Webanalyse nach dem „EuGH-Cookie-Urteil“ und den Positionspapieren der Aufsichtsbehörden finden Sie in unserem neuen Leitfaden.

Der Beitrag 15 Aufsichtsbehörden erklären Google Analytics ohne Wenn und Aber als einwilligungspflichtig erschien zuerst auf etracker.com.

Cookie-Urteil des EUGH: Auswirkungen auf den Einsatz von etracker

Das bedeutet das Urteil allgemein für Website-Betreiber

Der Europäische Gerichtshof hat am 01. Oktober 2019 entschieden, dass die Speicherung von Informationen auf den Geräten von Website-Besuchern, sofern nicht unbedingt erforderlich, einwilligungspflichtig ist. Dies bedeutet für Website-Betreiber:

  • Nicht rein funktionale Cookies dürfen erst nach Einwilligung des Nutzers gesetzt werden.
  • Von einer Einwilligung kann nicht implizit durch Nutzung der Website ausgegangen werden, sondern erfordert eine explizite, aktive bejahende Handlung wie das Anklicken eines Kästchens oder Akzeptieren-Buttons.
  • Die Einwilligung ist nur wirksam, wenn umfassend und klar über die verwendeten Cookies informiert wird, mindestens über die Funktionsdauer der Cookies, wozu sie verwendet werden und wer Zugang zu den Daten erhält.
Wichtig: Getrennt von der Frage der Einwilligungspflicht für Cookies ist die Frage der Einwilligungspflicht für die Verarbeitung personenbezogener Daten ohne Speicherung auf Endgeräten. Das heißt:
  • Wenn andere Formen der Verarbeitung personenbezogener Daten einwilligungspflichtig sind, so erfordert die Einwilligung ebenfalls eine explizite und informierte Zustimmung.
  • Können Verarbeitungsvorgänge auf der Rechtsgrundlage eines berechtigten Interesses durchgeführt werden, so ist nur eine Einwilligung in dabei verwendete Cookies erforderlich. Sofern die Verarbeitung ohne Cookies erfolgt, kann sie weiterhin ohne Einwilligung erfolgen.

Das bedeutet das Urteil für den Einsatz von etracker

Der Einsatz von etracker ist grundsätzlich nicht einwilligungspflichtig, sondern lässt sich mit dem berechtigten Interesse begründen, da die Daten unter anderem nicht Dritten zugänglich gemacht oder zu eigenen Zwecken genutzt werden.

Für die Besuchs- und Besucherverknüpfung setzt etracker Cookies und den Local Storage ein, ist jedoch nicht zwingend darauf angewiesen. Diese Technologien verbessern die Verknüpfung von gemessenen Interaktionen zu Besuchen (erfolgt sonst nur mittels technischem Fingerprinting) und ermöglichen die Wiedererkennung von Besuchern bei wiederholten Besuchen und damit die Bildung von Besuchs-übergreifenden Customer Journeys.

Es ist also nach wie vor so, dass der Einsatz von etracker ohne Einwilligungspflicht erfolgen kann, lediglich das damit verbundene Setzen von Cookies und der Zugriff auf den Local Storage ist an die vorhergehende explizite Einwilligung des Nutzers gebunden.

Zu diesem Zweck stellt etracker einen Parameter zum Einfügen in den Parameterblock des etracker Codes zur Verfügung, der dazu dient, standardmäßig die Speicherung von Informationen auf dem Endgerät des Besuchers zu unterbinden. Weiterhin stellen wir Funktionen bereit, um bei einer Einwilligung von etracker verwendete Cookies zu aktivieren, wieder zu deaktivieren oder den Status abzufragen.

Hier finden Sie alle Informationen zu den Funktionen, um etracker Cookies über eigene Cookie-Banner bzw. Einwilligungsdialoge zu steuern:

https://www.etracker.com/support/etracker-cookies-blockieren/

Mehr Informationen zum Urteil finden Sie hier.

Der Beitrag Cookie-Urteil des EUGH: Auswirkungen auf den Einsatz von etracker erschien zuerst auf etracker.com.

Stellungnahme zum EuGH Urteil „Facebook Like Button“

Aufgrund des aktuellen EuGH Urteils erreichen uns viele Fragen von Kunden und Partnern, inwieweit der Einsatz von etracker auch davon betroffen ist. Im Folgenden finden Sie unsere Stellungnahme zum Urteil und die Begründung, warum das EuGH Urteil etracker Anwender gar nicht betrifft.

Ausgangssituation

Der Europäische Gerichtshof (EuGH) hat am 29.07.2019 eine wegweisende Entscheidung gefällt, die jeden Website-Betreiber betrifft, der Inhalte von dritten Anbietern einbindet wie beispielsweise Facebook Like Button, Google Maps, Google Analytics oder auch etracker.

In dem vorliegenden Fall, der noch auf Grundlage der Datenschutzgesetzgebung vor Eintritt der Datenschutzgrundverordnung (DSGVO) verhandelt wurde, sind verschiedene Rechtsfragen aufgeworfen und beurteilt worden. Insbesondere wurde die Frage zur „Verantwortlichkeit“ von Datenverarbeitungsprozessen auf Webseiten abschließend höchstrichterlich geklärt. Da die Verantwortlichkeiten in der heute gültigen DSGVO praktisch identisch definiert sind, wie in der zugrunde liegenden Datenschutzgesetzgebung, entfaltet diese Entscheidung daher auch heute und für die Zukunft Wirkungskraft innerhalb Europas.

Hintergrund und Streitgegenstand

Der Betreiber eines Webshops hatte den Facebook Like Button als sogenanntes „Social Media Plugin“ in seine Website eingebunden. Hierbei wird bei jedem Besuch einer Seite, die ein solches Plugin enthält, die IP-Adresse des Besuchers an Facebook übermittelt – selbst wenn der Besucher den Facebook Like Button gar nicht klickt. Der EuGH urteilte bereits im Januar 2017, dass IP-Adressen personenbezogene Daten sind. Damit unterliegt die Datenübermittlung an Facebook unzweifelhaft dem Datenschutzrecht. Zudem ist Facebook mit über zwei Milliarden registrierten Nutzern in der Lage, praktisch jeden Nutzer, der eine Seite mit dem Social Media Plugin besucht, anhand von IDs (z.B. aus Cookies) persönlich zu identifizieren. Die über das Plugin gewonnenen Daten werden von Facebook Website-übergreifend zu detaillierten Persönlichkeitsprofilen verknüpft, die Facebook zu eigenen Zwecken nutzt. Verbraucherschützer klagten über verschiedene Instanzen und bemängelten zum einen, dass über den Verarbeitungsprozess der personenbezogenen Daten durch Facebook nicht hinreichend aufgeklärt wurde. Zum anderen fehle es an einer wirksamen Einwilligung in den Verarbeitungs­prozess vor dem Verarbeitungsvorgang sowie an einer Widerspruchsmöglichkeit durch den Verbraucher.

Entscheidung des EuGH

Der EuGH stellte nun fest, dass Website-Betreiber für das Erheben personenbezogener Daten beim Besuch des Internetauftritts und für die Weiterleitung der Daten an Facebook gemeinsam mit dem Anbieter des Social Media Plugins verantwortlich sind. Dabei sei es auch nicht erheblich, dass der Website-Betreiber nach der Übermittlung an Facebook gar keinen Zugriff auf die erhobenen Daten habe. Es sei bereits ausreichend, dass der Betreiber von der Datenverarbeitung u.a. durch bessere Werbemöglichkeiten für die betroffenen Besucher bei Facebook profitiere. So erlange sowohl Facebook als auch der Website-Betreiber einen wirtschaftlichen Vorteil und beide seien daher gemeinsam für die Zwecke und Mittel der Datenverarbeitung verantwortlich.

Generelle Auswirkungen des Urteils

Website-Betreiber, die Social Media Plugins verwenden, sind nunmehr angehalten, umfassend über die Datenweitergabe zu informieren und eine Einwilligung zur Datenverarbeitung beim Besucher einzuholen, bevor die Datenweitergabe beginnt. Diese Einwilligung muss wirksam erfasst und entsprechend der heutigen DSGVO dokumentiert werden. Dies gilt auch für andere Plugins und alle eingebundenen Inhalte Dritter wie beispielsweise Instagram, Twitter, Xing oder Trusted Shops. Aber es sind auch „unsichtbare“ Dienste wie Retargeting-Pixel und Website-Tracking betroffen, sofern sie vollständige IP-Adressen verarbeiten oder IDs (z.B. in Cookies) verwenden, die eine persönliche Identifikation des Besuchers ermöglichen.

Auswirkungen des Urteils auf Website Tracking und ähnliche Dienste

Die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder haben in Deutschland mit Verabschiedung der „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ Anfang April 2019 eine klare Leitlinie für rechtskonformes Tracking unter der DSGVO vorgegeben. Diese Orientierungshilfe (im Folgenden kurz DSK-Papier genannt) steht vollständig im Einklang mit der jetzigen Entscheidung des EuGH. Denn auch sie sieht vor, dass die Einwilligung des Betroffenen vor dem Datenverarbeitungsvorgang einzuholen ist, sofern personenbezogene Daten – also auch vollständige IP-Adressen – durch einen Dritten verarbeitet werden. Darüber hinaus sieht sie auch dann die Notwendigkeit der Einwilligung vor, wenn Daten über einen Betroffenen über verschiedene Websites hinweg gesammelt und zusammengeführt werden. Denn damit ist allein durch die Vielzahl der gesammelten Einzelmerkmale eine Identifikation des Betroffenen möglich, selbst wenn zunächst keine personenbezogenen Daten (wie vollständige IP-Adressen) übermittelt werden. Insbesondere ist auch dann eine Einwilligung notwendig, wenn der Betreiber des eingebundenen Dienstes in der Lage ist, den Nutzer (z.B. unter Zuhilfenahme von IDs aus Cookies) persönlich zu identifizieren, selbst wenn keine vollständigen IP-Adressen verarbeitet werden. Dies ist beispielsweise häufig dann der Fall, wenn der Dienstanbieter Nutzern die Möglichkeit zur Registrierung eines Nutzerkontos anbietet und dabei die Einwilligung zur Datenzusammenführung über verschiedene Websites einholt. Beispiele für derartige Anbieter sind Facebook, Google aber auch Microsoft mit LinkedIn. Werden die Dienste dieser Anbieter (sei es der Facebook Like Button, LinkedIn Button, Google Maps oder Google Analytics) in Webseiten eingebunden, ist zwingend die informierte und freiwillige Einwilligung des Betroffen vor der Datenverarbeitung einzuholen.

Auswirkung auf den Einsatz von etracker

Neben der Notwendigkeit der Einwilligung beschreibt das DSK-Papier die Möglichkeit, die Datenverarbeitung auf das „berechtigte Interesse“ des Website-Betreibers zu stützen, wobei diesem sehr enge Grenzen gesetzt werden:

Der Website-Betreiber hat ein berechtigtes Interesse an der Erfassung statistischer Informationen zur Optimierung des Internetangebotes, sofern die Datenerfassung erforderlich ist und eine Interessenabwägung stattgefunden hat. Der Website-Betreiber hat damit ein berechtigtes Interesse an Tracking, solange eine persönliche Identifikation nicht erforderlich ist und auch keine Website-übergreifende Profilbildung durch den Tracking-Anbieter stattfindet. Denn beides ist nicht erforderlich für die statistische Auswertung und Optimierung seines Angebotes.

Der Einsatz von etracker stellt daher ein berechtigtes Interesse des Website-Betreibers dar und erfordert keine Einwilligung des Besuchers. Dies vor folgendem Hintergrund:

(1) etracker verarbeitet keine vollständigen IP-Adressen

etracker hält sich strikt an die „Privacy by Design“- und „Privacy by Default“-Prinzipien und benötigt für die statistischen Auswertungen keine personenbezogenen Daten. Anders als bei vielen anderen Analytics-Lösungen ist bei etracker keine zusätzliche Implementierung im Tracking Code oder eine aufwendige Konfiguration zur Anonymisierung der IP-Adresse notwendig. Eine Verarbeitung vollständiger IP-Adressen findet bei etracker niemals statt.

(2) etracker hat keine weiteren personenbezogenen Daten

Die von etracker gewonnenen Daten werden stets ausschließlich pseudonym (unter Verwendung einer ID) verarbeitet. Eine Registrierung von Nutzern und die Verknüpfung der Registrierungsdaten mit den verwendeten IDs ist bei etracker nicht möglich.Bei Google werden hingegen die mit Google Analytics gewonnenen Daten stets mit den personenbezogenen Daten aus dem Google Konto zu einem Persönlichkeitsprofil kombiniert, wenn der Nutzer ein Google Konto besitzt und der Zusammenführung nicht aktiv widersprochen hat.

(3) etracker erstellt keine Website-übergreifenden Nutzerprofile

Als Auftragsverarbeiter verknüpft etracker die Daten unterschiedlicher Kunden nicht miteinander und erstellt auch keine Website-übergreifenden Nutzerprofile. Dies ist rechtlich im Rahmen der AGB nicht zulässig und daher auch technisch gar nicht möglich.Anders ist die Website-übergreifende Profilbildung aber genau das Ziel von Anbietern wie Google, die mit Analytics jeden Internet-Nutzer über alle Websites und Geräte genau verfolgen, um umfangreiche Persönlichkeitsprofile zu erstellen. Denn diese dienen dem eigentlichen Geschäftszweck: dem gezielten Ausspielen von Werbung anhand von umfangreichen Persönlichkeitsprofilen.

(4) etracker ist klassischer Auftragsverarbeiter

etracker verarbeitet sämtliche Daten ausschließlich im Auftrag des Kunden und hat keinerlei Rechte an den erfassten Daten. Dem Auftraggeber stehen umfangreiche Weisungs- und Kontrollmöglichkeiten zu – bis hin zur physischen Kontrolle des Rechenzentrums.Diese für die Auftragsverarbeitung wichtigen Rechte und die sich daraus ergebenen Pflichten und Verantwortlichkeiten sind bei Anbietern wie Google in der Regel nicht gegeben, selbst wenn formell ein Vertrag zur Auftragsverarbeitung geschlossen wird. Die an Google zur Verarbeitung übergebenen Daten gehen ins Eigentum von Google über – und sind letztlich die Währung, in der Google Analytics bezahlt wird.

(5) etracker verarbeitet alle Daten ausschließlich in Deutschland

Die von etracker verarbeiteten Daten werden ausschließlich auf eigenen Servern im Hamburger Rechenzentrum verarbeitet. Es werden keinerlei Cloud-Dienste Dritter verwendet, bei denen die Datenspeicherung unter Umständen außerhalb der EU stattfindet. Alle von etracker verarbeiteten Daten verbleiben in der EU und unterliegen der DSGVO.

Die Voraussetzungen, die zum EuGH Urteil bei Facebook geführt haben, sind daher bei etracker gar nicht gegeben, so dass das Urteil – anders als bei anderen Analytics Anbietern – gar keine Anwendung findet.

Fazit

Auch wenn das aktuelle EuGH Urteil grundsätzlich einschneidende Veränderungen für den Betrieb von Websites mit sich bringt, wirkt es sich nicht auf den Einsatz von etracker aus. etracker Kunden haben im Einklang mit dem DSK-Papier ein berechtigtes Interesse an der Datenverarbeitung und müssen daher nur ihren Informationspflichten zur Datenerhebung im Rahmen der Datenschutzerklärung nachkommen. Eine explizite Einwilligung in die Verarbeitung, wie der EuGH und das DSK-Papier sie fordern, ist nicht notwendig. Dies wird auch durch ein unabhängiges Datenschutz-Audit bestätigt, so dass etracker das ePrivacyseal erhalten hat.

Websites von etracker Anwendern können daher weiterhin ungestört und friktionsfrei besucht werden, und es drohen keine Risiken aufgrund des etracker Einsatzes.

 

 

Der Beitrag Stellungnahme zum EuGH Urteil „Facebook Like Button“ erschien zuerst auf etracker.com.