Cookieless-Tracking

Das Cookieless-Tracking ist eine Methode des Online-Trackings. Dabei werden keine Cookies oder ähnliche Technologien zur Identifizierung von Benutzer:innen oder zur Verfolgung dessen Verhaltens auf Webseiten erfordert. Im Zuge der zunehmenden Beschränkungen für Cookies in Browsern und wachsenden Datenschutzthemen wird das Cookieless-Tracking immer wichtiger.

Es gibt verschiedene Möglichkeiten zum Cookieless-Tracking, je nachdem, welche Art von Tracking Sie ersetzen möchten. Hier nennen wir Ihnen einige Beispiele:

Fingerprinting

Beim Browser Fingerprinting wird bei einem Besuch einer Webseite eine HTTP-Anfrage (Hyper Text Transfer Protocol) an einen Zielserver gesendet. Die HTTP-Anfrage beinhaltet Informationen über den genutzten Webbrowser und das Betriebssystem. Das Fingerprinting-Tracking erstellt anhand der gegebenen Informationen ein Nutzerprofil des Besuchers, anhand dieser kann der Nutzer eindeutig identifiziert werden. Je nachdem, ob ein aktives oder passives Fingerprinting-Tracking ohne Cookies betrieben wird, können mehr oder weniger Daten gesammelt werden. Beim passiven Fingerprinting-Tracking werden nur standardmäßige Informationen gesammelt, wie die IP-Adresse, den genutzten Port oder Browser. Daneben ist es noch möglich, Informationen über das Betriebssystem oder der Herkunftsseite zu erhalten. Beim aktiven Fingerprinting-Tracking werden gezielt Informationen vom Browser angefragt, welche nicht standardmäßig übermittelt werden. Hier kann mit Hilfe von bspw. JavaScript erweitere Informationen über den Browser oder den Bildschirm des Nutzers gewonnen werden.

eTags – die Cookieless Cookies

Eine weitere Möglichkeit, das Nutzerverhalten „cookieless“ zu tracken, stellen die sogenannten „eTags“ dar. Dies geschieht im Cache des jeweiligen Browers. Hierbei wird jedem Nutzer eine eindeutige ID zugewiesen. Diese wird im Cache gespeichert und nur dann gesetzt, sobald der Nutzer kein eTag besitzt. Sobald ein Nutzer eine Webseite aufruft, sendet der Browser eine Anfrage an den Webserver. Das eTag wird als eindeutige Zeichenkette erstellt und einem beliebigen Objekt der Webseite, bspw. einem Bild, zugeordnet. Wird dieses Objekt abgerufen bei der Anfrage, sendet der Server einen zusätzlichen Header, an den Browser zurück. Hat eine andere Seite dasselbe Objekt eingebunden, befindet sich dieses durch Aufrufen der vorherigen Seite bereits im Cache. Somit muss bei der neuen Anfrage des Browsers lediglich der Header hinzugefügt werden.

Tracking über die User-ID  (Login-gebunden)

Die dritte Möglichkeit, das Nutzerverhalten ohne den Einsatz von Cookies zu tracken, bietet die User-ID. Ein Problem beim klassischen Tracking von Nutzerdaten besteht darin, dass der Verlauf über mehrere Geräte hinweg nicht mehr ganz eindeutig festgestellt wird. Greift ein User über das gleiche Gerät zum ersten Mal oder nochmals auf die gleiche Webseite zu, so speichern die Cookies die Daten zuverlässig. Geschieht dies aber über mehrere Geräte hinweg, so wird es immer unzuverlässiger. Jedes Device ist einer eindeutigen ID, der sogenannten „Client-ID“ zugeordnet. Sobald ein Nutzer eine Webseite über drei verschiedene Devices (Desktop, Tablet, Mobil) aufruft, erkennt das System drei verschiedene Nutzer. Da es sich aber um den gleichen Nutzer handelt, stimmen die Daten in diesem Fall nicht.

Es erfolgt eine falsche Zuordnung des Nutzers durch die Client-ID. Während es sich bei den drei Sessions um denselben Nutzer handelt, erkennt das System anhand der Client-ID aber drei unterschiedliche Nutzer, weil bei jeder Session ein anderes Gerät verwendet wird. Die User-ID hingegen wird nach dem ersten Webseitenbesuch generiert und mit dem Login-Profil verknüpft. Die User-ID besteht aus einer zufälligen Zeichenkette, welche ein anonymes Tracking ermöglichen soll.

Der Nutzer wird somit durch die User-ID, welche bei jedem Gerät dieselbe ist, korrekt identifiziert. Dies erlaubt es nun, saubere Analysen anhand der Daten des Trackings zu erheben.

Tracking über URL-Erweiterungen

Das Conversion-Tracking ist für viele Unternehmen von großer Bedeutung, um den Ertrag von Investitionen in bezahlte Werbeanzeigen messen zu können. Man möchte zum Beispiel wissen, wie viel Umsatz im Online-Shop mit dem Klick auf eine Google-Adwords-Anzeige generiert wurde. Diese Spur lässt sich auch ohne den Einsatz von Cookies verfolgen, indem ab dem Klick auf die Anzeige eine ID in der URL „durchgeschleift“ wird. Je nach Art der Umsetzung kann dieses Tracking vollständig anonym erfolgen (Auswertung nach: Klick auf Anzeige A hat zu Umsatz X geführt) und wäre damit datenschutzrechtlich unkritisch. Bei einer Zuordnung zu dem bekannten Käufer wäre man allerdings wieder beim Personenbezug.

Tracking über mitgelieferte Daten des Nutzers

Cookieless-Tracking ist technisch auch möglich, indem Daten erfasst werden, die das Nutzergerät beim Seitenaufruf mitliefert. Hierzu gehören:

• IP-Adresse
• Referrer (Seite, von der der Nutzer gekommen ist)
• User Agent (Text-String aus Informationen über den Client, also z.B. Browserversion etc.)

Verschiedene Varianten dieses technischen Ansatzes findet man beispielsweise bei Matomo, eTracker und Mapp. Mangels aktivem Zugriff auf das Endgerät befindet man sich hier nicht im Anwendungsbereich des § 25 TTDSG. Je nachdem, ob personenbezogene Daten erfasst werden, befindet man sich jedoch im Anwendungsbereich der DSGVO oder nicht:

1. Ohne Einwilligung erlaubt, weil kein PersonenbezugSoweit ein Nutzer – oder ein Nutzertyp – nur Session basiert über einfache Parameter wie Referrer und Informationen aus dem User-Agent „verfolgt“ werden, besteht keine Bestimmbarkeit der Person und damit kein Personenbezug. Der Weg eines Nutzers oder Nutzertyps auf einer Website ist damit relativ zuverlässig und vollständig anonym auswertbar und ohne Einwilligung zulässig. Sogar das Erkennen wiederkehrender Nutzer wäre denkbar, wenn man die Daten aus dem User-Agent etwas länger vorhält. Erst das Einbeziehen der IP-Adresse würde wieder zu einem Personenbezug führen. Darüber hinaus nimmt die Wahrscheinlichkeit der Bestimmbarkeit einer Person mit dem Detailgrad der Daten zu.
2. Ohne Einwilligung erlaubt, weil überwiegendes Interesse.Im Falle eines Personenbezugs der Daten ließe die DSGVO noch die Möglichkeit offen, die Verarbeitung auf ein überwiegendes Interesse nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO zu stützen. Sofern der Detailgrad der Daten überschaubar bleibt und Daten nicht von Drittanbietern zusammengeführt werden können (wie bei Google Analytics), dürfte es hier einen gewissen Argumentationsspielraum geben. Darüber hinaus bliebe auch hier nur noch die Einwilligung als Rechtsgrundlage.

Kohorten Targeting (ausreichende Datenbasis notwendig)

Die Idee dieser Methode besteht darin, dass Nutzer nicht mehr individuell betrachtet werden, sondern in sogenannte „Kohorten“ zu mehreren tausend Nutzer zusammengefasst werden. Eine Kohorte umfasst immer eine Anzahl an Personen, die gemeinsam über einen längeren Zeitraum ein bestimmtes Ereignis erleben. Bei dieser Methode werden große Mengen von Nutzern mittels Browserdaten in Kohorten eingeteilt. So kann es sein, dass ein Nutzer in den Kohorten „Urlaub“, „Schwimmen“ und „Fernreisen“ zugeteilt ist. Mit diesen Informationen kann gezielt Werbung aller Nutzer der entsprechenden Kohorte ausgespielt werden, ohne dabei die Anonymität eines einzelnen Nutzers zu gefährden. Die Daten selbst werden dann nicht mehr von einem Cookie gesammelt, sondern von dem Browser selbst. Jeder URL-Aufruf kann dann von dem entsprechenden Algorithmus erfasst werden. Sobald genug Daten vorliegen, wird ein Nutzer zu einer entsprechenden Kohorte zugewiesen. Ein Nachteil dieser Methode besteht allerdings darin, dass man viele Datensätze braucht, um aussagekräftige Informationen gewinnen zu können.

ID-Graph Tracking

Die letzte Methode verfolgt den Ansatz, alle Daten zu sammeln, welche die Nutzer beim Surfen freiwillig hinterlassen. Das sind meistens persönliche Angaben, wie das Ausfüllen von Formularfeldern mit Namen, Anschrift und E-Mail Adresse. Diese Daten werden durch eine zufällig erzeugte ID erfasst. Man kann sich das so vorstellen, dass zu einem Nutzer ein anonymes Nutzerprofil hinterlegt wird, zudem dann noch weitere Browserdaten hinzukommen. Sollte sich dann das Surfverhalten eines Nutzers über mehrere Geräte hinweg sehr ähneln, werden diese zusammengefasst. Ob und welche Nutzerprofile zusammenpassen, wird von einer künstlichen Intelligenz (KI) entschieden.