Webanalyse ohne Cookie-Banner – Lösungsansatz für DS-GVO-konforme Erstellung von Besucherstatistiken ohne Einwilligung

Seit der EuGH-Entscheidung in Sachen Planet 49 haben die ohnehin schon stark verbreiteten Cookie-Banner weitere Verbreitung erfahren. Website-Betreiber sind naturgemäß allerdings bestrebt, oftmals als störend empfundene Cookie-Banner zu vermeiden. Für den Bereich Website-Tracking bzw. Website-Analyse bestehen durchaus Möglichkeiten, Einwilligungserfordernisse und die Pflicht zur Verwendung von Cookie-Bannern zu umschiffen.

Hintergrund

Websitebetreiber sehen sich vielfach Anforderungen aus der DS-GVO ausgesetzt, deren Ausmaß und Abgrenzung nicht selten unklar sind. Spätestens seit der EuGH-Entscheidung in Sachen Planet 49 zu Cookies ist zumindest klar, dass Cookies für Marketing- und Werbezwecke einer vorherigen, echten Einwilligung bedürfen. Eine solche Einwilligung muss unmittelbar zu Beginn des Besuchs einer Website, insbesondere bevor Tracking- und Marketing-Mechanismen in Gang gesetzt werden, erteilt werden, wobei der Websitebetreiber im Kontext der Einwilligung alle erforderlichen Informationen über die betroffene Datenverarbeitung bereitzustellen hat.

In der Praxis wird zu diesem Zweck regelmäßig auf Cookie-Banner zurückgegriffen, welche bei rechtskonformer Ausgestaltung nicht bloß „wegklickbar“ sein oder lediglich ein „OK“ vorsehen dürfen, sondern ein aktives Tätigwerden des Websitenutzers bei echter Wahlmöglichkeit erfordern. Dabei ist rein tatsächlich kritisch, dass sich Nutzer durch entsprechende Banner oftmals gestört fühlen und sich im Zweifel wohl zumeist gegen eine Einwilligung entscheiden werden, wenn sie schon eine echte Wahlmöglichkeit haben. Für Websitebetreiber ist das Ganze dann höchst kontraproduktiv: Es wird ein Cookie-Banner für Zwecke einer Einwilligung eingebunden und kaum jemand willigt ein.

In einigen Fällen besteht zwar die Möglichkeit des Einsatzes von Cookies ohne echte Einwilligung und damit naturgemäß auch ohne Cookie-Banner. Zur Rechtfertigung einer Datenverarbeitung kann insoweit auf berechtigte Interessen gemäß Art. 6 Abs. 1 Satz 1 lit. f DS-GVO zurückgegriffen werden. Diese Möglichkeit besteht jedoch nur für zur Bereitstellung eines Online-Angebots „technisch notwendige“ Cookies, zu denen Marketing- und Tracking-Cookies naturgemäß nicht zählen. Zu den technisch notwendigen Cookies gehören etwa Cookies zur Realisierung einer Warenkorbfunktion bei Online-Shops. Wo schlussendlich die Grenze zwischen technisch notwendigen und sonstigen Cookies liegt, ist derzeit nicht abschließend geklärt. Klar dürfte lediglich sein, dass jedenfalls Cookies für Werbe- und Trackingzwecke nicht zu den technisch notwendigen Cookies zählen.

Möglicher Lösungsansatz ohne Einwilligung und Cookie-Banner

Für Website-Betreiber stellt sich vor diesem Hintergrund die naheliegende Frage, ob der Einsatz von Tracking-Tools ggf. auch ohne Einwilligung bzw. ohne oftmals als störend bzw. lästig empfundene Cookie-Banner realisiert werden kann. Eine mögliche Lösung dürfte darin liegen, beim Einsatz von Tracking-Tools schlicht auf den Einsatz von Cookies sowie das Auslesen von Informationen im Endgerät des Websitebenutzers zu verzichten. Damit fiele der maßgebliche Ansatzpunkt des EuGH für die Annahme einer Einwilligungspflicht nämlich fort, hatte der EuGH im Rahmen seiner Entscheidung Planet 49 nicht zuletzt zentral auf Art. 5 Abs. 3 der Richtlinie 2002/58 abgestellt, wonach die Mitgliedstaaten dazu verpflichtet sind, sicherzustellen, dass die Speicherung von Informationen (also insbesondere das klassische Setzen von Cookies) oder der Zugriff auf Informationen, die bereits im Endgerät eines Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Nutzer auf der Grundlage von klaren und umfassenden Informationen seine Einwilligung gegeben hat.

So bietet unter anderem das verbreitete Webanalyse-Tool Matomo die Möglichkeit, ein Website-Tracking bzw. entsprechende Websiteanalysen vollständig ohne Cookies zu realisieren. Die damit verbundene Datenverarbeitung könnte dann über berechtigte Interessen gemäß Art. 6 Abs. 1 Satz 1 lit. f DS-GVO gerechtfertigt werden, womit das Erfordernis einer Einwilligung bzw. des Einsatzes eines lästigen Cookie-Banners entfiele. Der Nachteil eines „Cookie-losen“ Einsatzes von Matomo besteht darin, dass die so generierten Analysedaten u.U. weniger genau ausfallen. So wird eine normalerweise mittels Cookies vergebene Nutzer-ID nicht gespeichert und kann entsprechend für Analysezwecke nicht herangezogen werden. Ein alternatives Aufsetzen auf gekürzten IP-Adressen ist naturgemäß und im Vergleich zur Nutzung einer eindeutigen Nutzer-ID mit Unschärfen verbunden. Weiterhin kann z.B. ein Referrer nicht identifiziert werden, wenn ein Nutzer zwar erfolgreich weitergeleitet wird, der Nutzer sich aber erst bei einem späteren, erneuten Besuch der Website entscheidet, beispielsweise einen Kauf zu tätigen. Auch Statistiken wie „Tage seit letztem Besuch“ können darunter leiden.

Umsetzung mit Matomo

Für die technische Umsetzung eines einwilligungsfreien Tracking-Verfahrens mittels Matomo bei möglichst datenschutzfreundlicher Grundeinstellung erscheint folgende Verfahrensweise zielführend:

Es werden lediglich zwei Bytes der IP-Adresse des Nutzers gespeichert (durch die Maskierung von 2 Bytes der IP-Adresse ist eine Zuordnung dieser zu einem aufrufenden Rechner nicht möglich), daneben die aufgerufene Website und Unterseiten, die von dort aus aufgerufen werden. Weiterhin werden Verweildauer und Häufigkeit des Aufrufs der Website und die Website, von der der Nutzer auf die aufgerufene Website gelangt ist, aufgezeichnet, sog. Referrer. Matomo wird ausschließlich auf den Servern des Website-Anbieters betrieben, eine Speicherung findet nur dort statt.

Die in der Grundeinstellung von Matomo gesetzten Cookies werden bei der hier vorgeschlagenen Nutzungsvariante nicht gesetzt. Um diese Matomo-Cookies zu deaktivieren, ist eine kleinere Änderung im Matomo Javascript Code vorzunehmen. Lediglich im Falle eines Opt-Out (dazu nachfolgend) wird ein (vorübergehendes) SessionID Cookie verwendet, damit die genannten Daten nicht zu Analysezwecken gespeichert werden. Ein solches Opt-Out-Cookie wäre technisch notwendig und könnte über Art. 6 Abs. 1 Satz 1 lit. f DS-GVO gerechtfertigt werden.

Auch wenn bei diesen Matomo-Einstellungen eine Verarbeitung von personenbezogenen Daten praktisch ausgeschlossen ist, dürfte es gleichwohl und nicht zuletzt unter Transparenzgesichtspunkten zielführend sein, den Einsatz von Matomo in die Datenschutzerklärung der Website aufzunehmen. Dem Nutzer sollte durchaus vor Augen geführt werden, dass eine Datenverarbeitung zu Analysezwecken erfolgt, allerdings bewusst auf den Einsatz von Cookies verzichtet wird. Daneben sollte, wiederum höchst vorsorglich, die für Matomo übliche Opt-Out-Möglichkeit geboten werden. Denn die berechtigten Interessen des Nutzers sind trotz des Verzichts auf Cookies nicht „aus der Welt“, weshalb die Selbstbestimmung über die Aufzeichnung seines Besuchs erhalten bleiben sollte.

Fazit

Wer gewisse Unschärfen bei der Webanalyse in Kauf nehmen kann und die Möglichkeiten aktueller Auswertungstools nicht bis an die Grenzen ausreizen möchte, sollte mit der dargestellten Methode auf eine Einwilligung und – im Übrigen nur die Nutzung technisch erforderlicher Cookies vorausgesetzt – auf einen Cookie-Banner verzichten können. Angesichts der Tatsache, dass viele Nutzer eine vorherige Einwilligung ohnehin nicht erteilen werden, steht dem Websitebetreiber damit eine Möglichkeit offen, seinem Besucher einen „störungsfreien“ Websitebesuch zu ermöglichen und gleichwohl – wenn ggf. auch eingeschränkte – Analysedaten zu sammeln und auszuwerten.

Zurück
Dr. Sascha Vander, LL.M.

Dr. Sascha Vander, LL.M.

Mail: s.vander@cbh.de
Fon: +49 221 95190-60
ZUM PROFIL