Worum geht's?
Cookies waren lange die beliebteste Technologie für das Tracking von Nutzerdaten auf Websites. Angesichts strengerer Datenschutzregeln und dem Wegfall von Third-Party-Cookies sind diese Zeiten jedoch vorbei. Immer mehr Unternehmen und Online-Marketer suchen nach Alternativen zum klassischen Cookie-Tracking – und spätestens seit der Einführung der DSGVO ist der Begriff "Cookieless Tracking" in aller Munde. Was Cookieless Tracking ist, wie es funktioniert und welche Möglichkeiten es gibt, das Verhalten Ihrer Nutzer ohne Cookies zu analysieren, lesen Sie in diesem Artikel.
1. Was ist Cookieless Tracking?
Cookieless Tracking ist eine Trackingmethode, mit der sich das Surfverhalten von Nutzern im Internet ohne den Einsatz von Cookies analysieren und auswerten lässt. Bei den verschiedenen Arten werden unterschiedliche Technologien eingesetzt, um Nutzer wiederzuerkennen. All diesen Tracking-Methoden ist aber gemein, dass sie Websitebesucher ohne Third Party Cookies tracken.
Im Gegensatz zum klassischen clientseitigen Cookie-Tracking läuft die Datensammlung und -auswertung nicht über den Browser, sondern über den Internetserver. Daher spricht man beim Cookieless Tracking auch vom serverseitigen Tracking oder Server Side Tracking.
Zum Verständnis: Ruft ein Nutzer eine Website auf, platziert der Browser beim clientseitigen Tracking ein Cookie auf dessen Rechner. In diesem Cookie sind Daten und Informationen gespeichert, die es der Website erlauben, den Nutzer wiederzuerkennen, sobald dieser die Seite erneut abruft. Da Cookies – wenn sie nicht gelöscht werden – im Browser gespeichert bleiben, lässt sich das Surfverhalten von Nutzern über längere Zeiträume hinweg nachverfolgen.
MEHR LESEN
Was Cookies überhaupt sind, erklären auf unserer Übersichtsseite zum Thema „Cookies auf Webseiten: Alles Wichtige zu Definition, Cookie-Arten, Funktion & Nutzereinwilligung“.
Es gibt verschiedene Arten von Cookies. Nicht alle dienen der Web-Analyse, einige sind etwa für die technische Funktion einer Website zwingend erforderlich. Daher geht es in der Debatte um Tracking und Datenschutz auch nicht um First Party Cookies, sondern um Third Party Cookies. Das Setzen dieser Werbe- und Tracking-Cookies durch Drittanbieter wie Werbetreibende wird bereits seit geraumer Zeit von Datenschützern kritisiert. Der Grund: Es werden dabei nicht nur Nutzerdaten auf der einzelnen Website, sondern über mehrere Seiten hinweg und oftmals weitestgehend unkontrolliert gesammelt.
Daneben blockieren Browser wie Safari und Firefox schon seit einigen Jahren Third Party Cookies per Standardeinstellung komplett, und auch andere Webbrowser ziehen nach. Hinzu kommen Ad-Blocker und Tracking-Blocker, die die Installation von Third Party Cookies ebenfalls weitgehend verhindern.
Für Unternehmen und Online-Marketer bedeutet das einen tiefgreifenden Einschnitt für das eigene Online-Marketing – denn die Auswertung von Nutzerdaten ist für den Erfolg vieler Businesses unerlässlich, egal ob es um Affiliate Marketing, Social Media Ads, Conversion Tracking mit Google Ads oder Retargeting geht. Doch mittlerweile können die gewonnenen Daten häufig kaum mehr für verlässliche Nutzeranalysen herangezogen werden. Der Trend geht somit weg vom Cookie-Tracking, hin zu einer Zukunft eines Tracking ohne Cookies.
2. Welche Formen von Cookieless Tracking gibt es und wie funktionieren sie?
Während sich die Diskussionen um Cookies und Datenschutz verschärfen, setzen mehr und mehr Unternehmen auf alternative Tracking-Methoden. Welche Technologien es jenseits von Cookies gibt und wie diese funktionieren, lesen Sie jetzt.
Fingerprinting
Eine mögliche Methode, das Surfverhalten von Nutzern zu tracken, ist das Fingerprinting. Beim Fingerprint-Tracking werden die Daten nicht über im Browser gesetzte Cookies erhoben, sondern über spezifische Hardware und Software-Merkmale. Die Idee: Jeder Nutzer geht mit einem bestimmten Endgerät (Device) ins Netz – ob Smartphone, Laptop, Rechner oder Tablet. Jedes dieser Geräte besitzt bestimmte Einstellungen und Eigenschaften, wie zum Beispiel:
- Modell und Marke
- Betriebssystem
- Verwendeter Browser und Browserversion
- Bildschirmauflösung
- Zeitzone
- Spracheinstellungen
- Akkustand
Aus all diesen Merkmalen entsteht in der Kombination ein einzigartiger, digitaler Fingerabdruck, anhand dessen der Internetnutzer wiedererkannt werden kann: Der Device-Fingerprint.
Unterteilen lässt sich die Web-Analyse per Fingerprinting nochmals in passives und aktives Fingerprint-Tracking. Beim Passiven Fingerprinting werden ausschließlich standardmäßige Informationen wie z. B. IP-Adresse, Browser und Spracheinstellungen gesammelt – all das, was auch ein First Party Cookie tun würde. Beim aktiven Fingerprinting werden hingegen die Eigenschaften des Geräts gezielt vom Browser angefragt. Somit lassen sich beispielsweise auch Kenntnisse über Bildschirmfarbe und -auflösung, Zeitzone und andere Browsereinstellungen des Nutzers gewinnen.
eTags
Eine andere Möglichkeit des Cookieless Trackings sind sogenannte eTags. Ein eTag (entity Tag) ist eine Hinweis-Datei, die einem Objekt – etwa einem Bild, einem Text oder einer anderen Datei – zugeordnet wird. Normalerweise dienen eTags dazu, den Datenverkehr zu erleichtern. Jeder Webbrowser arbeitet mit Zwischenspeichern (Caches). In diesen kann der Browser Teile einer Website ablegen, z. B. ein großes Bild. Wird die Website durch den Nutzer erneut aufgerufen, lädt der Browser das Bild dann aus dem Cache, wodurch durch die Seite schneller geladen kann.
Der eTag zeigt dabei an, welche Dateien bereits im Zwischenspeicher liegen und welche nicht. Der jeweilige eTag ist aber auch so eindeutig, dass sich ein User damit identifizieren lässt – und zwar so lange, bis der Nutzer seinen Browser-Cache leert.
ÜBRIGENS
Die Methodik des eTag-Trackings entspricht der eines Cookies, mit dem Unterschied, dass Nutzer das Tracking weder durch Ad-Blocker noch durch die Verweigerung in den Cookie Consent verhindern können.
User-ID
Das Tracking via User-ID ermöglicht geräteübergreifendes Tracking ohne den Einsatz von Cookies. Voraussetzung ist eine Website mit einem Login-Bereich – denn ohne Anmeldung kann weder eine User-ID erzeugt noch ein Nutzer einer User-ID zugeordnet werden. Die User-ID setzt sich aus einer anonymen Zeichenkette zusammen, die generiert wird, sobald ein Nutzer auf der Website ein Nutzerkonto anlegt. Ist sie erzeugt, wird die ID mit integriertem Tracking-Code mit dem Login-Account verknüpft, der sie generiert hat.
Sobald der Nutzer sich erneut in seinem Nutzerkonto einloggt, werden all seine Aktivitäten seiner User-ID zugeordnet – und zwar unabhängig davon, mit welchem Gerät er sich anmeldet. Die Interaktionen werden so lange aufgezeichnet, wie der Nutzer in dem Login-Bereich angemeldet ist.
Cookieless Tracking über User-IDs hat für Marketer und Unternehmen nicht nur den Vorteil, dass es über mehrere Geräte hinweg angewendet werden knn, sondern es ist zudem auch sehr langlebig: Jede User-ID wird einem konkreten Nutzer dauerhaft zugewiesen und besteht über mehrere Sitzungen hinweg, sofern sich der User nicht ausloggt.
Für Onlineshops und Websiten mit einem Mitgliederbereich kann das Webtracking via User-ID besonders interessant sein, da sich dadurch die Customer Journey über einen längeren Zeitraum, zu unterschiedlichen Zeitpunkten und trotz verschiedener Geräte nachverfolgen lässt.
ID-Graph
Cookieless Tracking mittels ID-Graph (Identity Graph) verfolgt das Ziel, die Daten zu sammeln, die User beim Surfen im Internet "freiwillig“ hinterlassen, etwa wenn sie digitale Formularfelder ausfüllen oder sich für einen Newsletter anmelden.
Zu diesen Informationen gehören beispielsweise:
- E-Mail-Adresse
- Anschrift
- Account-Nutzername
- Geräte-ID
- IP-Adresse
- Name
All diese dezentralen Daten aus unterschiedlichen Anwendungen und Systemen werden in einer zentralen Datenbank zusammengetragen und in einem Profil verflochten. Ob und welche Nutzerprofile zusammenpassen, entscheidet eine Künstliche Intelligenz (KI).
3. Ist Cookieless Tracking ohne Nutzereinwilligung möglich?
Wer seine Nutzer mit Cookies tracken will, darf das nicht einfach so: Die ePrivacy-Richtlinie auf EU-Ebene und das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG (ehemals TTDSG)) erfordern eine ausdrückliche und freiwillige Zustimmung der Nutzer. Webseitenbesucher müssen die Möglichkeit erhalten, die Verwendung von Tracking-Cookies abzulehnen – und weil diese einen eher schlechten Ruf genießen, machen das viele User auch.
Die Zeit verlässlicher Kundenanalysen mittels Cookie-Tracking ohne Einwilligung ist vorbei – doch wie sieht es aus mit Cookieless Tracking: Brauchen Seitenbetreiber dafür auch eine Nutzereinwilligung oder geht es auch ohne?
Zunächst sei einmal klarzustellen: Cookieless Tracking und Consentless Tracking ist nicht das Gleiche. Um Nutzer ohne vorherige Zustimmung tracken zu dürfen, braucht es mehr als nur den Verzicht auf Cookies – und zwar ein berechtigtes Interesse gemäß Artikel 6 Absatz 1 DSGVO. Konkret stellt sich dabei die Frage, was mit den erhobenen Daten beim Tracken passiert und welche Arten von Daten wo verarbeitet werden.
- Sie haben mit dem Tracking-Anbieter einen DSGVO-konformen Auftragsverarbeitungsvertrag
- Die gewonnenen Nutzerdaten werden weder weitergegeben noch durch den Verarbeiter selbst für eigene Zwecke genutzt.
- Es erfolgt keine Datenübertragung in unsichere Drittländer wie die USA.
- Die Tracking-Daten werden nicht über Websites verschiedener Anbieter verknüpft und der Nutzer niemals persönlich identifiziert.
- Es werden keine Cookies und ähnliche Technologien eingesetzt, mit denen sich ein Nutzer dauerhaft wiedererkennen lässt.
- Der Nutzer kann dem Tracking widersprechen (Tracking-Opt-out). Das Tracking selbst wird transparent in der Datenschutzerklärung erklärt.
- IP-Anonymisierung und Do-Not-Track-Einstellungen im Browser werden automatisch berücksichtigt.
- Der Tracking-Anbieter kann das Zutreffen der genannten Punkte durch ein unabhängiges Zertifikat nachweisen.
An das berechtigte Interesse sind hohe Auflagen geknüpft, die durch Sie als Seitenbetreiber selbst zu prüfen sind. Grundlegend gilt, dass ein Tracking ohne Einwilligung nur dann möglich ist, wenn die Interessen des Nutzers nicht überwiegen. Sobald personenbezogene Daten erhoben und verarbeitet werden – wie etwa beim User-ID oder ID-Graph Tracking – brauchen Sie die Einwilligung Ihrer Nutzer, auch wenn keine Cookies zum Einsatz kommen.
PRAXIS-TIPP
Wer Tracking-Tools von US-Anbietern – allen voran Google Analytics (Link zu weiterführendem Beitrag auf eRecht24) – verwenden möchte, braucht die Einwilligung seiner Nutzer. Möchten Sie auf die Nutzereinwilligung verzichten, bleibt nur die Möglichkeit, auf europäische Anbieter auszuweichen. Die genannten Punkte für das berechtigte Interesse gemäß DSGVO müssen unabhängig davon erfüllt sein, wenn Sie Ihre Nutzer ohne Zustimmung tracken wollen.
4. Cookieless Tracking in Google Analytics 4?
Nicht erst seit der Entscheidung zum Thema Tracking und Datenschutz der österreichischen Datenschutzbehörde steht Google Analytics in der Kritik. Doch auch wenn es mittlerweile empfehlenswerte Alternativen gibt, bleibt Google Analytics mit einem geschätzten Marktanteil von über 80 Prozent der Platzhirsch auf dem Tracking-Markt.
Der Umbruch beim Tracking geht natürlich auch nicht an den Nutzern von Google Analytics vorbei. Viele fragen sich nach der Einschränkung von Third Party Cookies: Ist ein cookie-loses Tracking mit Google Analytics überhaupt möglich?
Google Analytics 4 ist auf eine Zukunft des Cookieless Trackings vorbereitet. Das Fehlen von Cookies soll Künstliche Intelligenz ausgleichen. Im Fokus steht vor allem das Tracking über User- und Geräte-IDs – und somit der Nutzer selbst, nicht mehr wie bisher die Sitzung. Dennoch setzt auch das neue GA4 keine neuen Maßstäbe in Sachen Datenschutz. Zwar sind etwa die IP-Adressen der Nutzer nun standardmäßig anonymisiert – doch die personenbezogenen Daten werden noch immer in die USA übertragen.
Wer GA4 für die Analyse und Auswertung des Surfverhaltens seiner Nutzer verwenden möchte, benötigt somit weiterhin deren Zustimmung. Und zwar unabhängig davon, ob die User mit oder ohne Cookies getrackt werden sollen.
Neben der erforderlichen Nutzereinwilligung müssen Sie das Tracking-Tool in Ihre Datenschutzerklärung aufnehmen. Informieren Sie Ihre User in dieser darüber, welche Daten Google Analytics aufzeichnet und was mit ihnen passiert. Eine kostenfreie DSGVO-konforme Datenschutzerklärung erstellen Sie mit wenigen Klicks und ganz nach Ihren Anforderunghen mit dem eRecht24 Datenschutz Generator.
Erstellen Sie jetzt eine rechtssichere Datenschutzerklärung mit dem eRecht24 Datenschutz Generator
- Einfache Integration in Ihre Website
- Anwaltlich geprüfter Generator
- Für Sie kostenfrei in wenigen Schritten
5. Cookieless Tracking auf Ihrer Webseite: So geht’s!
Cookies sind vom Aussterben bedroht – Tracking ohne Cookies scheint die Zukunft. Wenn Sie Ihre Website für Cookieless Tracking fit machen wollen, haben wir Ihnen in der folgenden Checkliste sechs Punkte zusammengefasst, die Sie dabei stets im Blick haben sollten:
- Verwenden Sie Alternativen: Tracking via User-ID, ID-Graph, eTags oder Fingerprinting macht es möglich, das Nutzerverhalten Ihrer Webseitenbesucher ohne Cookies zu tracken. Nicht jede Methode ist die richtige für jede Website – informieren Sie sich, welches nicht-cookie basierte Tracking sich für Ihre Ziele am besten eignet.
- Vergessen Sie nicht die Einwilligung: Auch wenn Sie keine Cookies verwenden, brauchen Sie die Zustimmung Ihrer Nutzer, bevor Sie deren Daten sammeln – es sei denn, Sie können ein berechtigtes Interesse gemäß DSGVO nachweisen.
- DSGVO-konforme Einholung: Benötigen Sie eine Nutzereinwilligung, holen Sie sich diese datenschutzkonform ein. Das kann durch das Einblenden eines Opt-in-Banners geschehen, bei dem die Nutzer aktiv auf "Zustimmen" klicken müssen, um das Tracking zu erlauben. Die Zustimmung sollte nicht bereits voreingestellt sein und Ihre Nutzer müssen die Möglichkeit erhalten, dem Tracking zu widersprechen.
- Privatsphäre schützen: Stellen Sie sicher, dass Sie die gesammelten Nutzerdaten ausschließlich zu legitimen Zwecken verwenden. Treffen Sie geeignete Sicherheitsmaßnahmen, um einen unbefugten Datenzugriff zu verhindern.
- Alternative zu Google Analytics: Ein DSGVO-konformer Einsatz von Google Analytics ist nur schwer möglich. Möchten Sie auf der sicheren Seite sein, sollten Sie über einen Umstieg auf eine Alternative wie Matomo oder eTracker nachdenken.
- Datenschutzerklärung: Alle Tracking-Aktivitäten, die personenbezogene Daten verarbeiten, gehören in Ihre Datenschutzerklärung – ob mit oder ohne Cookies. Selbst wenn keine Einwilligung erforderlich ist, müssen Sie Ihre Nutzer transparent über das Tracking informieren, um Ihren Informationspflichten nachzukommen.
6. FAQ: Häufige Fragen zum Cookieless Tracking