Das neue TTDSG: Die Auswirkungen von AB-Testing über Affiliate-Marketing bis Tracking

Laut der Consent-Studie des Web-Analytics-Spezialisten etracker erteilen durchschnittlich nur 24 Prozent der Nutzer eine Einwilligung in das cookie-basierte Tracking (Untersucht wurden im Zeitraum 01.03.2021 bis 31.07.2021 rund 300 Millionen Besucher-Sessions von 250 Websites mit Cookie-Dialog und Cookie-Aktivierung nach der Einwilligung). Ist das Consent-Banner-Gestaltung rechtskonform gestaltet - also ohne illegales Nudging - stimmen nur noch 14 Prozent zu. Das heißt: Mehr als 85 Prozent aller Besucher-Sessions lassen sich mit einer Einwilligung, wie sie rechtlich vorgeschrieben ist, nicht erfassen. Mehr noch: Rechtskonform eingesetzte Consent-Banner erhöhen sogar die Bounce Rate um rund 6 Prozent. Eine erschwerte Ablehnungsmöglichkeit mit Nudging, indem zum Beispiel mehrere Klicks für die Ablehnung erforderlich sind, steigert die Bounce Rate sogar auf 16 Prozent.

Consent-Banner: Nutzer-Schreck und Conversion-Killer

Und als wäre dies nicht kompliziert genug, führt der Einsatz von Consent-Bannern außerdem zu einer Verzerrung von Traffic-Analysen, wenn diese nur auf Einwilligungen basieren. Je nach Kampagnenherkunft ergeben sich nämlich völlig unterschiedliche Einwilligungsraten. Die Stichprobe, die Online-Marketern für ihre Kampagnen-Analyse zur Verfügung steht, ist demnach nicht nur geringer als ohne Consent-Pflicht, sondern führt auch dazu, dass Kampagnenerfolge über- oder unterschätzt werden. Eine falsche Budgetierung ist die Folge. In Anbetracht der Wirkung, die Consent-Bannern auf Online-Marketing und Nutzerverhalten haben, verspricht das TTDSG tatsächlich Erleichterung.

Was ändert sich mit dem TTDSG?

Nach EU-Datenschutzgrundverordnung (DSGVO), Cookie-Urteilen und Privacy-Shield-Aus, ist zum 1. Dezember 2021 das TTDSG hinzugekommen und schafft Ordnung im Cookie-Consent-Chaos. Das TTDSG passt das Telekommunikationsgesetz (TKG) und Telemediengesetz (TMG) an die DSGVO an. Auch die Vorgaben der ePrivacy-Richtlinie von 2009 werden dadurch endlich in einem deutschen Gesetz verankert. Somit bringt das Telekommunikation-Telemedien-Datenschutz-Gesetz bestehende Regelungen zum Thema Cookies und Tracking in Gesetzesform. Zudem umfasst der Telemedien-Begriff nun jegliche Online-Dienste und betrifft folglich alle Betreiber von Websites, Online-Shops und Apps. Besonders relevant für die Webanalyse ist § 25 TTDSG. Demzufolge müssen Betreiber von jedem Besucher eine aktive und informierte Einwilligung einholen, wenn sie auf ihrer Websites Cookies oder vergleichbare Technologien einsetzen. Gleiches gilt, wenn Betreiber, mit dem Zweck einen Fingerprint zu bilden, technische Daten aus dem Endgerät des Nutzers auslesen. Nur, wenn das Speichern von Daten auf den Nutzer-Endgeräten oder ein Auslesen solcher unbedingt erforderlich ist, entfällt die Einwilligungspflicht für Cookies & Co.

Consent-Pflicht entfällt - aber nur für "unbedingt erforderliche" Cookies

Unbedingt erforderlich bezeichnet Cookies, die nötig sind, um einen ausdrücklich vom Nutzer gewünschten Dienst zu gewährleisten. Hierzu gehören etwa Authentifizierungs-Cookies, Sicherheits-Cookies sowie temporäre Nutzer-Eingabe-Cookies. Anders sieht es beim Tag Management aus: Dieses würde das Setzen von Cookies nicht rechtfertigen. Das gilt auch für A/B-Testing oder Retargeting, denen oftmals zwar ein berechtigtes, aber dennoch nur einseitiges Interesse, nämlich das des Website-Betreibers, zugrunde liegt. Aus der für die Bewertung der "Erforderlichkeit" entscheidenden Nutzersicht sind diese Systeme für den Betrieb einer Website eben nicht erforderlich.

Cookies: Einwilligungspflicht oder nicht?

CONSENT-FREI, WEIL UNBEDINGT ERFORDERLICH: Authentifizierungs-Cookies für Anmeldungen Nutzer-Eingabe-Cookies zum temporären Speichern von Formular-Einträgen oder Warenkorb-Inhalten Load Balancing- und Sicherheits-Cookies zur Registrierung von Fehlanmeldungen Kurzlebige Cookies zur Speicherung von Nutzer-Präferenzen wie Spracheinstellungen Session-Cookies für die Wiedergabe von Audio- oder Videoinhalten, die der Nutzer angefordert hat Sharing-Cookies, die dazu dienen, dass eingeloggte Nutzer Inhalte in den Social Media teilen können, die aber ausdrücklich nicht zum Tracking verwendet werden dürfen

CONSENT-PFLICHTIG, WEIL NICHT ERFORDERLICH: Tag Management A/B-Testing Personalisierung von Inhalten Affiliate Marketing Retargeting

Unklar ist nach wie vor der Einsatz von Web-Analyse-Cookies für die Reichweitenmessung. Zwar bezeichneten die Experten der öffentlichen TTDSG-Anhörung diese als "unbedingt erforderlich". Von den deutschen Aufsichtsbehörden gibt es dazu jedoch noch keine Bestätigung, welche die diesbezüglich bestehenden Rechtsrisiken ausschließen würde. Folglich ist aktuell noch davon abzuraten. Trotzdem macht das TTDSG unmissverständlich deutlich, dass Web-Analyse nicht pauschal einwilligungspflichtig ist.

3 Tipps für rechtskonformes Tracking

Aufgrund der neuen Gesetzeslage und den Erkenntnissen aus der eingangs genannten Consent-Studie, sollten Unternehmen gut überlegen, ob sie weiterhin Einwilligungen einzuholen, obwohl diese unter Umständen gar nicht notwendig wären.

Tipp 1: Unternehmen können ihre Web-Analyse auf Basis einer cookie-less Tracking-Lösung durchführen.

Interaktionen auf einer Website erfassen ist auch ohne Cookies möglich - von Klick-Pfaden über PDF-Downloads bis hin zur Scroll-Tiefe stehen alle gewohnten Analysen auch cookie-los und ohne Programmieraufwand zur Verfügung. Laut der Consent-Studie braucht es für über 70 Prozent der Websites ohnehin nicht zwingend ein cookie-basiertes Tracking, da sich ein Großteil der Customer Journeys auch ohne Cookies vollständig und korrekt attribuieren lässt.

Cookies: Einwilligungspflicht oder nicht?

Consent-frei zu tracken ist nur möglich, wenn … ... das Unternehmen mit dem Anbieter des Tracking-Tools ein Auftragsverarbeitungsvertrag schließt, der den Anforderungen der DSGVO genügt. ... der Anbieter die Daten NICHT für eigene Zwecke nutzt und sie weder über verschiedene Websites verknüpft noch weiter anreichert. ... keine Cookies oder andere Elemente zur Nutzerprofilbildung durch den Anbieter zum Einsatz kommen. ... das Unternehmen die Opt-out-Möglichkeit in die Datenschutzhinweisen integriert. ... die Datenverarbeitung ausschließlich in der EU erfolgt. ... die IP-Anonymisierung gewährleistet ist. ... der Tracking-Anbieter ein im Browser eingestelltes Do-Not-Track als Opt-out verarbeitet Nur wenn alle Bedingungen erfüllt sind, ist Tracking ohne Einwilligung möglich.

Tipp 2: Die Cookie-Steuerung sollten Unternehmen dem Tracking-Code nicht der Consent-Management-Plattform (CMP) überlassen.

Auf das Einholen einer Einwilligung können Unternehmen verzichten, wenn die Tracking-Lösung bereits im Standard keine Cookies setzt und alle oben genannten Kriterien erfüllt sind. In dem Fall können Online-Marketer von einer Einbindung des Tracking Codes in eine CMP absehen. Ansonsten würden auch nur diejenigen Nutzer getrackt, die zugestimmt haben. Geben Nutzer ihr Okay für ein cookie-basiertes Tracking, wird der Tracking-Code entsprechend über die CMP angewiesen und verwendet erst dann Cookies zum Tracken. Doch Vorsicht: Wer den Tracking Codes ins Tag Management integriert, hebt damit die Consent-Freiheit auf und muss wieder die Einwilligung der Nutzer einholen.

Tipp 3: Wenn Consent-Banner, dann müssen Unternehmen diese rechtskonform gestalten.

Wenn Consent-Banner zum Einsatz kommen, darf kein Nudging erfolgen. Consent-Banner zum Einholen der Einwilligung zugunsten des trackenden Unternehmens zu gestalten, ist unzulässig. Nutzer müssen auf erster Ebene neben der Möglichkeit zur Zustimmung auch eine optisch gleichwertige Option haben, jegliche Cookies (außer den technisch notwendigen) abzulehnen.

Fazit: Tracking geht auch ohne Einwilligung

Mit dem TTDSG manifestiert sich die lange vorherrschende Rechtsmeinung in einem sanktionierbaren Gesetz. Das TTDSG legt klar fest: Cookies dürfen nicht ohne Einwilligung gesetzt werden, wenn sie nur dem Vorteil des Betreibers dienen. Aber ein cookie-freies Tracking ist unter bestimmten Voraussetzungen durchaus möglich. Ein Verstoß gegen die neuen Cookie-Regelungen des TTDSG kann Geldbußen von bis zu 300.000 Euro nach sich ziehen - zusätzlich zu möglichen Bußgeldern und Strafen, die sich aus Verstößen gegen die DSGVO ergeben. Unternehmen, die Bußgeldern entgehen wollen, sollten zeitnah auf eine TTDSG-konforme Web-Analyse-Lösung umsteigen.

+++ Disclaimer +++

Diese Ausführungen sind eine fachliche Auseinandersetzung und Zusammenfassung des Themas. Sie stellen keine Rechtsberatung dar und können keine individuelle Rechtsberatung ersetzen.

---

iBusiness-Autor Olaf Brandt ist Geschäftsführer der etracker GmbH    , die auf für datenschutzkonforme Web-Analyse und Conversion-Optimierung spezialisiert ist.