Was ist Tracking?

Oft wird von der Problematik von Tracking gesprochen, insbesondere in Verbindung mit der Datenschutzgrundverordnung (DSGVO). Was steckt hinter diesem Begriff?

Unter Tracking versteht man das Identifizieren und Nachverfolgen einer Person, die sich im Internet bewegt (Webseiten besucht oder Apps nutzt oder auch einfach nur das Smartphone nutzt).

Tracking hat zum Ziel, einen Nutzer zu einer Person zu machen, deren Vorlieben und Verhalten zu analysieren und idealerweise vorherzusagen und zu beeinflussen.

Das folgende Schaubild zeigt das Prinzip des Trackings:

Tracking erklärt
Tracking im Internet. (C) IT Logic GmbH. Verwendung nach voriger Anfrage erlaubt

Im Bild zu erkennen sind beispielhaft drei Webseiten und eine App, die ein Nutzer (wie Sie) an verschiedenen Wochentagen aufruft. Zusätzlich dazu können Sie sich die Nutzung Ihres Smartphones denken, das ebenfalls als Tracker fungiert.

Bei jedem Aufruf einer Webseite oder App werden zahlreiche Verbindungsdaten von Ihrem Endgerät zur genutzten Webseite oder App übertragen. Dies ist rechts im Bild dargestellt.

Auf den besuchten Webseiten und Apps wird Ihr Verhalten im Internet mittels Tools, Scripten und Plugins wie Google Analytics, Google Schriftarten, YouTube Videos sowie Werbe-Anzeigen nachverfolgt.

Alle diese Tools und Scripte stammen von Google. Man kann das Beispiel auch auf andere Firmen wie Facebook, Amazon oder Instagram übertragen.

Letztendlich landen alle Ihre Bewegungsdaten in einer riesigen Datenbank, hier im Beispiel, der Datenbank der Firma Google. Diese weiß nun sehr viel über Sie als Person und kann mit hoher Wahrscheinlichkeit vorhersagen treffen über

  • Geschlecht
  • Familienstand
  • politische Gesinnung
  • sexuelle Orientierung
  • sexuelle Vorlieben
  • Alter
  • Online-Affinität
  • Beeinflussbarkeit
  • Kaufverhalten
  • usw.

von Ihnen.

Damit ist es Google möglich, Ihnen zielgerichtet Werbung einzublenden und damit viel Geld zu verdienen. Im Bild oben ist dargestellt, wie Sie am Dienstag einen Web Shop aufrufen und ein blaues Kleid in den Warenkorb legen. Das blaue Kleid ist für Ihre Frau, weil Sie bald einen Opernball besuchen möchten.

Das Kleid kaufen Sie jedoch nicht, weil Sie noch nicht ganz sicher sind, ob es dieses werden soll. Vielleicht ist Ihnen auch gerade nicht danach, 200 Euro auszugeben.

Bevor Sie am Sonntag eine ganz andere Webseite besuchen, hat Google von Ihnen schon so viel erfahren, dass mit einer hohen Wahrscheinlichkeit über Sie gesagt werden kann:

  • Sie sind männlich
  • Sie sind verheiratet
  • Sie besuchen demnächst einen Opernball
  • Sie wollten ein blaues Kleid (für Ihre Frau) kaufen, haben es aber nicht getan

Schlußendlich wird Ihnen am Sonntag auf einer beliebigen Webseite, die ans Google Werbenetzwerk angebunden ist, eine Anzeige eingespielt. Darauf ist das von Ihnen schon favorisierte blaue Kleid für 200 Euro zu sehen. Dieses Wiederpräsentieren von zuvor bekannten Produkten heißt Retargeting.

Der Aha-Effekt, den das Retargeting auslöst, sorgt für hohe Konvertierungsraten und verleitet somit eher zum Verkauf als eine völlig ungerichtete Werbeanzeige, wie sie etwa im Fernsehen oder in einer Zeitschrift verwendet wird.

Tracking nur noch nach Einwilligung erlaubt

Mit Urteil vom 01.10.2019 hat der EuGH dem Tracking von Nutzeraktivitäten sehr enge Genzen gesetzt. Im Urteil geht es vorranging um Cookies. Wie in obiger Abbildung zu sehen ist, sind diese aber nicht ausschlaggebend für das Verfolgen eines Nutzers. Tracking ist seit dem 01.10.2019 rechtssicher nur noch nach voriger Einwilligung durch den Nutzer möglich.

Die Datenschutzkonferenz von Bund und Ländern (DSK) hat dies bereits einige Monate zuvor, am 04.05.2019, als Behördenmeinung geäußert (als Beispiel nennt die DSK einen Pixel für das Tracking von Nutzeraktivitäten:

Eine Abwägung der o.g. Interessen im konkreten Einzelfall ergibt, dass die Interessen der betroffenen Personen die Interessen des Unternehmens überwiegen und folglich die Einbindung des Pixels nicht gem. Art. 6 Abs. 1 lit. f) DSGVO zulässig ist. Als Rechtsgrundlage käme dann –wenn überhaupt –nur die Einwilligung in Betracht.

Quelle: https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf

Dieses Nutzerverfolgen ist übrigens auch mittels des Browser Fingerprints möglich, selbst wenn keine Cookies gesetzt oder ausgelesen werden.

Populäre Beispiele für Tracker sind:

  • Google Analytics
  • Facebook Pixel
  • Social Media Plugins von Facebook, Linkedin, XING, Twitter, Instagram, Pinterest
  • Extern eingebundene Google Schriften (in Verbindung mit weiteren Google-Tools)
  • YouTube-Videos (ohne erweiterte Datenschutzeinstellungen – oder auch mit, weil YouTube zu Google gehört)
  • Das Android Betriebssystem (über Ihre Netzwerkadresse und/oder Ihr GPS-Signal und/oder über Ihre Aktivitäten auf dem Smartphone trackt es Sie unentwegt)
  • Die Social Media Plattform von Facebook, sofern Sie angemeldet sind, während Sie sich im Internet bewegen
  • Die Suchmaschine von Google, sofern Sie angemeldet sind, während Sie sich im Internet bewegen
  • Die Suchmaschine von Google an sich, denn Sie verwendet den Tracker namens DoubleClick

Analytics versus Tracking

Im Unterschied zum Tracking steht das reine Analysieren von Besuchern einer Webseite. Dies wird auch – etwas mißverständlich – als Analytics bezeichnet. Mißverständlich weil der bekannteste Tracker nämlich Google Analytics heißt, aber kein harmloses Analytics betreibt, sondern Tracking.

Tracking versus Analytics. (C) IT Logic GmbH. Verwendung nach voriger Anfrage erlaubt

Harmlose Analyse-Werkzeuge sind etwa:

  • Besucherzähler, die lokal eingebunden sind
  • WP Statistics (für WordPress)
  • Matomo (ehemals Piwik) als lokale Version
  • eTracker
Analytics DSGVO-konform
Ohne Einwilligung erlaubt sind rein statistische Auswertungen, wie etwa das Zählen von Besuchern. Dafür eignen sich lokal installierte Tools wie Matomo oder eigene Entwicklungen.
Im Gegensatz dazu sind alle Tracker, inklusive YouTube Videos mit DoubleClick ohne Einwilligung rechtswidrig. Auch externe Google Schriften eignen sich zum Tracken von Nutzern und sollten ausdrücklich vermieden werden.

Empfehlungen

Verwenden Sie folgende Tools nicht mehr oder nur nach voriger Einwilligung durch Ihre Nutzer. Erst nachdem ein Nutzer eingewilligt hat, dürfen die genannten Tools überhaupt geladen werden:

  • Google Analytics
  • Facebook Pixel
  • YouTube Videos ohne erweiterte Datenschutzeinstellungen
  • Extern eingebundene Google Schriftarten
  • SoundCloud Audio Player
  • Vimeo Videos
  • Extern eingebundene Bilder
  • Social Media Plugins

Verwenden Sie statt dessen reine Analyse-Tools (siehe oben), binden Sie Videos und Sounddateien lokal ein oder verlinken Sie auf diese. Statt Social Media Plugins verwenden Sie einfache Links auf Ihre Social Media Präsenzen.

Achtung: Der rechtssichere Betrieb von Facebook Fan Pages ist derzeit (Stand: Oktober 2019) nicht möglich. Wir raten zum Deaktivieren der Facebook Fan Pages!

Wann findet Tracking statt

Das offensichtliche Tracking ist eigentlich der harmloseste Fall, wenn man also nachverfolgt wird und es mitbekommt (der mitbekommen könnte). Dies ist immer der Fall, wenn einschlägige Tools wie Google Analytics verwendet werden.

Die nächste Stufe, das insgeheime Tracking, findet sich bei YouTube Videos wieder, die ohne erweiterte Datenschutzeinstellungen eingebunden werden. Hier wird im Hintergrund – vom Durchschnittsnutzer unbemerkt – das Tracking Tool Double Click von Google nachgeladen.

Noch kritischer zu betrachten ist das an sich völlig unsichtbare Tracking durch weitreichende, weltumspannende Nutzernachverfolgung, wie sie nur Iternetkonzernen möglich ist. Hierzu gehört das Auswerten der notwendigerweise bei jeder Internetnutzung anfallenden Kommunikationsdaten.

Lesen Sie mehr zu Tracking ganz ohne Cookies.

2019-10-11T14:29:01+02:00