Web-Analytics ohne Risiken und Nebenwirkungen

Ein Artikel von Olaf Brandt, Geschäftsführer etracker | 19.11.2020 - 08:09
Olaf Brandt-Geschäftsführer etracker GmbH.jpg

Olaf Brandt, Geschäftsführer etracker © Alexander Hagmann

Wer an Web-Tracking denkt, denkt meist automatisch an Google Analytics & Co. Dabei existieren bereits europäische Alternativen, die hundertprozentig rechtskonforme Web-Analytics gestatten.
Die Erhebung und Verarbeitung personenbezogener Daten ist hierzulande durch die EU-Datenschutzgrundverordnung (DSGVO) streng geregelt. Dies gilt auch für den Datentransfer in außereuropäische Staaten wie etwa die USA. Mit dem erneuten Kippen eines Abkommens zum transatlantischen Datenverkehr, dem Privacy-Shield, gibt es seit Juli 2020 keine Rechtsgrundlage mehr, welche die Daten-Weitergabe in US-amerikanische Hände legitimiert – es sei denn, der Nutzer hat dem Transfer im Wissen um die Risiken zugestimmt.
Die Datenschutzproblematik mit den USA begründet sich durch dortige Gesetze wie Cloud Act und FISA, die US-amerikanischen Behörden den uneingeschränkten Zugang zu Daten von US-Unternehmen und Nicht-US-Bürgern gestatten. Dadurch ist in den USA generell kein EU-gleiches Datenschutzniveau möglich. Standardvertragsklauseln der Europäischen Kommission oder andere Vertragswerke ändern daran nichts.

icon-1691325_1920.png

Europäische Alternativen für legale Web- und Marketing-Analysen existieren © Gerd Altmann @Pixabay

Rechtliche Beschränkung technischer Möglichkeiten

Hinzu kommt: Nicht alles, was technisch möglich ist, ist rechtlich erlaubt. So bedarf auch das Web-Tracking und Anlegen von Nutzerprofilen der Einwilligung durch den Besucher, sofern dabei Daten im Endgerät des Nutzers gespeichert oder ausgelesen werden. Dies betrifft insbesondere Cookies und ähnliche Technologien zur Wiedererkennung von Website-Besuchern, die beim Tracking in der Regel Verwendung finden. Das jüngste Cookie-Urteil des Bundesgerichtshofs (BGH) aus dem Mai 2020 gibt dabei die Art und Weise vor, wie eben diese Einwilligungen einzuholen sind. Voreinstellungen zugunsten des trackenden Unternehmens, hier der Versicherung, sind nicht zulässig. Über sogenannte Consent-Banner können Website-Betreiber zwar die Einwilligungen der Nutzer einholen. Laut BGH muss dazu jedoch neben der Möglichkeit zur Zustimmung auf gleicher Ebene auch die Widerrufs- beziehungsweise Ablehnungsoption gegeben sein.

Finger weg vom Nudging

Einer britischen Studie zufolge stimmt nur ein Prozent der Nutzer dem Tracking oder Setzen von Cookies zu, was die Datenqualität und damit die Entscheidungsgrundlage immens verschlechtert. Zwar lässt sich durch eine manipulative Nutzersteuerung mittels der Gestaltung der Consent-Banner – sogenanntes Nudging – der Anteil in den kleinen zweistelligen Bereich bringen. Das jedoch geht zu Lasten der Reputation des Versicherungsunternehmens sowie des Kundenvertrauens und liefert trotzdem nur eine kleine Stichprobe für die Analyse. Folglich kann Nudging für Versicherungen keine Lösung sein, die auf eine langfristige, vertrauensvolle Kundenbeziehung setzen. Der Ausweg aus der Misere ist ein europäisches Tracking, das ohne Cookies arbeitet und bei dem auf eine Einwilligung vollständig verzichtet werden kann.

Fünf Argumente für eine europäische Alternative zu Google Analytics & Co.

Die folgenden fünf Argumente zeigen auf, warum und vor allem wie Web-Tracking auch ohne Google Analytics und vergleichbare US-Tools funktioniert.

1.Web-Tracking und Datenschutzkonformität schließen sich nicht aus.

Sagen sich Versicherungsunternehmen bei der Web-Analyse von US-Softwarelösungen los und vertrauen ausschließlich auf europäische Anbieter – mit Sitz und Serverstandort innerhalb der EU –, umgehen sie die Problematik des nicht mehr vorhandenen Privacy Shield. Zudem sichert sich der Website-Betreiber dadurch seine digitale Souveränität und macht sich nicht länger von Marktgiganten wie Google abhängig. Wichtig ist, dass Versicherungen darauf zu achten, dass ein Alternativ-Anbieter nicht nur dem Prinzip „Privacy by Design“, sondern auch „Privacy by Default“ folgt und somit stets die datenschutzrechtlich geforderten Einstellungen vorab konfiguriert – beispielsweise so, dass keinerlei Cookies verwendet werden.

Wie „Privacy by Default“ in der Praxis funktioniert

Um „Privacy by Default“ zu erzielen, müsste der Web-Analytics-Anbieter beispielsweise standardmäßig die IP-Adresse des Besuchers serverseitig kürzen, ohne dass manuelles Zutun wie bei Google Analytics nötig ist. Auch dürften beim Tracking Elemente wie Cookies im Endgerät des Besuchers weder gespeichert noch ausgelesen werden. Zudem sind Do-Not-Track Einstellungen des Browsers, die signalisieren, dass der Nutzer dem Tracking generell widerspricht, standardmäßig zu beachten. Dies sind nur drei Beispielkriterien, wie sich „Privacy by Default“ in der Praxis darstellen sollte.

2. Tracking ist auch OHNE Einwilligung möglich.

Die Prämisse des Datenschutzes ist es, die Privatsphäre des Nutzers zu schützen und Daten nur mit dessen Einwilligung – etwa über Consent-Banner – zu erfassen. Dies erübrigt sich jedoch, wenn erstens auf das Setzen und Auslesen von Elementen auf dem Endgerät des Nutzers verzichtet wird und zweitens das Tracking allein dem Zweck der Websiteoptimierung durch den Betreiber dient, also nicht zu Werbe- oder anderen Zwecken erfolgt. Hier gilt das „berechtigte Interesse“ des Websitebetreibers nach Artikel 6.1 f) der DSGVO und das Cookie-Urteil des EuGHs greift erst gar nicht. Dies ist allerdings nur dann der Fall, wenn ein reines Session-Tracking erfolgt, bei dem eine Sitzung nur 24 Stunden lang identifizierbar bleibt. Eine Re-Identifikation von wiederkehrenden Website-Besuchern ist damit ausgeschlossen. Der Vorteil: Versicherungsunternehmen können dennoch relevante Daten generieren und als Basis für Marketing-Entscheidungen heranziehen – ganz ohne Consent-Banner, über die der Nutzer das Tracking häufig ausschaltet. Das sichert oder steigert die Datenqualität im Marketing.

Voraussetzungen für Tracking ohne Einwilligungspflicht

  • Mit dem Tracking-Unternehmen ist ein Auftragsverarbeitungsvertrag zu schließen, der den Anforderungen der DSGVO genügt.
  • Der Auftragsverarbeiter nutzt die Daten NICHT auch für eigene Zwecke.
  • Der Auftragsverarbeiter verknüpft die Daten nicht über verschiedene Websites – oder reichert sie weiter an.
  • Der Auftragsverarbeiter setzt keine Cookies oder andere Elemente zur Nutzerprofilbildung ein.
  • Opt-out-Möglichkeit muss in den Datenschutzhinweisen Beachtung finden.
  • Die Datenverarbeitung findet ausschließlich in der EU statt.
  • Die IP-Anonymisierung muss gewährleistet sein.
  • Explizite Do-Not-Track-Einstellungen im Browser sind zu beachten.

Nur wenn alle Bedingungen erfüllt sind, ist Tracking ohne Einwilligung möglich.

3. Daten aus einer rechtskonformen Web-Analyse lassen sich in andere Werbesysteme datenschutzkonform übermitteln.

Die Google-Welt ist groß und die Produkte sind untereinander problemlos kompatibel. Zu konkurrierenden Werbesystemen wie Bing Ads oder Facebook Ads existieren jedoch keine Anknüpfungspunkte. Mit einer europäischen Web-Analytics-Lösung, die Schnittstellen zu verschiedenen Werbesystemen bietet, lassen sich Kampagnen auf allen Plattformen messen und leicht vergleichen. Es ist zudem möglich, die Daten einer DSGVO-konformen Web-Analyse in jede Plattform zurückzuspielen – aber rechtssicher, weil ohne Personenbezug. So bieten sich neue Auswertungsmöglichkeiten für das Marketing von Versicherungsunternehmen. Insbesondere Conversions – etwa zur Optimierung von Gebots- und Anzeigenstrategien – werden automatisch ins jeweilige Werbesystem hochgeladen. Dort kann der Marketer seine Budget- und Kampagnensteuerung wie gewohnt ausführen, nur eben mit Daten, die hundertprozentig datenschutzkonform sind. So entsteht kanal- und kampagnenübergreifend die größtmögliche Transparenz und Steuerungsmöglichkeit.

4. Onsite-Interaktionen sind automatisch erfassbar.

Für die Web-Analyse braucht es zudem keine komplexe Konfiguration wie mit dem Google Tag Manager, dessen Nutzung nun ebenfalls einwilligungspflichtig ist. Dank eines Standard-Tags lassen sich die wichtigsten Interaktionen (Events) auf der Website der Versicherung – alle Seitenaufrufe, externe Linkaufrufe, PDF- und andere Downloads sowie Scroll-Aktivitäten und sogar Google Kampagnen-Parameter – automatisch erfassen. Alle anderen Events sind bequem ohne Programmieraufwand – das heißt, ohne den Quellcode der Website verändern zu müssen – mittels sogenannten CSS-Selektoren trackbar. Marketer können selbst unterschiedliche Events über diese Selektoren aufzeichnen und vergleichen, um herauszufinden, wie der Nutzer im Detail mit einzelnen Elementen der Website interagiert.

5. Die Migration weg von Google Analytics ist denkbar einfach.

Oftmals sind zwar die rechtlichen und funktionalen Aspekte überzeugend, dennoch sehen viele Marketer dann den immensen Aufwand, den ein Wechsel des Web-Analytics-Tools bedeutet. Dabei gibt es auch hier Alternativen, die den Abschied von Google Analytics & Co. denkbar einfach machen. Häufig genügt es, den Tracking Code von Google gegen den eines europäischen Anbieters auszutauschen, welcher dann automatisch sämtliche für Google Analytics angelegten Kampagnen aufgreift – ganz ohne aufwändige Neuanlage. So können die Kampagnen normal weiterlaufen, nur erfolgt die Datenverarbeitung dann rechtskonform innerhalb der EU. Über die erwähnten Schnittstellen stehen die Daten der Web-Analyse reibungslos wieder im Werbesystem wie Google Ads zur Verfügung.

So funktioniert die Migration in der Praxis

Besteht beispielsweise bei Google Analytics ein Kampagnen-Link so liest die neue Web-Analytics-Anwendung diese Parameter aus und erfasst die Kampagne. Folglich ist nur der Google-Analytics-Code auf der Website auszutauschen. Sobald ein Nutzer jetzt den Kampagnen-Tracking-Link klickt, erkennt die neue datenschutzkonforme Lösung dies und zählt von da an nahtlos weiter.

Gewohntes Web-Analytics ohne Abstriche

Um Marketingentscheidungen im auf eine verlässliche Datenbasis zu stellen, brauchen Marketer ein modernes Werkzeug, das ihnen alle erforderlichen Funktionen – und Schnittstellen zu gängigen Werbesystemen – zur Verfügung stellt. Das Thema Datenschutz muss jedoch zu jederzeit sicher umgesetzt sein, insbesondere im sensiblen Versicherungsbereich. Nur so lassen sich Marketingmaßnahmen rechtskonform realisieren, optimieren und der Return on Investment nachhaltig steigern. Dabei muss es gar nicht immer Google Analytics sein und kann trotzdem mit Google Ads kombiniert werden. Also, Augen auf bei der Anbieter-Wahl!