Conversion Tracking und Marketing Attribution auf Webseiten: datenschutzfreundlich möglich?

Kategorien: Datenschutz und Tracking

Nutzer nachverfolgen und Datenschutz einhalten: geht das? Ein Werbetreibender möchte gerne wissen, welche Werbeanzeige zu einem Kauf geführt hat. Ein Autor möchte wissen, welche Quelle am häufigsten zum Abonnieren eines Newsletters führte. Viele glauben, das geht nur mit Einwilligung der Nutzer. Tatsächlich ist es anders.

Einleitung

Mit dem Conversion Tracking kann ermittelt werden, welcher Inhalt zu einer gewünschten Nutzeraktion geführt hat. Ein Inhalt ist in diesem Sinne insbesondere eine Werbeanzeige. Es kann sich allerdings auch um einen Link auf einer Dritt-Webseite handeln.

Conversion bedeutet Konvertierung. Eine Konvertierung liegt vor, wenn ein Nutzer eine definierte Aktion ausgeführt hat. Derartige Aktionen können sein:

• Aufruf einer Seite
• Anmelden zum Newsletter
• Bestellen eines kostenfreien E-Books
• Anmeldung zu einem kostenfreien Webinar
• Kauf eines Produkts
• Verweilen auf einer Seite für eine längere Zeit
• Lesen von mehreren Artikeln auf einer Webseite

Nicht selten wird einer bestimmten Konvertierungsaktion ein fiktiver monetärer Wert beigemessen. So kann der angenommene Geldwert einer Werbemaßnahme gemessen werden. Führt beispielsweise eine Werbeanzeige dazu, dass sich 20 Nutzer zum Newsletter anmeldet haben, kann der Geldwert wie folgt geschätzt werden:

• Werbeanzeige: Variante 4711
• Aktion (= Konvertierung): Anmelden zum Newsletter
• Anzahl Nutzer: 20
• Angenommener Wert pro Konvertierung: 0,50 €
• Fiktiver Geldwert: 20 * 0,50 € = 10 €

Stellt man nun die Werbeausgaben dem fiktiven Geldwert gegenüber, kann zumindest oberflächlich die Sinnhaftigkeit der Werbeanzeige geprüft werden. Da niemand den tatsächlichen Geldwert einer kostenfreien Aktion kennt, muss dieser regelmäßig optimiert werden.

Anders sieht es beim Verkauf eines Produkts aus, beispielsweise eines Datenschutz-Handbuchs:

• Werbeanzeige: Variante 4712
• Aktion: Datenschutz-Handbuch wird gekauft
• Anzahl Nutzer (=Käufer): 5
• Preis des Handbuchs: 39 €
• Gewinn pro Verkauf: 10 €
• Echter Geldwert (=Gewinn): 5 ∗ 10 € = 50 €
• Umsatz: 5 ∗ 39 € = 195 €

Ob man den Gewinn, den Umsatz oder sonstige Kennzahlen als Wert einer Konvertierung zugrunde legt, muss im Einzelfall entschieden werden.

Die Marketing Attribution hilft dabei, Konvertierungen zu verfolgen. So können Nutzer auch über mehrere Kanäle hinweg verfolgt werden.

Aus meiner Sicht bezeichnen die Begriffe Conversion Tracking und Marketing Attribution oft das Gleiche.

Für eine Werbemaßnahme soll herausgefunden werden, wie erfolgreich sie war. Erfolgreich war eine Werbeanzeige nur, wenn sie eine gewünschte Aktion hervorrief. Zudem sollte der Wert der ausgeführten gewünschten Aktionen über den Kosten der Werbemaßnahme liegen. Eine Werbemaßnahme muss nicht eine Online Werbung sein, auch wenn viele das denken. Auch ein Wissensartikel auf einem gut besuchten Blog, der auf ihre Webseite verlinkt, kann eine Werbemaßnahme sein.

Die Attribution kennzeichnet dabei einen Einstiegspunkt in Ihre Webseite. Denn um zu ermitteln, wie viele Nutzer über Ihre Webseite ein Produkt aufgrund von Werbeanzeige X gekauft haben, müssen Sie beim Kauf die Herkunft des Nutzers kennen. Dazu muss der Weg des Nutzers markiert werden. Dieser Weg wird auch Journey oder Customer Journey genannt.

Technisch passiert oft folgendes:

1. Nutzer klickt auf Ihre Werbeanzeige X, die irgendwo im Internet platziert ist.
2. Der Nutzer landet auf Ihrer Webseite.
3. Der Nutzer klickt auf Ihrer Webseite herum.
4. Der Nutzer kauft über Ihre Webseite ein Produkt.

Um diese Konvertierung nachverfolgen zu können, müssen Sie die Schritte 2 und 4 miteinander verbinden. Dies geht, indem Sie eine Markierung bei Schritt 2 vornehmen und diese bei Schritt 4 auswerten. Diese Markierung wird auch Attribution genannt. Zumindest verstehe ich den Begriff so.

Technisch sind mehrere Fälle zu unterscheiden, weil dies auch datenschutzrechtlich andere Fragen aufwirft. Ich werde zeigen, dass ein Conversion Tracking möglich ist, ohne gegen Datenschutzregeln zu verstoßen. Selbstverständlich arbeite ich nicht mit einer Einwilligung, denn mit einer rechtskonformen Einwilligung können Sie alles legitimieren. Nur wer will schon seinen Nutzer fragen, ob er einverstanden ist, dass Sie seine Konvertierung oder Nichtkonvertierung messen? Erklären Sie das mal jemandem.

Landing Pages mit direkter Konvertierung

Die Seite, die beim Klick auf eine Werbeanzeige aufgerufen wird, wird auch als Landing Page bezeichnet. Nicht selten bauen Werbetreibende verschiedene Landing Pages, die sie entweder für verschiedene Anzeigen oder Anzeigengruppen verwenden. Auch sogenannte Split Tests oder A/B-Tests werden damit ausgeführt. Ein Split Test ermittelt, welche Variante einer Kundenansprache am besten funktioniert. Ist es die Variante mit dem blauen oder dem grünen Button, der einen Kauf ermöglicht?

Der aus meiner Sicht einfachste Fall liegt vor, wenn ein Nutzer auf Ihre Webseite kommt und direkt auf dieser Seite, ohne weitere Navigation, einen Kauf oder eine andere gewünschte Aktion ausführt.

Für diese Konvertierungsmessung, in die nur eine einzige eigene Seite (URL) involviert ist, sind keine besonderen technischen Maßnahmen erforderlich. Es reicht, wenn Sie einen URL-Parameter benutzen. Ein URL-Parameter ist eine zunächst nichtfunktionale Ergänzung einer Webseiten-Adresse.

Ein Beispiel: Sie haben eine Landing Page mit der Adresse xyzabc129.de. Diese Adresse wird von einer Ihrer Werbeanzeigen aufgerufen, wenn ein Nutzer auf die Werbung klickt. Das wäre blöd, weil diese Adresse auch ohne Klick auf eine Werbeanzeige aufgerufen werden kann, nämlich dann, wenn eine Suchmaschine sie listet.

Also nutzen Sie einen URL-Parameter, den nur die Werbeanzeige verwendet. Ein Klick auf die Werbeanzeige führt zum Aufruf der Adresse xyzabc129.de/?source=meineWerbeanzeige0815. Diese Adresse ist anzunehmenderweise nicht in Suchmaschinen gelistet (außer über Ihre üblicherweise bezahlten Online Anzeigen dort).

Die eben genannte Adresse mit URL-Parameter könnte auch von jemandem per Hand im Browser eingegeben oder über die Zwischenablage eingefügt werden. Also fragen Sie auch den Referrer ab. Der Referrer ist die Quelle eines Aufrufs. Oder wird das Wort falsch geschrieben (Referer).

Der eben genannte URL-Parameter ist offensichtlich kein personenbezogenes Datum. Der Parameter ist schließlich immer gleich, egal welcher Nutzer auf die Anzeige klickt.

Beim Klick auf den Button "Kaufen", mit dem der Nutzer, der über Ihre Werbeanzeige mit der Variante 0815 auf Ihre Landing Page kam, wird dann der URL-Parameter ausgewertet. So wissen Sie, dass jemand Ihr Produkt gekauft hat, der zuvor über Ihre Werbeanzeige kam.

Konvertierung in späterer Sitzung

Wenn der Nutzer nicht in derselben Sitzung kauft, sondern die Adresse der Landing Page am nächsten Tag direkt aufruft, können Sie nicht direkt den Bezug zur Werbeanzeige mit der Variante 0815 herstellen. Wollen Sie dies tun, bleiben folgende Möglichkeiten:

1. Cookie oder ähnliche Technologie: Einwilligungspflichtig wegen § 25 TTDSG
2. Abspeichern der vollen IP-Adressen des Nutzers samt Metadaten (User-Agent, …): Einwilligungspflichtig, Erklärungen siehe Dr. DSGVO Blog (IP-Adressen sind personenbezogene Daten).
3. Abspeichern eines pseudonymen Wertes, der aus IP-Adresse und Metadaten gebildet wird: ggf. einwilligungsfrei

Zu Punkt 3 gibt es diverse Ansätze, die eine Einwilligungspflicht ggf. nicht notwendig erscheinen lassen. Allerdings muss § 9 TTDSG beachtet werden. Siehe hierzu auch meine Untersuchung zur anlasslosen Protokollierung von IP-Adressen in Server Logs.

Fazit

Eine Konvertierung, die direkt auf der Landing Page stattfindet, kann ohne Einwilligung datenschutzkonform nachvollzogen werden.

Konvertiert der Nutzer erst in einer späteren Sitzung, kann mit einer hohen Wahrscheinlichkeit ein Bezug zur Erstsitzung hergestellt werden. Ob dies einwilligungsfrei ist, hängt von der technischen Ausgestaltung dieser Sitzungszusammenführung ab, die auch als Session Stitching bezeichnet wird.

Indirekte Konvertierung

Als indirekte Konvertierung bezeichne ich hier eine Konvertierung, die nicht auf einer Landing Page stattfindet, sondern auf einer von dort aufgerufenen Seite. Der Nutzer klickt also auf Ihrer Webseite herum, bis er sich entscheidet, Ihr Produkt zu kaufen.

Auch hier kann die Konvertierung mit URL-Parametern festgestellt werden. Abstrakt klingt es lapidar. Bei einem Klick auf einen internen Link auf Ihrer Landing Page hängen Sie einen URL-Parameter an. Auch wenn der Nutzer auf der so aufgerufenen Seite etwas anklickt, führen Sie den URL-Parameter mit. Als internen Link bezeichne ich hier einen Link, der auf eine Seite Ihrer Webseite führt (auch Unterseite genannt).

Die technische Realisierung ist einfach. Jedenfalls für mich und für jeden, der Web-Technologien beherrscht. Ich sage hier zum Trost wie so oft: Niemand kann alles. Ich brauche einen Steuerberater, der für meine Firma die Kommunikation mit dem Finanzamt erledigt und meine Gehaltsabrechnungen macht. Der kostet mich Geld. Haben Sie jetzt Mitleid mit mir? Genauso wenig Mitleid erhalten Sie von mir, falls Sie jammern, dass das datenschutzkonforme Conversion Tracking Geld kostet und gute Leute so schlecht zu finden seien.

Übrigens müssen Sie selbst bei Verwendung von Google Analytics etwas technisches Verständnis mitbringen. Vielleicht ist es Ihnen nicht bekannt. Aber wenn Sie Google Analytics einsetzen, dann sollten Sie auch ein Jurastudium absolviert haben. Außerdem gilt das Tool aus Sicht mancher Datenschutzbehörden als generell verboten (egal ob mit oder ohne Einwilligung).

Die indirekte Konvertierung kann technisch wie folgt nachvollzogen werden:

1. Einsprung in Ihre Webseite über Werbeanzeige 0815. Kann über URL-Parameter und Referrer-Prüfung festgestellt werden.
2. URL-Parameter bei jedem Klick auf einen internen Link mitführen.
3. Bei Kauf eines Produkts oder anderer Konvertierung wird das Vorhandensein des URL-Parameters geprüft.

Eine Konvertierung liegt üblicherweise vor, wenn ein Button angeklickt wurde. Siehe weiter oben für andere Beispiele.

Für zeitlich versetzte Konvertierungen (Folgesitzungen) gilt das, was ich weiter oben für direkte Konvertierungen auf der Landing Page geschrieben habe.

Datenschutzrechtliche Betrachtung

Die technisch notwendigerweise anfallenden personenbezogenen Daten müssen hier nicht weiter diskutiert werden. Wichtig ist nur, dass diese Daten nur für technisch notwendige Zwecke verwendet werden. Die Netzwerkadresse des Nutzers wird zwangsweise an Sie übermittelt. Sie dürfen diese Adresse nur nicht speichern (außer, es liegt ein wichtiger Anlass vor, wie etwa ein angenommener Angriffsversuch).

Das von mir vorgeschlagene Vorgehen basiert auf statischen URL-Parametern. Diese können nicht personenbezogen sein. Die DSGVO ist hierauf nicht anwendbar und macht somit keine Probleme.

Gleiches gilt für die Prüfung von Verweisquellen (Referrer). Wir sprechen hier von einer Prüfung und nicht von einer Speicherung. Sicher können viele Verweisquellen gefahrlos gespeichert werden, denn sie enthalten keinen Personenbezug. Gefährlich wird es nur, wenn eine Verweisquelle eigene URL-Parameter enthält, die persönliche Daten des Nutzers enthalten. Das sollte heutzutage aber hoffentlich die Ausnahme sein.

Das Vermerken einer eingetretenen Konvertierung zur Erfolgsmessung ist ebenfalls völlig unproblematisch. Denn diese Erfolgsmessung verzeichnet lediglich folgende Information.

Anzeige 0815 wurde angeklickt und führte zur Konvertierung "Kauf des Datenschutz-Handbuchs".

Beispiel für eine Erfolgsmessung.

Ich sehe hier keinen Personenbezug und auch keine Personenbeziehbarkeit.

Anders kann es aussehen, wenn Sie den Zeitpunkt oder auch nur das Datum mit abspeichern. Denn wenn nur eine Person zu diesem vermerkten Zeitpunkt gekauft hat, dann können Sie wissen, wer es war. Zumindest dann, wenn der Nutzer persönliche Daten eingeben musste.

Sofern allerdings die Datenbestände der Erfolgsmessung und der Käufe nicht zusammengeführt werden und ausreichend gegen Zusammenführung geschützt sind, kann dieses Problem entschärft werden. Auch, wenn Sie den Zeitpunkt im Rahmen einer Konvertierung nicht mitführen, ist das Problem geringer oder vielleicht auch gar nicht vorhanden.

Die Erfolgsmessung ohne genaue Information des Zeitpunkts ist durchaus hilfreich. Immerhin möchte man irgendwann nach Schalten einer Werbemaßnahme wissen, wie groß der Erfolg war. Das Vorgehen ist also:

1. Leere Datenbank für Erfolgsmessung.
2. Konvertierungen messen.
3. Auswertung fahren (=Aggregation).
4. Datenbank leeren.
5. Aggregierte Auswertung bei Bedarf in spätere Statistiken einfließen lassen

Bei Punkt 3 ist Ihnen bekannt, für welchen Zeitraum die Erfolgsmessung durchgeführt wurde, denn Sie kennen sowohl den Startzeitpunkt als auch den Endezeitpunkt Ihrer Betrachtung. Mehr müssen Sie nicht wissen. Wenn Sie andauernd die Erfolge Ihrer Maßnahmen prüfen wollen, dann erscheint mir das nur sinnvoll, wenn Sie wirklich viele Nutzer haben. In diesem Fall sollten pro Tag mehrere Konvertierungen messbar sein, womit der Personenbezug verschwindet, wenn die Zeitpunkte der Konvertierungen auf Tages- oder Wochenbasis mitgeführt werden.

Special: Tracking mit Warenkorb

Online Shops verwalten eine Sitzung, wenn der Nutzer ein Produkt in den Warenkorb gelegt hat. Hierfür wird ein technisch notwendiges Cookie verwendet. Es ginge auch ohne Cookie, was allerdings mit Nachteilen verbunden wäre. Daher sind Cookies für Warenkörbe akzeptiert und nach meinem Dafürhalten auch zurecht.

Mit einem Sitzungs-Cookie kann ein Nutzer natürlich perfekt und ohne nennenswerten Aufwand seitenweit nachverfolgt werden. Das Cookie dient sozusagen der Attribution des Nutzers. Die Konvertierung kann vom Einstiegspunkt der Seite aus rekonstruiert werden bzw. ab dann, wenn der Warenkorb existiert.

Diese Wiederverwendung oder Weiterverwendung einer Sitzung ist dann unproblematisch, wenn kein zusätzlicher Personenbezug hergestellt wird. Hardliner sehen allerdings eine Weiterverwendung als rechtswidrig an. In der Praxis macht es bei Datenverarbeitungen durch den Webseitenbetreiber selbst kaum einen Unterschied, weil die Datenverarbeitung von außen nicht ersichtlich ist.

Der § 25 TTDSG spricht nicht von Personenbezug, dafür aber von Cookies bzw. Zugriffen auf das Endgerät. Da das Cookie aufgrund des Warenkorbs einwilligungsfrei ist, kann es danach gemäß DSGVO verwendet werden. Cookies sind immer personenbezogen, wie ich ausführte.

Fazit

Das Conversion Tracking bzw. die Marketing Attribution, die dabei hilft, sind möglich, ohne nutzerbezogene Daten verarbeiten zu müssen.

Selbst das Speichern von Zeitangaben zu einer eingetretenen Konvertierung erscheint ohne Einwilligung möglich.

Um eine Aktion, wie den Klick auf den Kaufen-Button, als Konvertierung zu kennzeichnen, bedarf es etwas technischen Verstands. Datenschutzfreundliche Analysewerkzeuge vereinfachen diesen Prozess. Vergessen Sie Google Analytics ganz schnell, wenn Sie keinen Ärger haben wollen. Auf Dr. DSGVO finden Sie einige Alternativen.

Wenn Sie sich mit Web-Technologien wie JavaScript, AJAX und PHP auskennen, können Sie auch selber Conversions tracken.

Um einer URL eines angeklickten Links dynamisch einen URL-Parameter anzuhängen, könnte man folgenden Code verwenden:

<script>
window.addEventListener("click", function(e) {
    var h = e.target.getAttribute("href");
    if(h) {
        location.href = h + "?quelle=meineAnzeige0815";
        e.preventDefault();
    }
});
</script>

Der Code sorgt dafür, dass der Klick auf einen beliebigen Link um einen Parameter ergänzt wird. Der Code funktioniert so nur für gewöhnliche Links (HTML-Tag a mit Attribut href), die noch keine Parameter haben. Der Code kann bei Bedarf leistungsfähiger gestaltet werden.

Alternativ könnte man bereits beim Aufruf der Landing Page eine programmatische Modifikation der Linkziele vornehmen. Das geht in PHP sehr einfach. Man muss es eben programmieren.

Übrigens finde ich, dass Google Ads Werbeanzeigen für die meisten Marktteilnehmer ohne wesentlichen Nutzen sind. Das sage ich aus Erfahrung und Gesprächen mit einigen Werbetreibenden. Allerdings kenne ich auch nicht alle Märkte. In einem Gastartikel können Sie die Ansicht von Michael Hammer lesen.

Bitte beachten Sie: Das, was alle können, kann nicht zum Erfolg führen. Alle können (wenig) Geld ausgeben, um Werbung zu kaufen. Warum sollte das Erfolg haben? Für den Erfolg muss mehr passieren. Dass eine Webseite ganz ohne Werbeausgaben und ohne Google Plugins erfolgreich sein kann, beweist diese hier, die Sie gerade sehen:

Für Dr. DSGVO wurde mir von Google (unaufgefordert) eine fünfstellige Anzahl an Klicks aus dem Google Suchergebnis innerhalb von 28 Tagen gemeldet. Die genaue Zahl behalte ich für mich (im Bild eben ist daher die erste Stelle, der Zehntausenderfaktor, unkenntlich gemacht). Ich hatte irgendwann mal meine Webseite bei der Search Console angemeldet. Diese verursacht keine Datenschutzprobleme bei mir, weil sie außerhalb meiner Webseite läuft. Google gibt mir darüber Informationen, welche Treffer im Google Suchergebnis meine Webseite hatte. Mein Leben wäre allerdings weiterhin möglich, wenn es die Search Console oder Google nicht mehr geben würde.