Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Sind Cookies für die Reichweitenmessung auf Webseiten oder Apps einwilligungsfrei?

0

Das Besucherzählen bzw. das Ermitteln von Visits dient vielen zum Optimieren ihrer Webseite. Cookies sind hierfür nützlich. Doch nicht alles, was nützlich ist, ist auch konform mit dem Datenschutz. Sind Analyse-Cookies einwilligungsfrei? Die Antworten liefern TTDSG und ePrivacy-Richtlinie.

Was bedeutet Reichweitenmessung?

Der Begriff ist unscharf. Mein Verständnis ist das folgende. Reichweitenmessung ist das statistische Erfassen von Nutzern bzw. Besuchern einer Webseite oder App. Viele bezeichnen das nach meinem Eindruck auch als Besucherzähler. Die Begriffe Web Analytics und Tracking hingegen bezeichnen etwas anderes, nämlich eine tiefer gehende Auswertung, um die es hier nicht geht.

Bei der Reichweitenmessung sollen Mehrfachaufrufe nach Möglichkeit erkannt und in der Statistik kompensiert werden. Mehrfachaufrufe finden in vorgesehener Weise statt, wenn ein Nutzer auf einer Webseite herumklickt und sich mehrere Seiten anschaut. Der Website-Betreiber möchte oft gerne wissen, ob es sich beim Aufrufer um einen Nutzer innerhalb einer Sitzung oder um mehrere Nutzer handelt. Manche Nutzer rufen ein und dieselbe Seite auch mehrmals hintereinander auf, und somit in einer aus Sicht des Website-Betreibers unvorhergesehenen Weise. Das passiert beispielsweise, weil das Laden einer Seite zu lange dauert, weil es technische Probleme bei der Anzeige gab (Cache-Fehler o. ä.) oder weil der Nutzer bösartig ist. Zu bösartigen Aktivitäten schreibe ich hier nichts, dafür aber in einem weiter unten verlinkten Beitrag zu Server Logs oder in einem Beitrag zu CSRF-Cookies.

Warum Cookies?

Um Nutzer voneinander unterscheiden zu können, werden bzw. wurden oft Cookies eingesetzt. Ein Cookie ist auf dem Endgerät des Nutzers abgelegt und somit per se nutzerbezogen. Wohl deshalb stellt die ePrivacy-Richtlinie das Endgerät unter einen besonderen Schutz. ePrivacy wurde über das TTDSG in deutsches Recht gemünzt. Der § 25 TTDSG enthält Regelungen für Cookies und andere Gerätezugriffe wie Updates (bei Apps oder Smart Home Geräten) oder Fingerprinting.

Nach meiner Ansicht übrigens sind Cookies immer personenbezogen. Dies ergibt sich entweder direkt aus dem Wert eines Cookies oder aus dem Kontext oder aus der Tatsache, dass Cookies zusammen mit personenbezogenen Metadaten wie IP-Adressen übertragen werden.

Welche Cookies sind einwilligungsfrei?

Es gibt zwei Gründe, warum Cookies einwilligungsfrei sind. Diese sind in § 25 TTDSG genannt.

  1. Der alleinige Zweck eines Cookies ist die Durchführung der Übertragung der Webseite oder App.
  2. Ein Cookie ist unbedingt erforderlich, damit der Anbieter der Webseite oder App diese in einer vom Nutzer ausdrücklich gewünschten Weise zur Verfügung stellen kann.

Offensichtlich sind Cookies zur Reichweitenmessung nicht vom ersten Grund erfasst. Eine Webseite oder App kann ohne Cookie übertragen werden. Sogar Cloudflare gibt zu, dass mittlerweile auf das __cfduid Cookie verzichtet werden kann, um Bots zu erkennen und abzuwehren.

Damit eine Webseite wie gewünscht angezeigt werden kann, ist es auch nicht unbedingt erforderlich, ein Cookie zur Reichweitenmessung zu nutzen. Manche argumentieren, dass nur damit eine bedarfsgerechte Auswahl von Inhalten möglich sei. Das ist überwiegend Unsinn. Eine Reichweitenmessung kann nämlich auch ganz ohne Cookies in einer sehr ordentlichen Weise durchgeführt werden. Unabhängig davon, werden die Inhalte vieler Webseiten auch nicht mithilfe einer Reichweitenmessung besser.

Wie können Nutzer unterschieden werden?

Statt durch ein Cookie können Nutzer durch die Metadaten, die ihr Endgerät sendet, ziemlich gut unterschieden werden. Bei Aufruf einer Webseite werden insbesondere folgende Daten vom Nutzer übertragen:

  • IP-Adresse (Netzwerkadresse)
  • User Agent: Browsertyp, Browserversion, Betriebssystem, Betriebssystemversion
  • Zeitpunkt
  • Besuchte Seite (URL)
  • Vorige Seite (Referrer)
  • Cache-Einstellungen

Anhand dieser Daten können Nutzer bereits in den meisten Fällen voneinander unterschieden werden. Dazu sollten aber nicht die Rohdaten gespeichert werden, sondern höchstens pseudonyme Werte. Eine persistente Speicherung ist wahrscheinlich oft ohne nennenswerte Abstriche vermeidbar, wenn nämlich diese Pseudonyme nur im Hauptspeicher gehalten werden. Eine Speicherung ist nach meiner Definition als Informatiker und auch nach Definition des Duden kein rein temporäre Haltung im Hauptspeicher, schon gar nicht, wenn nicht durch den Programmierer oder sonst wen auf diese Hauptspeicherdaten zugegriffen werden kann, sondern nur vom Programm (ohne dass dieses die Daten weiterleitet).

Mittels der obigen Daten gelingt es Matomo, trackboxx oder WP Statistics und, soweit ich weiß auch etracker, sehr gut, Nutzer in einer sehr ordentlichen Weise zu zählen. Meine Präferenz liegt auf den erstgenannten Tools, da ich das Dashboard von etracker nicht gut finde. Merkwürdig wäre es, wenn jemand behaupten würde, dass dennoch Cookies notwendig seien. Wer nicht richtig programmieren kann, möge sich den Art. 25 DSGVO ansehen.

Hardliner stehen auf dem Standpunkt, dass sämtliche Daten, die durch Zugriff auf das Endgerät erhalten wurden, unter dem Schutz der ePrivacy-Richtlinie stehen. Damit ist gemeint: Die IP-Adresse beispielsweise wird aus technischen Gründen beim Abruf einer Webseite oder App notwendigerweise an den Server des verantwortlichen Betreibers geschickt. Die Hardliner sagen: Diese Daten sind zwar da, es handelte sich aber um einen Zugriff auf das Endgerät des Nutzers. Somit müsse eine Einwilligung erfragt werden, bevor diese Daten weiter angefasst werden dürften.

Nutzer können in sehr guter Näherung auch ohne Cookies von einander unterschieden werden.

Siehe Beitrag.

Ich sehe es anders. Mir konnten keine echten Argumente geliefert werden, die die obige harte Haltung unterstützen würden. Deswegen sage ich: Daten, die frei Haus geliefert werden, müssen (nur, aber immerhin doch) nach den Grundsätzen der DSGVO behandelt werden. Es ist also nicht so, als dürfe man mit den „Verkehrsdaten“ machen, was man will. Vielmehr müssen die strengen Regeln der DSGVO eingehalten werden. Das führt dazu, dass beispielsweise IP-Adressen nicht anlasslos in Server Logs gespeichert werden dürfen. Wer die Aussage im eben genannten Beispiel nicht mitträgt, versteht meist das Problem nicht und sollte meinen eben verlinkten Artikel lesen. Das BSI und auch mehrere Security-Experten jedenfalls konnten mir auf Nachfrage und in konstruktiven Gesprächen kein Beispiel gegen meine These zu den Server Logs nennen.

Die Kombination der oben genannten Metadaten erlaubt es sogar, Nutzer, die aus einem homogenen Firmennetzwerk stammen, in vielen Fällen voneinander zu unterscheiden. Wenn Nutzer X auf Seite A1 war und kurz später durch einen Klick auf Seite A2 ging, ist es ein anderer Nutzer auf Seite A2 als der, der von Seite A3 dorthin kam. Dies kann festgestellt werden, auch wenn IP-Adresse und User-Agent der beiden Nutzer gleich sind.

Eindeutige Fälle

Wenn man zugestehen würde, ein einziges Cookie für die Reichweitenmessung nutzen zu dürfen (was ich nicht tue), wären folgende Fälle immer noch nicht einwilligungsfrei:

  • Nutzung mehrerer Cookies gleichzeitig zur Reichweitenmessung
  • Nutzung eines Cookies mit einer Laufzeit von vielen Monaten
  • Nutzung gleich mehrerer Cookies gleichzeitig mit einer Laufzeit von jeweils vielen Monaten

Diese Fälle sind für mich eindeutig und nicht diskutabel. Wer anderer Meinung ist, hat nach meiner Einschätzung schlechte Karte. Ich kenne jedenfalls kein ordentliches Argument für den Einsatz mehrerer Cookies gleichzeitig für die Reichweitenmessung. Die Begründungen, die ich kenne, stellen überhaupt keine technischen Betrachtungen an. Das mildere Mittel wird überhaupt nicht untersucht. Die Cookie-Laufzeit wird überhaupt nicht konkret diskutiert. Warum muss ein Cookie zur Reichweitenmessung eine Laufzeit von 12 oder 24 Monaten haben?

Wer also anderer Meinung als ich ist, sollte konkrete Argumente für technische Gegebenheiten liefern.

Was sagt die europäische Datenschutzgruppe?

Die ePrivacy-Richtlinie ist schon sehr alt. Deutschland hat es erst eine Milliarde Jahre später geschafft, diese umzusetzen und somit wieder einmal gegen Europarecht verstoßen. Wie wäre es mal mit der Abschaffung des Föderalismus? Dann würden deutsche Datenschutzbehörde nicht 17 Mal Personal für gleiche Verwaltungsaufgaben brauchen, und die DSK könnte schneller arbeiten. Bei Corona hat es ebenso Nachteile mit Länderwirtschaft gegeben. Ich sehe in Summe (!) keine Vorteile des Föderalismus. Genauso schlecht würde es auch eine zentrale Stelle hinbekommen, nur mit weniger Geldeinsatz.

Bevor die DSGVO in Kraft trat, gab es die Artikel 29 Arbeitsgruppe. Diese ging bei Einführung der DSGVO am 25.05.2018 in den Europäischen Datenschutzausschuss (EDSA) über. Dies ist sogar in Art. 94 DSGVO verankert.

Die Artikel 29 Gruppe hat mehrere Stellungnahmen veröffentlicht. Diese wurden im Englischen als Opinion bezeichnet. Es sind konkretisierende Interpretationen der DSGVO. Die ePrivacy-Richtlinie und somit auch das TTDSG sind Sondergesetze zur DSGVO, die diese präzisieren und ggf. verschärfen.

In der Stellungnahme 04/2012 thematisiert die Datenschutzgruppe auch Cookies zum Zählen von Nutzern. Konkret werden in Abschnitt 4.3 First-Party-Analysecookies benannt. Der Hauptabschnitt 4 hat die Überschrift „Von der Einwilligungspflicht nicht ausgenommene Cookies“. Dort sind die oben genannten beiden Ausnahmetatbestände für einwilligungsfreie Cookies auch genannt. Nämlich Cookies, die zur Durchführung einer Übertragung notwendig sind und solche, die unbedingt erforderlich sind, um einen vom Nutzer ausdrücklich gewünschten Dienst bereitzustellen.

Die Artikel 29 Gruppe bezeichnet First-Party-Analysecookies also ausdrücklich als einwilligungspflichtig. Die Gruppe sieht derartige Cookies als nicht besonders kritisch an. Sie regt im Jahr 2012 an, dass der Gesetzgeber derartige Cookies als einwilligungsfrei deklariert, indem ein dritter Ausnahmetatbestand geschaffen wird. Diesen dritten Tatbestand gibt es bis heute nicht. Somit sind diese Cookies einwilligungspflichtig, ob es einem nun passt oder nicht. Die gute Nachricht: Wer sich ein bisschen Mühe gibt, kriegt es auch ohne Cookies hin. Und wenn nicht, dann ist es mindestens meistens gut, dass eine Einwilligung notwendig erscheint.

Auch die europäische Datenschutzgruppe stellte explizit fest, dass First-Party Analyse-Cookies nicht einwilligungsfrei sind.

Siehe Stellungnahme 04/2012 der Artikel 29 Gruppe.

Somit sind auch nach Ansicht der europäischen Datenschutzgruppe Analyse-Cookies für die Reichweitenmessung gänzlich nicht einwilligungsfrei, und zwar egal, in welcher Ausprägung, mit welcher Lebensdauer und für welche Analyse-Zwecke auch immer.

Fazit

Die Reichweitenmessung mit Hilfe von Cookies bedarf einer Einwilligung durch den Nutzer. Hieran ändert auch ein öffentlich-rechtlicher Auftrag nichts. Das TTDSG kennt den öffentlich-rechtlichen Auftrag ebenso wenig als Ausnahmetatbestand wie ein angeblich berechtigtes Interesse von Betreibern von Webseiten oder Apps. Das berechtigte Interesse kann erst geprüft werden, nachdem der Gatekeeper „ePrivacy“ passiert wurde. Zahlreiche Analyse-Tools, die Nutzer ohne Cookies messen können, beweisen, dass es ohne Cookies geht. Das TTDSG hingegen fordert eine unbedingte Erforderlichkeit für ein Cookie, die aufgrund der genannten konkreten Beispiele erwiesenermaßen nicht gegeben ist („mildere Mittel“ sind bekannt).

„Das gesetzliche Verbot in § 25 TTDSG verhindert jedes berechtigte Interesse für solche Cookies. Es gibt keine berechtigtes Interesse am Rechtsbruch.“

Rückmeldung von Marc Robin Wiemert (IT-Anwalt) auf meine Rückfrage, was er vom “Legitimate Interest Assessment” bzgl. Cookies zur Reichweitenmessung hält. Die Namensnennung erfolgt mit Erlaubnis.

Mir ist bekannt, dass manche Datenschutzbehörde reine First-Party Cookies zu Analysezwecken, die auf eine Sitzung begrenzt sind, akzeptieren würde. Dies gilt aber nur bei Einsatz eines einzigen Cookies. Die Werteausprägung des Cookies sollte dann besser nicht überschießend sein. Behörden sind keine Gerichte. Gerichte orientieren sich am Gesetzestext, so meine Hoffnung, die oft erfüllt, aber manchmal schon enttäuscht wurde. Wenn man sich den Art. 5 DSGVO ansieht, könnte man die rein statistische Erfassung (über nur eine Sitzung hinweg) mithilfe eines einzigen, reinrassigen First-Party Cookies mit minimal möglicher Wertausprägung als einwilligungsfrei erachten. Hierauf werde ich demnächst einmal eingehen.

Auch ohne Cookies können Nutzer ausreichend gut analysiert werden. Wer mehr will, sollte über den Nutzen und dann über gute Entwickler mit Datenschutzkenntnissen nachdenken. Beispielsweise kann oft das Conversion Tracking ohne Einwilligung durchgeführt werden.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT und Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über neue Beiträge werden Sie informiert, wenn Sie meinen Newsletter abonnieren. Über Ihre Unterstützung für meine Arbeit würde ich mich besonders freuen.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Datenschutz: Es geht um Liebe und um das Wort, nicht um Cookies