Beschreibung

Es klingt vielversprechend, wenn Softwarehersteller eine Lösung anbieten, mit der das Nutzererlebnis auf der Website verbessert wird, indem Betreiber ohne "nervige" Cookie Banner auskommen. Gleichzeitig müssen Betreiber aber auch nicht auf grundlegende Informationen zum Nutzerverhalten verzichten, heißt es in der Verkaufsbotschaft der Anbieter. Alles was wir Einzelunternehmer über cookiefreies Tracking Wissen müssen und was rechtlich von dieser Offerte zu halten ist, darüber habe ich mit Martin in dieser Folge gesprochen. Mehr Details auf der Folgenseite unter webgefaehrte.de/podcast.

Schlagwörter
Unternehmer Podcast für Internet Marketing
Unternehmer Podcast für Internet Marketing
Folge 017 - Website ohne Cookie Banner
Loading
/
ENTSCHEIDUNGSHILFE

Cookie-freies Analytics ohne Cookie-Banner auf der Website kann…

JA

  • Nutzerdaten zu einem Besuch liefern
    • Seitenbesuche
    • Verweildauer
    • Absprungrate
    • Events (Video- oder Link-Aufrufe)
    • Kontaktanfragen (inkl. Abbrüche)
  • Wiederkehrende Benutzer identifizieren
    • Daten vom vorherigen Besuch übernehmen
    • Re-targeting unterstützen
    • Profilbildung ermöglichen

NEIN

Intro

[0:01] Ein herzliches Hallo und Willkommen zu einer neuen Folge des Unternehmer-Podcasts. 
Ich bin Jan von Webgefährte. 
Da Unwissenheit bekanntlich nicht vor Schaden schützt und wir Unternehmer auch eine Verantwortung für die Einhaltung rechtlicher Anforderungen haben, habe ich heute einen besonderen Gast eingeladen. 
Mit ihm spreche ich darüber, wie wir die ideale Balance zwischen dem bestmöglichen Erlebnis unserer Besucher auf der einen Seite und gleichzeitig einer maßvollen und rechtskonformen Auswertung deren Nutzerverhalten für uns als Betreiber der Webseite auf der anderen erreichen können. 
Als Elefant im Raum steht hierbei das sogenannte cookiefreie Tracking, welches grundsätzlich die Einblendung störender Banner zur Einwilligung überflüssig machen soll. 

[1:15] Wenn Sie als Unternehmer erfahren wollen, warum ein Tracking ohne Cookies dennoch funktioniert, welche Einschränkungen damit jedoch verbunden sind und wann wir dennoch um eine Einwilligung des Nutzers nicht herumkommen, dann lade ich Sie herzlich ein, in den nächsten Minuten dabei zu sein. 
Ich wünsche Ihnen erkenntnisreiche Einblicke und ganz viel Freude beim Hören. 

[1:45] Seit 2008 ist er Fachanwalt für IT-Recht und beschäftigt sich schwerpunktmäßig mit den Themen Internet, Software, aber auch Datenschutz. 

Vorstellung des Gastes

[1:56] Im Jahre 2017 erschien die zweite Ausgabe seines Buches mit dem Titel Online Marketing und Recht. 
In seiner Arbeit mit den Mandanten beschäftigt sich mein heutiger Gast mit der Zulässigkeit neuer Werbeformen. 
Seine inzwischen imposanten 26 Jahre Erfahrung teilt er beispielsweise als Referent. 
Auf Online-Lernplattformen wie 121 Watt, aber auch auf Online-Marketing-Konferenzen wie der SMX in München, bei der auch ich dieses Jahr teilnehmen durfte, aber auch auf der SEO Campixx in Berlin, bei ihm direkt vor der Haustür. 
Andere sagen über meinen heutigen Gast, dass er Online-Marketing-Recht und Datenschutz mit sehr guten Beispielen verständlich und sympathisch rüberbringen kann. 
Na, dann sind wir doch mal gespannt, ob uns das heute auch gelingt. 
Mit ihm spreche ich darüber, was sich hinter cookiefreiem Tracking verwirkt, und wie diese Form der Auswertung aus rechtlicher, aber auch Marketing-Gesichtspunkten für Einzelunternehmer zu bewerten ist. 
Und jetzt freue ich mich riesig, Ihnen im virtuellen Podcast-Studio begrüßen zu dürfen. 
Hallo, lieber Martin Schirmbacher. 

[3:12] Hallo Jan, grüße dich, vielen Dank für die Einladung! 
Die Freude ist ganz meinerseits, dass wir hier mal eine SIP-Zeit miteinander verbringen dürfen. 
Und jetzt treffen wir beide doch, lieber Martin, mal die Annahme, dass noch nicht alle unserer Hörer dich schon in freier Wildbahn erleben durften und da vielleicht auch so ein bisschen dich einordnen wollen. 
Magst du uns vielleicht verraten, ob du ein Kind der 70er, der 80er oder 90er Jahre bist und ob dich irgendwas Besonderes in dem Jahrzehnt geprägt hat? 
Also ich habe gerade schon überlegt, ob man eigentlich ein Kind der 70er oder der 80er ist, wenn man 1975 geboren ist, das ist bei mir der Fall. 
Die 70er werden mich jetzt sicher nicht so sehr geprägt haben, aber ich bin in Ost-Berlin aufgewachsen und da kann man sicher denken, was jedenfalls 1989 so als 14-Jähriger einen da am meisten beschäftigt hat, ja für die jüngeren Zuhörer und Zuhörerinnen, da fiel die Berliner Mauer und ich war dabei. Insofern ist es sicherlich mit großem. 

[4:13] Abstand das einschneidendste Erlebnis der 80er für mich. 
Kann ich sehr gut nachvollziehen. Ich versuche eine kleine persönliche Brücke zu spannen. 
Wir sind ein Jahr in den Geburtsjahren auseinander und uns verbinden in dem Fall irgendwie 120 Kilometer Luftlinie. Also ich bin jetzt nicht im Osten von Berlin aufgewachsen, sondern im Mittelostdeutschland in Sachsen-Anhalt, Von daher kann auch ich diese doch sehr bewegende Zeit der Wiedervereinigung als Prägendurchaus auch auf meiner Seite bestätigen. 
Da komme ich gerade her. Ich war über das Wochenende in Naumburg an der Saale mit der Familie. 
Da hat sich viel getan in den letzten Jahren in Ostdeutschland. 
Da müssen wir nicht nur über die guten Autobahnen sprechen, sondern auch kulturell ist dort einiges geboten. 
Hattest du einen Traumberuf als Kind? Und wenn ja, warum genau diesen? 

[5:06] Also einen Traumberuf hatte ich wahrscheinlich nicht. Mein Vater arbeitete Ende der 80er im Rechenzentrum der Berliner Humboldt-Universität und dessen Leiter er dann auch nach der Wende wurde. Insofern hat mich dann die Rechnerei schon geprägt. Ich war auch ein paar Mal mit in deren Rechenzentrum, also wo dann die großen Rechner standen, mit Lochkarten befüttert und weniger Speicherkapazität als das Telefon, das ich in der Hosentasche habe. Aber das war sicherlich eindrücklich, auch wenn ich nicht sagen kann, dass ich unbedingt Informatiker werden wollte. 
Aber das ist sicherlich etwas gewesen. Ich war auch auf einer entsprechenden Schule, was im Osten gar nicht so einfach war mit mathematisch, naturwissenschaftlich, technischer Richtung. Insofern, diese Prägung habe ich dann schon mitgenommen. 

[6:00] Wie so häufig sind die Eltern, oder ich hatte auch schon Gäste im Podcast, die dann den Bezug zu den Großeltern hergestellt haben, die häufig auch prägend sind für einen selber. 
Bleiben wir noch ganz kurz bei der Kindheit. 
Hattest du dort ein Idol? Und wenn ja, welche Superkraft oder welche besondere Fähigkeit hättest du an ihm oder an dir bewundert? 
Idol ist jetzt nicht so meins, aber wenn ich überlege, zu wem ich toll fand, dann sind es natürlich Sportler. 
Die ist ja in DDR-Zeiten auch zu Genüge gehabt, erfolgreiche Sportler. 
Jens Weiß flog aus dem Winter und Olaf Ludwig im Sommer. Das waren wahrscheinlich so die Heroes der 80er meiner Zeit. 
Und jedenfalls Jens Weiß flog und Ludwig glaube ich auch, hat es ja dann doch noch, auch eine ganze Zeit lang nach der Wende weiter betrieben. 

[6:54] Ja, das sind sicherlich so die Sportler, die man so, ich so vor Augen hatte. 
Aber es war relativ früh klar, dass ich nicht Leistungssportler werde und hab so viel Sport gemacht immer. 
Aber insofern muss ich denen nicht nacheifern und siebenmal die Woche trainieren, um happy zu sein. 
Auch zum Sport habe ich absolut eine Beziehung, kann ich nachvollziehen. 
Gehört, finde ich, auch so ein bisschen zu einem vielleicht späteren Leben, was durch geistige Arbeit geprägt ist, auch als sinnvoller Ausgleich dazu. Das sage ich jetzt als Erwachsener. Das Kind wahrscheinlich auch anders gesehen, aber das kann ich nachvollziehen. Ja, vielen Dank für die Einblicke, lieber Martin. 
Dann komme ich mal so ein bisschen auf die Einbindung zu deinem beruflichen Thema. Warum begeistern dich IT-rechtliche Fragen? Und was hat die Weiche so ein bisschen gestellt, für dich dann den Weg zum Fachanwalt zu gehen? 

[7:49] Naja, also da muss ich doch nochmal ein Stück zurückgehen wieder. So ein bisschen IT-Background habe ich ja schon geschildert. Ich war 1992 für ein Jahr in den USA. Damals noch lange nicht so häufig, dass das die Leute gemacht haben in der 10., 11., 12. Klasse, wie das heutzutage der Fall ist. Und der Hauptunterschied von damals zu heute, wenn ich mir angucke, von meinen Freunden, also meine sind noch nicht so weit, aber wenn man von meinen Freunden die Kinder in die USA gehen. 
Der Hauptunterschied scheint mir zu sein, dass der Kontakt, den man da halt weiterhin hat über Social Media, E-Mail, WhatsApp, whatever, den gab es halt damals praktisch nicht. Ja, wir haben irgendwie telefoniert. 
Allerdings, ich war noch keine zwei Monate da, dann entdeckten wir, dass man ja auch per E-Mail kommunizieren kann, weil mein Gastvater als einer der wenigen dort, wo ich war, in Michigan Internetzugang hatte und auch selber in Websites gemacht hat 1992. 

[8:46] Habe ich also mit meinem Vater E-Mails hin und her geschrieben. 
Meine E-Mail-Adresse, die mir noch an der Humboldt-Uni er mir dann besorgt hat, H0444UYP at rz.whatever, habe ich mir absurderweise, wie mir gerade auffällt, gemerkt. 
Nein, aber ja, da haben wir also sehr früh per E-Mail kommuniziert. 
Als ich dann zurückkam, hatte ich den Eindruck, dass ich so ein bisschen den Anschluss verloren hatte, was so die, das Informatikmäßige anging, also meine Klassenkameradinnen und Kameraden, waren ja fast nur Jungs, haben etwas vereinfacht gesprochen, sich vor allem mit Sortieralgorithmen befasst, das war mir dann irgendwie nix mehr, bin dann in die Rechterei abgebogen, hab aber da gemerkt, dass das Thema durchaus interessant bleibt und der Gründer unserer Kanzlei, Nico hat 1999 ein Buch veröffentlicht zum Internetrecht, an dem ich so ein bisschen Recherchearbeit mitgeschrieben habe, mitgemacht habe. 
Der war damals der Erste, der was zum Internet geschrieben hat, zum rechtlichen Aspekt des Internets. 

[9:53] Und dann war eigentlich klar, seitdem ist unsere Kanzlei halt auch sehr spezialisiert auf diese Bereiche. 
Wir machen, wie du es im Intro schon gesagt hast, IT und IP, also Informationstechnologie einerseits. 
Und da gehört dann natürlich der Fachanwalt dazu. 
Ich bin auch bei weitem nicht der Einzige, der hier den Fachanwaltstitel hat. 
Und IP, also Intellectual Property, das Markenrechtliche, Urheberrechtliche, Wettbewerbsrechtliche und von wenigen Ausnahmen die Arbeitsrechtler, Gesellschaftsrechtler, abgesehen, machen praktisch alle meine Kolleginnen und Kollegen, beraten in diesem Bereich. 
Und ja, das lag dann auch irgendwie nahe aus diesem, sagen wir mal, Internetrechtlichen, dann rüber zum Online-Marketing und überhaupt zum IT-Rechtlichen zu kommen. 
Insofern war relativ früh klar, als ich angefangen hatte, ja, hier bei Herting, gab es noch keinen Fachanwalt für IT-Recht oder für Informationstechnologie-Recht. 
Den gibt es, glaube ich, erst seit 2006. Und dann habe ich auch relativ flott da den Titel mir ergattert, nachdem ich mir geschworen hatte, nie wieder eine Prüfung ablegen zu müssen nach dem zweiten Staatsexamen. 
Aber das hat natürlich dann nur kurz vorgehalten. Seitdem, aber immerhin ist es so. 

[11:09] Wenn man da A, so ein bisschen Interesse mitbringt und dann vielleicht auch so ein bisschen eine zufällige Fügung hat, ja, mit jetzt, sei es der Auslandsaufenthalt oder sei es das erste Projekt für jemanden, der aus dem Studium kommt, dann prägt ein so ein Ereignis vielleicht auch in der beruflichen Weiterentwicklung. 
Vielen Dank. Ich glaube, damit können sie dich auch so ein bisschen einordnen. Dann biegen wir mal so ein bisschen in unser heutiges Thema ein, würde ich vorschlagen. 
Vorbei, hier so in dem klassischen Modus des Interviews mit Fragen und Antworten 

Allgemeines über Cookies

[11:37] weitergehen, würde ich von meiner Seite mal vielleicht ganz kurz so ein bisschen den Kontext zum Thema Cookies und wofür sind Cookies eigentlich da auf Webseiten vielleicht für unsere Zuhörer mal erläutern, beziehungsweise so, dass man da auch was mitnehmen kann. Also, was ist ein Cookie? Von der Definition her, es ist nichts anderes als eine Textdatei, die beim Aufruf einer Webseite vom, Nämlich dort, wo die Webseite betrieben wird, auf das Endgerät des Endanwenders übertragen wird. 
Das kann ein Mobiltelefon sein, kann in dem Fall aber auch ein PC oder ein Laptop sein. 
Laptop sein. Und diese Datei erfüllt den Zweck. 
Dass sie eine eindeutige Zuordnung des Besuchers der Webseite ermöglicht. 
Das heißt, in dieser Textdatei, die idealerweise ein Ablaufdatum hat, wird eine eindeutige ID dem Besucher der Webseite zugeordnet, und ermöglicht es dem Webseitenbetreiber, wenn der Benutzer ein zweites Mal wieder auf die Webseite kommt, nämlich die Information zu haben, hoppla, der war schon mal da. 

[12:38] Und mit dieser Information des wiederkehrenden Benutzers dann natürlich auch bestimmte, ich sag mal, nützliche Funktionalität zur Verfügung zu stellen. 
Also, wir haben alle, glaube ich, das Bild im Hinterkopf, wo man in einem Online-Shop ein Produkt ausgewählt hat, aber entweder zu Hause abgelenkt wurde oder einfach noch nicht entschlossen war, das Produkt zu kaufen und das bleibt dann als solches im Warenkorb und dass der Browser sich merken kann, auch nach einem oder nach zwei Tagen, was er sich damals ausgewählt hat, Das wäre so ein Anwendungsfall, bei dem Cookies im Hintergrund eine Rolle spielen. 
Das kann man aber auch aus Nutzergesichtspunkten noch ein bisschen weiter spannen und sagen, ja, in solchen Cookies lassen sich auch Passwörter tatsächlich merken, oder die Nutzer-Einstellungen, die derjenige für einen bestimmten Filter auf einer Webseite hinterlassen hat, und so weiter, die für einen zweiten Besuch der Webseite entsprechend vorhalten, sodass man das als Benutzer nicht erneut eingeben muss. 

[13:39] Das mal vielleicht so ein bisschen als gedanklichen Kontext. 
Man kann diese Cookies halt als Funktion oder als Werkzeug verwenden, um die nächste Benutzerreise des Nutzers der Webseite zu erleichtern. 
Und man kann sie aber auch zu Marketingzwecken nutzen und sagen, wenn derjenige schon mal da war, was kann ich ihm dann tatsächlich auch an Werbung anbieten, weil ich halt weiß, an welchen Produkten oder an welchen Informationen der Webseite der interessiert war und damit auch relevante Marketing-Informationen oder Unterlagen ihm entsprechend zuzuspielen. 
Ist das auch dein Verständnis, Martin, oder würdest du da noch was hinzufügen wollen, bevor wir hier inhaltlich weiter einsteigen? 
Nö, ich glaube, das passt so zu der Erläuterung von Cookies. 
Absolut. So habe ich es auch verstanden. Sagen wir so. 
Wunderbar. Denn für unsere Zuhörer ist eigentlich in dem Fall einfach nur wichtig, wenn wir hier über Cookies sprechen und jeder hat schon von den rechtlichen Vorgaben, die mit Cookies oder deren Verwendung für uns als Webseitenbetreiber verbunden sind, dass wir als Unternehmer nicht davon entbunden sind, ja, uns auch mit dieser Thematik zu beschäftigen und sagen, wenn wir eine Webseite mit entsprechendem positiven Nutzererlebnis anbieten wollen und dafür Cookies einsetzen, dann ist das an gewisse Vorgaben knüpft. 

[14:54] Und vielleicht würden wir an der Stelle erstmal diese rechtlichen Vorgaben von deiner Seite mal kurz erläutern und dann im Anschluss sagen, okay, gibt es inzwischen auch Alternativen, wo man ohne Cookies ein ähnliches Nutzererlebnis bzw. auch ähnliche Resultate in der Auswertung des Nutzerverhaltens aus Marketingzwecken erreichen kann. Und von daher, Martin, machst du uns einfach mal so einen kleinen Rundumschlag? 

Rechtlicher Rahmen

[15:19] Eine Stunde Monolog vom Anwalt. Vielleicht nicht ganz, aber vielleicht das, was auf einer Meta-Ebene jeder vielleicht schon mal gehört hat und damit eher so ein bisschen Puzzleteile im Kopf zusammenzufügen, denn ich kann gerne in schonenden Stunden nachher auch zu den Details noch eine Verlinkung machen. 
Das ist, glaube ich, nicht unbedingt die Aufgabe, dass wir da auf das letzte Detail gehen. 
Ja, das mache ich gerne. Also zu dem Thema Cookies und Tracking muss man eine Sache wissen, oder man muss mehrere Sachen wissen, aber der entscheidende Punkt ist, dass zwei verschiedene Regelungsbereiche und zwei verschiedene Rechtsbereiche berührt. 
Die eine Frage ist das Thema, darf ich eigentlich ein Cookie setzen? 
Und die andere Frage ist, welche Voraussetzungen, welche Bedingungen gelten für die Arbeit mit den Daten, für die Verarbeitung von Daten. 

[16:13] Die, ich sag mal, bei dem Besuch der Website durch einen User anfallen? 
Hört sich jetzt erstmal so an, als sei das doch genauso. Wir setzen noch ein Cookie und dann fallen irgendwelche Daten an, aber es betrifft zwei unterschiedliche Regelungsbereiche und es betrifft eben auch zwei unterschiedlich anwendbare Gesetze. 

[16:32] Das Thema Cookie ist geregelt im TTDSG, also in dem Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien, wobei wir uns hier in dem Telemedienumfeld bewegen, dort der Paragraf 25 TTDSG. 
Und die andere Frage, ja, was darf ich eigentlich mit den Daten tun, die dort anfallen, ist in der Datenschutzgrundverordnung geregelt, die wahrscheinlich alle deiner Zuhörenden teils leidvoll schon gehört haben, die DSGVO. 

[17:02] Und es gilt auseinanderzuhalten, wie dort die Voraussetzungen sind. 
Ja, der erste Teil TTDSG geht auf die E-Privacy-Richtlinie zurück. 
Also, wenn ihr mal irgendwie gehört habt, E-Privacy und Cookies, da seid ihr an der richtigen Adresse. 
Ja, E-Privacy gibt es eine Richtlinie der Europäischen Union, die einen Passus in Artikel 5 enthält, der bestimmte Aussagen dazu trifft, welche Informationen man auf einem Endgerät speichern darf und welche nicht, ja, oder beziehungsweise, dass es eine Einwilligung bedarf, mal grundsätzlich, wenn man Informationen auf dem Endgerät des Users speichern möchte. Und bei ePrivacy und auch beim TTDSG geht es überhaupt nicht um personenbezogene Daten. Geregelt wird dort die Machine-to-Machine Kommunikation auch, ja, es geht also letztlich um den Schutz des Endgerätes. Auf meinem Handy, was ihr jetzt nicht sehen könnt, ja, soll eben nur Informationen gespeichert werden, wenn ich das erlaube, als Nutzer, oder, und das steht dann eben auch im deutschen Recht so drin, wenn die Speicherung der Informationen in der Einrichtung des Endnutzers, also mein Telefon. 

[18:16] Oder der Zugriff auf dort gespeicherte Informationen, unbedingt erforderlich ist, damit der Anbieter des Telemediendienstes vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann. Das heißt, ePrivacy oder im deutschen Recht Paragraf 25 TTDSG sagt, wenn du Informationen auf dem Endgerät des Nutzers. 

[18:37] Ablegen möchtest, dann brauchst du eine Einwilligung, es sei denn, es ist quasi zwingend erforderlich, um den Dienst anzubieten. Jetzt hättest du ja bei deiner Erläuterung, was sind Cookies schon Beispiele genannt und gesagt, naja… 
Es ist schon schön für ein Einkaufserlebnis, wenn ich meine Jeans in den Warenkorb bei Zalando tue, dass nach fünf Minuten, wenn ich irgendwie an den Rechner wiederkomme oder noch nach Kleidern für meine Tochter gesucht habe. 

[19:06] Der Rechner noch weiß, dass ich gerade eine Jeans in den Warenkorb getan habe und möglichst auch welche. 
Ja, also eine Information, aha, das ist dieser Nutzer, der diese ID von uns bekommen hat, das erkennen wir an dem Cookie, ein Session-Cookie, ja, was über die, jedenfalls mal für die Dauer meines Session auf der Website, die entsprechende Information enthält. 
Ein typischer, der Prototyp-Beispiel für ein zwingend erforderliches Cookie, damit eben der Dienst hier in dem Fall, ich möchte gerne shoppen und da ein vernünftiges Kauferlebnis haben, erbracht werden kann. 
Auch wenn ich eine Personalisierung vornehme, ja, heutzutage Bundesliga, Tabellenrechner, alle rechnen wie verrückt, also du, Herr Taner, nicht mehr, aber alle anderen, ja, welche Möglichkeiten gibt es jetzt, dass mein Team da irgendwie nächste Woche auf diesem oder jenem Platz steht? 
Und dann ist natürlich schon schön, wenn ich den Tabellenrechner nicht jedes Mal von Anfang an wieder ausfüllen muss, sondern sich kicker.de merkt, wer ich bin. 

[20:11] Auch eine Information, ja, dann ist auch die ID, die dort in einem Cookie im Zweifel gespeichert wird. 

[20:17] Dringend erforderlich, damit der Dienst erbracht werden kann. 
Eine völlig andere Frage ist, und dann, oder vielleicht den Ausflug doch noch, die Vorschrift, sowohl in der ePrivacy-Richtlinie, als auch in 25 TTDSG versucht, technologieneutral zu sein. 
Das heißt, das Wort Cookie taucht da kein einziges Mal auf in dem Gesetz, sondern es geht generell um das Speichern in der Endeinrichtung des Nutzers, ja, ob das in einem, ich sag jetzt Local Storage oder im Browser Cache oder in einer Textdatei, wie es ein Cookie ist, ja, ist egal, solange irgendeine Information im Endgerät gespeichert wird oder von dort ausgelesen wird und die Einzelheiten, haben wir ja gesagt, müssen wir außen vor lassen, da gibt es sicherlich immer noch einen großen Graubereich, aber der Grundsatz ist, dass all diese Speicherungen und Auslesen unter die Norm fällt und damit grundsätzlich mal einwilligungsbedürftig ist. Es sei denn, wir haben eben die Besonderheiten zwingend notwendiges Cookie. 
Und jetzt den Bogen noch mal zu DSGVO, der zweite Aspekt. 

[21:25] Alle Daten, die dort anfallen, sind personenbezogene Daten. Jedenfalls, wenn es so ist wie in deinem Intro, dass es gerade darum geht, die Leute wiederzuerkennen, dass es darum geht, denen eine ID zu geben, und ob die jetzt in einem Cookie gespeichert sind, oder ob ich eingeloggt bin, und der Website-Betreiber deshalb weiß, wer ich bin, oder sonst woher weiß, über ein Fingerprint-Verfahren, weiß, dass es sich um diese gleiche Person handelt. 
Alle Daten, die zu dieser Person anfallen, mögen sie auch noch so irrelevant scheinen, sind Daten mit Personenbezug. Und immer, wenn wir personenbezogene Daten haben, ist die Datenschutzgrundverordnung anwendbar. 
Und die hat einen erheblichen Grundsatz, nämlich das Verbotsprinzip. 
Der legt fest, Artikel 6 der DSGVO legt fest, die Verarbeitung personenbezogener Daten ist verboten. 
Es sei denn, es findet sich eine Rechtfertigungsgrundlage. 
Und da ist die Einwilligung, über die wir schon gesprochen haben oder in Marketing Sprache des Opt-in. 

[22:32] Eine Möglichkeit unter mehreren. Ja, wären wie gesagt dann bei den Cookies entweder… 
Einwilligung oder zwingend erforderlich, sonst brauche ich immer die Einwilligung, gibt es in der DSGVO mehrere Möglichkeiten, wie ich eine Datenverarbeitung rechtfertigen kann. 
Die regelt ja auch mehr, macht ja auch Sinn, ne? Also, die regelt ja nicht nur Cookies oder die Verarbeitung von Daten, die auf der Website anfallen. 
Ja, da gibt es zum Beispiel, das werden viele von euch schon mal gehört haben, die berechtigten Interessen und irgendwas mit Interessenabwägung, Aber an dieser Stelle reicht vielleicht zu sagen, dass man unterscheiden muss. 
Die Privacy, die DSG Cookie Einwilligung von DSGVO. Ja, es gibt auch Datenverarbeitungen, die mit berechtigten Interessen gerechtfertigt werden. 
Nämlich immer dann, wenn die Interessen des Unternehmens, das die Daten erhebt, die Interessen der Betroffenen, so heißen wir alle im Datenschutz, die Interessen der Betroffenen nicht unterschreitet. 
Immer dann dürfen wir die Daten auch zu dem jeweiligen Zweck verarbeiten. 

[23:39] Lange Rede, kurzer Sinn. Zwei Rechtsbereiche auseinanderhalten. 
Ja, es gibt den Fall, ich habe ein Opt-in für einen Cookie und brauche dann kein Opt-in für die damit verbundene Datenverarbeitung, zum Beispiel, weil ich sie auf berechtigte Interessen stützen kann, die Datenverarbeitung. Es gibt auch den Fall Tracking ohne Cookies, Cookies, über den willst du ja gleich noch sprechen, ja, und es gibt aber auch den Fall, wo wir ein zwingend Notwendigkeits-Cookie haben und deshalb ein Opt-in nicht brauchen, im Rahmen der DSGVO dann aber bestimmte Datenverarbeitungsvorgänge doch auf eine Einwilligung stützen müssen, weil wir keine andere Rechtsgrundlage finden. Und wie gesagt, DSGVO, da ist nicht die Frage zwingend erforderlich oder nicht, sondern da ist die Frage, finden wir eine Rechtsgrundlage, zum Beispiel, weil wir die Datenverarbeitung zu Vertragszwecken brauchen, etc. 

[24:32] Aber das war auch für mich nochmal, glaube ich, gut, um das im Kopf nochmal sortiert zu bekommen. 
Und jetzt versuchen wir mal, den Kontext von dem Podcast heute zu verstehen. 
Denn wir als Einzelunternehmer fragen uns natürlich, okay, wir sind jetzt vielleicht nicht der Online-Händler Zalando

Cookiefreies Tracking

[24:47] und haben damit auch einen anderen unternehmerischen Sinn für den Betrieb unserer Webseite. 
Und da kann es ja durchaus legitim sein, dass man sagt, warum sollte ich mit Kanonen auf Spatzen schießen? 
Kann ich mich mit einer Webseite, die das Thema Lead-Generierung als oberes Unternehmensziel hat, kann ich mich damit vielleicht auch bewusst ein bisschen schlanker aufstellen und sagen, bestimmte Tracking-Mechanismen brauche ich gegebenenfalls nicht und sind dann Lösungen, wie sie beispielsweise Matomo, es ist keine Schleichwerbung, sondern es ist halt eine Standard-Software, die angeboten wird, die halt auch eine Möglichkeit des cookie-freien Trackings ermöglicht, ist sowas eine Maßnahme, die sinnvoll ist für uns Einzelunternehmer, beziehungsweise kann ich mit der Information, dass ich beispielsweise im Kontext dieses cookiefreien Trackings nur ein kürzerer Zeitraum, so habe ich es verstanden, nämlich der Einzelbesuch des Benutzers bewertet wird und ich damit eigentlich nur sagen kann, war er da, auf welchen Seiten war er, welche Form der Interaktion er getätigt hat, ist dann auf den jeweiligen Besuch beschränkt. 

[25:56] Und die Möglichkeit, ihn über mehrere Webseiten zu verfolgen und damit auch so im Marketing-Kontext ein Retargeting zu machen, solche, sag mal, ausgereiften Arten des Marketings ist für mich als Unternehmer gegebenenfalls nicht relevant, dann kann ich natürlich auch über so eine Möglichkeit nachdenken. 
Und das würde ich gerne mit dir auch mal spiegeln, Martin, um zu sagen, Wenn jemand jetzt sagt, okay, ich kehre einem klassischen Tool, wie Google Analytics, dort den Rücken und gehe Richtung Matomo. 

[26:30] Ja, also für mich als Anwalt und Rechtsberater ist ja immer nur dann möglich, eine belastbare Aussage zu treffen, wenn die Fakten klar sind, ne? 
Und wenn der Fakt ist, ich setze keine Cookies und ich speichere auch sonst keine Informationen auf dem Endgerät des Nutzers, dann brauche ich kein Cookie-Opt-in. 
Ja, so einfach ist es. 
Ob man mit, äh, so, und wenn’s jetzt heißt, ja, Matomo Cookie Lists einsetzen und dann könne man trotzdem tracken, ist meine Gegenfrage, also, ja, dann ist meine Antwort als Rechtsberater einfach, ja, super, wenn das geht, macht das doch so, dann brauchst du keinen Cookie Banner. 
Ja, wenn es so ist, dass du keine, dann brauchst du jedenfalls für den Cookie keine Cookie-Banner. 
Ob man dann wegen der Daten trotzdem einen Cookie-Banner braucht, ist die nächste Frage. 
Ja, bloß dann ist die Frage, woher kommen denn dann die Informationen? 

[27:34] Ich glaube, dass man ein bisschen aufpassen muss, was die Versprechungen insbesondere von Matomo angeht und ein bisschen auseinanderhalten muss, die verschiedenen Themen, die es dort gibt. 
Thema 1, ja, was wir jetzt ein bisschen mitschwangen, das kannst du ja auf deinem Server installieren, oder bei deinem Web-Poster laufen lassen und musst es nicht ans böse Google, ins böse Amerika schicken. 
Das ist ja eigentlich der wesentliche Punkt, der dort ins Feld geführt wird. 
Hat exakt nichts damit zu tun, ob ich ein Cookie-Opt-in brauche oder nicht. 
Wenn ich eine Information auf dem Endgerät des Nutzers hinterlasse, brauche ich ein Opt-in, 25 TTDSG, es sei denn, dass die Information, die ich dort speichere, ist zwingend erforderlich, um den Dienst anzubieten, was es nicht sein wird, wenn es mir um Lead-Generierung und um Tracking dessen geht, was die Leute auf meiner Website machen. 
Das heißt, ich brauche dort trotzdem ein Cookie-Opt-In, wenn Cookies gesetzt werden. 
Wenn keine gesetzt werden, brauche ich das für das TTDSG nicht. 
Dann muss ich aber schauen. 
Zweiter Punkt, ja, die damit einhergehende Datenverarbeitung, finde ich dort eine Rechtfertigung. 

[28:45] Ich glaube, du triffst hier den Nagel auf den Kopf. Ich würde gerne für alle, die hier zuhören, das nur in die richtige gedankliche Ecke bringen wollen. 
Also, wir beschäftigen uns hier mit einem Thema, wo ich glaube, dass jeder Unternehmer davon mal Notiz nehmen sollte, dass es diese technische Möglichkeit gibt. 
Und ich möchte mit unserer Unterhaltung einfach einen Beitrag dazu leisten, dass auch diese technische Möglichkeit natürlich mit Vor- und Nachteilen versehen ist. 
Und wenn wir von unserer Seite da mal dazu beitragen können, diese Vor- und Nachteile so ein bisschen hochzubringen, ja, aus rechtlicher Sicht, aber auch aus Marketing-Sicht, ich glaube, dann haben wir heute schon unser Ziel erreicht. 
Ich habe so eine Neun-Punkte-Liste gefunden. 
Und da steht drüber Anforderungen an cookiefreies Tracking. Und ich würde die gerne mal mit dir durcharbeiten. 

[29:33] Ich lese diese Liste so, dass wenn diese neun Punkte erfüllt sind, muss man eine Einwilligungserklärung im Vorfeld einholen. 
Also das ist jetzt meine Arbeitshypothese für die Diskussion. 
Ja, und ich würde gern mal mein Verständnis zu diesem Angebot von Matomo gegen diese neun Punkte einfach mal gedanklich dagegen halten. 
Wenn jemand beispielsweise seine Nutzerdaten mit diesem Dienst von Matomo auf dem Webserver seines Posters speichert und mit diesem Webposter schon eine Auftragsdatenverarbeitung, solchen Vertrag, der auch den Anforderungen der DSGVO entspricht, beziehungsweise dort die relevanten Inhalte berücksichtigt, dann wäre aus meiner Sicht mal der erste Punkt erfüllt. Der zweite Punkt, da geht es um um den sogenannten Zweckbezug. 

[30:29] Und da geht’s darum, ob der Tracking-Anbieter, in dem Fall Matomo, ob der diese Daten tatsächlich nur dann speichert oder die Daten nur dafür nutzt, tatsächlich mir das Nutzerverhalten meiner Webseiten-Besucher dort auch diese Auswertung zu ermöglichen. 
Und kurzer Einwurf, Jan, also Zweckbezug, AV-Vereinbarung. 
Wir hatten ja, nur dass ich’s einmal gesagt habe, und jetzt nicht die Dinge durcheinander gehen, Wir hatten ja gesagt, ja, ich installiere Matomo lokal. 
Das ist eines der Hauptargumente, warum das jetzt besser ist als Google Analytics. 
Wenn ich Matomo lokal installiere und als Software nutze, die nicht im Internet läuft, sondern auf meinem Rechner oder beziehungsweise bei meinem Web-Poster, kriegt ja Matomo überhaupt keinen Zugriff auf die Informationen. 
Das heißt, da braucht es natürlich auch keine AV-Vereinbarung mit Matomo, weil Matomo ja gar keine personenbezogene Daten noch dazu in meinem Auftrag verarbeitet. 
Da brauche ich auch keine AFAO-Vereinbarung. 

[31:29] Der zweite Punkt ist sehr wichtig. Der Zweckbezug, den du genannt hast, der richtet sich erstmal an den Verantwortlichen, also an uns als Betreiber der Website. 
Auch ich darf die Daten nur zu dem Zweck verarbeiten, zu dem sie erhoben worden sind. 
Da muss man also vorher Gedanken machen, welche Zwecke habe ich und welche Auftragsverarbeiter einsetze, zum Beispiel auch meinen Webposter oder eben mein Tracking-Anbieter, dann darf der oder die natürlich die Informationen, solange wie sie, Personenbezug haben, also nicht anonymisiert sind, nicht zu eigenen Zwecken verwenden. Das ist richtig, ja. 

[32:07] Ja. Sehr gute Präzisierung. Jawohl, das passt. Dann das Thema persönliche Identifizierbarkeit. 
Ich glaube, hier ist so ein bisschen so eine neuralgische Stelle, würde ich sagen. 
Soweit ich das verstanden habe, werden tatsächlich Hash-Werte generiert mit der Matomo-Software, die Informationen rund um den verwendeten Browser und dessen Version, also ich weiß nicht genau, ob das schon technisch ein Fingerprinting ist, ja, oder ob diese Hash-Wert-Generierung, die, ich sag mal, das Pendant einer ID in einem Cookie wäre, ob die damit gleichzusetzen ist, das kann ich an der Stelle nicht bestätigen, aber letztlich geht es darum, Lässt sich der Benutzer durch die Generierung von einem solchen Hash-Wert, lässt sich der Benutzer durch den Besuch der Webseite damit eindeutig identifizieren? 
Da ist dann der Graubereich, fängt der Graubereich an, von dem ich vorhin kurz gesprochen hatte, inwieweit das sozusagen Auslesen von Informationen, die beim Surfen nun mal bei dem Website betreiben oder dessen Hoster anfallen, zum Browser, zur Browser-Version und so weiter, dort stellen sich die Datenschutzaufsichtsbehörden auf den Standpunkt, also, Ja, ich darf diese Information nutzen, um zum Beispiel die Sprache einzustellen, richtig, aber ich darf die Information nicht aggregieren. 

[33:25] Um sie ID-gleich zu verwenden, weil, ja, das wäre dann wieder ein Auslesen von vorhandenen Informationen, mit der Folge, dass ich schon ein Cookie-Opt-In brauche. Und die zweite Frage, persönliche Identifizierbarkeit, ja, es ist nicht erforderlich, dass ich weiß, es war Herr Müller oder Frau Schulze, um Personenbezug herzustellen. Es reicht, dass ich weiß, das ist ID 00473, die letzte Woche oder vor sieben Jahren oder vor sieben Minuten oder vor sieben Sekunden bei mir auf der Website war und dieses Item in den Warenkorb gelegt hat oder den Newsletter doch nicht abonniert hat. 
Das heißt, es reicht, wenn ich weiß, dass diese Person schon mal da war. 
Bin ich schon drin. Ja, dann ist es letztlich rechtlich gesprochen im Pseudonym, was ich dort habe. Diese ID, die dann eben unter, was weiß ich, Hashwert-Bildung entstanden ist. Und schon bin ich drin in der DSGVO. Und schon brauche ich eine Rechtfertigungsgrundlage nach der DSGVO, unabhängig davon, ob ich jetzt ein Cookie Opt-in einholen musste oder nicht. Auch das gilt natürlich allgemein und ist egal, ob Cookieless oder nicht.
[34:41] Ein wichtiger Punkt. Valide.

Wenn’s okay ist für Dich, springen wir mal zu Punkt 4, also das Thema Opt-out. 
Wir haben, Du hast vorhin schon über Opt-in gesprochen, aber hier ist es dann wohl so, in der Argumentation, dass, wenn ich mal davon ausgehe, ich habe zu Beginn keine Einwilligung eingefordert, dann brauche ich aber dennoch, beispielsweise über meine Datenschutzerklärung, die Möglichkeit, dass jemand sagen kann, ich guck mir das an, welche Form von Tracking führt diese Seite durch, Und hab dann in der Datenschutzerklärung die Möglichkeit, den Haken da rauszunehmen. 
Und zu sagen, ich möchte das aber dennoch nicht. 
Genau. Also, auch das ist richtig. Ja, es gibt… 

[35:24] Jedes erteilte Opt-in muss, und zwar so einfach, wie die Opt-in-Erteilung war, auch wieder zurückgenommen werden können. 
Ja, das ist das Thema Widerruf. 
Und dann habe ich das Thema Widerspruch. Ja, da habe ich gar keine Äußerung getätigt, das ist jetzt dein Case. 
Ich habe eben kein Opt-in erteilt, muss aber trotzdem die Möglichkeit haben, mein Opt-out zu erklären, wenn, ja, wenn die Datenverarbeitung auf 6.1.f DSGVO gestützt wird und es um Direktmarketing geht. 
Es gibt natürlich Datenverarbeitungsvorgänge, die auf 6.1.f gestützt werden, wo es dieses Widerspruchsrecht nicht gibt, im Online-Marketing und alles, was wir auf unseren Websites machen, wird es fast immer der Fall sein, dass ich in der Tat ein Opt-out anbieten muss. 
Auch hier, egal, ob es jetzt cookiebasiert oder sonst wie ist, es kommt aus der DSGVO, ich werde es auch aus der DSGVO. 
Und deshalb brauche ich dann opt-out. 
Ob es reicht, es in der Datenschutzinformation, ich sage jetzt mal, böse zu verstecken, oder ob ich nicht eine gesonderte Möglichkeit brauche, ja, im Gesetz steht, dass man darauf gesondert hinweisen muss. 
Natürlich findet es fast immer in der Datenschutzerklärung statt. 
Aber so ganz klar ist es nicht. Datenschutzaufsichtsbehörden hätten es lieber quasi auf der Startseite oder in dem Banner, wenn es denn einen gäbe. 

[36:41] Bis dann! 
Also auch hier gibt es keine, verstehe ich das richtig, keine klare Anforderung, wo man sagt, es muss auf einer, selbst wenn es nur ein Opt-out ist, es muss auf einer dedizierten Einblendung zu sehen sein, also da gäbe es keine konkrete Vorgabe. 
Habe ich das richtig verstanden? 
Es gibt dort keine, also für diesen Case kein Cookie wird gesetzt und wir tracken aber trotzdem und bieten eine Opt-out-Lösung an für dieses Tracking, wo dieses Opt-out unterzubringen ist. 
Es gibt keine Rechtsprechung, wie für viele dieser Sachverhalte, es keine Rechtsprechung gibt. 
Wie gesagt, wer es ganz richtig machen will, der muss das Opt-out irgendwie einfach accessible haben. 
Ja, wer da die Datenschutzerklärung packt, macht sicherlich nichts grundsätzlich falsch. 
Der handelt jedenfalls besser als Leute, die gar keine Opt-out-Möglichkeit haben. 
Ja, ja klar. Wunderbar. Dann, ich versuche mal ein bisschen schneller hier durchzukommen, IP-Anonymisierung, das ist ein Feld, was ich jetzt selber aus der Konfiguration beim Matomo kenne, das ist tatsächlich dann ein Fleck, den man dort neben dem, dass man sagt, man möchte Cookieless den Analytics-Dienst nutzen, da auch hier die Anonymisierung der IP-Adressen zu aktivieren, das ist dort zumindest in den Einstellungen möglich und kann aktiviert werden. 

[38:05] Eine ganz interessante Facette finde ich den hier, dass man auch respektieren muss, dass Nutzer vielleicht über ein Plugin in ihrem Browser schon sagen, ich möchte alles was an Tracking, egal welche Webseite, das möchte ich per Default deaktivieren, dann muss die Webseite auch in der Lage sein, dieses Bedürfnis des Nutzers zu reflektieren und müsste, wenn ich das jetzt richtig lese, dieses Opt-out-Flag in der Datenschutzerklärung damit auch automatisch setzen, beziehungsweise auch, egal ob es jetzt cookie-basiert oder cookie-frei ist, dieses Tracking deaktivieren. Lese ich das richtig? 

[38:42] Ja, ob das so stimmt, ist die nächste Frage. Ein wirklich durchgesetztes Do-Not-Track gibt es ja nicht. 
Ja, das, das, ähm, und dass jedes Umgehen eines Do-Not-Track, äh, tatsächlich immer illegal wäre, kann man so auch nicht sagen. 
Das ist etwas, woran die Werbewirtschaft seit Jahren arbeitet. 
Äh, und so ganz einheitliche Standards gibt’s nicht. 

[39:05] Verstanden. Wenn’s Thema Profilbildung, haben wir grad schon gesprochen. 
Ich glaube, hier ist nicht bloß, ob ich das mache, sondern bei Profilbildung auch die Frage, wie lange, oder? 
Kannst du da vielleicht mal noch so ein bisschen Licht ins Dunkel bringen? 

[39:16] Also, Profilbildung ist so ziemlich das heißeste Thema, was wir jetzt in dem letzten Jahr beraten haben. 
Meist ja jenseits von Cookies oder IDs, sondern tatsächlich im Sinne von, ich weiß, wer die Nutzerin, wer der Nutzer ist und bilde dann und versuche herauszufinden, für welche Art Werbung spricht dieser User besonders an. 
Also in deinem Thema Liedgenerierung. Ich habe den Lied und versuche jetzt anhand dessen, was ich sonst noch weiß über den potenziellen Kunden, meine Werbung zuzuschneiden auf diesen Kunden. 
Und ab wo man da eine Einwilligung braucht und was vielleicht ohne Einwilligung geht, ist einigermaßen umstritten. 
Es gibt ein Bußgeld zum Beispiel gegen eine Bank in Hannover wegen der Profilbildung. 
Also, das ist ein heißes Pflaster, wer sich dahin wagt, ja, der sollte sich tatsächlich beraten lassen. 
Ich glaube, dass, ja, und da ist es auch zweifelhaft, ob man da einfach mit einem Cookie-Banner oder mit einem, irgendeiner Formulierung in einem Content-Management-Tool man diese Einwilligung, die es da vielleicht braucht, einholen kann. 
Heißes Thema, das Thema Profilbildung und nicht mit zwei Sätzen zu beantworten. 

[40:42] Weil die auch fair, ich mag dich da nicht irgendwie auf dem Glatteis bringen, aber ich glaube, das reicht vom Kontext und unseren Zuhörern, nochmal die Punkte ein bisschen näher zu bringen. 
Den Punkt 8 haben wir schon indirekt mit dem Punkt 1 kurz adressiert, also wir speichern die Daten bei meinem Web-hoster, der dann in Neuseeland sitzt. 
Hier bitte jeder weiß, wo sein Hoster die Daten verarbeitet, dann wäre der Punkt erfüllt. 
Da muss ich kurz einhaken. 
Richtig ist, dass jeder Transfer von personenbezogenen Daten außerhalb der Europäischen Union einer gesonderten Rechtfertigung bedarf. 
Es ist aber absehbar, ja, und zurzeit, das geht ja fast immer um die USA, ja, dass es zurzeit keine einfache Möglichkeit gibt, keine einfache Garantie gibt, dass Daten innerhalb der USA sicher sind. 
Facebook hat gerade heute ein Bußgeld von 1,2 Milliarden Euro aufgebrummt bekommen von der irischen Datenschutzbehörde, weil sie Daten ins EU-Ausland transferieren. 

[41:39] Das wird sich aber noch dieses Jahr ändern. Dann bekommen wir einen Angemessenheitsbeschluss für die USA und dann ist die Datenübermittlung an Unternehmen, die dem Privacy Shield unterworfen sind, wieder legal möglich. 
Und dann ist es mit Verlaub Wurst, ob ich die Daten an Matomo, ein neuseeländisches Unternehmen, oder an ein Unternehmen mit Sitz innerhalb der EU transferiere, an Hetzner und Strato oder an AWS, Microsoft oder Google. 
Also, diese Fixation auf EU ist mir manchmal ein bisschen zu schnell, auch wenn natürlich richtig ist, dass es einfacher ist, einen Datentransfer an einen Dienstleister zu rechtfertigen, der innerhalb der EU sitzt. 

[42:28] Okay. Auch hier präziser, ich fand hier nicht anders erwartet. 
Ich mein, es ist ja dein Job, in dem Fall da auch drauf hinzuweisen. 
Und der letzte Punkt, da muss ich ehrlich sagen, holt mich so ein bisschen auch meine Historie in der Wirtschaftsprüfung ein. 
Ich kann mich natürlich nicht darauf verlassen, dass Dinge, die auf einer Webseite stehen, dann auch bei einem Kooperationspartner einfach auch dann umgesetzt werden, sondern ich bin als Unternehmer auch dazu verpflichtet, mich davon zu überzeugen, dass das tatsächlich so gemacht wird. 
Das eine ist dann, habe ich das bei meinem Anbieter selber prüfen können, das kann ich in den wenigsten Fällen tun, aber auf der anderen Seite kann ich sehr wohl ein brechendes Zertifikat oder ein unabhängiges Siegel einfordern, wo ich sage, okay, passt das zu dem, was in meiner Auftragsdatenverarbeitung in dem Fall für den Hoster steht, um da auch mich als Unternehmer abzusichern und nicht zu sagen, ja, ich hab dem geglaubt, was da auf der Webseite steht. 

[43:21] Also, ich glaube, dass diese Liste, was ich habe, ist die aus deiner Sicht vollständig oder haben wir irgendwas wichtiges vergessen damit Martin? 
Verfolgt einen anderen Ansatz, als ich ihn verfolge. Ja, ich habe ja gesagt, man muss beim ttdsg gucken. 
Werden dort Informationen gespeichert? 
Wenn ja, ist die nächste Frage, ist es erforderlich zur Dienste? 

[43:42] Ja, dann würde man sagen Ja, nein. Ja, und dann brauche ich ein Opt in. 
Und die zweite Frage ist, was mache ich mit den Daten? 

[43:50] Wenn ich ohne ohne Cookies Profile bilden kann, dann werde ich trotzdem eine Einwilligung brauchen. 
Insofern sind das alles valide Punkte. Aber es ist nicht so, dass der Hauptpunkt ist, brauche ich ein Opt-in oder nicht. 
Martin, korrigiere mich, wenn ich das falsch sehe. Wir sehen auch, dass mit so einem Cookieless-Tracking, wo ich das Ziel habe, am Anfang den Nutzer auf meiner Webseite nicht mit einer Einwilligung zu stressen, dass ich dann auf bestimmte Dinge rund um Wiedererkennung, rund um Retargeting einfach verzichte. 
Wer das für sich als Anwendungsfall akzeptieren kann, hat hier sicherlich auch eine Möglichkeit, wo er mit vermeintlich einfacheren Mitteln, ja, dann auch ein Gefühl für das Verhalten seiner Nutzer bekommen kann. 
Ich würde noch vielleicht zwei Sachen einschieben, Martin, und dann sind wir, glaube ich, mit unserer Zeit auch schon gut fortgeschritten. 
Das eine wäre, ich nehme mal ein Beispiel, eine Kundin, die bei Instagram unterwegs ist und möchte mit einem Embedding Posts von einer Drittplattform anzeigen. 
Dann bin ich natürlich gleich in einem anderen Diskussionsthema drin. 
Und dann brauche ich vielleicht dieses Copy Banner nicht für mich selbst, sondern für die Inhalte, die ich auf meiner Seite bereitstelle. 
Die dann über ein Fenster beispielsweise so anmuten, als hätte ich sie tatsächlich auf meinem Webserver. 
Sie liegen aber ganz woanders. 
Was ist da vielleicht noch für eine Sichtweise aus unternehmerischer Sicht für dich wichtig, die man hier mal auch mit reinwerfen kann. 

[45:18] Ja, also da öffnen wir jetzt noch ein weiteres Feld, da geht’s vor allem um die Übermittlung von IP-Adressdaten an Dritte, ne, an, in deinem Fall Instagram, an Google für Google Maps, an YouTube, also an Google für YouTube-Videos, an den Börsendienst oder den Provider der lokalen Tageszeitung, der die Fußballergebnisse in meine Website einbindet, oder den Ad-Server, Punkt, Punkt, Punkt, also hunderte Möglichkeiten, die es da gibt, Drittinhalte einzubinden. 
Ich muss mir tatsächlich jeden Inhalt, der auf meiner Website ausgeliefert wird, ja, anschauen, kann ich dort vielleicht die Übermittlung an den Dritten technisch ausschließen, indem ich einen Datensparsam-Modus verwende, Und eben erst, wenn die Leute klicken, tatsächlich eine Verbindung aufbauen. 
Uralte Diskussion. Facebook-Like-Button. Da kommt es VW-90er-Jahre, aber ganz langsam nicht her. 
Ja, und ja, oder eben rechtliche Maßnahmen, dass ich dort eine Einwilligung abfrage in dem Moment, wo die Leute, auf die Inhalte klicken oder eben dann doch einen allgemeinen Banner mache, der eben auch diese, die Integration von Drittinhalten. 

[46:28] Zu zulasse. 
Es ist kompliziert, und so eine One-Size-Fits-all-Lösung gibt es leider nicht, das ist so. 
Und wer, vielleicht ist auch, du hast es gerade schon gesagt, aber auch das noch mal ganz klar gesagt, wer sowieso mit diesen Sachen nichts tut, der braucht auch kein Tracking-Tool einzusetzen. 
Ja, ich brauche keine Matomo-Instanz oder eine Analytics-Instanz, wenn ich dort nur einmal im halben Jahr reinschaue, dann scheitert es schon an der Notwendigkeit der Datenverarbeitung, die damit verbunden ist, ja nur, weil irgendeine Agentur sagt, das ist jetzt aber cool, das brauchst du. Wenn man feststellt, man tut mit diesen Daten nichts, dann ist auch Unsinn, dort Daten durch die Weltgeschichte zu schicken. Und das Gleiche gilt eben für das Senden von Informationen an irgendwelche Drittanbieter auf der Website. 
Absolut. Ich würde nicht sagen, Schlusswort, ja, aber ich glaube, das macht’s nochmal rund, ja, im Sinne von, ich hab hier eine Alternative, die im Markt angeboten wird, die vermeintlich Vorteile bietet, um sich die Einblendung einer rechtlich vorgeschriebenen Notifikation dort zu entziehen. 

[47:39] Und jetzt spricht so ein bisschen der SEO in mir. Komme ich damit vielleicht zurecht, dass ich einfach nur die Search-Konsole von Google verwende, in der ich Informationen so qualitativer Natur bekomme, sag, mit welchen Suchbegriffen kommen die Leute auf meine Seite. 

[47:55] Das kann mir in einem Online-Marketing helfen, um die richtigen Inhalte mit den richtigen Begrifflichkeiten zur Verfügung zu stellen und nutze vielleicht auf der Ebene, das dann bedarfsgerechter als mit noch einer zusätzlichen Tracking-Lösung. 
Also, ich glaube, das ist ein ganz guter Punkt, zu dem wir hier jetzt am Ende kommen. 
Würdest du noch was ergänzen wollen? Ich glaube, es ist hinreichend deutlich geworden, dass ich kein Freund von Marktschreierei bin, ja. 
Hinterfragt, wenn ihr Tools einsetzen wollt, deren Aussagen zum Datenschutz, ja, und sowohl technisch als auch rechtlich. 
Im Zweifel, ja, schaut, was ihr wirklich braucht. 
Und schaut, dass ihr dann ein genau dafür zugeschnittenes Opt-in einholt. Das wird im Zweifel besser sein. Und wenn ihr, wenn ihr Lead, was ja dein Case war, Leadgenerierung ernsthaft betreiben wollt, dann werdet ihr wissen wollen, was ist das für eine Nutzerin, für einen Nutzer. Da müsst ihr nicht wissen, das ist Frau Müller. Ihr müsst nicht mehr das Geschlecht wissen. Es reicht, dass ihr wisst, ah, das ist die Person, die an dieser Stelle letztens nachts abgebrochen hat. Heute ist morgens, neue Chance, neues Glück. Jetzt kann ich doch vielleicht diese Information ausliefern. Lieber Martin, wenn jemand sich für dein Thema interessiert, wenn die mit dir Kontakt aufnehmen wollen. Was wäre ein guter Kanal, wo erreicht man dich am besten? 

[49:18] Man erreicht mich praktisch ausschließlich per E-Mail. Schirnbacher.at.herding.de ist das Mittel der Wahl. 
Ja, schickt nicht Facebook-Nachrichten oder Instagram-Nachrichten oder WhatsApp-Nachrichten, die lese ich viel zu spät. 
Einfach per E-Mail kontaktieren und sich bewusst sein, dass die Dinge manchmal nicht so einfach sind, wie man sie gerne hätte. 
Das ist leider so. Da wäre es, auch das noch als Schlusswort vielleicht, hätte ich es gerne anders und gerne einfacher, aber so ist die Rechtslage nun mal. 
Und eines ist auch klar, die Datenschutzaufsichtsbehörden und auch die Verbraucherorganisation werden die Dinge immer im Sinne der Nutzerinnen und Nutzer auslegen und es den Unternehmerinnen und Unternehmern eher schwer machen, dort ohne ein sauberes Opt-in-Daten, welche Art auch immer, zu erheben und zu verarbeiten. 

[50:19] Das würde ich als Schlusswort an dieser Stelle einräumen. Und ich würde deine E-Mail-Adresse, wenn das in Ordnung ist für dich, in den Show-Notes verlinken. 
Auch den Podcast, über den wir im Vorfeld gesprochen haben, den würde ich auch noch mal als komplementärer Inhalt zur Verfügung stellen. 
Und dann würde ich sagen, lieber Martin, auch im Namen der Zuhörer für diese Folge, Ganz vielen Dank für das tolle Gespräch und für deine weitere Arbeit mit den Mandanten wünsche ich dir ganz viel Erfolg und immer ein gutes Händchen für die Balance zwischen Interesse, vom Nutzer, dem Marketer und auch den rechtlichen Vorgaben. 
Ja, vielen Dank, lieber Jan, vielen Dank für die Chance hier hoffentlich für ein bisschen Licht im Dunkeln zu sorgen und nicht nur schlechte Laune. 
Es ist sehr gut gelungen. Vielen Dank, Martin. 

[51:02] Music. 

Resümee

[51:09] Übrigens, nach dem Gespräch hat mir Martin noch eröffnet, dass er in vielen dieser Fragen, nur ungern in der Haut von uns Einzelunternehmern stecken möchte. 
Aus meiner Sicht hatte er doch während der Folge sehr klare Leitplanken zum Finden der richtigen Antworten aufgezeigt. 
Es gilt also zunächst zu klären, welche Informationen über den Nutzer und sein Verhalten auf der Webseite nötig sind, um das Ergebnis unserer Online-Marketing-Aktivitäten gezielt zu steuern und dann zu optimieren. 
Dann wissen wir auch, ob wir dafür überhaupt eine Analytics-Lösung brauchen und wenn ja, dafür ein Cookie-Banner erforderlich ist. 
Wer sich für eine Analytics-Lösung entscheidet und über cookiefreies Tracking nachdenkt, der findet in den Shownotes auch nochmal die besprochene 9-Punkte-Liste. 

[52:09] Statt einem Erfolgsrezept habe ich diesmal eine Entscheidungshilfe in den blauen Kasten, der Folgenseite eingefügt. 
Hierin wird gegenübergestellt, was mit und ohne Cookie-Banner als rechtlich zulässig erachtet werden kann. 
Feedback, Tipps und Anregungen zur Folge bitte, wie immer, über das Kommentarfeld unten oder per E-Mail an jan.webgefährte.de Ich freue mich drauf. 
Bleiben Sie mir gewogen und sind Sie auch beim nächsten Mal wieder dabei, wenn wir ein neues Erfolgsrezept zusammenstellen. 
Bis dahin wünsche ich eine gute Zeit und allzeit gute Rankings. Ihr Jan Czichos. 

Show notes

  • Gast: Martin Schirmbacher
    • Kontakt: schirmbacher(at)haerting.de
  • Begriffsklärung:
    • Im Kontext einer Website werden in Cookies (englisch „Keks“) Informationen als Text gespeichert und auf dem Endgerät des Betrachters (PC, Laptop, Smartphone, Tablet usw.) gespeichert. Die Textdatei enthält Daten (z.B. aus Formularen), die der Nutzer im Rahmen seines Besuches auf der Webseite eingegeben hat oder Einstellungen (z.B. Selektionen, Filter oder Sortierungen) die er auf der Webseite vorgenommen hat. Diese und weitere Informationen aus der Textdatei werden bei erneutem Besuch der Webseite an den Server übertragen und können zur Verbesserung des Nutzererlebnis bzw. zu Marketing-Zwecken genutzt werden.
    • Die ePrivacy Verordnung regelt 3 Dinge:
      • die Vertraulichkeit der Kommunikation (Fernmeldegeheimnis),
      • die Verarbeitung von Kommunikationsdaten (Verkehrsdaten) und
      • das Speichern bzw. Auslesen von Informationen auf Endeinrichtungen (z.B. Cookies)
  • Relevante rechtliche Regelungen:
    • Die Frage „Darf ich Daten auf dem Endgerät des Nutzers ablegen?“ regelt §25 TTDSG – Schutz der Privatsphäre bei Endeinrichtungen mit Bezug auf die ePrivacy Verordnung.
    • Den Umgang mit den abgelegten Daten regelt wiederum die Datenschutzgrundverordnug (DSGVO) und hier insbesondere Artike 6 – rechtfertigen berechtigte Interessen die Datenverarbeitung.
  • „9-Punkte Liste“ – Anforderungen an Cookieless Tracking:
  1. Auftragsverarbeitungsvertrag zwischen mit und dem Tracking-Anbieter
  2. Zweckbezug – Tracking-Anbieter nutzt die gewonnenen Daten nicht für eigene Zwecke (Werbung oder Datenhandel)
  3. Persönliche Identifizierbarkeit – Auch ohne Anreicherung oder Aggregierung über verschiedene Websites
  4. Tracking-Opt-out – Widerruf/ Widerspruch – Deaktivierung ist über DS-Erklärung möglich
  5. IP-Anonymisierung – Durch Tracking-Anbeiter automatisch sichergestellt
  6. Do-Not-Track – Berücksichtgung von Browsereinstellungen für Opt-out bzw. Widerruf
  7. Profilbildung – keine Cookies oder ähnliche Technologien zur Erstellung von Profilen einzelner Benutzer
  8. Ort der Verarbeitung personenbezogener Daten ausschließlich in Europa
  9. Überprüfung – Einhaltung beim Anbieter selbst geprüft / Nachweis über unabhängiges Siegel durch Anbieter

Schreiben Sie einen Kommentar

Weitere Folgen

Folge 031 – Online Community Aufbau

Sie wollen eine Online Community aufbauen? Dafür spricht bspw.: 75% der TikTok-Nutzer kaufen, was sie zuvor auf der Plattform gesehen haben. 41% der Nutzer haben die Plattform bereits als Suchmaschine verwendet. Doch funktioniert das nur für Produkte oder vielleicht auch für Dienstleistungen und wenn ja, wie? Darüber sprechen wir in dieser Folge.

Folge 029 – SEO für Online Shops

Unsere fakturierbare Arbeitszeit als Dienstleister ist beschränkt. Wer dennoch seinen Umsatz steigern möchte, kommt am Verkauf von digitalen oder physischen Produkten in einem Online-Shop und damit an dessen Optimierung für Suchmaschinen (SEO) nicht vorbei. Doch was genau sind die Unterschiede zum SEO für Webseiten, welche Fehler werden dabei häufig gemacht und welchen Aufwand bzw. Nutzen hat ein eigener Online-Shop? Darüber sprechen wir in dieser Folge.