11 min Zuletzt auktualisiert: 29.03.2023

Online Marketing und das deutsche Cookie-Gesetz TTDSG

Am 01.12.2021 trat das TTDSG in Deutschland in Kraft. Es regelt unter anderem, wann für Cookies eine Einwilligung erforderlich ist. Online Marketing Dienste wie Google Analytics nutzen Cookies oft in einer Weise, die einwilligungspflichtig ist. Der Beitrag zeigt, wann Cookies einwilligungsfrei sein können und wie Online Marketing ohne Cookies funktionieren kann.

Einleitung

Das TTDSG ist das Telekommunikation-Telemedien-Datenschutz-Gesetz. Es realisiert für Deutschland die europäische ePrivacy-Richtlinie. Das TTDSG trat am 01.12.2021 in Kraft. Allerdings galt auch vorher schon die landläufig oft als Cookie-Regel bezeichnete Richtlinie. Das stellte der BGH in seinem Planet49-Urteil am 28.05.2020 fest (Aktenzeichen I ZR 7/16), indem er das deutsche Telemediengesetz umdeutete.

Online Marketing Dienste wie Google Analytics nutzen gerne Cookies. Mit Cookies können Nutzer aus technischer Sicht eindeutig nachverfolgt werden. So können wiederkehrende Nutzer (Besucher von Webseiten oder Apps) leicht erkannt werden. Zum Nutzer kann so ein umfangreiches Bewegungsprofil erstellt werden. Insbesondere ist dies möglich, wenn Nutzer über viele Webseiten oder Apps hinweg nachverfolgt werden.

Cookies sind in der Marketing-Branche so beliebt, weil sie im Endgerät von Nutzern gespeichert werden. Endgeräte sind beispielsweise Smartphones, Tablets, Notebooks und Desktop PCs. Wird eine Webseite aufgerufen, die einen Dienst einbindet, dann erhält der Dienst beim Laden der Webseite quasi automatisch die mit dem Dienst verknüpften Cookies, die aufgrund früherer Internetaktivitäten im Endgerät des Nutzers gespeichert sind.

Marketing Tools können also mit Cookies Nutzer zuverlässig von anderen Nutzern unterscheiden. Jedoch gibt es ein Problem. Laut § 25 TTDSG sind solche Cookies als nicht einwilligungsfrei zu werten. Das bedeutet, dass der Nutzer jedes Mal vor dem Zugriff auf ein Marketing-Cookies um seine Erlaubnis gebeten werden muss.

Wird eine Einwilligungsabfrage rechtskonform gestaltet, dann ist davon auszugehen, dass nur ein geringer Teil der Nutzer den Marketing-Cookies zustimmt. Somit liegen bei Diensten, die Nutzer auf Basis von Cookies analysieren, schlechte Daten vor.

Doch wann sind Cookies eigentlich einwilligungsfrei und welche Möglichkeiten gibt es, Online Marketing in nützlicher und zugleich erlaubter Weise zu gestalten?

Wann sind Cookies einwilligungsfrei?

Die Rechtsvorschrift aus § 25 TTDSG besagt, dass Cookies dann einwilligungsfrei sind, wenn sie unbedingt erforderlich sind, um die aufgerufene Webseite oder App darzustellen. Offensichtlich sind Marketing-Funktionen nicht unbedingt erforderlich, sondern im besten Falle nützlich.

Was unbedingt erforderlich ist, muss im Einzelfall geprüft werden. Folgende Cookies jedenfalls erscheinen als einwilligungsfrei:

  • Verwalten eines Warenkorbs im Online-Shop
  • Spracheinstellung zur mehrsprachigen Webseite oder App
  • Sitzungsverwaltung für angemeldete Nutzer
  • CSRF-Sicherheits-Cookie zur Gefahrenabwehr (Achtung: aber erst bei Vorliegen einer authentifizierten Nutzersitzung!)
  • Vom Nutzer aktiv genutzte Komfort-Funktion (etwa „Anmeldung merken“)
  • Speicherung einer erteilten Einwilligung
  • Speichern einer nicht erteilten Einwilligung (Achtung: nur kurzen Wert speichern, etwa „Nein“, aber nicht einen Identifikator)

Auch hier lohnt es sich, genauer hinzusehen. Ein Warenkorb kann auch ohne Cookie verwaltet werden. Dazu kann bei Webseiten ein URL-Parameter verwendet werden. Ein URL-Parameter ist hier ein pro Nutzer eindeutiger Identifikator für die aktuelle Sitzung. Der Parameter wird in Form eines Name-Wert-Paares an die Adresse der aufgerufenen Webseite angehängt.

Jedoch ist dieses Vorgehen nicht zu empfehlen. Wenn nämlich ein Nutzer einen Link zu einem Onlineshop, den derjenige gut findet, in sozialen Medien teilt, dann wird dabei auch die Sitzung des Nutzers an andere Personen im Netzwerk weitergeschickt. Dies führt zu einer Beeinträchtigung der Privatsphäre des Nutzers, denn jeder kann sehen, was der Nutzer in seinem Warenkorb liegen hat. Zusätzlich können Sicherheitsprobleme entstehen, denn mehrere Personen könnten den gleichen Warenkorb verwenden. Ein Durcheinander wäre die Folge.

Weil das Vorgehen, einen Warenkorb über das ansonsten mildere Mittel „URL-Parameter“ zu realisieren, also aus mehreren Gründen nicht zugemutet werden kann, sind Cookies zur Verwaltung von Warenkörben als unbedingt erforderlich anzusehen. Natürlich sollte ein Warenkorb-Cookie erst gespeichert werden, sobald ein Produkt in den Warenkorb gelegt wird.

Gibt es ein echtes milderes Mittel statt einem Cookie, dann ist das Cookie somit automatisch als nicht erforderlich anzusehen. Einige datenschutzfreundliche Alternativen zu Cookies im Online Marketing werden im folgenden Abschnitt vorgestellt.

Online Marketing ohne Cookie Pop-up: geht das?

Spoiler: Ja, das geht.

Neben den Regeln des TTDSG sind die Regeln der übergeordneten Datenschutzgrundverordnung der EU (DSGVO) einzuhalten. Weitere Informationen dazu bieten Datenschutzgrundschulungen. Wichtig zu wissen: Das Speichern oder Auslesen eines Cookies ist den Regeln des § 25 TTDSG unterworfen und zwar egal, ob es sich um personenbezogene Cookie-Daten handelt oder nicht. Die anschließende Verarbeitung dieser Daten muss sich an die Regeln der DSGVO halten.

Besucher zählen

Was lapidar klingt, war es früher auch. Damals gab es Anzeigen auf Webseiten, die die bisherige Anzahl der Besucher dargestellt haben. Heutzutage sind Besucherzähler weit mehr als simple Zähler. Sie erfassen Besucherströme, werten Traffic-Quellen und verwendete Endgeräte aus und können die beliebtesten Seiten einer Webseite ausweisen. Das alles und noch mehr ist möglich, ohne eine Einwilligung vom Nutzer zu erfragen.

Eine mögliche Lösung ist Matomo (ehemals Piwik). Dieser Analyse-Dienst ist nicht nur kostenfrei, sondern erfreut sich steigender Beliebtheit und kann lokal auf dem eigenen Server betrieben werden. Umfangreiche Konfigurationsmöglichkeiten erlauben es, Matomo so zu gestalten, dass jeder Besucher und dessen grundlegenden Aktionen gezählt werden können.

Conversion Tracking

Mit dem Conversion Tracking findet man heraus, welche Werbemaßnahme für eine gewünschte Nutzeraktion (Konvertierung) verantwortlich war. Eine Konvertierung kann der Kauf eines Produkts sein, aber beispielsweise auch das Abonnieren eines Newsletters. Werbemaßnahmen im Online Marketing sind oft Werbeanzeigen in unterschiedlichen Varianten. Der Werbetreibende möchte gerne verstehen, welche Variante einer Werbeanzeige am besten funktioniert. Andere werbliche Maßnahmen können Verlinkungen von Drittwebseiten aus auf eigene Inhalte sein.

Die Herausforderung beim Conversion Tracking ist es, die Quelle des Aufrufs der eigenen Landing Page herauszufinden und zu vermerken. Die Quelle muss so lange vermerkt werden, bis der Nutzer konvertiert.

Bei One-Pagern ist hierfür an sich schon kein Cookie notwendig, da die Konvertierung auf derselben Seite stattfinden kann, die gerade eben vom Nutzer aufgerufen wurde. Die Quelle eines Aufrufs kann durch einen URL-Parameter kodiert werden, der beim Einsprung in die Webseite verwendet wird.

Bei mehrseitigen Webseiten muss dieser URL-Parameter bei Navigation des Nutzers innerhalb der Webseite so lange mitgeführt werden, bis der Nutzer konvertiert (oder die Webseite wieder verlässt). Technisch ist dieses Vorgehen nicht besonders anspruchsvoll, wenngleich es mehr Arbeit verursacht als einfach nur ein Tracking Tool zu verwenden, welches einwilligungspflichtig ist.

Bei einwilligungspflichtigen Tools wie Google Analytics ist aber die Nachverfolgbarkeit der Maßnahme, die zu einer Konvertierung geführt hat, nur möglich, wenn der Nutzer eingewilligt hat. Das kann nicht das Ziel des Online Marketing sein.

Die technische Umsetzung von Conversion Tracking ohne Cookies habe ich in einem eigenen Beitrag beschrieben. Bitte beachten Sie, dass jede Art von Endgerätzugriff dem Gesetz unterworfen ist. Cookies sind nur die populärste Form dieses Zugriffs. Auch JavaScript-Zugriffe, wie sie etwa im Google Analytics-Standard stattfinden, um die Größe des Browser-Fensters auszulesen, sind einwilligungspflichtige Zugriffe.

Fazit

Auch ohne Cookies und ohne Einwilligung sind Online Marketing Maßnahmen mitsamt Erfolgskontrollen und Optimierungsfunktionen möglich. Wie bei allem, was rechtlichen Regeln unterworfen ist, muss etwas Arbeit für die Realisierung investiert werden.

Nichts ist umsonst. Wer Geld in Online Werbung investieren kann und möchte, sollte einen Teil des Budgets übrighaben, um bei Bedarf einen Web Entwickler zu bezahlen. Einfach mal eben ein Tracking Tool einzubinden und zu hoffen, das Ergebnis wäre nützlich, würde was bringen und sei ohne Einwilligung erlaubt, ist der falsche Ansatz. Ganz abgesehen davon, dass es angebracht erscheint, einen Blick in die rechtlichen Bedingungen zu werfen, die der Anbieter eines Marketing-Dienstes vorgibt. Dieser Zusatzaufwand jedenfalls muss ebenso mit einberechnet werden wie die endlosen Diskussionen mit dem Datenschutzbeauftragten, der nicht alles gut findet, was die Marketing-Abteilung möchte.

Einwilligungsfreies Online Marketing hat große Vorteile, die den Zusatzaufwand rechtfertigen. Eine Webseite ganz ohne nerviges Cookie Pop-up erzeugt nicht nur mehr Konvertierungen, sondern liefert auch noch 100 % aller Nutzerdaten, die frei erhältlich sind.

Rechtssicherheit ist ein Gegenpol zum wunschorientierten Marketing und muss im Rahmen einer Nutzen-Risiken-Analyse berücksichtigt werden.

Nicht alles, was als nützlich angenommen wird, ist es auch. Generell lohnt es sich, etwas Aufwand in die Online Marketing-Strategie zu stecken. Der leichteste Weg ist so gut wie nie der beste. Eine Online Schulung zum Datenschutz im Marketing kann hierzu Impulse vermitteln.

Meine Empfehlung gilt datenschutzfreundlichen Diensten, die sehr gute Ergebnisse liefern können. Drittanbieter zu nutzen heißt auch immer, sich ein stückweit oder vielleicht auch zu viel abhängig von diesen zu machen.

Der Autor

Klaus Meffert

Klaus Meffert ist promovierter Diplom-Informatiker und Geschäftsführer der IT Logic GmbH. Sein Tätigkeitsschwerpunkt ist der digitale Datenschutz. Seit 2017 bietet er die Datenschutz-Software wwwschutz für Webseiten an. Im Datenschutz-Blog „Dr. DSGVO“ schreibt er regelmäßig Beiträge zu aktuellen Themen und bietet datenschutzfreundliche Lösungen an. Als Sachverständiger ist er beratend auch für Gerichte tätig.

Unsere Auszeichnungen

DBA Siegel

Unsere Partner


lawpilots GmbH
Am Hamburger Bahnhof 3
10557 Berlin
Deutschland

+49 (0)30 22 18 22 80 kontakt@lawpilots.com
lawpilots GmbH hat 4.6362191958495 von 5 Sternen 2570 Bewertungen auf ProvenExpert.com