Ob Web-Analytics oder Re-Targeting auf Social-Media-Plattformen: Wo „landen“ die User-Daten, die dabei erhoben werden? In diesem Beitrag schildere ich euch, was clientseitiges und was serverseitiges Tracking sind und warum letzteres datenschutzfreundlicher sein kann – aber bei Web-Analytics-Tools und Social-Media-Pixeln begrifflich genauer hingeschaut werden muss.
Disclaimer: Euer Blogger ist kein Jurist. Die folgenden Ausführungen sind keine juristische Beratung und ersetzen diese auch nicht. Bei rechtlichen Zweifelsfällen sollte stets ein juristischer Profi konsultiert werden.
Folgende Themen beleuchte ich für euch in meinem Blog-Beitrag:
- Tracking-Beispiele: Google Analytics und Meta-Pixel
- Was ist clientseitiges Tracking im Online-Marketing?
- Warum ist dieses clientseitige Tracking datenschutzrechtlich problematisch?
- Die EU als Markt für US-Tech-Unternehmen
- Was ist serverseitiges Tracking?
- Warum modifiziertes clientseitiges Tracking DSGVO-freundlicher sein kann
- Warum Google und Meta dieses Tagging vorantreiben – und KMUs zurückbleiben
Auf geht’s:
Tracking-Beispiele: Google Analytics und Meta-Pixel
Schauen wir uns zwei typische Tracking-Fälle im Online-Marketing an:
| Tracking-Anwendungsfall 1: Web-Analytics-Tools | Tracking-Anwendungsfall 2: Social-Media-Pixel |
|---|---|
| Ein Web-Analytics-Tool wie Google Analytics ermöglicht es euch, zu tracken, wie viele Besucher*innen eure Website hat und was diese dort tun. Dazu zählen zum Beispiel Seitenaufrufe, Verweildauer, Traffic-Quellen, genutzte Geräte, Absprungraten oder Klickpfade über mehrere Unterseiten hinweg. Auf dieser Basis lassen sich Inhalte, Navigation und Conversion der Website analysieren und stetig optimieren. | Das Meta-Pixel ist ein Code-Schnipsel für eure Website und trackt, wie wirksam eure Facebook- und Instagram-Kampagnen sind: Wie viele User*innen kamen über die Facebook-/Insta-Kampagne auf eure Website und was haben sie dort gemacht? So können dieselben Nutzer*innen nach ihrem Website-Besuch auf Facebook oder Instagram erneut mit einer Ad angesprochen werden (sogenanntes Re-Targeting). |
Soweit zwei typische Tracking-Fälle im Online-Marketing. In der Regel nutzen diese beiden Tools bzw. Services dafür ein sogenanntes clientseitiges Tracking (auch clientseitiges Tagging genannt). Was das ist, gucken wir uns jetzt an:
Was ist clientseitiges Tracking im Online-Marketing?
Ein Client (wörtlich „Kunde“) ist in der IT-Welt ein Programm, das eine Anfrage an einen Server (wörtlich „Diener“) stellt. Ein Beispiel:
Ihr ruft in eurem Browser (z. B. Chrome, Firefox, Safari) eine Webseite auf. Der Browser (Client) stellt die Anfrage an den Server, auf dem die angeforderten Webseiten-Dateien liegen. Der Server liefert daraufhin diese Dateien an den Browser und dieser zeigt euch die Webseite an.
Clientseitiges Tracking meint bezogen auf Web-Analytics-Tools und Social-Media-Trackingpixel: Wenn ihr Google Analytics oder das Meta-Pixel nutzt, werden die Daten der User*innen direkt in deren Browser (= Client) erhoben und an die Server von Google bzw. Meta gesendet. Dort werden sie zur Analyse des Besucherverhaltens bzw. für das Re-Targeting verarbeitet.
Warum ist dieses clientseitige Tracking datenschutzrechtlich problematisch?
Wichtig: Es ist noch nicht zwangsläufig ein Problem, dass der Client (Browser) diese Daten erhebt. Problematisch ist die Frage, wohin er sie dann schickt: Im normalen Setup der oben genannten Beispiele landen diese Informationen direkt auf Servern von Google bzw. Meta.
Risiko aus Sicht der europäischen Datenschutz-Grundverordnung (DSGVO): Diese Server stehen nicht auf EU-Boden, sondern außerhalb davon (z. B. in den USA). Problematisch ist das, weil außerhalb der EU oft kein gleichwertiger Datenschutz gilt und EU-Bürger*innen ihre DSGVO-Rechte dort nicht durchsetzen können. Selbst wenn Google und Meta eigene Server auf EU-Boden nutzen, bleibt dieses Risiko bestehen: Der sogenannte „Cloud Act“ bemächtigt die US-Regierung, in begründeten Einzelfällen von US-Firmen die Herausgabe von Daten zu verlangen, selbst wenn die Server nicht auf US-Boden stehen.
Eine mögliche technische Lösung, um die Datenflüsse besser zu kontrollieren, ist das sogenannte serverseitige Tracking. Bevor wir uns das angucken, blicken wir auf die Frage: Warum sind US-Techfirmen wie Google oder Meta daran interessiert, solche Workarounds zu ermöglichen?
Die EU als Markt für US-Tech-Unternehmen
Sowohl Google (bzw. dessen Mutterkonzern Alphabet) als auch Meta machen den Großteil ihres Umsatzes als Werbeträger: Sie bieten Plattformen, die für werbetreibende Unternehmen hochinteressant sind, um ihre Zielgruppen zu erreichen.
Aus unternehmerischer Perspektive kann die DSGVO daher als möglicher Umsatzbremser wahrgenommen werden: Würden Google-Tools und Meta-Services europäischen Datenschutzregularien nicht gerecht werden, könnte das zu einer geringeren Nutzung ihrer Services führen, infolgedessen zu Umsatzdellen. Und hier kommt serverseitiges Tracking ins Spiel.
Was ist serverseitiges Tracking?
Leider kommt es in diesem Bereich regelmäßig zu unscharfen Begrifflichkeiten. Zunächst eine Definition, was „echtes“ serverseitiges Tracking ist:
Echtes serverseitiges Tracking erfasst Ereignisse, die vollständig innerhalb von Hintergrund-Systemen entstehen, ohne dass ein Browser als Client beteiligt ist. Die Daten werden direkt auf Serverebene erzeugt, zum Beispiel durch Bestellungen oder Zahlungen in CRM- oder ERP-Systemen (Customer Relationship Management bzw. Enterprise Resource Planning).
Jetzt der Blick auf Online-Marketing-Tools wie Google Analytics und Meta-Pixel: Auch hier sprechen die Anbieter von „serverseitigem Tagging“. Das ist aber bei Lichte betrachtet nichts weiter als ein modifiziertes clientseitiges Tracking. „Serverseitig“ bedeutet hier: Die erhobenen Daten werden nicht direkt an die Google- bzw. Meta-Server geschickt, sondern zunächst an den eigenen Server des Unternehmens, das diese Tools nutzt. Aber: Initial werden die Daten dennoch im Client (Browser) erhoben. Anders würde es auch nicht gehen: Web-Analytics-Tools und Social-Media-Pixel messen Verhalten auf Webseiten. Das geht nur über den Browser (= Client).
Lasst euch bitte nicht von den teils nebulösen Formulierungen der Tool-Anbieter (nicht nur Google) blenden: Der Browser kann faktisch beim Messen von Website-Besucherverhalten nicht umgangen werden. Sätze von Web-Analytics-Toolanbietern wie „[…] erfassen nur die notwendigen Daten und verhindern die Weitergabe der meisten sensiblen Informationen an den Browser“ sind bei einem Web-Analytics-Tool grober Unfug.
An den Vorteilen für mehr Datenkontrolle und Datenschutz-Möglichkeiten ändert das indes nichts. Die Gründe gucken wir uns jetzt an:
Warum modifiziertes clientseitiges Tracking DSGVO-freundlicher sein kann
Sendet ihr die im Browser erhobenen Nutzerdaten zunächst an euren eigenen Server, könnt ihr die Daten anonymisieren oder filtern, bevor sie schließlich an die Google- bzw. Meta-Server weitergeleitet werden.
Das gibt euch mehr Handlungsmacht, um datenschutzrechtliche Anforderungen der DSGVO besser umzusetzen. Wichtig: Die Übermittlung an US-Server bleibt bestehen. Serverseitiges Tagging gibt euch aber Kontrolle darüber, welche Daten übermittelt werden.
Klingt gut? In der Theorie ja. In der Praxis wird dies jedoch vor allem für kleine und mittelständische Unternehmen (KMU) schnell zu einer Herkulesaufgabe.
Warum Google und Meta dieses Tagging vorantreiben – und KMUs zurückbleiben
US-Anbieter wie Google und Meta treiben modifizierte clientseitige Tracking-Architekturen aus folgendem Grund voran:
Angesichts der Datenschutz-Regulatorik in der EU sowie zunehmender Browser-Beschränkungen wollen sie ihre datengetriebene Werbung funktionsfähig halten, denn: Datengetriebene Werbung bildet ihren zentralen Umsatzpfeiler. Dieses angepasste Tagging verringert die Auswirkungen von Adblockern und browserseitigen Tracking-Schutzmechanismen. Gleichzeitig bietet es mehr Datenschutzkontrolle.
Problem: Für kleine Unternehmen ist dieses modifizierte clientseitige Tracking technisch machbar, aber organisatorisch anspruchsvoll. Neben laufenden Cloud-Kosten entstehen vor allem höhere Einrichtungs- und Wartungsaufwände, da Client- und Server-Tracking parallel betrieben werden müssen. Ohne internes technisches Know-how führt dies häufig zu externer Abhängigkeit und einem ungünstigen Kosten-Nutzen-Verhältnis.
Im Big Picture bleibt daher fraglich, ob regulatorische Anforderungen wie die DSGVO indirekt kleine und mittelständische Unternehmen im Online-Marketing strukturell benachteiligen.
Lasst mich gerne eure Meinung in den Kommentaren wissen.
Link-Tipp hier auf meinem Blog „Der Onliner – Marketing & Wirtschaft 4.0“:
Web-Hosting: So findet ihr den passenden Server für eure Website
Externer Link-Tipp:
dr-dsgvo.de: Serverseitiges Tracking: Unterschied zum Client Side Tracking und Datenschutzaspekte
wikipedia.org: CLOUD Act