Personenbezogenes Webtracking nur mit Einwilligung

Der Bundesbeauftragte für den Datenschutz weisst heute wieder aktuell darauf hin das Webseiten beim Tracking Ihrer Nutzer vor Beginn des Trackings eine Einwilligung einholen müssen.

Dies geschieht aktuell auf den wenigsten Webseiten, denn viele Webseiten Betreiber beschreiben das Tracking einfach nur in Ihrer Datenschutzerklärung. Dies ist jedoch technisch und datenschutzrechtlich nicht korrekt umgesetzt. Das personenbezogene Tracking von Benutzern mit z.B. Google Analytics direkt nach dem Laden der Webseite ist verboten.

Stattdessen müssen sogenannte pre-load Einwilligungen (Einwilligungen vor dem Laden und der Durchführung des Trackings) eingeholt werden und auf Basis dieser Einwilligung kann dann ein Tracking erfolgen oder aber auch nicht (je nachdem was der Benutzer gewählt hat).

Gängige Kauflösungen für z.B. WordPress sind die Verwendung von Plugins wie z.B. dem hier.

Als Webentwickler kann man natürlich sich auch selbst ein Overlay bauen was dann dynamisch via Java Script das Laden der Plugins und die Ausführung der Tracking Befehle durchführt nachdem der Nutzer diesem Tracking zugestimmt hat, dass ist kein Hexenwerk und nur ein geringer Aufwand den aktuellen Tracking Code unter ein onClick Event zu verschieben und ein Overlay zu designen sowie dieses zu laden.

Weiterführende Informationen:

Orientierungshilfe vom BfDI

Aktuelle Rechtslage zum Webtracking 2026

Die Rechtslage zum personenbezogenen Webtracking hat sich seit der Einführung der DSGVO und des TTDSG erheblich weiterentwickelt. Das Urteil des Europäischen Gerichtshofs (EuGH) in der Rechtssache Planet49 hat eindeutig klargestellt: Tracking-Cookies und vergleichbare Technologien dürfen nur mit aktiver, informierter Einwilligung des Nutzers gesetzt werden. Ein vorausgewähltes Häkchen oder die bloße Information in der Datenschutzerklärung reichen nicht aus.

Mit dem Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG), das seit Dezember 2021 gilt, wurde diese Anforderung in deutsches Recht umgesetzt. § 25 TTDSG regelt den Zugriff auf Endeinrichtungen des Nutzers und schreibt eine Einwilligung vor, sofern der Zugriff nicht technisch notwendig ist.

Was gilt als personenbezogenes Tracking?

Personenbezogenes Webtracking liegt vor, wenn Nutzeraktivitäten auf einer Webseite erfasst und einer bestimmten Person zugeordnet werden können. Dazu zählen:

• Google Analytics: Auch mit IP-Anonymisierung werden Nutzerprofile erstellt, die eine Identifizierung ermöglichen können
• Facebook Pixel: Überträgt Nutzerdaten direkt an Meta und ermöglicht personalisierte Werbung
• Retargeting-Cookies: Verfolgen Nutzer über verschiedene Webseiten hinweg
• Session-Recording-Tools: Zeichnen das komplette Nutzerverhalten auf der Webseite auf
• Fingerprinting: Identifiziert Nutzer anhand technischer Merkmale ihres Browsers ohne Cookies

Anforderungen an eine wirksame Einwilligung

Damit eine Einwilligung zum Tracking DSGVO-konform ist, muss sie folgende Kriterien erfüllen:

• Freiwillig: Der Nutzer darf nicht gezwungen werden, dem Tracking zuzustimmen. Cookie-Walls, die den Zugang zur Webseite vollständig blockieren, sind nach Auffassung der deutschen Aufsichtsbehörden unzulässig.
• Informiert: Der Nutzer muss wissen, welche Daten zu welchem Zweck erhoben werden und an wen sie übermittelt werden.
• Eindeutig: Die Einwilligung muss durch eine aktive Handlung erfolgen, z. B. das Anklicken eines Buttons.
• Widerrufbar: Der Nutzer muss die Einwilligung jederzeit mit gleicher Leichtigkeit widerrufen können, wie er sie erteilt hat.
• Granular: Verschiedene Tracking-Zwecke müssen einzeln auswählbar sein. Ein pauschales „Alle akzeptieren“ ohne gleichwertige Alternative ist problematisch.

Consent-Management-Plattformen (CMP)

Für die technische Umsetzung der Einwilligungsabfrage werden Consent-Management-Plattformen eingesetzt. Für WordPress-Webseiten gibt es verschiedene Lösungen:

• Complianz: Ein umfassendes WordPress-Plugin, das Cookie-Banner automatisch generiert und die Einwilligungen rechtskonform verwaltet
• Borlabs Cookie: Bietet granulare Steuerungsmöglichkeiten für verschiedene Tracking-Dienste
• Usercentrics: Eine professionelle CMP-Lösung, die besonders für größere Webseiten geeignet ist
• Cookiebot: Scannt die Webseite automatisch und identifiziert alle eingesetzten Cookies

Wichtig ist, dass die gewählte Lösung das Tracking tatsächlich technisch blockiert, bis die Einwilligung erteilt wird. Eine reine Information ohne technische Blockierung ist nicht ausreichend.

Datenschutzfreundliche Alternativen zu Google Analytics

Unternehmen, die auf eine Einwilligungspflicht verzichten möchten, können auf datenschutzfreundliche Analyse-Tools umsteigen. Diese arbeiten ohne Cookies und ohne personenbezogene Datenerhebung:

• Matomo (On-Premise): Open-Source-Lösung, die auf dem eigenen Server betrieben wird
• Plausible Analytics: Leichtgewichtige Lösung ohne Cookies und ohne personenbezogene Daten
• Fathom Analytics: Datenschutzfreundliche Alternative mit einfacher Bedienoberfläche

Konsequenzen bei Verstößen gegen die Einwilligungspflicht

Die deutschen Datenschutzaufsichtsbehörden haben in den vergangenen Jahren zahlreiche Bußgelder wegen unzulässigem Webtracking verhängt. Besonders häufig betroffen sind:

• Webseiten, die Google Analytics ohne Einwilligung einsetzen
• Unternehmen, die den Facebook Pixel ohne Consent laden
• Cookie-Banner mit manipulativen Design-Elementen (Dark Patterns)

Die Bußgelder können gemäß Art. 83 DSGVO bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen. Zusätzlich drohen Abmahnungen durch Wettbewerber und Verbraucherschutzverbände.

Empfehlungen für Unternehmen

Wir empfehlen Unternehmen folgende Schritte zur DSGVO-konformen Umsetzung des Webtrackings:

1. Erstellen Sie eine vollständige Übersicht aller auf Ihrer Webseite eingesetzten Tracking-Dienste
2. Implementieren Sie eine rechtskonforme Consent-Management-Plattform
3. Prüfen Sie, ob datenschutzfreundliche Alternativen für Ihre Analysezwecke ausreichen
4. Dokumentieren Sie alle Einwilligungen nachweisbar
5. Überprüfen Sie regelmäßig, ob neue Dienste hinzugekommen sind, die noch nicht im Cookie-Banner erfasst werden

Die DATUREX GmbH berät Unternehmen in Dresden und Sachsen umfassend zum Thema Webtracking und DSGVO-Compliance. Unsere Experten unterstützen Sie bei der Auswahl und Implementierung der richtigen Lösung für Ihre Webseite.

Server-seitiges Tracking vs. Client-seitiges Tracking

Ein wichtiger Trend im Webtracking ist die Verlagerung vom Client-seitigen zum Server-seitigen Tracking. Beim Server-seitigen Tracking werden die Daten nicht direkt im Browser des Nutzers erhoben, sondern über den eigenen Webserver an die Analyseplattform weitergeleitet.

Vorteile des Server-seitigen Trackings:

• Bessere Kontrolle über die übermittelten Daten
• IP-Adressen können vor der Weitergabe anonymisiert werden
• Weniger Abhängigkeit von Browser-Einschränkungen und Ad-Blockern
• Möglichkeit zur Datenminimierung vor der Übertragung

Allerdings entbindet Server-seitiges Tracking nicht von der Einwilligungspflicht. Werden personenbezogene Daten zu Marketing- oder Analysezwecken verarbeitet, ist weiterhin eine Einwilligung nach § 25 TTDSG erforderlich.

Google Consent Mode v2

Google hat mit dem Consent Mode v2 eine Technologie eingeführt, die das Tracking-Verhalten an die Einwilligung des Nutzers anpasst. Bei fehlender Einwilligung werden statt konkreter Nutzerdaten nur aggregierte, modellierte Daten erhoben. Ab März 2024 ist der Consent Mode v2 für die Nutzung von Google Ads und Google Analytics Pflicht.

Für Unternehmen bedeutet dies: Die Consent-Management-Plattform muss die entsprechenden Signale an Google senden. Ohne korrekte Implementierung können Werbekampagnen nicht mehr effektiv ausgesteuert werden.

Fingerprinting: Die unsichtbare Tracking-Methode

Browser-Fingerprinting identifiziert Nutzer anhand technischer Merkmale ihres Browsers und Betriebssystems, ohne dass Cookies gesetzt werden müssen. Zu den erfassten Merkmalen gehören:

• Bildschirmauflösung und Farbtiefe
• Installierte Browser-Plugins und Schriftarten
• Zeitzone und Spracheinstellungen
• WebGL- und Canvas-Rendering-Ergebnisse
• Audio-Processing-Eigenschaften

Die Datenschutzaufsichtsbehörden betrachten Fingerprinting als besonders kritisch, da es für Nutzer praktisch unsichtbar ist und kaum verhindert werden kann. Die französische Aufsichtsbehörde CNIL hat Fingerprinting ausdrücklich als einwilligungspflichtig eingestuft.

Dark Patterns bei Cookie-Bannern

Viele Webseiten verwenden manipulative Gestaltungselemente (Dark Patterns) in ihren Cookie-Bannern, um Nutzer zur Einwilligung zu bewegen. Typische Dark Patterns sind:

• Der „Alle akzeptieren“-Button ist farblich hervorgehoben, der „Ablehnen“-Button grau oder versteckt
• Das Ablehnen erfordert mehr Klicks als das Akzeptieren
• Vorausgewählte Checkboxen für nicht-notwendige Cookies
• Fehlende oder schwer auffindbare Option zur Ablehnung
• Wiederholtes Einblenden des Banners nach Ablehnung

Die europäischen Datenschutzaufsichtsbehörden haben in einer gemeinsamen Stellungnahme klargestellt, dass Dark Patterns die Freiwilligkeit der Einwilligung untergraben und damit zu einer unwirksamen Einwilligung führen können.

Praktische Empfehlungen für Webseitenbetreiber

Um rechtssicher zu agieren, empfehlen wir Webseitenbetreibern folgende Maßnahmen:

1. Führen Sie eine vollständige Cookie-Inventur durch und dokumentieren Sie jeden eingesetzten Cookie
2. Implementieren Sie ein Cookie-Banner mit gleichwertiger Akzeptieren- und Ablehnen-Option
3. Blockieren Sie alle nicht-notwendigen Cookies technisch, bis eine Einwilligung vorliegt
4. Bieten Sie eine granulare Auswahl nach Zweckkategorien (Analyse, Marketing, Personalisierung)
5. Ermöglichen Sie den jederzeitigen Widerruf der Einwilligung über einen sichtbaren Link
6. Protokollieren Sie alle Einwilligungen als Nachweis
7. Überprüfen Sie regelmäßig, ob neue Tracking-Dienste hinzugekommen sind
8. Prüfen Sie datenschutzfreundliche Alternativen für Ihre Analysezwecke

ePrivacy-Verordnung: Was kommt auf Webseitenbetreiber zu?

Die ePrivacy-Verordnung befindet sich seit Jahren im Gesetzgebungsverfahren und soll die bestehende ePrivacy-Richtlinie ersetzen. Sie wird spezifische Regelungen für die elektronische Kommunikation enthalten, darunter auch Vorgaben für Cookies und Tracking. Die wichtigsten erwarteten Änderungen:

• Einheitliche Regelung für alle EU-Mitgliedstaaten als Verordnung (keine nationale Umsetzung erforderlich)
• Browser-Einstellungen könnten als Einwilligung oder Ablehnung von Tracking-Cookies anerkannt werden
• Mögliche Lockerungen für bestimmte Analyse-Zwecke
• Harmonisierung der Bußgeldregeln mit der DSGVO

Bis zum Inkrafttreten der ePrivacy-Verordnung gelten die bestehenden Regelungen des TTDSG und der DSGVO fort. Unternehmen sollten sich jedoch frühzeitig auf mögliche Änderungen vorbereiten.

Grenzüberschreitendes Webtracking und internationale Datenübermittlung

Viele populäre Tracking-Tools übermitteln Nutzerdaten in Drittstaaten, insbesondere in die USA. Nach dem Schrems-II-Urteil des EuGH ist eine solche Datenübermittlung nur unter strengen Voraussetzungen zulässig. Unternehmen müssen für jeden eingesetzten Tracking-Dienst prüfen, ob die Datenübermittlung durch das EU-US Data Privacy Framework, Standardvertragsklauseln oder andere geeignete Garantien abgesichert ist. Ein Verstoß kann erhebliche Bußgelder nach sich ziehen, wie das Beispiel der französischen Aufsichtsbehörde CNIL zeigt, die mehrere Webseitenbetreiber wegen der Nutzung von Google Analytics ohne ausreichende Schutzmaßnahmen mit Bußgeldern belegt hat.

Zusammenfassung: Webtracking und Datenschutz

Das personenbezogene Webtracking ohne vorherige Einwilligung des Nutzers ist seit dem EuGH-Urteil in der Rechtssache Planet49 und der Einführung des TTDSG eindeutig rechtswidrig. Webseitenbetreiber müssen vor dem Setzen nicht-notwendiger Cookies und Tracking-Technologien eine aktive, informierte und freiwillige Einwilligung einholen. Die Implementierung einer rechtskonformen Consent-Management-Plattform ist dabei ebenso wichtig wie die regelmäßige Überprüfung der eingesetzten Tracking-Dienste. Datenschutzfreundliche Alternativen wie Matomo oder Plausible Analytics bieten die Möglichkeit, wertvolle Analysedaten zu gewinnen, ohne die Privatsphäre der Nutzer zu beeinträchtigen. Unternehmen, die den Datenschutz beim Webtracking ernst nehmen, schützen sich nicht nur vor Bußgeldern, sondern stärken auch das Vertrauen ihrer Webseitenbesucher und damit langfristig ihre Online-Reputation.