Sascha Arndt

Conversion Tracking ohne Consent

Das Wichtigste in Kürze

  • Tracking ohne Zustimmung möglich

  • Aber nur für Werbeerfolgskontrolle

  • Profil- und Audience-Bildung nur mit Zustimmung

  • Ich berichte über einen geprüften Fall

Falsche Entscheidungen durch unzureichende Daten?


Beispiel eines Cookie-Consent-Tools

Sind wir doch mal ehrlich: Kennst Du die tatsächliche und akutelle Zustimmungsquote zum Cookie-Consent-Tool auf Deiner Website? Meine Vermutung: Nicht wirklich.
Die Zustimmungs-Quote kann durch den Abgleich von Anzahl der Zustimmungen und Anzahl der Seitenaufrufe aus den Server-Logs ermittelt werden und selbst dieser Abgleich ist technisch herausfordernd und fehleranfällig. Soll heißen: man macht den Abgleich ein paar mal, danach verallgmeinert man die Quote für die Zukunft. Schwankungen der Zustimmungsbereitschaft werden aller Wahrscheinlichkeit nach nicht mehr beachtet.

Das birgt die Gefahr, dass Du als Online Marketer Entscheidungen auf Basis von unvollständigen Daten triffst. Stell' Dir vor, die Wirtschaftlichkeit Deiner Performance Marketing Kampagnen sinkt. Die natürliche Reaktion wird sein, dass Du Budgets, Gebote, Reichweite, etc. redzuieren wirst. Du willst ja schließlich kein Geld verbrennen. Damit triffst Du Deine entscheidungen aber auf Basis unvollständiger Daten. Du hoffst auf die gleichbleibende Bereitschaft der User, Cookies zu akzeptieren. Das birgt Gefahren!

Tracking auch ohne Zustimmung


Conversion-Messung ohne Zustimmung; Audience-Bildung mit Zustimmung

Nun stellt sich die Frage: Kann man auch ohne Einwilligung tracken? Man kann! Es gibt zwei Zauberworte: "Server-To-Server-Tracking (=S2S)" und "Berechtigtes Interesse". Im Wesentlichen verhindert die Nutzung eines S2S-Trackings, dass Du Dritte (z.B. Google, Facebook, etc.) in die Lage versetzt, Cookies bei Deinen Usern zu speichern.

Darüber hinaus schließt Du die Übertragung der IP-Adresse Deiner User aus. Denn die IP-Adresse wird bereits als personenbezogenes Datum interpretiert. Technisch lässt sich die Übertragung der IP nach dem TCP/IP-Protokoll nicht verhindern. Sie ereignet sich bei immer und bei jedem Einsatz von Third-Party-Pixeln. Die diversen "Anonymize-IP"-Funktionen ändern daran nichts. Daher könnte man diese Funktinen eher als Bitte interpretieren, die IP-Daten nicht zu speichern. Daher unterliegt man beim Pixel- (bzw. Cookie-) Tracking die Einwilligungspflicht.

Server-To-Server-Tracking (S2S)


Conversion-Messung ohne Zustimmung; Audience-Bildung mit Zustimmung

Funktionsweise
Beim konventionellen Pixel- bzw. JS-Tracking wird die Validierung aus Abgleich von Pixel- und Cookie-Informationen sichergestellt. Das bringt die bekannten Probleme mit sich. Anders funktioniert das S2S-Tracking. Das Werbenetzwerk (im u.g. Beispiel Taboola) übermittelt eine Click-ID als URL-Parameter beim Klick auf die Anzeige. Der eigene Server liest die Click-ID aus der URL aus und sendet sie im Falle einer Conversion unter Angabe eines Events zurück. Dabei wird eine Kommunikation des eigenen Servers zum Server des Werbenetzwerks über eine‚ Postback-URL. Dabei wird die Übertragung der IP-Adresse der Nutzer unterbunden. Dabei werden Tracking-Genauigkeiten von über 99% erreicht.

Rechtliche Grundlage
Damit man keine Einwilligung des Nutzers benötigt, kann man sich auf das "Berechtigte Interesse" aus der DSGVO stützen. Wenn man diese rechtliche Grundlage heran zieht, sollte der Zweck der Datenübertragung (Click-ID) ausschließlich der Conversion-Messung dienen. Denn die Bemessung des wirtschaftlichen Erfolgs wurde vom Landesamt für die Datenschuztaufsicht in Bayern im Rahmen des Berechtigten Interesses bestätigt. Nähere Informationen im Beispiel unten.
Wichtig ist, dass man auf Basis dieses Setups keine Profilbildung, Audience-Bildung, Retargeting oder ähnliches durchführt. Denn für diese Zwecke benötigt man definitiv die Einwilligung der Nutzer.

Anwendungsfälle
Mit dem S2S-Tracking kann man also exakt, einwilligungsfrei aber nur zum Zwecke der Conversion-Messung tracken. Es eignet daher hervorragend als Ergänzung der Tracking-Landschaft, um eine saubere Werbeerfolgskontrolle sicherzustellen.

Konkretes Beispiel

Erstes Schreiben der Aufsichtsbhörde

Antwort an die Aufsichtsbehörde

Ergebnis der Prüfung

Zusammenfassung

  • Saubere Datenschutzhinweise auf Deiner Website

  • Technisch saubere Installation des S2S-Trackings

  • Datenfluss-Diagramm für eventuelle Prüfung bereithalten

  • Interessen-Abwägung durchführen und bereithalten

  • S2S ausschließlich zur Werbeefolgskontrolle nutzen

Disclaimer

In diesem Beitrag schildere ich einen echten Fall eines mir bekannten Unternehmens aus meinem Netzwerk. Dieser Einzelfall hat keinen Zusammenhang mit meinem aktuellen Arbeitgeber. Ich gebe hier auch keine Rechtsberatung. Solltest Du Beratungsbedarf dazu haben, kontaktiere bitte Deinen Datenschutz-Anwalt oder Deinen Datenschutz-Verantwortlichen.



Veröffentlich am 06.07.2021



Über den Autor

Sascha Arndt
Head of Display & Affiliate bei ERGO Group

Kontakt