Google Analytics, Facebook Pixel, andere Online Marketing Tools und die DSGVO

Im Online Marketing werden viele verschiedene externe Tools eingebunden. Das funktioniert meist sehr einfach über das Einbinden eins Skripts/ Pixels. Also meist von ein paar Zeilen Code. Die Einfachheit führt aber nach der DSGVO zwangsläufig zu einigen Problemen:

  • Es ist nicht glasklar, was das Skript/ Pixel alles an Daten sammelt.
  • Die IP-Adresse des Nutzers wird/ kann/ muss vom Pixel registriert werden.
 

Bei vielen Tools ist man sich selbst nicht so richtig sicher, was hier eigentlich alles gesammelt wird und wie es im Datenschutzkontext einzuordnen ist. Wir schauen uns daher hier die im Online Marketing Gängigsten Tools einmal genauer an.

In diesem Beitrag lernst du was du bei den gängigsten Online Marketing Tools wie zum Beispiel das Facebook Pixel oder Google Analytics beim Thema Datenschutz (DSGVO) beachten musst.

Inhaltsverzeichnis

Autor | René van Loock

Digital-Marketing-Experte mit dem Fokus auf Analytics, GDPR (DSGVO) Compliance und Marketing Automation.

Du möchtest die DSGVO und auch die Umsetzung im Online Marketing verstehen? Dann schau dir gerne meinen Online Kurs dazu an: Datenschutz im Online Marketing.

Zentrale Frage: Benötige ich eine Einwilligung oder nicht?

Die Frage nach der Einwilligung ist der zentrale Aspekt beim Einsatz von Online Marketing Tools. (Natürlich müssen auch noch andere Aspekte beachtet werden, auf die wir weiter unten im Detail auch eingehen).

Was sagen die Gerichte?

EuGH-Urteil von Oktober 2019 und das BGH-Urteil von Mai 2020, die so genannten Cookie-Urteile haben sich mit diesem Sachverhalt beschäftigt. Das EuGH-Urteil ist auf eine Anfrage des BGH entstanden, daher schauen wir hier auf das für Deutschland wichtige BGH-Urteil, welches das EuGH-Urteil noch weiter konkretisiert hat.

BGH Entscheidung zum Thema Einwilligung

Einwilligung der Nutzer ist immer nötig, wenn folgende Bedingungen erfüllt sind:

  • Cookies für Werbezwecke, Marktforschung oder der bedarfsgerechten Gestaltung und…
  • Erstellung von Nutzungsprofilen

Diese zwei Aspekte solltet Ihr beim Einsatz von Online Marketing Tools, Skripten und Pixeln immer beachten.

Google Analytics DSGVO

Google Analytics ist das meistverwendete Web-Analyse Tool am Markt. Und natürlich sammelt Google Analytics eine Menge Daten. Zum Beispiel: Besuchte Webseiten, Informationen zum Endgerät, Browser und Betriebssystem, die IP-Adresse für Geo-Lokalisierung, Quelle des Nutzers und mehr.

Grundsätzlich stellt Google Analytics die Daten in den Berichten als Statistik dar. Eine Auswertung zu Statistischen Zwecken ist ja auch nach der DSGVO möglich & explizit erlaubt.

Aber im Nutzer-Explorer kann ich mir auch die einzelnen Besucher ansehen. Den Klarnamen sehe ich nicht, aber eine Client-ID. Diese Client-ID ist pseudonymisiert und in den Standardeinstellungen von Google Analytics nicht auf einen Klarnamen zurückverfolgbar.

Es gibt aber natürlich Wege wie ich einem Kunden eine Client-ID zuordnen kann. Zum Beispiel könnte ich in einem Kontaktformular ein verstecktes Feld einbauen und dort immer die Client-ID reinschreiben. Dann könnte ich jeder Client-ID, bei Absenden eines Kontaktformulars, einen echten Namen zuordnen und genau sehen, was sich diese Person angesehen hat und über welche Quelle Sie auf meine Webseite aufmerksam geworden ist.

Oder wenn ich einen Online-Shop betreibe und die Transaction-ID aus den Google Analytics E-Commerce Berichten mit meiner Order-ID (Bestellnummer) oder andere Matches.

Auch könnte ich die Client-ID als Benutzerdefinierte Dimension mitsenden und so direkt die Hauptberichte erweitern.

Über die benutzerdefinierte Dimension könnte ich mir noch zig andere Daten in die berichte packen. Direkt personenbezogene Daten verbietet Google Analytics aber sogar. Wer über Umwege zum Beispiel Kundennamen in Google Analytics aufnimmt, riskiert damit die Löschung seines Accounts.

Google Analytics speichert die Client-ID in einem Cookie (Laufzeit 2 Jahre) ab. Damit hat sich die Frage nach dem BGH-Urteil, ob Google Analytics personenbezogene Daten speichert, erübrigt. Denn für nicht notwendige Cookies benötige ich eine Einwilligung. Unabhängig davon, inwiefern die im Cookie gespeicherten Daten einen Personenbezug herstellen.

Ich kann Google Analytics also nur mit einer Einwilligung nutzen.

Achtung: Google Analytics wird meist unter den Punkt Statistik Cookies mitaufgenommen. Das ist auch richtig. Wenn ich jedoch die Funktion Google Signale (früher Berichte zu Demografischen Merkmalen und Zielgruppen) aktiviere. Teilt Google Daten mit dem DoubleClick Netzwerk. Das ist dann nicht mehr Statistik, sondern fällt unter Marketing-Cookies. Ich würde Google Analytics daher immer in zwei Kategorien aufteilen.

Das musst du tun, um Google Analytics DSGVO konform zu nutzen:

  • Google Analytics Datenschutzkonform installieren (IP-Adresse Anonymisieren, Aufbewahrungsdauer auf 14 Monate setzen, Google Signale separat steuern)
  • Eine Einwilligung einholen
  • Zusatz zur Datenverarbeitung in Google Analytics zustimmen.
  • In der Datenschutzerklärung erwähnen & Opt-Out anbieten.

Google Tag Manager DSGVO

Der Google Tag Manager wird meistens analog zu Google Analytics behandelt. Dabei sind das zwei komplett unterschiedliche Tools.

Der Google Tag Manager ist kein Analyse-Tool. Er sammelt und speichert keine Daten. Über Ihnen lassen sich Tools einbauen, die Daten sammeln und speichern. Zum Beispiel Google Analytics.

Wer über den Google Tag Manager zum Beispiel das Facebook Pixel feuert, der benötigt eine Einwilligung für das Facebook Pixel. Das hat mit dem Tag Manager jedoch nichts zu tun. Ob der Pixel direkt aus dem Quellcode feuert oder über den Tag Manager ist irrelevant.

Der Google Tag Manager setzt beim Nutzer keine Cookies. Der ein oder andere Mitarbeiter, der den Google Tag Manager nutzt, findet ggf. ein Cookie vom GTM in seinem Browser. Dies ist ein Cookie der den Preview-/ Debug Mode des Google Tag Managers ermöglicht. Das hat aber nichts mit euren eigentlichen Websitebesuchern zu tun.

Der Google Tag Manager ist technisch gesehen ein asynchroner JavaScript Tag Injector. Er lädt nach dem Einbau eine Bibliothek und den Container herunter.

Das musst du tun:

  • Zusatz zur Datenverarbeitung zustimmen
  • Empfohlen: In der Datenschutzerklärung erwähnen.
 

Das bleibt kritisch bei der Nutzung des Google Tag Managers:

Vielfach wird per se das Herunterladen von externen Ressourcen bemängelt. Das können Schriftarten, Recaptcha, Frameworks und andere Ressourcen sein, die von anderen Servern bereitgestellt werden.  Darunter fällt auch der Google Tag Manager. Hier sind Stand 2021 keine Urteile in Sicht, die mehr Klarheit schaffen. Der Google Tag Manager nimmt, zumindest, bei meinen Tracking Konzepten eine wichtige Rolle auch in Hinblick auf den Datenschutz ein, daher gehe ich davon aus, dass der Tag Manager auch weiter seinen Zweck erfüllen kann und sogar bei der Umsetzung der DSGVO hilft.

Mehr zum GTM kannst du hier lesen: Google Tag Manager DSGVO

Google Ads DSGVO

Google Ads ist wiederum etwas anderes als Google Analytics. Denn in Google Ads ist primär Google der Verantwortliche. Wenn ein Nutzer auf eine Anzeige klickt sammelt Google Daten. Google stellt Zielgruppen aus seinen Daten zur Verfügung usw. Grundsätzlich bist du damit also erst einmal raus aus der Verantwortung.

Aber, wenn du direkt Daten an Google Ads sendest, zum Beispiel über das Conversiontracking oder das Google Ads Remarketing Pixel, sammelst wiederum du die Daten ein. Google sichert sich damit ab, dass du bestätigst die Daten Datenschutzkonform gesammelt zu haben. Grundsätzlich fließen dann aber von dir wieder unkontrolliert Daten zu Google Ads, auf die du auch nachher keine wirkliche Kontrolle hast.

Man kann davon ausgehen, auch wenn es hierzu noch keine richtigen Gerichtsurteile gibt, dass du und Google Ads Ihr gemeinsam Verantwortlich seid.

Aber der Nutzer kann am Ende nur von Google Auskunft über seine Daten bekommen, bzw. auf das Löschen pochen lassen. Daher ist gehe ich davon aus, dass man als Webseitenbetreiber mit einem Zusatz zur Datenschutzerklärung alles richtig macht, wo man genau darauf hinweist, wo der Nutzer sich an Google wenden kann und was wer machen muss. Außerdem beschreibt Google zum Beispiel in diesem Guide, wie Conversiondaten verwendet werden und dass diese besonders geschützt sind: https://support.google.com/google-ads/answer/93148

https://support.google.com/tagmanager/answer/7549390?hl=de

Was musst du tun?

  • Google Analytics 360 Kunden können direkt in Google Analytics auch einen Google Ads Zusatz zur Datenvereinbarung zustimmen. Alle anderen müssen hier nichts machen.
  • Einwilligung einholen.
  • Opt-Out zum Conversiontracking durch Google Ads anbieten.
  • Google Ads in der Datenschutzerklärung mitaufnehmen.

Facebook Pixel DSGVO

Das Facebook Pixel ist von der Nutzung her analog zu Google Ads zu behandeln. Wenn du in Facebook Anzeigen schaltest und Zielgruppen targetierst ist Facebook der Verantwortliche. Wenn du das Facebook Pixel einsetzt, welches auch Cookies setzt und Daten mit dem Facebook Profil zusammenführt, sowie du Conversion-Daten nach Facebook sendest musst du folgendes machen:

  • Einwilligung einholen.
  • Opt Out Widerspruchsmöglichkeit anbieten.
  • Einen Zusatz in die Datenschutzerklärung packen.

 

Sonderfall Custom Audiences

Wenn du E-Mail-Adressen von deiner Datenbank auf Facebook hochlädst, musst du dafür natürlich eine gesonderte Einwilligung der Nutzer eingeholt haben. Bei den anderen Custom Audiences ist entweder Facebook der Verantwortliche oder über das Facebook Pixel hast du schon eine Einwilligung dafür eingeholt.

Matomo und die DSGVO

Matomo ist ein Webanalysedienst, ähnlich wie Google Analytics. Man kann Matomo entweder auf Servern von Matomo hosten lassen oder Matomo auf einen eigenen Server installieren. Auch kann das Tracking mit Matomo ohne Cookies oder sogar nur über die Analyse von Server-Logfiles verwendet werden.

Je nachdem, wie Matomo genutzt werden soll, muss auch das Thema Datenschutz unterschiedlich behandelt werden.

Der Unterschied zwischen selbst hosten und hosten lassen auf Matomo Servern ist dabei gar nicht so groß. Wenn in der Matomo Cloud gehostet wird, muss mit Matomo auch ein AV-Vertrag abgeschlossen werden. Wer selbst hostet kann darauf verzichten.

Die Regeln zur Einwilligung gelten grundsätzlich für beide Hosting-Varianten. Das Fremd-Hosting ist bei guten Sicherheitsvorkehrungen nicht unsicherer. Laut Matomo stehen die Server in der EU, bei Nutzung des Dienstes OnPremise kann der Serverstandort sogar ausgesucht werden

Matomo Analyse mittels Server-Logfiles

Mittels Server-Logfiles können aufgerufene Seiten erfasst werden. Vielmehr ist leider aktuell noch nicht möglich. Matomo schreibt selbst, dass die Daten selbst dann eher ungenau sind.

Für einige Blogs oder Seiten, die sowieso kein Online Marketing betreiben, kann das dennoch ausreichend sein. Aus DSGVO-Sicht wird hier keine Einwilligung benötigt, da weder Cookies noch sonstige personenbezogene Daten verwendet werden. Artikel 6 Abs. 1f) ist daher meiner Meinung nach ausreichend.

Matomo Analyse mit Fingerprinting (ohne Cookies)

Grundsätzlich stehen ohne Cookies erst einmal alle Metriken wie beim Tracking mit Cookies zur Verfügung. Aber der Fingerprint wird nur für maximal 24 Stunden gespeichert. Es gibt also kein echtes Nutzertracking, sodass ich einen identifizierten Nutzer i.d.R. nicht über mehrere Tage, Wochen oder Monate verfolgen kann, sondern im Prinzip nur für eine oder wenige Session.

Es geht beim Tracking mittels Fingerprinting vor allem darum eine Session und ggf. weitere Besuche am selben Tag sauber zurückverfolgen zu können.

Cookies werden nicht genutzt und auch Personenbezogene Daten werden nicht gespeichert. Matomo kann also weiter unter Berufung auf DSGVO Artikel 6 Abs 1 f) genutzt werden.

Top-Tipp: Wenn Ihr für andere Tools nicht auf ein Cookie-Banner verzichten könnt, empfiehlt es sich für das Tracking mit Matomo mit Cookies auch gleich eine Einwilligung einzuholen. Dies lässt sich über den Matomo-Code steuern. Ihr könnt also Nutzer, die keine Einwilligung gegeben haben, ohne Cookies mittels Fingerprinting messen und Nutzer, die eine Einwilligung gegeben haben mit Cookies.

Achtung: Wenn Ihr E-Commerce Tracking in Matomo verwendet ist grundsätzlich auch beim Tracking ohne Cookies eine Einwilligung einzuholen. Dies gilt aber nicht immer. Eine Prüfung im Einzelfall ist hier notwendig.

Matomo Analyse mit Cookies

Wenn Ihr Matomo mit Cookies nutzen möchtet, müsst Ihr grundsätzlich eine Einwilligung einholen. Auch wenn Ihr Matomo auf eurem eigenen Server installiert habt. Denn grundsätzlich ist eine Cloud nicht unsicherer als der eigene Server.

Das ist sehr schade, war es doch vorher so, dass ich zumindest Matomo auf dem eigenen Server mit allen Features nutzen konnte. Wie bereits in den Kapiteln zum EuGH und BGH-Urteil erwähnt, unterscheiden die beiden Gerichte leider nicht zwischen einer Speicherung durch Dritte und einer Speicherung auf einem eigenen Server. Im Urteil werden nur Cookies grundsätzlich betrachtet und dabei gilt, dass ich eine Einwilligung benötige, wenn:

  • Cookies für Werbezwecke, Marktforschung oder der bedarfsgerechten Gestaltung und
  • Erstellung von Nutzungsprofilen
 

Beim Matomo Tracking mit Cookies verwende ich die Cookies zur Marktforschung im weiteren Sinne daher ist eine Einwilligung zwingend erforderlich.

Wie eingangs erwähnt, gelten die hier besprochenen Prinzipien unabhängig davon, ob Matomo auf einem Cloud-Server in der EU oder auf dem eigenen Server gehostet wird.

Fazit Matomo

Wenn du Matomo nutzt, muss das Tool zwingend in der Datenschutzerklärung erwähnt werden, unabhängig davon, welches Tracking-Verfahren du in Matomo eingestellt hast.

Eine Einwilligung ist beim Tracking mit Cookies ebenfalls einzuholen. Bei Tracking ohne Cookies kannst du dich auf den Artikel 6 Abs. 1 f) „Berechtigtes Interesse“ berufen.

Heatmaps und Visitor Recordings mit Hotjar oder Clarity Analytics

Über das Tool Hotjar oder auch über das neue Tool von Microsoft „Clarity Analytics“ kann ich nur durch Einbindung eines Scripts eine Heatmap erstellen oder sogar einzelne Besuche mir anschauen.

Dabei verwenden beide Tools „nur“ Cookies, die nach maximal einem Tag ablaufen. Es werden also meiner Meinung nach grundsätzlich keine Nutzerprofile erstellt. Jetzt könnte man darauf spekulieren, dass dann nach dem BGH-Urteil die Tools unter Artikel 6 Abs. 1 f) verwendet werden könnten. Das könnte man wahrscheinlich zum Beispiel zu einem Relaunch oder zum Start einer neuen Kampagne vertreten, um die Seite für den Nutzer auf technische Mängel zu überprüfen.

Da Hotjar – und Clarity Analytics US-Dienstleister sind bewegt man sich sowieso schon auf dünnem Eis. Da ich diese Tools aber nicht nutze, um die Performance meiner Online Marketing Kampagnen zu messen ist das Tracken von möglichst vielen Nutzern nicht zwingend erforderlich.

Es reicht also ein Teil meiner Nutzer, um trotzdem Usability Analysen durchführen zu können. Damit spricht dann auch nichts dagegen lieber eine Einwilligung einzuholen.

Ich empfehle daher Heatmap und Screen-Recording Tools nur mit vorheriger Einwilligung zu nutzen. Eine Erwähnung in der Datenschutzerklärung ist ebenfalls notwendig.

B2B – Salesviewer, Leadforensics & Co.

Im Business-to-Business (B2B) Bereich werden gerne Analyse-Tools verwendet, die einem darüber Auskunft geben, welche Unternehmen die eigene Webseite besucht haben.

Grundsätzlich funktionieren die Tools dabei nach einem sehr simplen Ansatz. Sie werten den „Service Provider“ und die „Network-Domain“ aus. Das ging bis Anfang 2020 auch direkt in Google Analytics. Jetzt geht es auch noch über Umwege in Google Analytics. Größere Unternehmen, die ein eigenes Netzwerk verwenden, haben dies meist auch nach Ihrem Unternehmen benannt. Diese finde ich dann neben anderem Traffic (B2C) sowie Nutzer aus dem Homeoffice in einem Bericht wieder:

Dort finde ich zum Beispiel einige Unternehmen, die meine Webseite besucht haben wie: Swisscom Schweiz AG, UPC Schweiz gmbh, datev eg, bw paperystems hamburg gmbh. Mit einer kurzen Eigenrecherche könnte ich jetzt selbst herausfinden, wo diese Unternehmen sitzen. Das schöne: Ich sehe auch welche Seiten angesehen wurden. Ich weiß also wofür sich diese Unternehmen interessieren und könnte jetzt direkt anrufen. Anrufe ohne Einwilligung sind im Bereich B2B weiter erlaubt. Nur bei Widerspruch muss ich damit aufhören.

Die Tools suchen sich diese Daten automatisch aus dem Netz und liefern noch weitere Infos direkt zum Unternehmen. Das ist praktisch und wird von den meisten Unternehmen gerne genutzt.

Ich selbst habe nur Erfahrung mit Salesviewer und empfehle als Tool im DACH-Raum auch nur den Salesviewer. Hier wird wirklich Wert auf Datenschutz gelegt und die zusätzlichen Features sind superspannend. Zum Beispiel ist hier ähnlich wie bei Hotjar ein Visitor Recording möglich.

Salesviewer legt dabei Wert darauf, alle B2C Daten zu anonymisieren und zu Löschen. Außerdem erfolgt das Tracking ohne Cookies.

Dadurch kann Salesviewer unter Berufung auf Artikel 6 Abs. 1 f) genutzt werden.

Es ist eine Erwähnung in der Datenschutzerklärung notwendig, ansonsten aber nichts.

Fazit

Beim Einsatz von Google Analytics, dem Facebook Pixel, Matomo und anderen Online Marketing Tools muss mittlerweile aus Datenschutz (DSGVO) Gründen einiges beachtet werden. Die Umsetzung hat sich verkompliziert. Die Rechtslage ist zwar klarer als beim Start der DSGVO. Es gibt aber noch immer einige Lücken. DSGVO Konformität und Datenschutz werden auch die nächsten Jahre das Online Marketing prägen.

Du möchtest klare Antworten zu Datenschutz Fragen im Online Marketing?

Online Marketing & Tracking geht nicht mehr ohne Datenschutz. Aus diesem Grund habe ich mein Wissen als Datenschutzbeauftragter (TÜV®) und Digital Analyst mit mehr als 4 Jahren Erfahrung in diesen Online Kurs gesteckt.

Neuer Kurs: Datenschutz im Online Marketing Praxisorientiert

Grundlagen DSGVO, Cookies, Cookie Banner, CMP-Lösungen, EuGH & BGH Urteil Auswirkungen, Tracking. Aus der Praxis im Detail erklärt. 

Erhalte exklusive Datenschutz Tipps, die ich nur mit E-Mail Abonnenten teile.

Mit Klick auf „Jetzt exklusive Inhalte sichern“ erklären Sie sich mit dem Empfang des Newsletters mit Informationen zu Online Marketing, Datenschutz, Analytics und Angeboten sowie mit dessen Analyse durch individuelle Messung, Speicherung und Auswertung von Öffnungsraten und der Klickraten in Empfängerprofilen zu Zwecken der Gestaltung künftiger Newsletter entsprechend den Interessen unserer Leser einverstanden. Die Einwilligung kann mit Wirkung für die Zukunft widerrufen werden. Der Versand erfolgt mit dem US-Dienstleister MailChimp (auf Grundlage von Standardvertragsklauseln). Ausführliche Informationen erhalten Sie in unseren Datenschutzhinweisen“).