Fertig mit Cookiebannern? Einwilligungsfreies Tracking mit Matomo.
Ansicht verschiedener Cookiebanner (CC-BY-SA) wegewerk GmbH
Seit Anfang 2020 gehört das Cookiebanner zum Internet wie der Schokoladenkeks in die Klauen des Krümelmonsters. Nun verspricht die Open-Source-Webanalytikplattform Matomo, grundlegendes Tracking auch ohne Banner bieten zu können. Eine ernstzunehmende Alternative?
Am 28. Mai 2020 schärfte der Bundesgerichtshof die Datenschutz-Grundverordnung nochmals nach. Grundprinzip der Verordnung ist zwar "Privacy by default" - im Zweifel gilt die Datenschutz-freundlichere Variante. Das hielt den Lotterieanbieter Planet49 nicht davon ab, technisch nicht notwendige Cookies im Cookie Banner vorausgewählt anzubieten. "Geht nicht" - stellte der Bundesgerichtshof wenig überraschend fest - das Urteil folgt früheren Verboten von vorausgefüllten Checkboxen, wie etwa bei der Mit-Bestellung von Newslettern in Formularen.
Bei allen, die mit auf Nutzerinteressen zugeschnittener Werbung ihren Content vermarkten, sorgte das Urteil für großen Frust. Um dennoch an die geschäftskritischen Zustimmungen zum Werbetracking zu gelangen, scheint die Strategie seither zu sein, im Cookie-Banner die Alternative zu "Allen Cookies zustimmen" möglichst komplex und unübersichtlich zu gestalten. Im Ergebnis sind auch Nutzer*innen vom Erfassen der Einstellungsoptionen zunehmend genervt.
Wer mit seinen Inhalten zwar kein Geld verdienen muss, sondern einfach nur wissen will, wie die Website genutzt wird, gerät da zwischen die Fronten. Denn bisher wurde beim Einsatz von Nutzerauswertungs-Lösungen ein Cookie gesetzt. So wurde möglich, Traffic von Bots effizient zu filtern, verschiedene Besuche verschiedenen Marketing-Maßnahmen zuzuordnen oder zu verfolgen, wie sich Website-Besucher*innen durch das Angebot bewegen. Dabei war egal, ob man dafür den Analytics Dienst von Google nutzt (bei dem die Analysedaten zentral im Rechenzentrum von Google verarbeitet werden), oder ein Open Source Tool wie Matomo einsetzt (bei dem die Daten dezentral auf einem eigenen oder angemieteten Server liegen). Cookies sind eigentlich eine schöne Lösung: Weil sie auf den Rechnern der User*innen liegen, können diese ihre personenbezogenen Daten leicht kontrollieren - die Cookies sind dadurch aber auch personalisiert. Tracking-Cookies sind technisch nicht notwendig, ihr Einsatz erfolgt nicht überwiegend im Interesse der Nutzer*innen. Insofern ist relativ unstrittig, dass man für solche Cookies eine Zustimmung benötigt - mit Hilfe immer aufwändigerer Cookie-Banner.
Statt Cookies: Browser Fingerprints
Was wenige wissen: Matomo bietet eine alternative Methode, mit der auch ohne Cookies grundlegende Besuchermetriken erfasst werden können. Die Rede ist vom Browser-Fingerprinting oder Device-Fingerprinting. Jedes Mal, wenn eine Nutzer*in eine Website besucht, auf der ein Webanalytik-Programm läuft, erfasst dieses durch die Einbettung eines Java-Script-Codes verschiedene Merkmale des Browser-Programms, wie beispielsweise das Betriebssystem, die Sprache oder installierte Schriftarten, die der Browser auf Anfrage bei jedem Seitenaufruf übermittelt. Aus diesen Merkmalen, die zusammengenommen ausreichend einzigartig sind, um quasi einen Fingerabdruck der Nutzer*in darzustellen, errechnet das Analytik-Programm eine Besuchs-ID. Diese erlaubt es dem Matomo, User*innen bei jedem nachfolgenden Besuch eindeutig zu identifizieren. Diese Besuchs-IDs werden hierbei nicht wie ein Cookie im Browser der Besucher*in gespeichert, sondern auf dem Server, und lassen sich daher weiteren Besuchen mit gleichem Profil, aber nicht mehr direkt einer Personen zuordnen. Die IDs werden zudem regelmäßig, spätestens nach einem Tag gelöscht.
Und dafür benötigt man keine Zustimmung?
Jein. Die Browser-Fingerprint-Methode kann man natürlich verschieden konfigurieren. Unter anderem sollten IP-Adressen auf 3/4 oder besser die Hälfte gekürzt werden, damit man keine personenbezogenen Daten sammelt, Besuchs-IDs sollten nach maximal 24 Stunden gelöscht werden. Laut Matomo bedarf unter Berücksichtigung dieser Empfehlungen der Einsatz ihrer Nutzeranalyse tatsächlich keiner Zustimmung. Und dem folgt unter anderem kein geringerer als die Verbraucherzentrale Bundesverband, wie man ihrer Datenschutz-Erklärung entnehmen kann. Die sollten sich auskennen - immerhin waren das die erfolgreichen Kläger im eingangs genannten Urteil gegen Planet49.
Die Einschätzung bestätigt indirekt auch der Landesdatenschutzbeauftragte von Baden Württemberg in seinem Tracking-FAQ. Hier wird betont, dass vor allem die Analyse von Daten über Anbeitergrenzen hinweg unterbunden sein muss. Matomo bezieht in die Berechnung der Besuchs-ID die Adresse der Website automatisch mit ein, so dass es technisch nicht möglich ist, das Nutzungsverhalten über verschiedene Websites zu verfolgen. Daher düfte unproblematisch sein, wenn man nicht für jede Website einzeln einen Matomo-Server aufsetzt, sondern wie wir eine Installation der Analyse-Software für mehrere Websites nutzt.
Werbeblock: Eine Umstellung eines Matomo-Trackings auf das neue Verfahren können wir so auch ohne größeren Installations- und Konfigurationsaufwand und vor allem ohne den Einsatz unnötiger Hardware-Ressourcen anbieten.
Wo ist der Haken?
Kernproblem ist der Lösung ist, dass die Datengenauigkeit geringer ist. Vor allem die Einstellung, dass die Fingerabdrücke nach einem Tag ihre Gültigkeit verlieren, macht den Blick auf Besuche naturgemäß deutlich unschärfer als beim Tracking mit den bis zu 180 Tagen gültigen Cookies. Wir setzen auf unserer eigenen Website seit gut zwei Monaten Matomo im Browser-Fingerprint-Modus ein und haben die neuen Daten mal mit per Cookie-Modus erhobenen Daten aus dem gleichen Zeitraum im Vorjahr verglichen (unser Traffic ist relativ stabil):
Veränderungen typischer Nutzungsdaten der Website www.wegewerk.com im Periodenvergleich 04-05/2020 (Cookie) und 04-05/2021 (Browser Fingerprinting). (CC-BY-SA) wegewerk GmbH (www.wegewerk.com)
Was wir da sehen entspricht dem, was nach einer Umstellung zu erwarten war: Mehr Seitenaufrufe, weil ohne Zustimmungserfordernis mehr Besuche erfasst werden können. Eine Steigerung der Visits, deutlich über der Steigerung der Seitenaufrufe, weil aufgrund der kürzer gültigen IDs nun zwei Besuche gezählt wurden, während vorher Besucher*innen länger re-identifiziert werden konnten und daher als ein Besuch gezählt wurden. Entsprechend sinkt dann auch die durchschnittliche Dauer eines Besuchs. Dass die Zahl der Aktionen pro Besuch nur leicht sinkt, erklären wir uns damit, dass bei Wiederholungs-Besuchen typischerweise die gleichen Seiten nochmals aufgerufen werden, was dann nicht als neue Aktion zählt. Deutlich kürzere Besuche müssen daher nicht zu deutlich weniger Aktionen führen.
Die spannende Frage war wie viel mehr Seitenaufrufe beim Browser-Fingerprintig-Verfahren gezählt werden. Als wir bei der faktischen Einführung der Zustimmungspflicht zu Tracking-Cookies im Mai 2018 zum ersten Mal den Effekt der Cookie Banner auf die Seitenaufrufe gemessen hatten, warnten wir noch vor Einbrüchen des gemessenen Traffics von um die 30 Prozent. Wenn wir jetzt mit Browser-Fingerprinting rund anderhalb mal so hohe Seitenaufrufe messen, bestätigt das grob diese Einsätzung - diesen Traffic bekommt man ohne Zustimmungserfordernis also zurück in die Messung.
Was aber leider nicht bedeutet, dass man mit dem Browser Fingerprinting wieder 100% aller Besuche erfasst. Auch "Fingerabdrücke" können schlecht aufgenommen werden, wenn Besucher*innen ihrem Browser "die Handschuhe anziehen" - also entweder die "Do Not Track"-Funktion aktivieren, einen Adblocker nutzen oder im privaten Surf-Modus unterwegs sind. Diese Besuche kann Matomo über Fingeabdrücke ebensowenig untersuchen wie über die Analyse der Kekskrümel im Browserspeicher. Laut dem Branchenverband BVDW nutzen in Deutschland stabil 25% der Nutzer*innen Ad-Blocker, allerdings filtern nicht alle dabei alle Tracking Skripte. Wenn wir davon ausgehen, dass sich rund 20% der Besucher*innen durch eine dieser Methoden für das Tracking unsichtbar machen, bedeutet das, dass man mit dem Cookie Verfahren vielleicht noch knapp die Häfte aller Besuche analysiert, während man mit dem Browser Fingerprinting diese Basis zumindest auf über drei Viertel steigern kann.
Neben diesen offenkundigen Schwächen findet man im Internet auch kritische Einschätzungen der Rechtssicherheit dieses Verfahrens (wie bei dieser Kanzlei) oder Verweise auf noch bessere Einstellungsmöglichkeiten bei Matomo, z.B. über die ausschließliche Auswertung der Logfiles (wie bei dieser IT-Sicherheitsfirma). Die Beiträge stellen allerdings recht pauschal fest, dass Browser Fingerprints wie Cookies zu bewerten sind und setzen dabei Daten auf dem Endgerät (Cookies) mit Daten über das Endgerät gleich. Zudem sind die Beiträge älter und gehen nicht auf die aktuellen Konfigurationsmöglichkeiten in Matomo ein. Und eine ausschließliche Auswertung von Logfiles wäre ein technologischer Rückschritt, bei dem deutlich mehr Aussagekraft verloren ginge, als bei der Umstellung auf Fingerprints.
Das Fazit
Den Nachteil der ungenaueren Besuchsmessung beim Browser Fingerprinting gleicht der Vorteil einer deutlich breiteren Datenbasis wieder aus. Übrig bleibt der Vorteil, unter Umständen auf lästige Cookie-Banner verzichten zu können. Das kommt für alle Websites in Frage, die über die Nutzungsanalyse hinaus keine weiteren Zustimmungen benötigen oder diese auch im Bedarfsfall einholen können. Wer zum Beispiel YouTube-Videos oder Google-Maps einbettet, müsste dann ein Hinweisbanner über den einzubettenden Content legen und könnte darüber die Zustimmung einmalig oder (mit einem Cookie) dauerhaft einholen. Wer Online-Werbung schaltet, müsste sich bei der Erfolgsmessung mit den etwas umständlichen Hausmitteln von Matomo begnügen - die Tools von Facebook und Google bräuchten ja in jedem Fall eine Zustimmung.
Diesen Weg zu gehen, könnte sich lohnen. Denn die Alternative ist, das Spiel mit den immer aufdringlicher und verworrener werdenden Cookie-Bannern weiter mitzuspielen. Neue Klagen gegen das Cookie-Banner-Unwesen wurden indes bereits angekündigt - das bliebe also auf jeden Fall "spannend".
Wollen Sie Ihr Cookie-Banner loswerden?
Sprechen Sie mit unseren Berater*innen!