Tracking

TTDSG: So tracken Sie rechtssicher und datenschutzkonform

Im deutschen Datenschutz steht eine Revolution bevor: Mit dem geplanten Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) erschwert die Bundesregierung das Tracking für Online-Marketer und Webseitenbetreiber vorraussichtlich ab Dezember 2021. Wie Sie trotzdem noch Daten erheben und Ihr Business am Laufen halten können, erfahren Sie im kostenlosen eBook von easy.MARKETING.

Kevin Lenk
Head of Social Media & Content Creation
veröffentlicht am 06.05.2021

Im deutschen Datenschutz steht uns eine Revolution bevor: Mit dem geplanten Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) erschwert die Bundesregierung das Tracking für Online-Marketer und Webseitenbetreiber. Wie Sie trotzdem noch Daten erheben und Ihr Business am Laufen halten können,
erfahren Sie in diesem Leitfaden. In Teil 1 und Teil 2 unserer TTDSG-Serie finden Sie noch mehr Informationen zu diesem Thema.

Das TTDSG soll in Zukunft die Datenschutz­regeln aus zwei schon bestehenden Gesetzen in ein neues Gesetz überführen. Es wird die bisherigen Regelungen aus dem Telekommunikationsgesetz (TKG) und dem Telemediengesetz (TMG) im neuen Telekommunikation-Telemedien-Daten­schutzgesetz vereinen. Was wie eine schlich­te Anpassung von alten Gesetzen an das digitale Zeitalter klingt, bringt für das Online- und Affiliate-Marketing aber ein großes Problem mit sich: Für sämtliche Trackings, mit denen auf das Endgerät des Nutzers zugegriffen wird, müssen Online-Marketer zukünftig definitiv das Einver­ständnis der Nutzer einholen. Das sieht der aktuelle Gesetzentwurf des TTDSG so vor. Jede Form der Reichweiten- oder Statistikmessung muss dann durch die Nutzer ausdrücklich erlaubt werden. In der Fach­sprache heißt dieser Vorgang Opt-In. 

Bisher greift an dieser Stelle in Deutschland noch die Datenschutz-Grundverordnung (DSGVO), in der von einem “berechtigten Interesse” die Rede ist. Über dieses be­rechtigte Interesse ist ein Tracking bisher  auch ohne die Einwilligung der Nutzer möglich, wenn gewisse Vorraussetzungen gegeben sind. Das wird sich mit dem TTDSG aber ändern. Dann gilt: Ohne Consent keine Kekse. 

Ausnahmen im TTDSG nur für zu erwartende Funktionen

Ausgenommen davon sind Cookies, die zu erwartende Funktionen von Webseiten gewährleisten. Solche Ausnahmen finden wir zum Beispiel bei Onlineshops und ihren Warenkörben, die ohne Cookies nicht in der bekannten und von den Nutzern erwartete Form betrieben werden können.

Für den Endverbraucher ist das TTDSG auf den ersten Blick also eine nette Sache, sofern denn Wert auf diese Form der Privat­sphäre gelegt wird. Über 50% der Internetnutzer in Deutschland akzeptieren Cookies aber einfach, weil sie in Teilen von den ganzen Consent-Bannern auf jeder Webseite nur noch genervt sind. Ob die geplante Änderung für die Nutzer also so sinnvoll ist, wie die Politik annimmt? 

Für die Wirtschaft und den gesamten Zweig des Online- und Performance-Marke­tings sind die geplanten Anpassungen durch den Gesetzgeber hingegen alles andere als sinn­voll. Das TTDSG wird z.B. die angemessene, rechtssichere und zuverlässige Vergütung über Affiliate-Provisionen für jeden Shopbetreiber ungemein erschweren. Gerade für viele kleinere Unternehmen, die durch die Corona-Pandemie neue Online-Vertriebswege entdeckt und Partnerprogramme aufgesetzt haben, bieten sich hier viele Fallstricke. Das Tracking von Affiliate-Links wird durch das neue Gesetz komplett hinter den Consent fallen. Ohne die Zu­stimmung des Nutzers zur Datenverarbeitung können Provisionen nicht zu 100% verlässlich abgerechnet werden. Vor allem Paragraph 24 des TTDSG ist hier zu nennen:

(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen einge­willigt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.

(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich, 

1. wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des
Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte
Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder

2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des
Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann. 

Unterschiede der einzelnen Cookies und ihren Zwecken

Damit die Reichweitenmessung im On­line- und Performance-Marketing auch mit der Einführung des neuen Gesetzes rechts­sicher funktioniert, muss der technische Prozess des Trackings angepasst werden. Bevor wir uns den bisherigen Prozess sowie mögliche Lösungen im Detail anschauen, ist es wichtig zu verstehen, wo der Unter­schied zwischen First-Party-Cookies und Third-Party-Cookies liegt und welche Zwecke einzelne Cookies in unseren Beispielen verfolgen.

Durch Cookies können Betreiber von Web­seiten im Allgemeinen Daten auf den End­geräten ihrer Nutzer speichern. Bei einem erneuten Seitenaufruf können die Nutzer durch diese gespeicherten Daten wiedererkannt und so ihre getätigten Ein­stellungen direkt geladen werden. Sprach­einstellungen oder ein Einverständnis für Werbeanzeigen könnten solche Einstellungen sein. Diese Cookies tragen in den meisten Fällen dazu bei, den Nutzern eine angenehme Benutzererfahrung zu bieten, während Seitenbetreiber von Analyse­möglichkeiten profitieren.

Einholen des Einverständnisses des Users zum Setzen eines Cookies für einen be­stimmten Zweck

Wir beschreiben shop-eigene Cookies, welche die zusätzliche Funktion erhalten, das Tracking zu gewährleisten. Da es sich um Cookies mit verschiedenen Zwecken handelt, müssen diese gesondert betrachtet werden.

Ein Cookie ist ein vielfach eingesetztes Medium, um Informationen auf dem Gerät des Nutzers zu schreiben. Dies kann in mehreren Varianten passieren. Es gibt Cookies, die nur für einen bestimmten Zweck verwendet werden. Hierzu zählen die im Affiliate-Marketing verwendeten Tracking-Cookies, in die in den meisten Fällen nur die ClickID des Users gespeichert wird. Diese ClickID ist für die Attribution (Zuordnung) einer Trans­aktion notwendig.

Shop-eigene Cookies haben vielfach mehrere Zwecke. Sie enthalten in den meisten Fällen eine UserID, welche in der Datenbank des Shops mit diversen Informationen verknüpft ist. Hierzu zählen Nutzer­­daten, Bezahldaten oder auch Warenkorbdaten sowie optionale Parameter, wie z.B. die angesprochene ClickID. Alle diese gespeicherten Daten können unterschiedliche Zwecke haben, die rechtlich anders zu betrachten sind.

Für die meisten dieser Daten benötigt der Betreiber des Shops kein Einverständnis zur Datenverarbeitung. Solche Cookies dürfen gesetzt werden, da diese Daten zu den notwendigen Informationen gehören, um den Shop-Prozess zu gewährleisten. Im Falle der ClickID ist das aber anders. Hierfür benötigt ein Shop nach Inkrafttreten des TTDSG ein Einverständnis für das Schreiben des Cookies (bzw. der Verknüpfung eines bestehenden Cookies mit der ClickID, wenn die ClickID nicht in ein eigenes Cookie geschrieben wird). 

Wenn die nicht zwingend notwendige ClickID in das notwendige Shop-Cookie oder in die User-Datenbank des Shops geschrieben wird, dann bekommt dieses Cooke einen zusätzlichen Zweck. Dieser zusätzliche Zweck bedarf ein Einverständnis des Nutzers. Die ClickID darf also erst mit dem Cookie verknüpft werden, wenn ein Einverständnis vorliegt. In Prozessen, bei denen der Advertiser das Tracking selbst übernimmt, ist also zu differenzieren, wie er dies tut: In einem bestehenden Cookie mit mehreren Zwecken oder mit einem separaten Tracking-Cookie.

Klassischer Tracking-Prozess, DSGVO-konform

Momentan berufen sich viele Webseiten und Shops für die Reichweitenmessung oder zur Provisionsausschüttung im Affiliate-Marketing auf das “berechtigte Interesse” der DSGVO, wodurch die Datenverarbeitung in vielen Fällen auch ohne die Einwilligung der Nutzer zulässig ist. Die Attribution bedarf also, durch das vorwiegend berechtigte Interesse des Advertisers, keiner vorheriger Einwilligung. Alle Voraussetzungen für einen reibungslosen Sales-Ablauf mit Provi­sionen an die Publisher sind dadurch aus rechtlicher Sicht von Haus aus gegeben. Der unten abgebildete Prozess ist der herkömmliche Prozess zur derzeit noch gültigen Rechtslage ohne Berücksichtigung des TTDSG. Mit Inkrafttreten des TTDSG ist dieser Prozess nicht mehr rechtssicher und muss zwingend angepasst werden, da mit der neuen Rechtslage ohne Einwilligung des Nutzers keine Cookies mehr gespeichert werden dürfen. 

Klickt ein Besucher des Publishers auf ein Affiliate-Werbemittel (1.), so wird er für einen Bruchteil einer Sekunde auf das Affiliate-System gelenkt (2.). Dieses setzt zur Wiedererkennung und Identifikation des Publishers ein Cookie auf das Endgerät des Besuchers (3.). Im Cookie enthalten ist eine eindeutige ID (ClickID). Daten über den ­Klick werden in der Datenbank des Affili­ate-Systems gespeichert. Im Anschluss wird der Besucher auf den Shop des Advertisers weitergeleitet (4.). 

Führt der Besucher einen Kauf im Shop durch, so wird auf der Bestellbestätigungs­seite ein Transaktionscode des Affiliate-Systems aufgerufen (5.). Er ermöglicht dem Affiliate-System, das gesetzte Cookie wieder auszulesen (6.). Das System
er­kennt anhand der im Cookie gespeicherten ­ClickID, welcher Publisher die Transaktion vermittelt hat (7.). Nach erfolgreicher Be­stätigung der Transaktion erhält der Publisher seine erfolgsbasierte Vergütung (8.).

Diese Methode bietet direkt mehrere Schwachstellen für die Zukunft. Zum einen ist sie nicht mehr lange rechtssicher, weil die Regularien aus dem TTDSG das Einver­ständnis des Besuchers für das Schreiben des Cookies verlangt. Dazu kommt, dass die Verwendung von Third-Party-Cookies durch die Browser in Zukunft unterbunden werden wird. Das resultiert in diesem ge­schilderten Fall zu einem Datenverlust bei der Datenübermittlung, wodurch die Vergütung des Publishers gefährdet ist.

Bei vielen Webseiten und Shops muss ein großer Strategiewechsel im Tracking erfolgen, um weiterhin rechtssicher und tech­nisch verlässlich Daten erheben, verarbeiten und auf das Endgerät des Nutzers schreiben zu können. Damit Ihr Tracking auch unter dem TTDSG zu 100% rechts­sicher und datenschutz­konform ist, müssen Sie auf jeden Fall die Einwilligung Ihrer Nutzer für das Schreiben von Cookies oder ähnlichen Verfahren ein­holen. Das ist die Grundvoraussetzung für jede rechtssichere Form des Trackings ab Inkrafttreten des Gesetzes. 

Advertiser oder Affiliate-System?

Wenn wir das Einverständnis des Nutzers eingeholt haben, gibt es zwei technische Umsetzungsmöglichkeiten, wie wir die Attribution im Affiliate-Marketing umsetzen können: 

1. Der Advertiser übernimmt das Speichern und Vorhalten der notwendigen Trackinginformationen über shop-eigene Speichermöglichkeiten, oder

2. das Affiliate-System übernimmt das Tracking über einen Tracking-Container.

Beide Varianten haben viele Gemeinsamkeiten: Wenn der Advertiser den Redirect über seine eigene First-Party-Domain durchführt (aff.shop.de), wird das Affiliate-System im Tracking nicht mehr von Browsern geblockt. Eine eigene Attribution des Shops hat zur Folge, dass kein Third-Party-Code im Hintergrund nachgeladen wird. Die Rechtssicherheit ist ebenfalls in beiden Fällen gegeben, wenn kein Cookie vor Zustimmung des Nutzers gesetzt wird. Auch vor einem Trackingverlust ist man gut abgesichert, da der Shop die ClickID übernimmt und diese in der Session und im Cookie vorhält. 

Wenn das Affiliate-System die Attribution übernimmt, besteht nur ein wesentlicher Unterschied zur Attribution durch den Advertiser: Es wird durch den Tracking-Container Third-Party-Code im Hintergrund ausgeführt. Dadurch ist der Prozess nicht mehr “real first party”, sondern nur noch “first party”. Ersteres hieße, dass an keiner Stelle ein Third-Party-Code ausgeführt oder ein Third-Party-Cookie ausgelesen werden müsste. 

Kostenlosen Tracking-Leitfaden jetzt herunterladen

In unserem easy.EBOOK zum rechtssicheren Tracking nach Inkrafttreten des TTDSG finden Sie verschiedene Beispielprozesse für rechtssichere und datenschutzkonforme Trackingprozesse. Das eBook stellen wir Ihnen kostenlos zur Verfügung. Sie können es auf folgender Seite herunterladen.