Eine erste Version dieses Artikels habe ich im Juni 2020 geschrieben. Seitdem hat sich viel getan, weswegen ich den Artikel überarbeitet habe. Kommentare können sich auf die erste Version beziehen.

Ende Mai 2020 hat ein Urteil des Bundesgerichtshofs die Opt-in-Pflicht für viele Cookies auch für Deutschland bestätigt. Das BGH hat damit die Rechte der Nutzerinnen gestärkt und dem detaillierten Tracking im Online Marketing Grenzen gesetzt.

Spätestens seit diesem Urteil muss sich jede Website-Betreiberin die Frage stellen, ob detailliertes Tracking nicht mehr Schaden bringt als Nutzen stiftet. Ich behaupte, dass es für die allermeisten Websites auch aus ökonomischer Perspektive die klügere Entscheidung wäre, auf datenschutzfreundliche Analysetools zu setzen.

Die Argumentation folgt diesen Schritten:

1. Die Nachteile von Cookie-Hinweisen in Wort und Bild
2. Die Abwägung zwischen Nervfaktor und Datenqualität
3. Es gibt Alternativen zum üblichen Web-Tracking
4. Datenschutzfreundliche Konfiguration von kompletten Tracking-Suites
5. Per Design datenschutzfreundliche Webanalyse-Tools
6. Minimalistische Erfassung der Website-Nutzung per WordPress-Plugin
7. Datenschutzfreundliche Analytics versus detailliertes Tracking
8. Fazit

1. Die Nachteile von Cookie-Hinweisen in Wort und Bild

Wir beginnen mit dem ganzen Elend der Cookie-Hinweise.

Wichtig ist der erste Eindruck. Egal, ob es um Menschen oder um Websites geht. Trotzdem empfangen Website-Betreiber ihre neuen Besucher oft sehr uncharmant.

Hier kommt eine kleine Auswahl des ersten Eindrucks, der mir heute beim Surfen vermittelt wurde:

Erstes Beispiel: Nutzer als Klickvieh

Dieser Screenshot zeigt einen momentan sehr verbreiteten Cookie-Hinweis. Hier vermittelt mir der Website-Betreiber gleich bei Ankunft den Eindruck, dass er mich nicht auf Augenhöhe wahrnimmt.

Die Nutzererfahrung lehrt, dass ich beim Klick auf einen hervorgehobenen Button die darüber getroffene Auswahl bestätige. Ist hier aber nicht so. Ich akzeptiere alle Cookie (steht da ja auch), und nicht nur die essenziellen.

Bei so etwas ärgere ich mich jedes Mal, wenn ich aus purer Gewohnheit auf den hervorgehobenen Button klicke, weil ich mich für dumm verkauft fühle. Ich weiß, dass es nicht nur mir so geht.

Interfaces, die den Besucher zu Handlungen bewegen, die deren eigentlichen Absichten widersprechen, nennt man übrigens Dark Patterns. Aus einem t3n-Artikel zu diesem Thema:

Im Fall von Cookie-Hinweisen werden Buttons, Aufbau und Beschriftung gezielt so gewählt, dass die Website-Besucher am ehesten eine datenschutzunfreundliche Auswahl treffen – und damit gegen ihre eigenen Interessen agieren.

Ich verstehe die Intention des Website-Betreibers. Er möchte einerseits möglichst viele Besucher zum Opt-in bewegen und andererseits datenschutzkonform handeln und mir als Nutzer kein nicht notwendiges Kontrollkästchen schon angehakt präsentieren, weil das doch angeblich das EUGH verbietet und jetzt auch das BGH bestätigt hat.

Ob diese über Dark Pattern gelenkte Cookie-Einwilligungen aber dem Datenschutz genüge tun, ist auch unklar. Was klar ist: Mir – und vielen anderen Nutzern – stößt es auf, wenn man für dumm verkauft werden soll.

Zweites Beispiel: Der Empfang der Textwüste

Mobil wirken Cookie-Hinweise immer schlimmer. Hier ein besonders fieses Beispiel mit kompliziertem Text, der nicht einmal komplett auf den kleinen Bildschirm passt. So etwas hat noch nie einen Besucher begeistert.

Da ich kein Anwalt bin, maße ich mir hier keine Bewertung an, ob das datenschutzkonform ist. Ich beobachte aber, dass große Konzerne den Cookie-Hinweis generell etwas lässiger einbauen. Hier kann ich direkt im Hinweis weder verschiedene Cookies aus- und abwählen, noch habe ich die Möglichkeit die voreingestellte Auswahl direkt abzulehnen. Ich erkläre mir das mit einer größeren Rechtsabteilung.

3. Beispiel: Doppel-Popup

Popups sind eine sehr effektive Möglichkeit, den Nutzer auf etwas hinzuweisen. Darum ist dieses Mittel im Online-Marketing auch so beliebt. Allerdings ist mein Eindruck, dass der dabei entstehende Flurschaden in der Benutzerfreundlichkeit oft größer ist als der dadurch gewonnene Nutzen.

Ziemlich sicher ist der erste Eindruck bei mir extrem negativ, wenn ich zusätzlich zum Datenschutz-Hinweis noch ein zweites Popup wegklicken muss, bevor ich überhaupt etwas von der Seite sehe.

2. Die Abwägung zwischen Nervfaktor und Datenqualität

Die drei Beispiele habe ich zufällig ausgewählt. Wohin man auch blickt im Internet, findet man mehr oder weniger nervige Cookie-Hinweise. Wenn diese weniger nervig sind, haben Website-Betreiber oft deutlich schlechtere Daten über die Nutzung ihrer Website (oder sie sind aus der Datenschutzperspektive im dunkelorangenen Bereich).

Bei einem gut umgesetzten, angemessen nervigen Cookie-Popup, liegt die Opt-in-Rate zwischen 70% und 80%. Also sind die Daten selbst im Optimalfall nur unvollständig. Dazu kommt noch, dass einige Browser, zum Beispiel Firefox, Tracking Cookies sowieso blocken.

Und wenn uns die Geschichte der Online-Banner und Popups eine Sache gelehrt hat, dann, dass die Klickrate immer weiter sinkt. Die erste Banner-Anzeige hatte eine Klickrate von über 40%. Heute liegen die guten Anzeigen im Promille-Bereich. Auch die Opt-in-Rate wird sinken, da bin ich mir ziemlich sicher.

Also: Cookie-Hinweise nerven, die Datenqualität ist schon heute nicht toll und wird vermutlich in Zukunft deutlich schlechter. Und die Bedeutung von Datenschutz wird in Zukunft vermutlich auch eher steigen.

3. Es gibt Alternativen zum üblichen Web-Tracking

Aus meiner Sicht ist es höchste Zeit, sich nach einer datenschutzfreundlichen Alternative zum üblichen Website-Tracking umzuschauen.

Klar ist, diese Alternative kann mir kaum die gleichen Informationen über meine Website-Besucher bieten wie Google Analytics mit Opt-In. Also wird es nicht möglich sein, beispielsweise das Alter und das Geschlecht meiner Nutzerinnen zu erfassen. Für die meisten Projekte finde ich diese Informationen sowieso unwichtig.

Es gibt unterschiedliche Möglichkeiten, die Website-Nutzung datenschutzfreundlich zu erfassen.

4. Datenschutzfreundliche Konfiguration von kompletten Tracking-Suites

Google Analytics

Google Analytics ist mit großem Abstand der Marktführer für Webanalyse-Tools und hat einen Marktanteil von 85%.

Seit September 2020 bietet Google mit der Google Consent API die Möglichkeit an, Google Dienste abhängig von der Zustimmung der Nutzer auf verschiedene Weisen einzubinden.

Das ist für alle Google Analytics-Fans spannend, weil dadurch auch die Nutzung derjenigen Besucher erfasst wird, die ihre Zustimmung verweigern. Zwar in aggregierter Form und ohne Personenbezug, aber bisher klaffte immer ein großes Loch in der Nutzungsstatistik, das so geschlossen werden kann.

Wenn eine Website-Betreiberin die Entscheidung des Nutzers vorweg nimmt und für alle Nutzer die Zustimmung verweigert, könnte sie in dieser Logik auf den Cookie-Hinweis verzichten und Google Analytics ohne Einwilligung nutzen.

Datenschützer sind jedoch extrem skeptisch, ob das wirklich datenschutzkonform ist. Zum Einen werden trotzdem Daten an einen Dritten übermittelt und zum Anderen ist die Black Box Google vielleicht in der Lage auch anonymisierte Daten Personen zuzuorden.

Matomo

Matomo positioniert sich als vollwertige und ethische Alternative zu Google Analytics. Als open source-Software kann sie jeder selbst hosten (es gibt sogar ein kostenloses WordPress-Plugin dafür) oder auf eine Cloud-Lösung zurückgreifen.

Der Landesbeauftragte für Datenschutz und Informationsfreiheit in Baden-Württemberg nennt Matomo explizit als Beispiel für ein Webanayse-Tool, das auch ohne Einwilligung benutzt werden kann – wenn es selbst gehostet wird und datenschutzfreundliche Voreinstellungen genutzt werden.

etracker

etracker ist eine komplette Tracking-Suite, die so konfiguriert werden kann, dass kein Cookie-Hinweis benötigt wird. Aber es ist prinzipiell auch möglich, ähnlich intensiv wie mit Google Analytics zu tracken, um mit allen Schikanen datenbasiert zu arbeiten.

etracker kommt aus Deutschland und besteht seit 20 Jahren. Die Preise beginnen bei 19 € pro Monat. Ich selbst habe es noch nicht benutzt, aber es wurde mir von Thomas (siehe Kommentare) empfohlen.

Meine Einschätzung zu dieser Möglichkeit

Wenn ich ohne Cookie-Hinweis arbeiten möchte, würde ich immer ein Tool nutzen, das dies von Haus aus so vorgesehen hat.

Sonst habe ich unnötig viel Code auf meiner Website, der nicht genutzt wird. Das macht die Website schwer und langsam.

Per Design datenschutzfreundliche Webanalyse-Tools

Fathom Analytics

Fathom positioniert sich als schnelle, simple und datenschutzfreundliche Alternative zu Google Analytics. Schaut schick aus, ist übersichtlich und sammelt keine persönlichen Daten. Deswegen ist das Tool auch ohne Cookie-Hinweis DSGVO-konform. Fathom ist der Pionier unter den simplen, datenschutzfreundlichen Webanalyse-Tools und kostet bei 100.000 Page Views 14 $ im Monat.

Ausgedacht hat sich dieses Tool Paul Jarvis, Designer und Autor des Bestsellers Company of One.

Plausible Analytics

Plausible ist laut einer zugegeben etwas fragwürden Messung das am schnellsten wachsende open source-Startup der Welt und bietet ein ähnliches Feature-Set wie Fathom.

Entwickelt wird Plausible in der EU und gehostet in Deutschland. Preislich geht es aber schon bei 6 $ im Monat los und als open source Software kann Plausible auch selbst gehostet werden.

Die zwei Männer hinter dem Tool berichten auf ihrem Blog sehr transparent über ihren Weg, veröffentlichen alle eigenen Zahlen und spenden 5% des Umsatzes an Umweltprojekte und an open source-Tools.

Simple Analytics

Simple Analytics ist das dritte datenschutzfreundliche Webanalyse-Tool. Das Design ist in einem etwas anderen Style gehalten als Plausible und Fathom und auch die Features setzen einen etwas anderen Schwerpunkt. So werden direkt Tweets eingebettet, die Besucher auf die Website geführt haben. Preislich geht es hier bei 19 € pro Monat los.

Simple Analytics wird von einem kleinen Team in der Niederlande entwickelt und hat gerade den Meilenstein von 100.000 € Annual Recurring Revenue erreicht.

Umami

Umami ist in seiner Funktionalität ziemlich ähnlich zu Plausible und Fathom. Der Hauptunterschied ist, dass Umami komplett open-source ist und selbst gehostet werden muss. Es ist also keine Plug-and-Play-Lösung.

Umami ist das Hobby-Projekt von Mike Cao, der eigentlich bei Adobe arbeitet. Auf Medium hat er geschrieben, warum und wie er Umami entwickelt hat.

6. Minimalistische Erfassung der Website-Nutzung per WordPress-Plugin

Koko Analytics

Koko Analytics ist nochmal reduzierter als Fathom. Es fehlen Kennzahlen wie Verweildauer und Absprungrate. Da es ein WordPress-Plugin ist, sind die Statistiken auf dem gleichen Server wie die Website gespeichert. Es ist kostenlos und open source.

Es wurde von Danny van Kooten entwickelt, der auch das weitverbreitete Plugin MC4WP programmiert hat, und zusammen mit Paul Jarvis Fathom gegründet hat, bevor er dort aus Zeitmangel ausgestiegen ist.

Statify

Statify ist der Platzhirsch unter den datenschutzfreundlichen WordPress-Statistik-Plugins. Es ist open source, kostenlos und auf über 100.000 Seiten installiert. In der Grundversion bietet es ungefähr die gleiche Funktionalität wie Koko Analytics.

Zusätzlich lassen sich noch Erweiterungen installieren, mit denen etwas detailliertere Statistiken möglich sind. Statify ist grundsätzlich auch ein leichtes Plugin, aber es nimmt doch ein wenig mehr Speicherplatz als Koko Analytics ein.

7. Datenschutzfreundliche Analytics versus detailliertes Tracking

Aus meiner Sicht würde es sich für die allermeisten Website-Betreiber lohnen, auf datenschutzfreundliche Statistik-Tools zu setzen. Ich sehe diese Vorteile:

• Höhere Nutzerfreundlichkeit, weil kein Cookie-Hinweis gebraucht wird.
• Umfassendere Daten, da weder ein Opt-in benötigt wird noch Cookies geblockt werden.
• Die Website ist schneller, da keine großen Tracking-Skripte beim Besuch der Website geladen werden müssen.
• Außerdem kann man in der Datenschutzerklärung glaubhaft „Datenschutz ist uns wichtig“ schreiben, ohne dass diese Aussage durch die eigenen Tracking-Praktiken sofort konterkariert wird. Ich finde diesen Textbaustein meistens einfach lächerlich.
• Die erfassten Statistiken sind einfach zu verstehen. Ich sehe oft bei Kunden, dass Google Analytics zwar eingebunden ist, aber niemand dort regelmäßig reinschaut. Ein Grund dafür ist, dass Google Analyitcs nicht so einfach zu verstehen ist. Deswegen nutzt auch niemand die detaillierten Analyse-Möglichkeiten.

Trotzdem gibt es ein paar Gründe, detailliertes Tracking einzusetzen:

• Die Website finanziert sich über Anzeigen. Die meisten Anzeigenkunden verlangen ein Reporting, für das die datenschutzfreundlichen Analyse-Tools nicht ausreichen.
• Der Website-Betreiber setzt Performance-Marketing ein, um seine Ziele zu erreichen. Dazu muss er verstehen, was die über die Anzeigen gewonnenen Besucher auf der Website machen. Außerdem bringt es meist deutlich bessere Ergebnisse, wenn die Anzeigenplattform nachvollziehen kann, was auf der Website passiert und man beispielsweise Website-Besucher über Retargeting erneut ansprechen kann. Gleichzeitig ist es sehr wohl möglich, auch Performance-Marketing auf eine datenschutzfreundliche Art zu betreiben.
• Die Website wird regelmäßig auf ihre Benutzerfreundlichkeit hin optimiert. Dafür muss die Website-Betreiberin genau verstehen, wie sich die Benutzer auf der Website bewegen und welche Teile der Website funktionieren und welche nicht. Natürlich reichen dann die einfachen Statistiken von Koko Analytics, Fathom oder Plausible nicht aus.

8. Fazit

Natürlich muss jeder selbst abwägen, ob für die eigene Website ein detailliertes Tracking notwendig ist. Ich glaube nur, dass es für die meisten Website-Betreiber nicht nur das aus datenschutzrechtlicher Perspektive sondern auch aus ökonomischer Sicht die schlauerere Entscheidung ist, Analyse-Tools wie Fathom oder Koko Analytics zu nutzen.

Meine Beobachtung ist aber, dass bisher die meisten einfach Google Analytics einsetzen ohne über Alternativen nachzudenken. Für meine eigenen Websites reicht mir bisher Koko Analytics aus.

Wie seht ihr das? Ist datenschutzfreundliche Analyse oft die klügere Wahl? Kennt ihr weitere Tools, die ihr empfehlen könnt?

Disclaimer: Ich bin kein Anwalt und versuche deswegen in diesem Beitrag nur, mein Verständnis der Argumentation von Datenschuützern in eigenen Worten widerzugeben. Wer Beratung zu den rechtlichen Konsequenzen des Einsatzes von Webanalysetools sucht, möge sich bitte an einen spezialisierten Anwalt wenden.