Das Messen des Benutzerverhaltens auf Webseiten (Tracking z.B. mit 3rd-Party Cookies) wird zunehmend anspruchsvoller: Die erhöhten Privacy-Ansprüche gemäss DSGVO verbieten das Tracking personenbezogener Daten ohne explizite Einwilligung des Nutzers.
Und auch die Weitergabe deren Daten nach Amerika wird wegen des Kappens des US-Privacy-Shields immer problematischer (z.B. bei Google Analytics, Adobe Analytics, YouTube, Facebook Pixel, LinkedIn Analytics, etc.).
In einer Befragung durch die IAS bezüglich Media Herausforderungen, sehen 49% der Online Marketer die Reduktion von 3rd-Party Cookies als Problem und 36% das adäquate messen.
Copyright: Integral Ad Science, hier ihr vollständiges PDF
Was ist das Problem? “Übertriebenes” Tracking persönlicher Daten
Den meisten Nutzern ist nicht bewusst, von wievielen Online Marketing Diensten ihr Surfverhalten verfolgt wird, um ihnen im richtigen Moment die passende Werbung einzublenden.
An sich wäre das ja eine gute Sache, denn die allermeisten Online-Dienste wie Suchmaschinen und Social Networks nutzen wir kostenlos. Entsprechend wird das Angebot über Werbung finanziert.
Da wir bei Google, Facebook & Co. meist einloggen und viele dieser Anbieter zusätzliche Messmethoden auf weiteren Webseiten und Apps betreiben (u.a. Cookies und Tracking-Pixels), entsteht ein detailliertes Bild unseres Interessenprofils. Dieses wird Werbetreibenden mehr oder weniger anonym zur Verfügung gestellt.
Die Gegenreaktion: Schutz durch DSGVO der EU oder CCPA von Kalifornien
Weltweit regt sich Widerstand gegen die übertriebene Auswertung von Nutzerdaten: In Europa gilt die Datenschutz Grundverordnung DSGVO (GDPR auf Englisch), in den USA ist davon das kalifornische CCPA Gesetz inspiriert, in UK das Gesetz PECR, in Brasilien LGPD, etc.
Auch in der Schweiz wird das Datenschutzgesetz DSG in eine ähnliche Richtung überarbeitet.
Für Betreiber von Webseiten in Europa bedeutet dies, dass sie ohne explizite Einwilligung u.a. keine personenbezogenen Daten wie IP-Adressen senden dürfen an Unternehmen in Staaten mit ungenügenden Datenschutzgesetzen.
Seit die EU 2015 das Datenschutzabkommen “Safe Harbor” mit den USA gekündigt hat und auch die Nachfolgeregelung namens “EU-US Privacy Shield” seit Juli 2020 nicht mehr gilt, werden US-Firmen wie Google oder Facebook als nicht sicher genug eingestuft für die Haltung europäischer Nutzerdaten. Denn gemäss Patriot Act haben staatliche Behörden in den USA ohne Wissen der Betroffenen Zugriff auf gespeicherte Daten.
Welchen Einfluss dieser Entscheid auf den Schweizer “Swiss-US Privacy Shield” hat und auf die Ausnahmeregelungen unter den “Standard Contractual Clauses (SCC)”, ist noch unklar.
Was bedeutet das für Website-Tracking mit Google Analytics und Cookies?
Unter dem Eindruck des zunehmenden Privacy-Bedürfnisses haben diverse Anbieter reagiert: Apple reduziert ab iOS 14.5 die Möglichkeit, das Surfverhalten ihrer Nutzer für Werbezwecke auszuwerten. Das hat ihnen eine Beschwerde von Facebook eingebracht: Wenn das Social Network ihren Werbekunden nicht mehr belegen kann, wie effizient ihre Werbeflächen eingesetzt wurden, könnte das Werbevolumen sinken.
Auch für Agenturen könnte es zunehmend schwieriger werden, unterschiedliche Werbemassnahmen an den effektiven Nutzerbedürfnissen auszurichten.
Zudem haben Browser wie Mozillas Firefox, Apples Safari, Microsofts Edge und bald auch Googles Chrome eine reduzierte Gültigkeitsdauer von sogenannten 3-rd Party Cookies vorgenommen: Drittparteien platzieren auf diese Weise ein kleines Tracking-Script auf dem Rechner des Nutzers, um wiederkehrende Benutzer und ihre Online-Käufe wiederzuerkennen.
Statt wie früher 30 Tage lang lassen sich jetzt Konversionen wie Online-Buchungen oder Anfragen aber nur noch 7 Tage lang einer Werbekampagne zuweisen (sogenannte Attribution). Danach ist unbekannt, woher eine Konversion stammt.
Aus historischen Daten kann jeder Online-Shop jetzt abschätzen, wie viele Informationen künftig für die Optimierung von Werbekampagnen verlorengehen.
In den Reportings werden die Kosten pro Konversion (CPC) in die Höhe schiessen, einfach weil man weniger Konversionen den Kampagnen wird zuordnen können.
Nach Messungen des Schweizer Tracking-Anbieters fusedeck verlieren Webseiten bei korrekt eingesetztem Opt-In Cookie-Banner bis zu 93% (!) der bisherigen Nutzerdaten.
Im Extremfall weisen Manager ihre Webabteilungen an, europäische Alternativen zu Google Analytics oder Adobe Analytics zu prüfen, um keine Daten mehr in die USA zu transferieren.
Ob die eigene Webseite vom Thema betroffen ist, lässt sich mit dem Webseiten-Check des Datenschutz-Anbieters Sicherheit mit System SIMIS prüfen.
Nutzereinwilligung mittels Cookie-Banner
Mittels Nutzereinwilligung (Consent) versuchen sich Webseitenanbieter schadlos zu halten.
Mit den ungeliebten Cookie-Bannern oder auch sogenannter Consent-Manager-Software, wird beim Webseitenbesucher die “explizite und informierte” Bewilligung eingeholt, dass man sein Nutzerverhalten registrieren und u.a. an amerikanische Verwerter senden darf.
Die Vorschrift, dass der Nutzer einen “informierten Entscheid” treffen darf, ist mit den oft üblichen Cookie-Bannern nicht erfüllt: Per simple Checkbox oder weil man die Seite “weiterhin verwendet” kann man keinen informierten Entscheid treffen.
Etwas besser sind da Consent-Manager wie CookieBot, UserCentrics oder Borlabs Cookie.
Deren Problem ist, dass man sie nur mit grossem technischem Aufwand DSGVO-konform einbinden kann: Wird eine Seite geladen, sollten die Tracking-Scripts von Google Tag Manager, Google Analytics und allen anderen blockiert werden, bis der Nutzer seine Einwilligung gibt.
Weil moderne Browser aber Scripts von unterschiedlichen Anbietern parallel laden, lässt sich dies in der Praxis kaum umsetzen. Consent-Manager bieten oft also nur eine Scheinlösung. Hier beschreibt wwwschutz, weshalb auch Consent-Manager nur ungenügenden Schutz bieten.
Wie reagieren Analytics-Anbieter?
Google wird natürlich nicht tatenlos zusehen, wie Kunden zu anderen Anbietern abwandern. Als Ersatz für das Tracking mit Cookies proben sie ein Verfahren namens “Federated Learning of Cohorts”, kurz FLoC: Einzelne User mit ähnlichem Nutzerverhalten werden als Gruppe zusammengefasst und dadurch anonymisiert (sogenannte “Privacy Sandbox” der Kohorte).
Anhand von Auswertungen über die Kohorte kann Google gemäss eigenen Angaben 95% der früher über Cookies gewonnenen Informationen anonymisiert an ihre Werbepartner weitergeben.
DSGVO-konformes User-Tracking mit fusedeck
Einen anderen Weg geht der Schweizer Analytics-Anbieter fusedeck: Ihr Consent-Manager erlaubt Webseiten-Betreibern drei verschiedene Einstellungen:
- Gibt der User sein Einverständnis, wird konventionell mit Cookies getrackt. Weil die Daten in der Schweiz bleiben und von fusedeck nicht weiteren Anbietern zur Verfügung gestellt werden, ist das weniger problematisch als bei amerikanischen Anbietern.
- Gibt der User sein Einverständnis nicht, kann optional die Session via Fingerprinting gemessen werden. Wiederkehrende Nutzer werden dann nicht mehr erkannt.
- Als dritte Option kann das Tracking vollständig deaktiviert werden.
Die drei Optionen lassen sich unterschiedlich einstellen, je nachdem ob ein Nutzer aus der Schweiz oder dem EU-Raum die Webseite besucht.
Will man das wirklich datenschutzkonform umsetzen, darf man fusedeck natürlich nicht via Google Tag Manager einbinden, denn dann würden Daten in die USA geschickt.
Praktischerweise bietet fusedeck einen eigenen, sehr mächtigen Tag Manager, mit dem sich das Nutzerverhalten auf verschiedene Arten messen lässt.
Weil fusedeck nicht Event-basiert misst, sondern via eine direkte Web-Socket-Verbindung, sind die Auswertungen genauer als bei Google: Beispielsweise wird die Aufenthaltsdauer pro Seite ausgegeben als tatsächlich aktiv am interagieren, wartend ohne Interaktion und inaktiv, weil man ein anderes Fenster im Fokus hat.
Weil fusedeck eine Technologielösung ist des Schweizer Online-Vermarkters Capture Media, lassen sich diese Zielgruppen gezielt ausspielen: Kunden bezahlen für die Online-Anzeigen nur, falls die Nutzer tatsächlich mit den Inhalten interagieren. Für Bounces bezahlt man die generierten Klicks nicht.
Als fusedeck- und Google Analytics-Implementierer zeigen wir Ihnen gerne die Unterschiede und Möglichkeiten auf, wie Sie dank solcher Messdaten eigene Zielgruppen aufzubauen (Custom Audiences basierend auf Engagement-Daten).
Mehr über unsere Tracking- und Analytics-Dienstleistungen finden Sie hier.
Übrigens habe ich mich für meinen Beitrag inspirieren lassen von Beat Hürlimann und seinem Beitrag bei Horizont: Aus der weiter oben bereits erwähnten US-Studie von Integral Ad Science zitiert er, dass das Auslaufen des Cookie-Modells mit 49% die grösste Herausforderung darstellt für US Online Marketer. Dahinter folgen die geräteübergreifende Attribution von Werbemassnahmen, das akkurate Messen des Besucherverhaltens, das Berechnen des Return on Investment von Werbekampagnen und die Gesetzgebung rund um Privacy.
Bei Schweizer Online Marketing Verantwortlichen scheinen diese Themen noch nicht das nötige Gewicht zu haben. Deshalb dieser Beitrag.
Weiterführende Links
- iab TECH LAB: Finally some clarity around Google Ad’s latest privacy announcements
https://iabtechlab.com/blog/finally-some-clarity-around-google-ads-latest-privacy-announcements/ - t3n: DSGVO – Googles Tracking-Ersatz scheitert vorerst an EU-Recht
https://t3n.de/news/huch-dsgvo-googles-floc-scheitert-1369031/ - Webinar von Martech im Fokus über Engagement-Tracking und Consent-Management mit fusedeck
https://iundf-martech.ch/marketing-analytics-mit-fusedeck/