Mit serverseitigem Tracking zu mehr Datenqualität
Ein Fachartikel von Tobias Pommer und Jannik Lichte
Im Januar diesen Jahres hat die österreichische Datenschutzbehörde (DPA) entschieden, dass die Verwendung von Google Analytics nicht mit der EU-Datenschutzgrundverordnung (DSGVO) konform sei. Sie verstoße insbesondere gegen die "Schrems II"-Entscheidung der EU, ein Grundsatzurteil vom Juli 2020, dass das Abkommen zwischen der EU und den USA über den Schutz der Privatsphäre (Privacy Shield), einen der wichtigsten Mechanismen für den sicheren und freien Datenfluss zwischen Organisationen in der EU und den USA, für ungültig erklärt.
Am 10. Februar hat zudem die französische Datenschutzbehörde (CNIL) bekannt gegeben, dass sie die Art und Weise, in der Daten durch Google Analytics gesammelt und in die USA übertragen werden, im Hinblick auf die Einhaltung der DSGVO, als unzureichend reguliert bewertet.
Mit diesen Beschlüssen werden der Erhebung und Weitergabe von Daten (zum Beispiel dem Website-Tracking), die für den unternehmerischen Erfolg und insbesondere für gezieltes Marketing von entscheidender Bedeutung sind, weitere rechtliche sowie technische Grenzen gesetzt.
Die Entscheidungen haben bei vielen Unternehmen Bedenken ausgelöst und laut einem an dem österreichischen Fall beteiligten Anwalt, eine "dunkle Wolke" über den "legalen Datentransfer zwischen den Kontinenten" geworfen. Das Anwenden dieser Vorschrift in anderen EU-Ländern hätte gravierende Folgen.
Es besteht kein Zweifel daran, dass in einer Welt, in der der Datenschutz immer wichtiger wird, die Arbeitsweisen angepasst werden müssen. In diesem Fall bietet das serverseitige Tracking eine Alternative, die derzeit noch nicht weit verbreitet ist. Es gibt verschiedene Optionen für das serverseitige Tracking auf dem Markt; es überrascht vielleicht nicht, dass der Google Tag Manager (GTM) die bekannteste und am weitesten verbreitete Lösung für Tag Management bietet.
Serverseitiges Tracking vs. Clientseitiges Tracking
Die meisten Unternehmen verwenden derzeit das clientseitige Tracking, das eine direkte Verbindung zwischen dem Gerät eines Nutzers und Drittanbietern, wie beispielsweise Tracking-Tools, herstellt. Marketing- & Analyse-Tags in Form von JavaScript-Snippets, die beim Öffnen der Seite geladen werden, werden auf das Gerät übertragen und verringern die Geschwindigkeit der Website. Dieser Code von Dritten ist schwer zu kontrollieren. Darüber hinaus schränken einige Tracking-Preventions von Browsern die Lebensdauer der über JavaScript gesetzten Tracking-Cookies ein und verhindern in einigen Fällen den gesamten Datenfluss.
Das serverseitige Tracking ermöglicht es Unternehmen, Marketing- und Analyse-Tags von der Website in einen sicheren Server-Container zu verschieben. Die zahlreichen Datenströme, zwischen der vom Endnutzer aufgerufenen Webseite und dem Server, können auf einen einzigen Datenstrom reduziert werden, wodurch sowohl der Code von Drittanbietern als auch die auf der Website erforderlichen Tracking-Tags verringert werden.
Wenn jemand eine Website aufruft, werden die Informationen über Seitenaufrufe und Interaktionen an den Server-Tag-Manager gesendet. Wird dieser auf einer Subdomain der Website gehostet, geschieht dies im 1st-Party Kontext. Die Tags von Anbietern wie Google Analytics, Google Ads und Facebook, die im Server-Tag-Manager konfiguriert sind, können auf die Informationen zugreifen. Allerdings kann dabei festgelegt werden, welche Daten an die Drittanbieter tatsächlich gesendet werden sollen. Die IP-Adresse von Nutzern kann dabei beispielsweise überschrieben werden.
Wenn die Cookies, die zur Wiedererkennung von Nutzern über mehrere Sitzungen hinweg erforderlich sind, vom Server mittels http Response gesetzt werden, können sie nur vom Server der Website gelesen werden. Dadurch sind sie sicherer als dass sie über JavaScript gesetzt werden (die Methode, die beim clientseitigen Tracking verwendet wird), während ihre Lebensdauer nicht durch Tracking-Preventions begrenzt wird. Folglich ist die Nutzererkennung beim serverseitigen Tracking effektiver und die Datenqualität verbessert sich.
Zusammenfassend zeigt sich, dass es bei der Verwendung von serverseitigem Tracking keine direkte Verbindung zwischen dem Gerät des Nutzers und Drittanbietern gibt. Letztere erhalten nur Daten, die vom Server vorab festgelegt worden sind.
Die Vorteile des serverseitigen Trackings
Die Einführung des serverseitigen Trackings führt dazu, dass nur der Server der betreffenden Website die Daten und Interaktionen des Nutzers auslesen kann. Innerhalb des Servers kann dann festgelegt werden, welche Teile der Daten an Drittanbieter weitergegeben werden sollen. Dies steht in starkem Gegensatz zum clientseitigen Tracking, bei dem JavaScript Cookies gesetzt und Daten direkt an Dritte übermittelt werden.
Beim serverseitigen Tracking wird der Zugriff auf die Daten eines Nutzers eingeschränkt, so dass sie nicht von Dritten gesammelt werden können, d.h. von jemand anderem als dem Websitebetreiber. Da weniger Code und Tracking-Tags von Drittanbietern verwendet werden, erhöht sich automatisch die Ladegeschwindigkeit der Seite, was das Nutzererlebnis verbessert und potenziell die Conversion-Rate der Seite erhöht.
Tools von Drittanbietern erhalten keine Informationen über das Gerät des Nutzers, da der Tag-Manager-Server dazwischengeschaltet ist; er kann alles überschreiben, was als personenbezogene Daten betrachtet wird, wie z. B. die IP-Adresse und den User Agent, bevor es an Dritte gesendet wird. Google Analytics verfügt zwar über eine IP-Anonymisierung, diese erfolgt jedoch erst, nachdem die vollständigen Informationen an den 3rd-Party-Server übertragen wurden.
Die Tatsache, dass die gesammelten Daten zunächst von einem eigenen Server geprüft, angepasst und/oder überschrieben werden können, verbessert auch ihre Qualität.
Beim Erfassen von Website-Besuchern werden auch oftmals Bots und Crawler erfasst, welche die Datenmenge künstlich beeinflussen. Während Tools wie Google Analytics zwar über eingebaute Filter verfügen, gibt ein Server-Tag-Manager dem Eigentümer die Kontrolle, indem er eine eigene Liste der zu blockierenden Bots und Crawler definiert und selbst festlegt, welche Daten er an Dritte senden möchte.
Tools wie Google Analytics müssen Informationen in einem bestimmten Format und innerhalb bestimmter Parameter erhalten; im Server-Tag-Manager können spezifische Regeln definiert werden, um Daten zu überprüfen und gegebenenfalls zu korrigieren, bevor sie übermittelt werden. Der Tag-Manager-Admin kann darüber hinaus die erhobenen Daten auch mit seinen eigenen (1st-Party-)Daten anreichern.
Im Hinblick auf die österreichische und die französische DSGVO-Entscheidung trägt die Datenerfassung durch serverseitiges Tracking dazu bei, die Sicherheit der Datensammlung zu gewährleisten, da die Kontrolle über den Datenversand in der Hand der Websitebetreiber liegt.
Performance und Datenschutz
Das serverseitige Tracking ist für jede Organisation von Bedeutung, die ihre Kontrolle über den Datenverkehr ihrer Website verstärken, die Qualität der erfassten Daten verbessern und die Nutzererfahrung optimieren möchte. Trotz dieser Vorteile wird diese Technik immer noch zu wenig eingesetzt.
Um die Leistungs- und Datenschutzanforderungen des heutigen wettbewerbsorientierten und zunehmend regulierten Marktes zu erfüllen, sollte das serverseitige Tracking, ob mittels GTM oder einem anderen Angebot, auf dem Radar der meisten Unternehmen sein.