Facebook & Co. rüsten bei Werbetechnologie auf

Website-Cookies und der Datenschutz

25.08.2022 von Michael Rath und Adrian Hoppe  
Vor dem Einsatz von Website-Cookies sollte geprüft werden, ob diese datenschutzrechtlich zulässig sind.
  • Die Umstellung von Facebook auf First-Party Cookies stellt für Werbetreibende ein datenschutzrechtliches Risiko dar.
  • Die ausdrückliche Einwilligung des Nutzers ist erforderlich (Opt-In).

Um die Wirksamkeit der Werbemaßnahmen auf der eigenen Website und auf Facebook zu verbessern, bietet Facebook verschiedene Technologien an, um Internetnutzer auch außerhalb von Facebook nachverfolgen zu können. Neben dem Facebook-Pixel setzt Facebook auch Cookies zum Werbetracking ein.

Seit die DSGVO in Kraft getreten ist, sind Cookies für viele Internetnutzer hinter dem Vorhang hervor ins Rampenlicht getreten.
Foto: iri.art - shutterstock.com

Beim Pixel handelt es sich um eine kleine Grafik, die ein Werbetreibender auf seiner Website einbinden kann und welche die Nutzung der Website durch die Besucher nachverfolgt. Um Pixel und das Tracking zu unterbinden, ist die Installation von zusätzlicher Software im Internetbrowser (Adblocker oder Anonymisierungstool) notwendig. Im Gegensatz dazu können alle gängigen Browser Cookies "mit Bordmitteln" blockieren, müssen also grundsätzlich keine zusätzliche Software installieren. Das liegt an der unterschiedlichen technischen Funktionsweise der Cookies.

Bei Cookies handelt es sich um Textdateien, die von einer Website über den Browser des Nutzers auf seinem Endgerät gespeichert werden. Sie enthalten entweder eine Identifizierungsnummer oder andere Informationen. Damit kann der Betreiber der Website die Nutzer zwischen einzelnen Seitenaufrufen oder während des Surfens auf der Website wieder erkennen oder eine Information über den Nutzer speichern (z.B. Login, Inhalt des Warenkorbs).

Was sind First-Party und Third-Party Cookies?

Grundsätzlich unterscheidet man bei Cookies zwischen First-Party und Third-Party Cookies. First-Party Cookies werden vom Betreiber der besuchten Website selbst auf dem Endgerät des Nutzers gespeichert. Oftmals sind First-Party Cookies für die reibungslose Nutzung einer Website erforderlich, damit zum Beispiel der Inhalt eines Warenkorbs beim Surfen auf der Website gespeichert werden kann. Zumindest in den Standardeinstellungen unterbindet deshalb fast kein Browser diese Art von Cookies.

Third-Party Cookies hingegen werden von Unternehmen gesetzt, auf deren Website sich der Nutzer gerade nicht aufhält, also zum Beispiel von Facebook. Besucht der Nutzer eine Seite mit Werbung, kann der Werbetreibende einen (Third-Party) Cookie setzen, um den Nutzer nachzuverfolgen. Besucht der Nutzer eine andere Seite mit Werbung des gleichen Werbetreibenden, wird er anhand des Cookies wiedererkannt (sog. Cross-Site-Tracking).

Lesetipp: So surfen Sie absolut anonym im Internet

Auf diesem Weg lassen sich die Wege von Nutzern im Internet verfolgen. Der Werbetreibende kann bei einem erneuten Besuch des Nutzers auf dessen bisherigen Verlauf zugreifen. Mithilfe des Facebook-Pixels kann ein solcher Verlauf sogar genau ausgewertet und die Werbung im Anschluss optimiert werden.

(Un-)Kreative Cookie-Informationen
Bessere Dienste
So oder so ähnlich kennen wir es von vielen Websites - hier die deutsche Page des Security-Anbieters F-Secure. Kurze Information, warum man Cookies einsetzt, ein Link zu einer Infoseite und ein Akzeptieren-Button. Ein Ablehnen-Button fehlt und so bleibt dem Nicht-Einverstandendem nur das Ignorieren der Meldung oder das Verlassen der Seite.
So nicht
Autohersteller Opel zeigt ebenfalls, wie man es nicht machen sollte: Nur ein unscheinbares Fenster am rechten unteren Bildrand, das nach kurzer Zeit automatisch verschwindet und keine Möglichkeit für den Nutzer zur aktiven Zustimmung, geschweige denn Ablehnung.
Kommandozeile
Dass Jet Brains eine Developer-Seite ist, merkt man schon am Cookie-Hinweisfenster. Es ist in Form einer Root-Shell angelegt, in das der Nutzer selbst etwas per Kommandozeile eingeben kann. Mittels "man cookies" (manual cookies) gelangt man zur ausführlichen Cookie-Hinweisseite (im Bild).
Gähn
Chemieriese BASF hält sich an die Mindestvorgabe von Google und bringt nur den Standardhinweis - nicht gerade kreativ, aber völlig ausreichend.
Überall Oompa Loompas
Die offene Projekt-Management-Plattform Taiga verweist auf ihren kekssüchtigen, gleichwohl simpel gestrickten Anwalt (der wohl gerade aus einer ganz bestimmten Schokoladenfabrik ausgebrochen sein muss).
Ausführlich und informativ
BMW informiert seine Besucher bereits auf der Startseite etwas ausführlicher über die Cookie-Nutzung.
Absolut vorbildlich ...
... ist der Cookie-Hinweis auf der Seite der IBM. Nicht nur, dass er beim Aufruf der Startseite nicht zu übersehen und ausführlich angezeigt wird - in einem zweiten Fenster darf der Nutzer granular festlegen, welche Arten von Cookies verwendet werden dürfen. So sollte es sein!

Umstellung bei Facebook von Third-Party auf First-Party Cookies

In datenschutzrechtlicher Hinsicht ist die Nutzung von Tracking- und Analyse-Cookies nur mit Zustimmung des Nutzers zulässig. Die Auffassung, dass zur datenschutzkonformen Nutzung von Cookies ein Opt-in-Verfahren notwendig ist, hat das seit 1. Dezember 2021 geltende TTDSG bestätigt. Ohne Einwilligung ist also die Nutzung von Cookies nur zulässig, sofern sie für den Website-Betrieb technisch erforderlich sind oder etwa im Falle der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz.

Lesetipp: TKD und TMG: TTDSG - aus zwei mach eins

Facebook, Microsoft und Google geben Werbetreibenden die Möglichkeit, auch First-Party Cookies zu verwenden. Der Einsatz von First-Party Cookies ist dann die Standardeinstellung. Allerdings kann der Websitebetreiber diese Einstellung wieder zu ändern. So kann er selbst auswählen, ob er nur Third-Party oder auch First-Party Cookies nutzen möchte.

Auslöser für die Umstellung bei Facebook war, dass immer mehr Browser per Voreinstellung ein Cross-Site-Tracking unterbinden. So erschweren beispielsweise Safari und Firefox das Cross-Site-Tracking über die Standardeinstellungen, indem Third-Party Cookies standardmäßig geblockt werden. Dann kann der Nutzer anhand von Third-Party Cookies nicht mehr zwischen verschiedenen Websites nachverfolgt werden. Dies führt dazu, dass die Werbetreibenden den Erfolg ihrer Werbeanzeigen nicht mehr auswerten und optimieren können.

Lesetipp: Emotion Tracking - Was er Online-Kunde bewusst preisgibt

Die früher stetige Frage ob eine derartige Nutzung von First-Party Cookies, die faktisch der Umgehung von Browserbeschränkungen und Werbeblockern dient, unzulässig ist, stellt sich nicht mehr. Nach heutiger Auffassung ist die Nutzung von derartigen First-Party Cookies zulässig, sofern der Nutzer über die Übertragung an Dritte in der Datenschutzerklärung informiert wird, seine Einwilligung erstellt hat und die Möglichkeit hat, seine Einwilligung zu widerrufen.

Ausblick zur Nutzung von Cookies

Bedingt durch die strenge Regulierung und die Gefahr hoher Bußgelder ist die Nutzung von Cookies deutlich unattraktiver bzw. abmahnanfälliger geworden. Der Markt schreit daher nach alternativen Tracking-Lösungen, die ohne das Setzen eines Cookies funktionieren (sog. "Cookieless Tracking"). Jedoch sollten Sie auch bei der Nutzung von Cookieless Tracking-Lösungen Vorsicht walten lassen. Nur weil kein Cookie gesetzt wird, heißt das noch nicht, dass keine Einwilligung des Nutzers benötigt wird. Die Einwilligungsverpflichtung ist vielmehr von Art und Umfang der Daten abhängig, die durch die Tracking-Lösung verarbeitet werden. (bw)