Tracking-Technologien wie Cookies, Pixel oder Fingerprinting sind überall im Netz – meist unsichtbar, aber ständig aktiv. Sie speichern Infos, merken sich Einstellungen und analysieren, wie wir uns online verhalten. Für Unternehmen ist das rechtlich ein Minenfeld: Wer hier nicht sauber arbeitet, riskiert Abmahnungen, Bußgelder und Vertrauensverlust.
Ein häufiger Irrtum: First-Party-Cookies gelten als harmlos. Doch entscheidend ist nicht, wer sie setzt, sondern wofür. Nur technisch notwendige Cookies – etwa für Logins oder Warenkörbe – sind ohne Zustimmung erlaubt. Alles andere, ob Analyse oder Marketing, braucht eine Einwilligung.
Und Cookies sind nur der Anfang: Auch andere Technologien sammeln fleißig Daten – oft ganz ohne, dass wir es merken.
Zu den wichtigsten Cookie-Alternativen gehören
- Device-/Browser-Fingerprinting, das aus harmlosen Einzelinformationen wie Betriebssystem, Browserversion, installierten Browser-Plugins oder Bildschirmauflösung in ihrer Gesamtheit einen digitalen ‚Fingerabdruck' des Nutzers erstellt.
- eTags (Entity Tags), die eigentlich zum Caching gedacht sind, aber so eindeutig vergeben werden können, dass sie Nutzer zur Wiedererkennung identifizieren – solange der Browser-Cache nicht gelöscht wird.
- Local Storage/Web Storage, die eigentlich harmlose Cache-Kennungen sind, aber zur heimlichen Nutzerwiedererkennung missbraucht werden können – zumindest bis der Browser-Cache geleert wird.
- User-ID-Tracking/ID-Graph, bei dem Nutzer nach einem Login über eine kryptografisch erzeugte ID plattformübergreifend wiedererkannt werden, etwa beim Cross-Device-Tracking.
- Pixel Tags/Web Beacons, kleine unsichtbare Elemente oder Codeschnipsel, die beim Laden einer Webseite einen externen Server kontaktieren und so erfassen, ob und wann ein Nutzer eine Seite besucht.
- Contextual Targeting, das Werbung zum jeweiligen Webseitenthema zeigt – Sportartikel auf Sportseiten, Kochutensilien in Kochblogs – ohne Nutzerprofile anzulegen.
- Mobil Advertising IDs & Universal IDs, also geräteübergreifende Identifikatoren wie die AdID bei Android oder die IDFA bei iOS, die vor allem im mobilen Bereich eingesetzt werden.
- Privacy Sandbox/FLoC, Googles Ansatz, Nutzer in Cluster oder Kohorten zu gruppieren und Werbung auf diese Gruppen, statt auf einzelne Personen auszurichten.
Tracking & Cookies: Einwilligung ist Pflicht, nicht Kür
Auch wenn keine persönlichen Daten im Spiel sind, greifen strenge Regeln – etwa das TDDDG in Deutschland. Dieses Gesetz verlangt eine klare Zustimmung, sobald Infos auf Geräten gespeichert oder ausgelesen werden. Nur technisch notwendige Cookies sind davon ausgenommen – alles andere braucht ein echtes „Ja“ vom Nutzer.
Der Europäische Gerichtshof hat das schon 2019 klargestellt: Ohne aktive, freiwillige Einwilligung geht nichts. Voreingestellte Häkchen oder verwirrende Banner sind tabu. Trotzdem tricksen viele Websites mit sogenannten „Dark Patterns“, um Nutzer zur Zustimmung zu bewegen – oft mit rechtlich fragwürdigen Methoden.
Besonders kritisch: Cookie-Walls. Laut EDSA sind sie unzulässig, wenn Nutzer keine echte Alternative zum Tracking haben. Wer Inhalte nur gegen Zustimmung freigibt, verstößt gegen die DSGVO.
CMPs: Mehr als nur Pflichtprogramm
Consent-Management-Plattformen (CMPs) sind heute unverzichtbar. Sie regeln, wann und wie Cookies & Co. gesetzt werden dürfen – und sorgen für Transparenz, Sicherheit und Vertrauen. Moderne CMPs gehen sogar weiter: Sie helfen beim Aufbau echter Datenpartnerschaften mit Nutzern und können als Kommunikations-Tool für Einwilligungen in verschiedenste Datenverarbeitungen dienen.
Kurz gesagt
Wer hier sauber arbeitet, schützt nicht nur sich vor Bußgeldern, sondern stärkt auch die Beziehung zu seinen Nutzern.
