DSGVO-konformes Tracking bezeichnet die Erfassung und Auswertung von Nutzerdaten auf Websites unter Einhaltung der Datenschutz-Grundverordnung (DSGVO) und des TDDDG – insbesondere durch wirksame Einwilligungen, Datenminimierung oder den Einsatz cookieloser, einwilligungsfreier Analyseverfahren.
Wer wissen will, wie Besucher den eigenen Shop nutzen, darf das nicht beliebig messen: Personenbezogene Daten dürfen in der Regel nur mit Einwilligung oder über besonders datensparsame Verfahren erfasst werden. Vereinfacht gesagt: Entweder die Besucher stimmen dem Tracking aktiv zu – oder die Analyse muss so gebaut sein, dass sie ohne persönliche Daten auskommt.
Wozu brauche ich das?
Webanalyse, Conversion-Messung und Marketing-Pixel verarbeiten in der Regel personenbezogene Daten – damit greift die DSGVO. Zusätzlich verlangt § 25 TDDDG eine Einwilligung, bevor Informationen auf dem Endgerät gespeichert oder ausgelesen werden (etwa Cookies oder Local Storage), sofern dies nicht technisch zwingend erforderlich ist. Verstöße können mit Bußgeldern geahndet werden; die DSGVO sieht in schweren Fällen bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes vor. Hinzu kommt das Abmahnrisiko durch Mitbewerber und Verbände.
Praxis-Relevanz für Shop- und Website-Betreiber
Für die Praxis haben sich im Wesentlichen zwei Wege etabliert. Erster Weg: ein Consent-Banner, das eine echte, freiwillige Einwilligung einholt, bevor Tracking-Skripte laden. Der Nachteil: Ein Teil der Besucher lehnt ab, wodurch die Datenbasis lückenhaft wird. Zweiter Weg: cookielose, einwilligungsfreie Analyse, bei der keine Endgeräte-Zugriffe erfolgen und keine personenbezogenen Profile entstehen – etwa über selbst gehostete Analytics-Lösungen ohne Cookies oder aggregierte Server-Log-Auswertung. Wie ein Shop ganz ohne Cookie-Banner auskommen kann, zeigt unser Beitrag Cookie-Banner abschaffen; ergänzend lohnt ein Blick auf Server-Side-Tracking und eine First-Party-Daten-Strategie.
Welche Variante passt, hängt vom Geschäftsmodell ab: Wer detailliertes Marketing-Retargeting betreibt, kommt um Einwilligungen in der Regel nicht herum. Wer vor allem Reichweite, Inhalte und Conversion-Strecken verstehen will, fährt mit datensparsamen Verfahren oft schlanker – und erspart den Besuchern das Banner.
Typische Fehler
- Tracking-Skripte laden bereits vor der Einwilligung – das Banner ist dann nur Dekoration
- Manipulative Banner-Gestaltung (Dark Patterns), bei der „Ablehnen“ versteckt oder erschwert wird – solche Einwilligungen sind in der Regel unwirksam
- Datenübermittlung an Drittlands-Anbieter ohne tragfähige Rechtsgrundlage und ohne Prüfung der Transfermechanismen
- Die Datenschutzerklärung nennt nicht alle eingesetzten Tools, Zwecke und Speicherdauern
- „Berechtigtes Interesse“ wird pauschal als Rechtsgrundlage für Marketing-Tracking herangezogen, obwohl § 25 TDDDG für den Endgeräte-Zugriff eine Einwilligung verlangt
Worauf achten
Erfassen Sie zunächst, welche Tools tatsächlich laufen und welche Daten sie wohin senden – häufig sammeln sich über Jahre Skripte an, die niemand mehr nutzt. Schließen Sie mit allen Verarbeitern Auftragsverarbeitungsverträge, dokumentieren Sie Rechtsgrundlagen im Verarbeitungsverzeichnis und prüfen Sie die Banner-Logik technisch nach: Lädt vor der Einwilligung wirklich nichts? Bei der Auswahl und Einbindung datenschutzfreundlicher Analyse-Setups unterstützen wir im Rahmen unserer Beratung; die messbaren Effekte auf Sichtbarkeit und Conversion betrachten wir gemeinsam mit der Suchmaschinenoptimierung.
Je weniger personenbezogene Daten ein Analyse-Setup erhebt, desto geringer sind in der Regel Einwilligungs- und Dokumentationsaufwand. Cookielose Webanalyse kann für viele Shops eine pragmatische Alternative zum Consent-Banner sein – eine rechtliche Prüfung des konkreten Setups ersetzt das nicht.