Besucher einer Website und deren Aktionen können mittels Webtracking exakt erfasst werden. Dabei stehen verschiedenste, teils kostenlose teils kostenpflichtige Tools, unterschiedlichsten Funktionsumfangs zur Verfügung. Das Tracking erfolgt u.a. über JavaScript, Cookies, Pixel und HTTP-Header. Der Werkzeugkoffer der Trackinganbieter ist an dieser Stelle relativ groß. Dem stellen sich mittlerweile aber immer mehr Browseranbieter gegenüber und wollen dem Nutzer mehr Kontrolle über Trackingverfahren ermöglichen (vgl. hier).

Eine wichtige Rolle spielt das Tracking auch im Affiliate Marketing, denn dieses kann nur dann funktionieren, wenn erfolgreiche Empfehlungen zuverlässig gemessen werden können, da jeder Lead zu einem Provisionsanspruch führt.

Die Spielregeln für das Webtracking haben wir im Blog bereits vorgestellt. Die Datenschutzkonferenz hat eine Orientierungshilfe veröffentlicht.

Um ein Gefühl für unterschiedliche Trackingverfahren zu geben zeigen wir nachfolgend einige Beispiele:

JavaScript

Die am häufigsten verwendete Methode ist der Einsatz von JavaScript. Im Webbrowser wird dabei ein kleines Programm ausgeführt, das Daten an einen Server zur Auswertung sendet.

Das wohl wichtigste Beispiel ist Google Analytics:

<script>
(function(i,s,o,g,r,a,m){i[‘GoogleAnalyticsObject’]=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,’script’,’https://www.google-analytics.com/analytics.js’,’ga’);
ga(‘create’, ‘UA-XXXXXXXX-X’, ‘auto’);
ga(‘require’, ‘displayfeatures’);
ga(‘require’, ‘linkid’, ‘linkid.js’);
ga(‘send’, ‘pageview’);
</script>

Eine Anonymisierung der IP-Adresse erfolgt nur, wenn folgender Funktionsaufruf vor dem Senden des Pageviews erfolgt:

ga(‘set’, ‘anonymizeIp’, true);

Cookies

Auch Cookies können unter anderem dem Webtracking dienen. Dabei werden kleine Textdateien für eine bestimmte Zeit auf dem Computer des Nutzers gespeichert, indem etwa die PHP-Funktion setcookie() aufgerufen wird:

setcookie ( string $name [, string $value = “” [, int $expires = 0 [, string $path = “” [, string$domain = “” [, bool $secure = FALSE [, bool $httponly = FALSE ]]]]]] ) : bool

Die gesetzten Cookies lassen sich etwa mithilfe der Web-Entwickler-Tools eines Browsers anzeigen, in Firefox etwa unter Web-Entwickler -> Web-Konsole -> Web-Speicher.

Es gibt jedoch auch sogenannte „Evercookies“, die Kombination aus mehreren „normalen“ Cookies und „Supercookies“ (Flash-Cookies) darstellen. Diese speichern sich an mindestens 8 verschiedenen Orten abspeichert und sind daher nur schwer erfolgreich zu löschen.

Pixel

Pixel sind kleine Grafiken in einer Größe von nur 1×1 Pixel, die bei einem Aufruf der Webseite geladen wird. Auf diese Weise lasst sich nachvollziehen, ob ein Nutzer die Seite besucht hat.

Durch das Zählpixel erhält der Websiteanbieter Zugriff auf das Bewegungsprotokoll der gesamten Sitzung, den eingesetzten Browser und das Betriebssystem sowie die IP-Adresse.

HTTP-Header

Schließlich kommt das Browser-Fingerprinting zum Einsatz, mit dem wir uns ebenfalls im Blog bereits befasst haben. Aufgrund der Vielzahl der übertragenen Merkmale lässt sich jeder Client-Rechner bei jedem HTTP-Request durch das Auslesen des HTTP-Headers auch ohne das Setzen von Cookies eindeutig identifizieren, und zwar auch browserübergreifend.

Der eigene HTTP-Header lässt sich beispielsweise per PHP-Script wie folgt auslesen:

<?php

foreach (getallheaders() as $name => $value) {
echo “$name: $value\n”;
}
?>

Fazit

Datenschutzkonforme Nutzung von Trackingverfahren setzt die Kenntnis der technischen Umsetzung des Verfahrens voraus, denn der Nutzer muss unter anderem über Umfang und Art der Datensammlung in der Datenschutzinformation informiert werden.

In vielen Fällen sind darüber hinaus Anpassungen im Funktionsumfang erforderlich. Insbesondere  muss eine Opt-In-Funktion etabliert und über das Widerrufsrecht aufgeklärt werden.