Server-Side-Tracking

Beim Server-Side-Tracking wird nur ein JavaScript-Code direkt auf der Webseite platziert, welcher die gesamte Datenerfassung übernimmt und steuert. Anstatt diese Daten sofort an Drittanbieter wie Google, Facebook & Co. zu senden, werden diese zunächst an einen eigenen Server geschickt. Von dort aus können die Daten unter Einhaltung der Datenschutzgesetze an Tools wie beispielsweise Google Analytics weitergeleitet werden.

Das Client-Side-Tracking ist eine Methode der Datenerfassung, bei der die Nutzerdaten direkt auf dem Gerät der Nutzer*innen gesammelt und im Gegensatz zum Server-Side-Tracking unmittelbar an Tools von Drittanbietern übermittelt werden. Diese Form des Trackings widerspricht geltendem Datenschutzrecht und ist deshalb nur noch bedingt datenschutzkonform einsetzbar.

Ein Tracking-Cluster ist ein Netzwerk aus mehreren miteinander gekoppelten Servern, die automatisiert und im Verbund arbeiten, wodurch die ankommende Datenlast auf mehrere unabhängige Systeme verteilt und so u.a. die Ausfallsicherheit deutlich erhöht wird.

Kubernetes ist eine auf Open-Source beruhende Orchestration- und Loadbalancer-Software zur Automatisierung, Bereitstellung und Verwaltung von Container-Anwendungen. Es ermöglicht es Entwicklern, Anwendungen in Containern zu organisieren und diese schnell und effizient auf einer skalierbaren Infrastruktur auszuführen. Kubernetes bietet Funktionen wie automatische Skalierung, Lastenausgleich, Rollback-Funktionen und eine einfache Konfiguration von Anwendungsressourcen.

Ein Tagging-Server ist der Server, von dem aus sogenannte Tags und damit Cookies gesetzt werden, um Daten auf der mit dem Server verbundenen Website oder App zu erfassen. Werden die Tags über den Server eines Drittanbieters gesetzt, handelt es sich bei den Cookies um kritische Third-Party-Cookies, die standardmäßig in den meisten Browsern blockiert werden. Werden die Tags über einen eigenen Server und somit über die eigene Domain gesetzt, handelt es sich um First-Party-Cookies, die nicht blockiert werden.

Der Google Tag Manager, kurz GTM, ist ein Tag Management System, über das alle möglichen Tracking-Pixel auf einer Website oder einer Smartphone-App integriert werden können. Über den GTM können sämtliche Nutzerhandlungen getagged, an Analyse-Tools wie Google Analytics gesendet und dadurch messbar gemacht werden.

Außerdem lässt sich mit dem GTM die Datenerfassung z.B. mit Cookie-Consent-Tools synchronisieren, um die Erhebung von Daten mit der Nutzereinwilligung zu verknüpfen. Der Tag Manager selbst erhebt keinerlei Daten, sondern dient als Steuergerät, um die Datenerhebung über andere Tools zu ermöglichen.

Die Tracking Domain ist die Domain, über den der Request zur Erhebung von Daten einer Website oder einer Smartphone-App gesendet wird.

Eine IP-Adresse (Internetprotokoll-Adresse) stellt eine einzigartige numerische Kennung dar, welche jedem Gerät zugewiesen wird, das mit dem Internet oder einem lokalen Netzwerk verbunden ist. Sie dient der Identifizierung und Kommunikation zwischen unterschiedlichen Geräten. Eine IP-Adresse besteht aus vier Zahlenblöcken, die durch Punkte voneinander getrennt sind und lässt Rückschlüsse z.B. auf den Standort der jeweiligen Nutzer*innen zu.

Ein First-Party-Cookie ist ein kleines Datenpaket, das von einer Website oder einer Smartphone-App auf das Gerät von Nutzer*innen geladen wird. Es handelt sich dabei um ein Cookie, das von der besuchten Website selbst erstellt und verwendet wird, um Informationen über Nutzer*innen zu speichern oder deren Aktivitäten auf der Website zu erfassen.

First-Party-Cookies werden häufig verwendet, um Einstellungen von Benutzer*innen zu speichern, wie zum Beispiel Login-Daten oder Spracheinstellungen. Sie können auch zur Analyse des Nutzerverhaltens eingesetzt werden. Im Gegensatz dazu sind Third-Party-Cookies Cookies, die von anderen Websites als der besuchten Website erstellt und verwendet werden.

Ein Third-Party-Cookie ist ein Cookie, das von einer anderen Domain als der besuchten Website gesetzt wird. Es wird normalerweise von Drittanbietern wie Werbenetzwerken oder Analysetools wie Google Analytics verwendet, um Informationen über das Nutzerverhalten zu sammeln und gezielte Werbung auszuliefern. Diese Cookies werden standardmäßig von vielen Browsern blockiert und sind aus Datenschutzgründen nur unter bestimmten Bedingungen legitim einsetzbar.

Die Datenschutz-Grundverordnung, kurz DSGVO, ist eine EU-Verordnung zum Schutz personenbezogener Daten. Sie ist seit dem 25. Mai 2018 gültig und gilt für alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten oder speichern. Die DSGVO gibt den Bürgern mehr Kontrolle über ihre persönlichen Daten und legt strenge Regeln fest, wie Unternehmen mit diesen Daten umgehen müssen. Verstöße gegen die DSGVO können hohe Geldstrafen nach sich ziehen.

Schrems II bezieht sich auf das Urteil des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020, in dem die Datenschutzvereinbarung zwischen der EU und den USA, auch bekannt als Privacy Shield, für ungültig erklärt wurde. Das Urteil folgte einer Klage des österreichischen Datenschutzaktivisten Max Schrems gegen Facebook, bei der er argumentierte, dass seine Daten nicht ausreichend vor der Überwachung durch US-Behörden geschützt wurden. Das EuGH-Urteil hat weitreichende Auswirkungen auf den transatlantischen Datenaustausch und stellt hohe Anforderungen an Unternehmen, die personenbezogene Daten von EU-Bürgern in Drittländer übermitteln.

Das Privacy Shield war ein Abkommen zwischen der EU und den USA, das den Datenschutz von EU-Bürgern bei der Übermittlung personenbezogener Daten in die USA regeln sollte. Es trat 2016 in Kraft und ersetzte das Safe-Harbor-Abkommen. Das Privacy Shield wurde jedoch im Juli 2020 vom Europäischen Gerichtshof (EuGH) für ungültig erklärt, da es keine ausreichenden Garantien für den Schutz personenbezogener Daten vor dem Zugriff durch US-Behörden bot.

Das Data Privacy Framework ist ein Datenschutz-Abkommen zwischen der EU und den USA, welches die Übermittlung von personenbezogenen Daten, wie IP-Adressen, von EU-Bürgern in die USA regelt. Das Data Privacy Framework ist der Nachfolger des Privacy Shields.

Der Cloud-Act (Cloud steht in diesem Zusammenhang für „Clarifying Lawful Overseas Use of Data“) ist ein 2018 erlassenes Gesetz in den Vereinigten Staaten, das US-Behörden den Zugriff auf außerhalb der USA gespeicherte Daten US-amerikanischer IT-Firmen und Cloud-Provider gestattet. Der Cloud-Act steht in Konflikt mit in der EU geltenden Datenschutzrechten, weshalb die Datenübermittlung an US-Konzerne wie Google als nicht datenschutzkonform gilt.

Das BSI ist das Bundesamt für Sicherheit in der Informationstechnik und die deutsche Behörde, die sich mit IT-Sicherheit befasst. Das BSI hat die Aufgabe, die IT-Infrastruktur des Bundes zu schützen und Unternehmen sowie Privatpersonen bei Fragen zur IT-Sicherheit zu beraten. Das BSI setzt Standards und gibt Empfehlungen für den sicheren Umgang mit Daten und betreibt auch das nationale Cyber-Abwehrzentrum.

ISO 27001 ist ein internationaler Standard, der die Anforderungen an ein Informations­sicherheits­managementsystem (ISMS) definiert. Eine Zertifizierung nach ISO/IEC 27001 belegt die Wirksamkeit des ISMS und erhöht somit das Vertrauen in die Sicherheit von Informationen innerhalb und außerhalb des Unternehmens.