Registrieren

Datenschutz

Consent-Management: No-Go-Areas vermeiden

Bild: Michal Jarmoluk auf Pixabay

01.12.2021 - Rechtskonforme Nutzereinwilligungen entscheiden �ber k�nftige Gesch�ftserfolge. Wie Sie Ihr Consent-Management organisieren, um No-Gos bei der Opt-In- Generierung zu vermeiden und Ihre Einwilligungsraten zu steigern.

von Frauke Schobelt

Die Nutzereinwilligung - der Consent - ist das neue Datengold f�r Werbetreibende. Wer rechtskonform personenbezogene Nutzerdaten f�r Marketingzwecke wie die Personalisierung von Werbung verwenden will, muss hierf�r nach den Regeln der Datenschutzgrundverordnung (DSGVO) die aktive, informierte Zustimmung der NutzerInnen einholen.

Bei Nichtbeachtung und Rechtsverst��en drohen sehr hohe Bu�gelder. Ohne Consent sind Daten k�nftig wertlos.

Doch die Interpretation von "aktiv" und "informiert" ist nicht immer eindeutig geregelt. Viele Website-BetreiberInnen nutzen jedes Schlupfloch, das rechtlich noch nicht vollst�ndig gestopft ist, um m�glichst viele NutzerInnen zur Zustimmung zu bewegen und so Daten f�r Trackingzwecke zu retten. Verwirrende und nervende Cookie-Banner sind die Folge. Mehr Klarheit soll die neue ePrivacy-Verordnung der EU schaffen, aber die l�sst auf sich warten. Doch es gibt weitere Regularien, die Nutzereinwilligungen betreffen und die in den n�chsten Monaten wichtiger werden.

TTDSG bringt mehr Klarheit

Zum 1. Dezember 2021 tritt das neue "Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsph�re in der Telekommunikation und bei Telemedien" (TTDSG) in Deutschland in Kraft. Der deutsche Gesetzgeber setzt darin - l�ngst �berf�llig - die ePrivacy-Richtlinie vollst�ndig um, den "Vorg�nger" der ePrivacy-Verordnung. Das TTDSG soll der ePrivacy-Verordnung
in einigen Punkten vorgreifen und bestehende rechtliche Unsicherheiten beseitigen. Konkret versch�rft das Gesetz viele Cookie-Regelungen und schafft weitere Bedingungen f�r das Einwilligungsmanagement.

Eine CMP stellt grunds�tzlich nur ein Werkzeug dar; f�r die falsche Auswahl oder Anwendung haftet im Zweifel (auch) das nutzende Unternehmen.

(Ilan Leonard Selz , Rechtsanwalt und Senior Associate , Technologiekanzlei Sch�rmann Rosenthal Dreyer Rechtsanw�lte)

_{Bild: Sch�rmann Rosenthal Dreyer}

"Durch das TTDSG wird in erster Linie die nach der Rechtsprechung bereits geltende Einwilligungserfordernis f�r nicht-erforderliche Cookies noch einmal explizit festgehalten", erkl�rt Ilan Leonard Selz , Rechtsanwalt und Senior Associate bei der Technologiekanzlei Sch�rmann Rosenthal Dreyer . Besonders interessant ist ihm zufolge au�erdem eine neue Vorschrift, die eine Anerkennung von Diensten zur Einwilligungsverwaltung durch unabh�ngige Stellen vorsieht. "Dadurch k�nnten CMPs oder auch Browsereinstellungen k�nftig das Consent-Management mit noch gr��erer Rechtssicherheit erleichtern. Es bleibt jedoch abzuwarten, wie sich diese Vorschrift tats�chlich praktisch auswirkt", so Selz.

"Spannend und bisher auch nicht abschlie�end gekl�rt sind auch die Grenzen und die Reichweite von Cookies, die f�r die Bereitstellung der Website erforderlich sind", so der Datenschutz-Experte. F�r diese muss grunds�tzlich keine Einwilligung eingeholt werden. In den EU-Mitgliedstaaten gibt es jedoch unterschiedliche Auffassungen dar�ber, welche Analyse-Cookie erforderlich sind und welche nicht. Unternehmen sollten deshalb die Ver�ffentlichungen der deutschen und europ�ischen Datenschutz-Aufsichtsbeh�rden im Auge behalten. Marinus J. Stehmeier , Rechtsanwalt der Hamburger Datenschutzkanzlei Herting Oberbeck , weist darauf hin, dass mit dem TTDSG die Zust�ndigkeit zur �berwachung des Einwilligungsvorbehalts zur Verwendung von Cookies bei dem Bundesbeauftragten f�r Datenschutz und Informationsfreiheit (BfDI) liegt. Auch Ver�ffentlichungen dieser Aufsichtsbeh�rde sollte man also kennen. Ebenso Entscheidungen in der Rechtsprechung zur konkreten Bannergestaltung. Das Landgericht Rostock hat in einem Urteil vom 15. September 2020 bereits das sogenannte Nudging untersagt (siehe Kasten S.52).

Kl�rungsbedarf bei Consent-Methoden

Datensch�tzer schauen beim Thema Consent mittlerweile sehr genau hin. Und sie r�sten im Kampf gegen DSGVO-Verst��e auf. So auch die Organisation Noyb.eu mit dem �sterreicher Max Schrems an der Spitze. Die Datensch�tzer haben im Sommer eine Software vorgestellt, die verschiedene Arten von rechtswidrigen Cookie-Bannern erkennt und automatisch Beschwerden an die zust�ndigen Datenschutzbeh�rden generiert. Mehrere hundert sind bereits auf den Weg gebracht.

Auch gegen sogenannte Cookie-Paywalls von Verlagen zieht die Organisation zu Felde. Bei diesem "Pur-Modell" werden LeserInnen vor die Wahl gestellt: Entweder sie bezahlen f�r die angebotenen journalistischen Inhalte oder sie stimmen der Verwendung ihrer Daten f�r personalisierte Werbung und Tracking zu. "Die Einf�hrung des Pur-Modells ist eine DACH-Markt-spezifische Erfindung, welche aktuell weltweit umgesetzt wird", erkl�rt Manuel Heydenreich , Sales Director DACH von CMP-Anbieter Sourcepoint . "Consent wird hier mit einer Paywall-Strategie kombiniert, um sich gegen Walled Gardens wie Google und Facebook zu behaupten." Entscheidend sei dabei der First-Party-Daten-Ansatz.


Damit Consent-Managementsysteme Einwilligungen von NutzerInnen rechtskonform speichern d�rfen, m�ssen sieben Kriterien erf�llt sein: Die Zustimmung muss freiwillig erfolgen. NutzerInnen der Seite m�ssen informiert sein (z.B. zumZweck der Verarbeitung der Daten) Die Zustimmung muss granular gegeben werden k�nnen. Die Zustimmung muss einfach und jederzeit widerrufbarsein. Die Zustimmung muss vor der Anwendung der Analyseund Marketing-Cookies gegeben werden. Die Zustimmung muss explizit sein. Der Seitenbetreiber ist verpflichtet, die Zustimmungen zu dokumentieren. Werden diese Punkte nicht eingehalten, ist dies ein Versto� gegen die DSGVO und es drohen drastische und kostenintensive Sanktionen.

Damit Consent-Managementsysteme Einwilligungen von NutzerInnen rechtskonform speichern d�rfen, m�ssen sieben Kriterien erf�llt sein:

Die Zustimmung muss freiwillig erfolgen.
NutzerInnen der Seite m�ssen informiert sein (z.B. zumZweck der Verarbeitung der Daten)
Die Zustimmung muss granular gegeben werden k�nnen.
Die Zustimmung muss einfach und jederzeit widerrufbarsein.
Die Zustimmung muss vor der Anwendung der Analyseund Marketing-Cookies gegeben werden.
Die Zustimmung muss explizit sein.
Der Seitenbetreiber ist verpflichtet, die Zustimmungen zu dokumentieren. Werden diese Punkte nicht eingehalten, ist dies ein Versto� gegen die DSGVO und es drohen drastische und kostenintensive Sanktionen.

Noyb bezweifelt jedoch, dass eine so erlangte Einwilligung wirklich freiwillig sei, die Datenweitergabe werde mit "Wucherpreisen" quasi erzwungen. Interpretationen der Datenschutzbeh�rde Niedersachsen und des Europ�ischen Datenschutzausschuss EDSA legen jedoch nahe, dass Cookie-Paywalls durchaus DSGVOkonform sein k�nnen - sofern NutzerInnen mit der Bezahlung eine echte Alternative zur Datenweitergabe haben. Die haben sie bei Cookie-Walls dagegen nicht. Diese Barrieren vor einer Website k�nnen NutzerInnen nur umgehen, wenn sie akzeptieren, dass ihre pers�nlichen Informationen verarbeitet werden d�rfen. Die "Guidelines des European Data Protection Board (EDPB)" von Mai 2020 schlie�en deshalb Cookie-Walls als g�ltige Consent- Methode f�r Websites aus.

Nutzereinwilligungen oft mangelhaft

Diese Interpretationsspielr�ume und oft auch Unwilligkeit zur rechtskonformen Umsetzung f�hren zu massenhaft fehlerhaften Implementierungen, wie 2020 eine Untersuchung der Datenschutzbeh�rden zeigte, f�r die 49 Websites von Medienunternehmen unter die Lupe genommen wurden. Ern�chterndes Ergebnis: Die meisten der gepr�ften Webseiten entsprechen nicht den rechtlichen Anforderungen. Sie fragen zwar in der Regel differenzierte Einwilligungen der NutzerInnen f�r die Verwendung von Cookies und Drittdiensten ab. In der Mehrheit der F�lle sind diese Einwilligungen allerdings nicht wirksam.

Dieses Bild deckt sich mit einer Studie der �sterreichischen Agentur E-Dialog. Demnach betreiben mehr als 80 Prozent der untersuchten Unternehmen in der DACH-Region Consent-Management - aber nur die wenigsten machen dabei alles richtig. F�r den "Consent Management Report 2020" untersuchte E-Dialog 165 namhafte Websites, darunter die Pr�senzen von der Deutschen Telekom, Rewe, Otto, TUI Deutschland und der Commerzbank. E-Dialog klopfte die Websites auf sechs Consent-Kriterien ab, bei deren Nichterf�llung Bu�gelder oder Abmahnungen drohen.

Die richtige Gestaltung des Consent- Banners gestaltet sich schwieriger, da viele Anbieter verschiedene Konfigurationsm�glichkeiten bieten und die Rechtslage weiterhin unsicher ist.

(Marinus J. Stehmeier, Rechtsanwalt , Hamburger Datenschutzkanzlei Herting Oberbeck Rechtsanw�lte)

_{Bild: Datenschutzkanzlei}

76 Prozent der untersuchten Websites wiesen zum Teil deutliche M�ngel auf. Besonders oft werden demnach DSGVO-Vorgaben f�r den Widerruf und der gleichwertigen Button-Gestaltung von "alle annehmen" und "alle ablehnen" missachtet.

Diese Vers�umnisse k�nnen Unternehmen teuer zu stehen kommen. "Obwohl die DSGVO schon einige Jahre her ist, gibt es leider noch viele Unternehmen, deren digitale Touchpoints nicht datenschutzkonform sind", bem�ngelt Stefan Santer , Country Manager DACH von Didomi . "Unternehmen riskieren nicht nur hohe Strafen, sie verlieren in erster Linie das Vertrauen ihrer KundInnen, wenn sie sich nicht an Vorschriften halten und die Einwilligung ihrer KundInnen f�r Datennutzung erfragen. Neben Kundenvertrauen ist Transparenz hier von ebenso hoher Bedeutung."

Consent sollte in den Mittelpunkt der digitalen Strategie aufgenommen werden.

(Stefan Santer, Country Manager DACH, Didomi)

_{Bild: Didomi}

So lassen sich Einwilligungsraten steigern

Als KPI gewinnt damit die Consent-Rate immens an Bedeutung und wird zum Wettbewerbsvorteil. Doch wie l�sst sie sich steigern? "Offen mit den UserInnen kommunizieren und ihnen erkl�ren, warum der Consent so wichtig ist", sagt Manuel Heydenreich von Sourcepoint. "Jedoch reicht es nicht aus, allein die reine Consent- Rate anzuschauen." Sourcepoint biete die M�glichkeit, diese auch nach UserInnen oder Page-Views zu analysieren. "Hier f�llt auf, dass vor allem Fly-By-User weniger bereit sind, ihre Einwilligung zu geben, Heavy und Loyale User jedoch durchaus sehr hohe Consentraten haben. Der Fokus wird in Zukunft genau auf diesen UserInnen liegen."

Die Einwilligungsrate positiv beeinflussen k�nnen Unternehmen auch �ber das Design, erg�nzt Tilman Harmeling, Entrepreneur in Residence, Usercentrics. Etwa mit farblichen Anpassungen an das Corporate Design oder das Hervorheben der Privacy-L�sung auf der Website. Auch technologisch l�sst sich die Consentrate optimieren, beispielsweise �ber das programmatische Ausspielen der Privacy-L�sung, kontextuellen Consent oder einem incentivierten Opt-in, so Harmeling.

Ein Beispiel: Beim ersten Besuch wird der Webseite der Zugriff auf die Webcam/Handykamera des Nutzers oder der Nutzerin verweigert. M�chte dieser jedoch im sp�teren Verlauf z.B. Dokumente einreichen, Foto�berweisungen t�tigen, oder Accessoires im Online-Shop virtuell anprobieren, kann an diesen Stellen (kontextueller) Consent erneut abgefragt werden. "Die Wahrscheinlichkeit eines nachtr�glichen Opt-ins steigt", so die Erfahrung des Consent-Experten. Um das Potenzial der Einwilligungsraten voll auszusch�pfen, sei zudem konsequentes Testen (A/B-Testing) der Privacy-Banner "unabdingbar", so Harmeling.

Personenbezogene Daten sind nur mit Einwilligung der NutzerInnen etwas wert.

(Tilman Harmeling, Entrepreneur in Residence, Usercentrics)

_{Bild: Usercentrics}

Aber auch andere Faktoren, die nur schwer steuerbar sind, haben Auswirkungen auf das Nutzervertrauen und damit die Consent- Rate. Unternehmen sollten sich daher entlang ihrer strategischen Planung hin zu mehr Datenschutz "proaktiv und NutzerInnen gegen�ber transparent verhalten", so der Rat von Harmeling. Er verweist auf eine Erhebung von Gartner, nach der bis 2023 Unternehmen, die digitales Vertrauen schaffen k�nnen, in der Lage sein werden, sich an 50 Prozent mehr �kosystemen zu beteiligen und so ihre Umsatzm�glichkeiten zu erweitern.

Angst vor Datenverlust

Laut der E-Dialog-Analyse setzen 92 Prozent der untersuchten Websites eine Consent-Management-Plattform (CMP) ein, um die Verwaltung der Nutzereinwilligungen zu erleichtern, rund 16 Prozent arbeiten mit einer Eigenentwicklung. Am meisten verbreitet sind demnach die CMP-Tools von Usercentrics, Cookiebot und One Trust. Usercentrics und der d�nische Cookiebot-Betreiber Cybot machen jetzt gemeinsame Sache, im Oktober meldeten sie den Zusammenschluss.


No-Gos beim Einholen der Nutzereinwilligung: Falsche Reihenfolge: H�ufig werden einwilligungsbed�rftige Drittdienste bereits beim �ffnen der Webseiten eingebunden und Cookies gesetzt - also noch vor der Einwilligungsabfrage. Fehlende Informationen: Auf der ersten Ebene der Einwilligungsbanner werden zudem nur unzureichende oder falsche Informationen �ber das Nutzertracking gegeben. Unzureichender Einwilligungsumfang: Selbst wenn der Nutzer oder die Nutzerin die M�glichkeit wahrnimmt, bereits auf der ersten Ebene des Einwilligungsbanners alles abzulehnen, bleiben zahlreiche Cookies und Drittdienste aktiv, die eine Einwilligung erfordern. "Implizite" Einwilligung: WebseitenbesucherInnen werden mittels eines Banners dar�ber informiert, dass sie der Datenverarbeitung zustimmen, indem sie die Webseite weiterhin nutzen und weiterscrollen. Kein Opt-out Button auf der ersten Ebene: W�hrend bei allen Einwilligungsbannern auf der ersten Ebene eine Schaltfl�che vorhanden ist, mit der eine Zustimmung zu s�mtlichen Cookies und Drittdiensten erteilt werden kann, fehlt auf dieser Ebene h�ufig eine ebenso einfache M�glichkeit, das einwilligungsbed�rftige Nutzertracking in G�nze abzulehnen oder das Banner ohne Entscheidung schlie�en zu k�nnen. Inhalte hinter der Cookie Wall: Webseiten-Inhalte werden hinter sog. Cookie Walls versteckt und erst freigegeben, wenn NutzerInnen ihre Einwilligung zur Datennutzung gegeben haben. Manipulation der NutzerInnen (Nudging): Die Ausgestaltung der Einwilligungsbanner weist zahlreiche Formen des Nudging auf. Das bedeutet, NutzerInnen werden unterschwellig zur Abgabe einer Einwilligung gedr�ngt, indem die Schaltfl�che f�r die Zustimmung etwa durch eine farbliche Hervorhebung (z.B. Gr�n f�r den Annehmen-Button) deutlich auff�lliger gestaltet ist als die Schaltfl�che zum Ablehnen (z.B. unauff�lliges Grau f�r die Opt-out-M�glichkeit), oder indem die Verweigerung der Einwilligung unn�tig verkompliziert wird..

No-Gos beim Einholen der Nutzereinwilligung:

Falsche Reihenfolge: H�ufig werden einwilligungsbed�rftige Drittdienste bereits beim �ffnen der Webseiten eingebunden und Cookies gesetzt - also noch vor der Einwilligungsabfrage.
Fehlende Informationen: Auf der ersten Ebene der Einwilligungsbanner werden zudem nur unzureichende oder falsche Informationen �ber das Nutzertracking gegeben.
Unzureichender Einwilligungsumfang: Selbst wenn der Nutzer oder die Nutzerin die M�glichkeit wahrnimmt, bereits auf der ersten Ebene des Einwilligungsbanners alles abzulehnen,
bleiben zahlreiche Cookies und Drittdienste aktiv, die eine Einwilligung erfordern.
"Implizite" Einwilligung: WebseitenbesucherInnen werden mittels eines Banners dar�ber informiert, dass sie der Datenverarbeitung zustimmen, indem sie die Webseite weiterhin nutzen und weiterscrollen.
Kein Opt-out Button auf der ersten Ebene: W�hrend bei allen Einwilligungsbannern auf der ersten Ebene eine Schaltfl�che vorhanden ist, mit der eine Zustimmung zu s�mtlichen Cookies
und Drittdiensten erteilt werden kann, fehlt auf dieser Ebene h�ufig eine ebenso einfache M�glichkeit, das einwilligungsbed�rftige Nutzertracking in G�nze abzulehnen oder das Banner ohne Entscheidung schlie�en zu k�nnen.
Inhalte hinter der Cookie Wall: Webseiten-Inhalte werden hinter sog. Cookie Walls versteckt und erst freigegeben, wenn NutzerInnen ihre Einwilligung zur Datennutzung gegeben haben.
Manipulation der NutzerInnen (Nudging): Die Ausgestaltung der Einwilligungsbanner weist zahlreiche Formen des Nudging auf. Das bedeutet, NutzerInnen werden unterschwellig zur Abgabe einer Einwilligung gedr�ngt, indem die Schaltfl�che f�r die Zustimmung etwa durch eine farbliche Hervorhebung (z.B. Gr�n f�r den Annehmen-Button) deutlich auff�lliger gestaltet ist als die Schaltfl�che zum Ablehnen (z.B. unauff�lliges Grau f�r die Opt-out-M�glichkeit), oder indem die Verweigerung der Einwilligung unn�tig verkompliziert wird..

Eine internationale Usercentrics-Umfrage unter KMU zeigt, dass die Sensibilisierung f�r den Datenschutz deutlich gestiegen ist, doch im Vergleich zu anderen L�ndern CMP-Tools in Deutschland weniger im Einsatz sind. Zwar steige die Nachfrage, so Tilman Harmeling. "Nichtsdestotrotz m�ssen Unternehmen Abw�gungen treffen, wenn es um den Einsatz einer Consent-Management- L�sung geht." Um eine CMP einzubinden und erfolgreich und datenschutzkonform damit zu arbeiten, ben�tige das Unternehmen auch einen "Consent driven Workflow." Die Herausforderung: Die Unternehmen m�ssen Daten generieren, um ihre Einnahmequellen aufrechtzuerhalten, zum anderen aber auch das Vertrauen der NutzerInnen sichern und Bu�gelder durch Datenschutzverst��e vermeiden. "Der Einsatz einer CMP geht oft auch mit dem Ansatz der Datenminimierung einher", so Harmeling.

Die Angst vor dem Verlust von Daten ist in vielen Marketingabteilungen gro�. Diese sollten jedoch ihre Datenstrategie hinterfragen und grunds�tzlich entscheiden, "ob sie eine proaktive oder reaktive Strategie in Bezug auf Privatsph�re und User Trust w�hlen, oder nur reagieren, weil eine Verordnung oder ein Gesetz sie zum Handeln zwingt", so Tilman Harmeling. Der Consent-Experte weist auf das weltweit verst�rkte Aufkommen von Datenschutzgesetzen wie CCPA, LGPD, POPIA oder PIPL hin. Unternehmen sollten aktiv werden, "um f�r zuk�nftige Entwicklungen gewappnet zu sein".

Nicht nur auf die CMP verlassen

Doch auch wenn eine Content-Management-Plattform im Einsatz ist, k�nnen sich Unternehmen nicht einfach zur�cklehnen, wie Aufsichtsbeh�rden in ihren Ver�ffentlichungen klarstellen. Denn eine Webseite oder App hat viele Konfigurationsm�glichkeiten. Durch den Einsatz des Consent-Tools werde daher keinesfalls automatisch eine datenschutzkonforme Einwilligung eingeholt. Auch erf�llen CMPs noch nicht alle Anforderungen an die im neuen TTDSG eingef�hrten Dienste zur Verwaltung von erteilten Einwilligungen. Solche Dienste erfordern n�mlich zun�chst eine Anerkennung im Sinne des neuen Datenschutzgesetzes. Die hat aber bisher keine CMP, da es diese Rechtsverordnung als Kriterienkatalog noch nicht gibt.

"Ein Gro�teil der g�ngigen CMP erlaubt inzwischen ein datenschutzkonformes Consent-Management, es gibt zum Teil aber auch noch Nachholbedarf", erkl�rt Rechtsanwalt Ilan Leonard Selz. Eine CMP sei zun�chst nur ein Werkzeug; f�r die falsche Auswahl oder Anwendung hafteten im Zweifel (auch) die nutzenden Unternehmen.

"Ob diese den Anbieter der CMP hierzu in Regress nehmen kann, h�ngt jeweils von den Gegebenheiten im Einzelfall ab", erg�nzt Rechtsanwalt Marinus J. Stehmeier. Grunds�tzlich obliege es den BetreiberInnen, die CMP so in die eigene Website oder App einzubinden, dass dies den datenschutzrechtlichen Anforderungen gen�gt. Neben der technischen Funktionsf�higkeit der CMP betreffe dies auch die richtige Gestaltung des Consent-Banners. Diese gestaltet sich jedoch schwieriger, "da viele Anbieter hier verschiedene Konfigurationsm�glichkeiten bieten und zudem die Rechtslage weiterhin unsicher ist". Stehmeier empfiehlt Unternehmen, sich an einschl�gigen Ver�ffentlichungen der Aufsichtsbeh�rden wie etwa der LfD Niedersachsen zu orientieren.

Auch kleinere Unternehmen sollten den CMP-Anbieter sorgf�ltig ausw�hlen und sich mit den Konfigurationsm�glichkeiten auseinandersetzen, r�t Rechtsanwalt Selz. "Insbesondere ist darauf zu achten, dass die gew�hlte CMP ein granulares Cookie-Management erm�glicht, die Beschreibungstexte der einzelnen Cookies aktuelle und zutreffende Angaben zum Cookie-Anbieter und zu der Speicherdauer enthalten und die Texte ggf. korrigiert werden k�nnen." Website- oder App-BetreiberInnen sollten zudem die konkrete Eingruppierung der Cookies (Analyse-, Marketing- und erforderlichen Cookies) pr�fen und gegebenenfalls anpassen.
Mithilfe der CMP sollten Unternehmen zudem eine transparente Bannergestaltung umsetzen, bei der den WebsitebesucherInnen eine echte Wahlm�glichkeit zwischen "annehmen" und "ablehnen" geboten wird und detaillierte Einstellungsvarianten m�glich sind.

Eine gewisse Vorsicht geboten sei laut Selz bei CMPs, die Einstellungen der WebsitebesucherInnen oder andere personenbeziehbare Daten in Nicht-EU-Staaten hosten. Hintergrund ist eine Entscheidung des Europ�ischen Gerichtshofes in der Rechtssache "Schrems II". "Unternehmen, die mit einer m�glichen Drittstaaten�bermittlung verbundenen datenschutzrechtlichen Risiken nicht �berblicken, sollten daher eher europ�ische CMP-Anbieter mit Servern in der EU pr�ferieren."

First-Party-Strategien gefragt

Um Werbeeinnahmen zu retten, entwickelte die Branche den Industrie-Standard "Transparency and Consent Framework (TCF)", den 2018 das Interactive Advertising Bureau (IAB) ins Leben gerufen und 2020 �berarbeitet (TCF 2.0) hat. Er soll f�r mehr Transparenz sorgen und das digitale Werbe-�kosystem dabei unterst�tzen, bei Nutzereinwilligungen die Richtlinien der DSGVO zu erf�llen.IAB TCF 2.0 bietet eine technische Standard-Infrastruktur f�r die Abfrage und �bermittlung der Nutzereinwilligung zwischen Publishern, Advertisern, Verlagen und ihren Technologiepartnern.
Der Standard zertifiziert auch Consent -Management-Plattformen. "Wer den Consent nicht nach aktuellem Industrie-Standard einholt, l�uft Gefahr, dass die UserInnen dem Unternehmen nicht l�nger vertrauen", erkl�rt Manuel Heydenreich, Sourcepoint. "UserInnen wollen wissen, warum Daten erhoben werden und zu welchem Zweck diese dienen. Es ist deshalb enorm wichtig, dies den NutzerInnen zu erkl�ren - diese Klarheit werden sie mit Vertrauen und Umsatz wertsch�tzen. Dass eine Privacy-First-Strategy ankommt, sieht man eindrucksvoll an Firmen wie Apple."

In Zukunft sollten Marketer zu 360-Grad- Privacy-ExpertInnen werden.

(Manuel Heydenreich, Sales Director DACH, Sourcepoint)

_{Bild: Sourcepoint}

Klar ist: Sp�testens 2023 - mit der Verbannung in Google Chrome - l�uft die Zeit von Third-Party-Cookies endg�ltig ab. Mit gewaltigen Folgen: " Anzeigen ohne Cookies bringen 50-70 Prozent weniger Einnahmen - je nachdem welche Studie man heranzieht", so Stefan Santer von Didomi. Welche Alternativen sich durchsetzen werden, muss sich erst noch erweisen. Die Nutzereinwilligung wird dabei jedoch eine zentrale Rolle spielen, so Sauter. "Um bestm�glich darauf vorbereitet zu sein, sollte der Consent daher in den Mittelpunkt der digitalen Strategie aufgenommen werden." Sein Rat: Marketer sollten die Customer Journey genauer betrachten, angefangen mit der Erfahrung, die NutzerInnen machen, sobald sie sich einloggen. "Unternehmen sollten �berlegen, ob sie ihre 'einfachen' opt-in/opt-out Einwilligungsbanner zu Pr�ferenz-Management-L�sungen ausbauen, um mehr von ihren Kunden zu erfahren und besser auf die Kundenw�nsche einzugehen."

K�nftig spiele der First-Party-Daten-Ansatz eine sehr entscheidende Rolle, betont auch Manuel Heydenreich. " Im Brand- und E-Commerce Bereich sieht es aktuell noch etwas anders aus, der Wert des Consent wird hier aktuell erst deutlich. Insbesondere im Hinblick auf das Verschwinden der Third-Party-Cookies werden auch diese Bereiche zuk�nftig eine einwandfreie Consent-Privacy- Strategie ben�tigen."
Um First-Party-Daten zu generieren, gehe der Trend sehr stark in Richtung Registrierungs-Walls, so Heydenreich. Um UserInnen langfristig zu binden und deren Daten nutzbar zu machen, ist eine Registrierung n�tig, die Userdaten werden an eine Mail-Adresse verkn�pft, statt an einen Cookie. "Weltweit gibt es immer mehr Verlage, die sich darauf spezialisiert haben, UserInnen in einen Registrierungs-Funnel zu pushen." So werden mithilfe von First- Party-Cookies Bewegungsmuster von Usern erstellt, die helfen sollen, sie zun�chst zu Newsletter-Abonnenten und sp�ter zu registrierten NutzerInnen zu machen. Im n�chsten Schritt werden sie dann entweder direkt zu einem Abonnement geleitet oder auf Basis der eigenen First-Party-Daten vermarktet.

Auch wenn Unternehmen oder Websites keine Cookies aggregieren, hei�t das nicht, dass sie keinen Consent ben�tigen, betont Tilman Harmeling von Usercentrics. Denn auch Web-Technologien wie Beacon oder Javascript k�nnen personenbezogene Daten erheben, diese lassen sich auch im Browser im Local Storage abspeichern. "Insofern ben�tigen alle Webtechnologien Einwilligungen, Cookies werden durch Consent abgel�st."

Consent-Management wird zu einer neuen wichtigen Marketingdisziplin

"Personenbezogene Daten sind k�nftig nur noch mit Einwilligung der NutzerInnen etwas wert", res�miert Harmeling. Das gilt auch f�r die neueren Formen des Trackings abseits von Cookies. "Die Akzeptanzrate ist ein T�r�ffner f�r den Marketingerfolg", so der Consent-Experte. "Transparenz dar�ber, was getrackt wird sowie die richtige Formulierung und Gestaltung des Banners sind hierbei die wichtigsten Faktoren. Vertrauen kann die Kundenbeziehungen st�rken." Consent-Management entwickelt sich daher zunehmend zu einer wichtigen neuen Marketingdisziplin. "Marketers weltweit scheinen das Thema Privacy immer mehr in den Fokus zu nehmen und als weiteren Baustein neben Fraud Detection, Brand Safety und Ad Viewability anzuerkennen", erg�nzt Manuel Heydenreich. Das stellt sie vor besondere Herausforderung, da sie rechtlich f�r Inhalte auf den eigene Portalen verantwortlich sind. "Zudem kaufen sie Media ein - und gerade hier sollten sie in Zukunft besser darauf schauen, ob diese mit den Daten Privacycompliant arbeiten. Es f�hrt kein Weg daran vorbei: In Zukunft sollten Marketer zu 360-Grad-Privacy-ExpertInnen werden."


So optimiert man Cookie-Consent-Banner Infoblock: Transparente Informierung der NutzerInnen zur Verarbeitung der Daten inkl. Links zu Widerrufsseite und Datenschutz Wording: generell verst�ndlich, explizit, brand-alligned und (wenn dann) positiv geframed ("Damit helfen Sie uns…" statt "Wenn Sie dem nicht zustimmen…") M�glichkeit geben, sich f�r oder gegen das Setzen von Cookies generell zu entscheiden (keine Cookie-Walls) M�glichkeit geben, Cookies individuell abzulehnen z.B. durch Klick auf subtilen Einstellungs-Button, statt One-Click-L�sungen zu nutzen Funktionst�chtigkeit der Website auch bei Ablehnungen weitestgehend garantieren Cookies erst nach der Zustimmung setzen Falls n�tig, Einrichten von Contextual Consent (nachtr�gliche/ zus�tzliche Zustimmung beim Zugriff auf externe Inhalte z.B. YouTube-Videos), Cross-Domain-Consent (auch g�ltig f�r Geschwister- oder Subdomains) und Cross-Device-Consent (g�ltig auf mehreren Ger�ten) Best-Practice-Modell: Die Studie "Innovatives Datenschutz- Einwilligungsmanagement" des Bundesministeriums der Justiz und f�r Verbraucherschutz (BMJV) stellt anhand eines konkreten Best Practice-Modells vor, wie sich die Vorgaben der DSGVO rechtskonform und nutzerfreundlich umsetzen lassen. Und welche Anforderungen erf�llt werden m�ssen.

So optimiert man Cookie-Consent-Banner

Infoblock: Transparente Informierung der NutzerInnen zur Verarbeitung der Daten inkl. Links zu Widerrufsseite und Datenschutz

Wording: generell verst�ndlich, explizit, brand-alligned und (wenn dann) positiv geframed ("Damit helfen Sie uns…" statt "Wenn Sie dem nicht zustimmen…")

M�glichkeit geben, sich f�r oder gegen das Setzen von Cookies generell zu entscheiden (keine Cookie-Walls)

M�glichkeit geben, Cookies individuell abzulehnen z.B. durch Klick auf subtilen Einstellungs-Button, statt One-Click-L�sungen zu nutzen

Funktionst�chtigkeit der Website auch bei Ablehnungen weitestgehend garantieren

Cookies erst nach der Zustimmung setzen

Falls n�tig, Einrichten von Contextual Consent (nachtr�gliche/ zus�tzliche Zustimmung beim Zugriff auf externe Inhalte z.B. YouTube-Videos), Cross-Domain-Consent (auch g�ltig f�r Geschwister- oder Subdomains) und Cross-Device-Consent (g�ltig auf mehreren Ger�ten)

Best-Practice-Modell: Die Studie "Innovatives Datenschutz- Einwilligungsmanagement" des Bundesministeriums der Justiz und f�r Verbraucherschutz (BMJV) stellt anhand eines konkreten Best Practice-Modells vor, wie sich die Vorgaben der DSGVO rechtskonform und nutzerfreundlich umsetzen lassen. Und welche Anforderungen erf�llt werden m�ssen.

Vortr�ge zum Thema:

Bild: Markus B�ckle

Markus B�ckle (econda GmbH)

Die Herausforderungen im Datenschutz 2023 bew�ltigen

Datenschutzkonforme Personalisierungs- und Analyticsl�sungen werden f�r die Zukunft immer wichtiger. Wir zeigen Dir, welche M�glichkeiten Du 2023 einsetzen musst, willst Du nicht mit der Zukunft Deines Unternehmens spielen.

Diese Herausforderungen gibt es 2023 durch den Datenschutz:
- Wie Personalisierung und Analysesoftware Dein Fachpersonal entlasten k�nnen.
- Wie Du das Kostenargument bew�ltigst
- Wieso 2023 der Einsatz von Google Analytics rechtlich bedenklich ist und von vielen Kunden auch schlicht abgelehnt wird.
- Wie Du Deinen Datenbestand datenschutzkonform selbst aufbaust statt ihn an US-Anbieter zu veschenken
Vortrag im Rahmen der Zukunftskonferenz 2023. Trends f�r ECommerce, Marketing und digitales Business am 07.12.22, 10:05 Uhr