Datenschutz beim Opt-in

Das neueste Gerichtsurteil des Europäischen Gerichtshofs (EuGH) vom 1. Oktober 2019 spricht eine deutliche Sprache: Vor dem Setzen von Cookies oder dem Erheben sonstiger auf Personen beziehbarer Daten ist ein aktives, explizites und informiertes Opt-in nötig. Die heute noch beliebte Formulierung „Wenn Sie jetzt weitersurfen, stimmen Sie der Verarbeitung Ihrer Daten zu“ ist nicht mehr zulässig.

Bisher haben viele Akteure im Online-Marketing in Wildwestmanier von dem Fehlen einer eindeutigen Regelung profitiert. Im Bestreben, den Webseitenbesucher immer genauer zu kennen, wurden große Datenmengen erfasst. Das löste eine Vermüllung der digitalen Kanäle mit Ads, Spam, Bots und Cookies aus. 2016 verordnete die Europäische Union daher die DSGVO als Versuch, diesem Treiben Grenzen zu setzen. Nach der Datenschutz-Grundverordnung haben Unternehmen alle Dateien mit personenbezogenen Daten aufzulisten.

Vielerorts herrscht nun Katerstimmung, denn Abmahnungen sind jetzt nach Ansicht einiger Gerichte wohl möglich und werden infolge des klaren Urteils zunehmen. Darum sollte sich jeder Website-Betreiber umgehend mit diesem Thema auseinandersetzen und sich als ersten Schritt eine für ihn passende Consent-Management-Plattform (CMP) anschaffen, die das Setzen von Cookies vor einer Nutzereinwilligung unterbindet und Opt-ins sauber dokumentiert.

Bisher gab es in der Praxis drei Methoden, um die Zustimmung von Webseitenbesuchern einzuholen:

Direkte, explizite Zustimmung: Diese Methode beinhaltet eine ausdrückliche Zustimmung durch den Nutzer - normalerweise durch den Klick auf einen „Einverstanden“-Button.

Implizite Zustimmung: Als Zustimmung gilt hier, wenn der Benutzer auf der Landing-Page weiter nach unten scrollt oder einen anderen Button auf der Landing-Page anklickt.

Indirekte Zustimmung: Hier wird die Zustimmung in dem Moment als erteilt betrachtet, wenn der Nutzer eine weitere Seite auf derselben Website aufruft.

Die unterschiedlichen Methoden haben einen großen Einfluss auf die jeweiligen Opt-in-Raten. Seit der Bekanntmachung der DSGVO hatten die Website-Betreiber genügend Zeit, die Methoden auszuprobieren. Die Jahre seit 2016 sind jedoch weitgehend ungenutzt verstrichen. In den meisten Fällen hat man sich hinter zweifelhaften Rechtsmeinungen versteckt, Lücken im Gesetz gesucht und den Nutzern nur eine sehr eingeschränkte Wahlmöglichkeit gelassen.

Das juristische Versteckspiel geht bei vielen Unternehmen in die nächste Runde, lässt doch das EuGH-Urteil noch einige Fragen ungeklärt:

Bedeutet das jetzt, dass man ruhig abwarten kann, bis der Hausjurist oder der externe Datenschutzberater seitens eines Abmahners oder eines neuen Gerichtsentscheids auch bezüglich dieser Punkte widerlegt wird? Ganz im Gegenteil: Marketing-Manager müssen jetzt handeln. Marketing mit herkömmlichen, auf Cookies basierenden Methoden wird ab sofort stark erschwert. Wer das Cookie-Urteil des EuGH umsetzt, muss mehr Dinge als früher im Auge behalten. Einwilligungspflichtige Cookies dürfen vor der Einwilligung nicht mehr gesetzt werden. Die Einwilligung muss laut Gesetz aktiv, informiert, explizit, konkret und freiwillig sein sowie dokumentiert werden. Auch das Ändern und Löschen von gegebenem Consent muss für den Nutzer genauso einfach ablaufen wie das Einwilligen.

Die Auswirkungen des Urteils werden in Kürze für viele Marketing-Manager sichtbar werden, die nun versuchen, von implizitem auf expliziten Consent umzustellen. Eine aktuelle Studie ergab, dass impliziter Consent bisher auf bis zu 95 Prozent Zustimmung kam, während expliziter Consent nur 37 Prozent erreicht. Das bedeutet: Wer auf Cookie-Tracking angewiesen ist und jetzt erst auf expliziten Consent umstellt, der kann einen erheblichen Teil seiner Marketing-Daten verlieren.

Do-Not-Track-Funktionen im Browser sowie Adblocker machen den Online-Werbern das Leben zusätzlich schwer. Google will die neue Version seines Browsers Chrome mit speziellen Funktionen zum Schutz vor Cookies und Trackern ausstatten. Der Browser verfügt bereits über eine Erweiterung, die es den Nutzern ermöglicht, ein Verfallsdatum für ihre personenbezogenen Daten festzulegen. Apple hat mit der Intelligent Tracking Prevention (ITP) beispielsweise im Browser Safari eine Anti-Cookie-Strategie umgesetzt, die zielgerichtete Werbung nahezu im Keim erstickt.

Die Folgen für Online-Marketing-Manager sind vielfältig: Das Performance-Tracking wird schwieriger, sofern es nicht unter legitimes Interesse fällt (Artikel 6 DSGVO). Hinzu kommt, dass die Wiedererkennung von Nutzern bestimmter Browser (Safari, Firefox) schwerer fällt, ebenso wie die Web-Analyse, der es an Präzision mangelt. Mehr noch: Manche Formen des Online-Marketings (Retargeting, Real-Time Bidding, Affiliate-Marketing) werden nicht nur erschwert, sondern sogar unmöglich. Dadurch reduzieren sich die Datenvorteile des Online-Kanals gegenüber Offline-Kanälen deutlich.

Laut einer aktuellen Studie des World Advertising Research Centers (WARC) sollen 61,4 Prozent des globalen Digital-Werbebudgets allein an Google und Facebook gehen. Das lässt Online-Marketing-Managern nur noch wenige Handlungsalternativen, um Reichweiten anderweitig zu nutzen. Gleichzeitig wendet sich gerade die jüngere Altersgruppe der 12- bis 17-Jährigen von Facebook ab, wie das Analyse­unternehmen eMarketer bestätigt hat. Diese wird sich im Jahresvergleich um 9,1 Prozent verkleinern, was einen Verlust von rund 170.600 Nutzern bedeutet. Die Weigerung, Face­book zu nutzen, soll sich in dieser Altersgruppe in den kommenden Jahren fortsetzen. Bis zum Jahr 2023, so die Prognose, soll der Anteil dieser Nutzergruppe in Deutschland um mehr als ein Drittel schrumpfen.

Im Umkehrschluss bedeutet das, dass durch das verknappte Inventar bei Google und Facebook sowie durch mehr Bieter auf dieses Inventar bei gleichzeitig weniger Alternativen die Kosten für das Reichweiten-Marketing und das Performance-Marketing drastisch steigen werden.

Eine weitere Baustelle ist die ePrivacy-Verordnung (ePVO). Hier schrecken die Politiker noch vor klaren Regelungen und Aussagen zurück - besonders dann, wenn es um den EU-US Privacy Shield geht. Diese Rahmenordnung bietet Unternehmen ein Werkzeug, um personenbezogene Daten aus der Europäischen Union in die Vereinigten Staaten auf eine Weise zu übermitteln, die mit dem EU-Recht vereinbar ist. Das Europäische Parlament hat bereits im Herbst 2018 die EU-Kommission aufgefordert, das Vertragswerk zu überprüfen. Hier können auf die EU-Unternehmen bald hohe Risiken zukommen, wenn sie auf SaaS-Anbieter mit Servern in den USA setzen.

Einige Beispiele zeigen, welche aktuellen Schwierigkeiten sich im Umgang mit Nutzerdaten im Marketing ergeben:

Retargeting trotz Opt-out: Kunde A wird nach dem Klick auf ein Affiliate-Marketing-Banner auf eine Shop-Webseite weitergeleitet und akzeptiert dort alle Cookies - auch Retargeting. Er legt Produkt X in den Warenkorb, kauft es jedoch nicht, erhält aber fortan Werbung dafür auf verschiedenen Publisher-Seiten, die er besucht. Tags darauf kehrt er zur Shop-Webseite zurück, klickt auf Opt-out für alle Marketing- und Retargeting-Cookies und verlässt die Webseite. Obwohl kein Retargeting-Cookie in dieser Session gesetzt wurde, erhält er weiterhin Retargeting-Banner-Werbung für das Produkt X. Das Cookie vom Vortag befindet sich noch im Browser.

Geräteübergreifender Consent: Ein Kunde kommt beim ersten Mal über seinen Desktop-PC und beim zweiten Mal über ein mobiles Endgerät auf einen Online-Shop. Beim PC akzeptiert er das Tracking, auf dem Handy lehnt er es ab. Über eine E-Mail-Adresse sind in der Datenbank jedoch beide Geräte miteinander in einem Nutzerprofil verbunden.

Eingeschränkte Wiedererkennung der Nutzer: Ein User nutzt einen Safari- oder einen Firefox-Browser - Third-Party-Cookies werden geblockt, First-Party-Cookies nach 24 Stunden gelöscht. Ist die Zeitspanne zwischen erstem und zweitem Besuch einer Webseite größer als 24 Stunden, erkennen Lösungen den Nutzer nicht wieder und spielen ein neues Privacy-Banner aus, obwohl ein Opt-in bereits gegeben war.

Kanalübergreifende Attribution: Im Ladengeschäft des Online-Shops kauft der Kunde A schließlich das Produkt X und setzt dabei seine Kundenkarte ein. Die Verknüpfung von Offline-Kauf mit Online-Werbung und Webseiten-Besuch wird möglich, der Affiliate-Partner erhält seine Provisionszahlung. Akzeptiert der Nutzer das Tracking jedoch nicht, ist diese Zuordnung nicht mehr möglich.

Löschantrag per E-Mail: Kunde A fordert vom Datenschutzbeauftragten der Shop-Webseite per E-Mail, dass alle Daten inklusive Cookies gelöscht werden, damit das Retargeting aufhört. Der Shop möchte dem nachkommen, weiß aber nicht, wie er die E-Mail mit einem Cookie der Consent-Management-Lösung abgleichen soll.

Es gibt viele Möglichkeiten, diese Szenarien technisch aufzulösen. Meist ist die Lösung aber mit einem unverhältnismäßig hohen, größtenteils manuellen Aufwand verbunden.

Ohne eine klare Daten- und Consent-Strategie sowie eine Zielarchitektur der Lösungen, die personenbezogene Daten im Marketing verarbeiten, riskieren Unternehmen hohe Geldbußen, verlieren den Anschluss an Wettbewerber und wichtige Daten für die Kundenansprache.

Während Mitarbeiter im Bestandskunden-Marketing auf­atmen können, blicken Performance-Marketer in eine ungewisse Zukunft. Im Bestandskunden-Marketing herrscht durch eine eindeutigere Gesetzeslage schon länger mehr Klarheit. Die meisten seriösen Unternehmen haben die explizite User-Zustimmung schon seit Jahren eingeführt und die Daten entsprechend datenschutzkonform erhoben.

Beim Performance-Marketing hingegen sind Marketing-Verantwortliche gefordert. Sie müssen mit personenbeziehbaren Daten in Echtzeit umgehen. Hinzu kommen die Performance-Algorithmen für beispielsweise das Real-Time-Bidding oder Adwords, die auf Cookies basieren. Damit entfällt bei einem Opt-out der Nutzer die Datengrundlage für viele Targeting-Strategien oder ist zumindest eingeschränkt.
Auch die Anreicherung von eigenen First-Party-Daten mit Third-Party-Informationen wird durch das Consent-Erfordernis im Voraus sehr erschwert. Im Performance-Marketing beruhen die meisten Aktionen aber auf genau diesen Daten, was die Verknüpfung unterschiedlicher Datentöpfe erschwert. Alle Betroffenenrechte haben Auswirkung auf die IT-Architektur, wobei Opt-outs und Löschanfragen zeitkritisch sind.

Wer in Zukunft seine Online-Nutzerdatenbanken und Analysedaten weiter legal nutzen möchte, läuft Gefahr, diese zu verlieren, wenn sie nicht nachweislich mit einem validen Nutzer-Opt-in gekennzeichnet sind. Je nach Vertrags­lage gilt dabei eine „Joint-Controllership“ der Parteien, sodass der Website-Betreiber für externe Lösungen, die er auf seiner Seite einsetzt, zumindest mitverantwortlich ist und entsprechend bestraft werden kann. Erst die ePrivacy-Verordnung wird im Online-Bereich endgültig Klarheit schaffen - voraussichtlich ab 2021.

Unternehmen sollten ein sauberes Consent-Management aufsetzen und in ihre Datenschutzstrategie einbinden. Eines der Ziele muss sein, die Opt-in-Raten der Nutzer in den Griff zu bekommen. Dabei helfen A/B-Tests der Privacy-Banner und das Ausprobieren verschiedener Banner-Strategien. Dabei sollte man auch die diversen Endgeräte und die jeweils verfügbaren Browser berücksichtigen: Nicht compliant zu sein, wird auf Dauer nicht funktionieren.

Das Gesamtkonzept für die Datenstrategie muss alle kundenrelevanten Daten (offline wie online) umfassen. Außerdem sollte erfasst werden, wo Daten im Unternehmen eingesetzt werden und wie die Information, dass ein Nutzer seine Einwilligung erteilt oder entzogen hat, über die verschiedenen Lösungen geteilt wird. Doch welches Lead-System braucht es für Online- und Offline-Consent? Ein mögliches Szenario ist das Data Warehouse, in dem alle Daten zusammenfließen. Es kann über lange Zeiträume riesige Datenmengen abspeichern. Doch das Online-Marketing und der Echtzeitgedanke sind damit oft nicht kompatibel. Vielfach ist eine solche Strategie sehr IT-lastig und erfordert große Budgets.

Als zweite Option für die Speicherung von Consent kommt das CRM infrage. Hier werden traditionell die Daten von Bestandskunden und deren Consent für das Dialogmarketing gespeichert. Allerdings ist das CRM in der Regel nicht oder nur teilweise an das Performance-Marketing angebunden. Vor allem fehlt in den meisten Fällen ein Echtzeitrückkopplungskanal mit allen Online-Lösungen. Es eignet sich daher gut für die Speicherung von Consent-Daten im Offline-Bereich, aber nicht als Hauptspeicher für Consent-Daten über alle Kanäle hinweg.

Eine weitere Option bieten Customer-Data-Plattformen (CDPs) als Dreh- und Angelpunkt für das Speichern von Consent-Daten und die Verknüpfung der verschiedenen Lösungen. Am Ende sollte eine Echtzeitlösung stehen, die mit vielen Schnittstellen ausgestattet ist, um Consent in die verschiedenen Programme zu transferieren. Insbesondere sollte die CDP mit dem CRM, dem Data Warehouse und den Online-Lösungen so verbunden sein, dass es möglich wird, die Nutzerinteraktionen und Kanäle optimal zu verbinden.

Das Ziel besteht darin, diese Prozesse zu automatisieren. CDPs verwalten die User-Einwilligungen als Flag pro User-Datensatz und fungieren als Steuerzentrale. Eine integrierte CMP kann Onsite-Consent zusätzlich erheben und mit anderen Consent-Arten in Einklang bringen.

Auch der durchschnittliche User, der sich nicht weiter mit digitalen Themen auseinandersetzt, sollte wissen, welche Daten über ihn gesammelt werden und wie er damit umgehen soll. In Zukunft besteht die Aufgabe von Marketing-Mitarbeitern auch darin, die Vorteile eines Opt-ins für den Nutzer besser herauszustellen.