Consent Management: DSGVO-konform Daten erfassen
Wer im Internet surft, hinterlässt Datenspuren. Website-Betreiber können diese Daten durch bestimmte Technologien wie Cookies oder Tracking Pixel erfassen und verarbeiten. Daraus können zum Beispiel das Nutzungsverhalten oder demografische Merkmale analysiert werden.
Die erhobenen Daten werden beispielsweise für Werbezwecke oder die Gestaltung einer optimalen User Experience verwendet. Die Nutzer werden aufgrund ihrer Interessen segmentiert und können folglich mit individuellen Werbeanzeigen erreicht werden. Daten haben einen riesigen Wert, weil sie helfen, die Zielgruppe effizienter und persönlicher zu erreichen.
Artikel jetzt anhören:
Cookies, Pixel und die DSGVO
Da Daten derart wertvoll für Unternehmen und gleichzeitig sehr persönlich sind, müssen sie geschützt werden. In der EU gibt es deswegen seit 2018 die Datenschutz-Grundverordnung (DSGVO). Diese besagt unter anderem, dass Website-Betreiber nur dann personenbezogene Daten sammeln oder verarbeiten dürfen, wenn der Besucher dem explizit zustimmt. Es muss eine DSGVO-konforme Nutzereinwilligung vorliegen.
„Gemäß DSGVO sind Website-Betreiber dazu verpflichtet, für Technologien, die personenbezogene Daten erheben, wie z.B. Cookies, eine sogenannte Rechtsgrundlage nach Art. 6 der DSGVO vorzuweisen. “
In der Praxis werden dadurch einfache Alltagssituationen, wie der Besuch einer Website, zur Herausforderung. Wenn eine Website Technologien wie Cookies, Pixel oder andere externe Quellen eingebunden hat, ist die vorherige Einwilligung des Nutzers erforderlich. Besonders dann, wenn der Zweck darin besteht, Tracking, Profiling oder Retargeting zum Zweck datengetriebener Werbung durchzuführen. Beim Tracking wird das Nutzerverhalten protokolliert. Unter Profiling versteht man die automatisierte Verarbeitung personenbezogener Daten. Retargeting bedeutet, den Nutzer mit einem Pixel zu versehen, um ihm auf anderen Websites entsprechende Werbungen anzuzeigen.
Wie sieht rechtskonformes Consent Management aus?
An die Nutzereinwilligung, auch als Consent bezeichnet, sind strenge Anforderungen geknüpft. Ein professionelles Consent Management wird zum unbedingten Muss für Website-Betreiber. Consent Management Platforms (CMPs) bieten Services an, die die programmatische Einholung, Verwaltung und Dokumentation der Einwilligung erleichtern.
„Eine Consent Management Platform stellt sicher, dass Opt-Ins und Opt-Outs rechtskonform durchgeführt werden. “
Sie ermöglicht die weitere Erhebung und Nutzung von personenbezogenen Daten – auf absolut legaler Basis.
Der Europäische Gerichtshof kam im Herbst 2019 zum Schluss, dass klassische Cookie-Banner die DSGVO-Richtlinien nicht erfüllen. Eine rechtskonforme Einwilligung eines Nutzers muss folgende Punkte einhalten:
- Freiwillig: Die Einwilligung des Nutzers muss freiwillig erfolgen. Die Website muss auch ohne Einwilligung besuch- und benutzbar sein. Neben dem Annehmen-Button muss der Nutzer die Möglichkeit haben, abzulehnen.
- Informiert: Dem Nutzer müssen alle relevanten Informationen (z.B. Zweck der Verarbeitung, wer ist der Betreiber?) im Zusammenhang der Datenverarbeitung zur Verfügung stehen. Das beinhaltet auch die Information über das Recht des Widerrufs der Einwilligung.
- Detailliert: Der Zweck der Datenerhebung muss in detaillierten Einzelheiten angegeben sein. Eine allgemeine Erklärung genügt nicht. Der Nutzer muss im Detail wissen, welcher Datensatz von welchem Drittanbieter (Google, Facebook, etc.) seiner Einwilligung bedarf. Pauschale Einwilligungen oder allgemein gehaltene Hinweise bezüglich Cookies erfüllen diese Anforderung nicht.
- Ausdrücklich: Die Einwilligung muss aktiv durch einen Klick erfolgen. Eine implizite Einwilligung durch „weitersurfen” ist nicht ausreichend. Es genügt nicht, dem Nutzer bloß die Möglichkeit anzubieten, Services abzulehnen. Er muss explizit zustimmen.
- Vorab: Services, die nicht unbedingt für das Anzeigen und den Betrieb der Website notwendig sind, dürfen erst geladen werden, wenn eine Einwilligung vorliegt. Willigt der Nutzer nicht ein, muss technisch sichergestellt werden, dass bis zu seinem Widerruf keine Daten erhoben werden.
- Widerrufbar: Der Nutzer muss mit wenigen Klicks die Möglichkeit haben, seine Einwilligung zu den einzelnen Datensätzen der Drittanbieter widerrufen zu können.
- Dokumentiert: Im Falle einer Prüfung hat der Website-Betreiber die Nachweispflicht. Er muss die Einwilligungen der Besucher dokumentieren und nachweisen können.
Consent als wichtiger Erfolgsfaktor im Online Marketing
Immer mehr Anbieter von digitalen Werbeflächen setzen rechtskonformes Consent Management der Werbenden voraus, um sich selbst vor Strafen zu schützen. Um weiterhin Online Marketing betreiben zu können, muss ein rechtskonformes Consent Management implementiert sein. Die Anbieter müssen die Informationen in Echtzeit erhalten, ob sie einen konkreten Nutzer tracken dürfen oder nicht. Gebots-Anfragen externer Vermarktungsplattformen werden abgelehnt, sofern kein ausreichender Consent verifiziert werden kann. Ohne Einwilligung kann es zu Einbrüchen der Reichweite kommen
Das GDPR Transparency & Consent Framework
Das vom IAB Europe (International Advertising Bureau) ausgegebene GDPR Transparency & Consent Framework enthält einen Standard, wie Consent in der Online-Werbung aussehen sollte. Das Framework findet industrieweit Zulauf und wird bereits von einem Großteil der AdTech-Anbieter unterstützt. Google hat beispielsweise offiziell bekannt gegeben, dem IAB TCF beizutreten und den IAB Consent verpflichtend von seinen Kunden einzufordern.
„Um zukünftig Google-Lösungen und Programmatic Advertising zu verwenden, muss ein vom IAB-zertifiziertes Consent Management implementiert werden.“
Die Anbieter spielen nur noch Werbung aus, welche die Anforderungen des Frameworks erfüllen. Durch den Eintritt der großen digitalen Player Facebook und Google in das Transparency & Consent Framework des IAB wird die Einwilligung der Nutzer zur Grundlage für zukünftige Online Marketing-Maßnahmen.
