Knowledge Hub

DSK & DSGVO – Was tun bei der Opt-in Pflicht?

Knowledge Hub Knowledge DSK & DSGVO – Was tun bei der Opt-in Pflicht?

Die Datenschutzkonferenz (DSK) veröffentlicht in ihrem Papier “Orientierungshilfe für Anbieter von Telemedien” ihre Interpretation der rechtlichen Grundlagen der DSGVO. Die Verarbeitung personenbezogener Nutzerdaten ist demnach nicht mehr so vermeintlich “locker” auszulegen, wie in der Vergangenheit.

Wann besteht eine Opt-in Pflicht?

Eine Opt-in Pflicht besteht nur dann, wenn für den Zweck ein milderes, gleich effektives Mittel zur Verfügung steht oder wenn die Verarbeitungen nicht den vernünftigen Erwartungen der Nutzer entsprechen. Nicht den vernünftigen Erwartungen der Nutzer entsprechen beispielsweise

  • Mousetracking bzw. Techniken, die Tastatur-, Maus- und Wischbewegungen auf Touchscreens erfassen,
  • Zählpixel von Werbenetzwerken oder
  • wenn über Analysetools Dritte als Dienstleister eingebunden werden, die eine Verknüpfung mit eigenen Daten vornehmen oder Daten von verschiedenen Kunden, Webseiten und Geräten zusammenführen.

Opt-in Pflicht bei Webanalysen

Ob eine Opt-in Pflicht bei Webanalysen erforderlich ist, hängt grundsätzlich von dem Analyse-Tool ab. Für die Verwendung von Google Analytics ist ein Opt-in erforderlich, da gegebenenfalls Daten über die Aktivität eines Nutzer auf einer Webseite mit Aktivitäten dieses Nutzer auf einer anderen Webseite verknüpft werden. So könnte ein komplettes Nutzer- und Verhaltensprofil einer Person angelegt werden.

Verwendet eine Webseite jedoch Analysetools, welche keine webseitenübergreifende Verknüpfung oder eine Weitergabe an Dritte zulassen, wird der Opt-in nicht benötigt. Beispielhaft für ein solches Analysetool ist etracker Analytics.

Opt-in Pflicht bei Remarketing

Beispiele für die Einbindung einer CMP auf der Webseite:

Aktuell sind verschiedene Möglichkeiten die CMP einzubinden und Einwilligungen einzuholen gegeben, da die Kriterien für den datenschutzkonformen Opt-in bisher noch unterschiedlich ausgelegt werden können. Viele Webseitenbetreiber verzichten daher noch auf die volle Granularität.

Vier Opt-in Tipps:

 

  • Setzen Sie bei Webanalyse und Ad Tracking auf Opt-in-freie Lösungen
  • Nutzen Sie den Conversion Upload zu Google Ads
  • Investieren Sie bei Remarketing in eigene Kanäle und direkte Kundenbeziehung
  • Setzen Sie für Ad Remarketing professionelle Consent Management-Lösungen ein

 

Usercentrics CMP ist die technische Umsetzung der rechtlichen Anforderung

Die DSGVO gibt sieben Kriterien für die datenschutzkonforme Einholung der Einwilligung vor.

7 Kriterien einer DSGVO-konformen Einwilligung

Um die Einwilligung der Nutzer rechtskonform einholen zu können, zu dokumentieren und zu managen, empfiehlt sich die Implementierung einer Consent Management Platform (CMP).

Mit Nutzung einer CMP ist das neue große Ziel die Opt-in Optimierung. Dies ist beispielsweise durch einen sogenannten Incentive Opt-in möglich. Im Gegenzug für eine Leistung des Webseitenbetriebers, beispielsweise ein geringwertiger Gutschein o.Ä. (finanzielle Leistungen dürfen einen bestimmten Geldwert nicht überschreiten), ist der Nutzer in höherem Maße dazu bereit die Einwilligung zu geben. Usercentrics bietet zusammen mit dem Partner trbo einen solchen Userflow für Incentive Opt-in an.

Zudem ist A/B Testing verschiedener Designs und Userflows extrem wichtig, um fortwährend Opt-in Optimierung effektiv zu betreiben.

DSK im Fokus: Die DSK macht konkrete Vorgaben für DSGVO-konformes Einwilligungsmanagement

Das zuletzt von der DSK veröffentlichte Papier „Orientierungshilfe für Anbieter von Telemedien” stellt unter anderem heraus, dass die DSGVO Anwendungsvorrang vor datenschutzrechtlichen Vorschriften des Telemediengesetz (TMG) hat, wann „Tracking“ noch rechtmäßig durchgeführt werden kann und wie „Consent-Tools“ hier helfen.

Was regelt das DSK Paper?

Konkret legt das Papier folgende rechtliche Vorgaben fest, die für ein DSGVO-konformes Einwilligungsmanagement unerlässlich sind:

    • Der Banner sollte eine Übersicht aller einwilligungsbedürftigen Vorgänge unter Nennung aller beteiligten Akteure sowie der Funktionen (Granularität)
    • Der “Aktivieren”-Button darf nicht vorausgewählt sein
    • Skripte müssen vor der Einwilligung geblockt werden
    • Die Dokumentation der Einwilligung auf dem Gerät des Nutzers sollte ohne User-ID erfolgen
    • Der Opt-out muss genauso einfach wie der Opt-in sein
    • Nach dem Widerruf dürfen keine Daten weitergegeben werden

Konsequenzen bei fehlendem Opt-in

Drohendes Bußgeld

Webseitenbetreiber, die keine Einwilligung von ihren Besuchern einholen, drohen Abmahnungen und Strafen in Höhe von bis zu 20 Millionen Euro oder 4% ihres weltweiten Jahresumsatzes. Mehr erfahren

Verminderter Umsatz

Damit der Webseiten Traffic und letztendlich auch die Conversions gesteigert werden können, ist die Verarbeitung und Verwendung der Nutzerdaten essentiell. Mit Hilfe eines granularen Consent Managements kann sichergestellt werden, dass Nutzerdaten weiterhin rechtskonform, auch für Werbezwecke und personalisiertes Marketing wie Retargeting, genutzt werden können.

Hoher Trust

Über eine Consent Management Platform und die granulare Auflistung der auf einer Webseite verwendeten Technologien werden dem Nutzer alle Informationen offengelegt. Diese Transparenz sorgt für ein gesteigertes Kundenvertrauen. Wie eine Harvard Studie kürzlich ermittelte, sorgt Transparenz auf der Webseite hinsichtlich verwendeter Technologien zu einer 11-prozentigen höheren Opt-in Rate. Mehr zur Studie

Disclaimer

Usercentrics GmbH bietet keine Rechtsberatung an. Der Inhalt dieses Artikels ist nicht rechtsverbindlich. Der Artikel stellt die Meinung von Usercentrics dar.

 

Cookies & DSGVO Checklist: Do’s & Don’ts EuGH Urteil zu Cookies iab logo Verstehen Sie das IAB Framework in 15 Minuten (oder weniger!)