DSK & DSGVO – Was tun bei der Opt-in Pflicht?
Inhaltsverzeichnis
Die Datenschutzkonferenz (DSK) veröffentlicht in ihrem Papier “Orientierungshilfe für Anbieter von Telemedien” ihre Interpretation der rechtlichen Grundlagen der DSGVO. Die Verarbeitung personenbezogener Nutzerdaten ist demnach nicht mehr so vermeintlich “locker” auszulegen, wie in der Vergangenheit.
Wann besteht eine Opt-in Pflicht?
Eine Opt-in Pflicht besteht nur dann, wenn für den Zweck ein milderes, gleich effektives Mittel zur Verfügung steht oder wenn die Verarbeitungen nicht den vernünftigen Erwartungen der Nutzer entsprechen. Nicht den vernünftigen Erwartungen der Nutzer entsprechen beispielsweise
- Mousetracking bzw. Techniken, die Tastatur-, Maus- und Wischbewegungen auf Touchscreens erfassen,
- Zählpixel von Werbenetzwerken oder
- wenn über Analysetools Dritte als Dienstleister eingebunden werden, die eine Verknüpfung mit eigenen Daten vornehmen oder Daten von verschiedenen Kunden, Webseiten und Geräten zusammenführen.
Opt-in Pflicht bei Webanalysen
Ob eine Opt-in Pflicht bei Webanalysen erforderlich ist, hängt grundsätzlich von dem Analyse-Tool ab. Für die Verwendung von Google Analytics ist ein Opt-in erforderlich, da gegebenenfalls Daten über die Aktivität eines Nutzer auf einer Webseite mit Aktivitäten dieses Nutzer auf einer anderen Webseite verknüpft werden. So könnte ein komplettes Nutzer- und Verhaltensprofil einer Person angelegt werden.
Verwendet eine Webseite jedoch Analysetools, welche keine webseitenübergreifende Verknüpfung oder eine Weitergabe an Dritte zulassen, wird der Opt-in nicht benötigt. Beispielhaft für ein solches Analysetool ist etracker Analytics.
Opt-in Pflicht bei Remarketing
Beispiele für die Einbindung einer CMP auf der Webseite:
Aktuell sind verschiedene Möglichkeiten die CMP einzubinden und Einwilligungen einzuholen gegeben, da die Kriterien für den datenschutzkonformen Opt-in bisher noch unterschiedlich ausgelegt werden können. Viele Webseitenbetreiber verzichten daher noch auf die volle Granularität.
Vier Opt-in Tipps:
- Setzen Sie bei Webanalyse und Ad Tracking auf Opt-in-freie Lösungen
- Nutzen Sie den Conversion Upload zu Google Ads
- Investieren Sie bei Remarketing in eigene Kanäle und direkte Kundenbeziehung
- Setzen Sie für Ad Remarketing professionelle Consent Management-Lösungen ein
Usercentrics CMP ist die technische Umsetzung der rechtlichen Anforderung
Die DSGVO gibt sieben Kriterien für die datenschutzkonforme Einholung der Einwilligung vor.
Um die Einwilligung der Nutzer rechtskonform einholen zu können, zu dokumentieren und zu managen, empfiehlt sich die Implementierung einer Consent Management Platform (CMP).
Mit Nutzung einer CMP ist das neue große Ziel die Opt-in Optimierung. Dies ist beispielsweise durch einen sogenannten Incentive Opt-in möglich. Im Gegenzug für eine Leistung des Webseitenbetriebers, beispielsweise ein geringwertiger Gutschein o.Ä. (finanzielle Leistungen dürfen einen bestimmten Geldwert nicht überschreiten), ist der Nutzer in höherem Maße dazu bereit die Einwilligung zu geben. Usercentrics bietet zusammen mit dem Partner trbo einen solchen Userflow für Incentive Opt-in an.
Zudem ist A/B Testing verschiedener Designs und Userflows extrem wichtig, um fortwährend Opt-in Optimierung effektiv zu betreiben.
DSK im Fokus: Die DSK macht konkrete Vorgaben für DSGVO-konformes Einwilligungsmanagement
Das zuletzt von der DSK veröffentlichte Papier „Orientierungshilfe für Anbieter von Telemedien” stellt unter anderem heraus, dass die DSGVO Anwendungsvorrang vor datenschutzrechtlichen Vorschriften des Telemediengesetz (TMG) hat, wann „Tracking“ noch rechtmäßig durchgeführt werden kann und wie „Consent-Tools“ hier helfen.
Was regelt das DSK Paper?
Konkret legt das Papier folgende rechtliche Vorgaben fest, die für ein DSGVO-konformes Einwilligungsmanagement unerlässlich sind:
-
- Der Banner sollte eine Übersicht aller einwilligungsbedürftigen Vorgänge unter Nennung aller beteiligten Akteure sowie der Funktionen (Granularität)
- Der “Aktivieren”-Button darf nicht vorausgewählt sein
- Skripte müssen vor der Einwilligung geblockt werden
- Die Dokumentation der Einwilligung auf dem Gerät des Nutzers sollte ohne User-ID erfolgen
- Der Opt-out muss genauso einfach wie der Opt-in sein
- Nach dem Widerruf dürfen keine Daten weitergegeben werden
Konsequenzen bei fehlendem Opt-in
Drohendes Bußgeld
Webseitenbetreiber, die keine Einwilligung von ihren Besuchern einholen, drohen Abmahnungen und Strafen in Höhe von bis zu 20 Millionen Euro oder 4% ihres weltweiten Jahresumsatzes. Mehr erfahren
Verminderter Umsatz
Damit der Webseiten Traffic und letztendlich auch die Conversions gesteigert werden können, ist die Verarbeitung und Verwendung der Nutzerdaten essentiell. Mit Hilfe eines granularen Consent Managements kann sichergestellt werden, dass Nutzerdaten weiterhin rechtskonform, auch für Werbezwecke und personalisiertes Marketing wie Retargeting, genutzt werden können.
Hoher Trust
Über eine Consent Management Platform und die granulare Auflistung der auf einer Webseite verwendeten Technologien werden dem Nutzer alle Informationen offengelegt. Diese Transparenz sorgt für ein gesteigertes Kundenvertrauen. Wie eine Harvard Studie kürzlich ermittelte, sorgt Transparenz auf der Webseite hinsichtlich verwendeter Technologien zu einer 11-prozentigen höheren Opt-in Rate. Mehr zur Studie
Disclaimer
Usercentrics GmbH bietet keine Rechtsberatung an. Der Inhalt dieses Artikels ist nicht rechtsverbindlich. Der Artikel stellt die Meinung von Usercentrics dar.
Hallo Rabatte, adieu Datenschutz? – Der Black Friday und die Auswirkungen auf Ihre Opt-In Raten
Werfen Kunden bei tollen Angeboten Zweifel bezüglich ihrer Privatsphäre über Bord? Wird ein Cookie-Banner dann eher akzeptiert? Wir haben...
privacy_shield_suit
FAQ zum Webinar: EuGH kippt Privacy Shield, und jetzt? Was jetzt noch erlaubt ist
Fragen und Antworten aus unserem Webinar mit unserem Partner, one medialis GmbH, sowie Dr. Christian Velten (Jota Rechtsanwälte Schultze-Rhonhof)....
Kein generelles Recht auf Vergessenwerden: Google muss unliebsame Artikel nicht löschen
Kann ich Google dazu bewegen, Suchergebnisse zu löschen, nur weil mir die Berichterstattung über mich oder mein Unternehmen nicht...
