FAQ zum Webinar Consent Rate Optimization

Nachdem in unserem Webinar mit unserem Partner FELD M zum Thema „Consent Rate Optimization“ vermehrt Fragen aufkamen, hat unsere Referentin Hanna Waldenmaier offene Fragen in diesen FAQ für Sie beantwortet.

Incentives fallen an sich nicht unter das Kopplungsverbot. Hier geht es um die Beurteilung der Freiwilligkeit der Einwilligung. Der Nutzer soll dafür eine reflektierte Entscheidung treffen können, was je nach Ausmaß eines durch ein Incentive gewährten Vorteils nicht mehr der Fall sein könnte. Bei den üblichen eCommerce Incentives wie Rabatten von bis zu 50% oder kostenlosem Versand sollte die Freiwilligkeit aber noch bejaht werden. Das Kopplungsverbot dagegen ergibt sich unter anderem aus dem Erwägungsgrund 43 S. 2 DSGVO. „Die Einwilligung gilt nicht als freiwillig erteilt, wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.“ Hier geht es um das Model “Service gegen Daten”, die Erbringung einer Leistung wird also von der Einwilligung abhängig gemacht.

Die Consent Rate setzt sich zusammen aus den Einwilligungen (explizit UND implizit) die über einen Website Besuche gegeben wurden.

Hintergrund der Frage

Wir setzen impliziten Consent grundsätzlich aktiv. Alle impliziten Contents sind deaktiviert, d.h. der User muss sich entscheiden – es gibt aber keinen Deny Button. Das ist über den Link zur Privacy Setting Sidebar gelöst.

Man kann neben einem Link, welcher die Privacy Settings öffnet auch einen Link implementieren, der alle Technologien deaktiviert. Hier finden Sie die Dokumentation dazu.

Da Google noch nicht als Vendor offiziell dem TCF2 Framework beigetreten ist, müssen Publisher übergangsweise selbst einen Connector programmieren, der basierend auf dem Einwilligungsstatus zu den relevanten Purposes gewisse Funktionen in den Google Skripten (de-)aktiviert. Sobald Google Teil der Global vendor list (GVL) ist, muss sich Google um die Interpretation des TC Strings kümmern.

Um einen Consent String zu generieren muss das TCF Feature implementiert und aktiviert werden. Dieses können Sie in Ihrem Admin Interface unter „Service Settings“ aktivieren. Nur wenn Sie den Anforderungen des IABs gerecht werden, kann ein Consent String an Vendoren weitergegeben werden.

Bisher gibt es hierzu noch keine konkrete Rechtssprechung

Derzeit liegt keine Regelung der DSGVO vor, welche einen exakten Zeitraum für die Wirksamkeit einer Einwilligung definiert. Damit ist eine Einwilligung zunächst bis a) auf Widerruf und b) zur Zweckänderung (Zweckbindungsprinzip Art. 5 DSGVO) gültig.

Für Webseiten Betreibern wäre es aber wohl ratsam eine erneute Einwilligung einzuholen, falls ein Informationsdefizit vorliegt, die Einwilligung also auf neuen Informationen basiert oder wenn eine Datenverarbeitung trotz Legitimation über eine Einwilligung für einen längeren Zeitraum unterbleibt und dies dem Betroffenen bekannt ist und damit ein Vertrauenstatbestand geschaffen wird, wonach auch zukünftig keine Datenverarbeitung mehr erfolgen wird.

Zur Information

In der Vergangenheit gab es eine Reihe von Urteilen, die sich im Kontext des UWG mit der Frage der Verwirkung von Einwilligungen beschäftigten. So hat beispielsweise das LG München I mit Urteil vom 8. April 2010 entschieden, dass eine vor 17 Monate erteilte und bisher nicht genutzte Einwilligung zur E-Mail-Werbung „ihre Aktualität verliere“. Auf dieses Urteil verweist auch die Datenschutzkonferenz (DSK) in ihrer Orientierungshilfe zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung. In einem Urteil des AG Bonn vom 10.05.2016 mit dem Aktenzeichen 104 C 227/15 wird konkret für den Fall von Werbe-Mails ein Verfall der Gültigkeit von 4 Jahren genannt. Dem entgegen steht ein Urteil des Bundesgerichtshof vom 01.02.2018, nach dem ein Newsletter Opt-In nicht allein durch Zeitablauf erlischt.

Anfang Mai werden wir die erste Version unserer TCF2 Lösung veröffentlichen. Geplant ist bis Ende Juni 2-3 Releases dafür zu fahren und auf Feedback unserer Kunden einzugehen.

Hintergrund der Frage

Bislang haben wir von Google keine Info bekommen. Ebenfalls halten wir das EuGH-Urteil für nicht bindend. Der betreffende Rechtsstreit mit Planet49 GmbH ist noch nicht abgeschlossen.

DSGVO ist ein Gesetz? Und das besagt, dass man Einwilligung braucht? Um zukünftig saubere / sichere Daten zu haben macht es Sinn auch jetzt schon eine CMP einzusetzen.  Urteile des EuGH sind für die Mitgliedsstaaten bindend. Die DSGVO sieht in Art. 6 Abs. 1 S. 1 lit. a vor, dass eine Einwilligung erforderlich ist. Nur technisch notwendige Cookies dürfen ohne Einwilligung gesetzt werden. Für die restlichen ist also eine Einwilligung erforderlich und die Möglichkeit zur Erteilung dieser muss auch gegeben werden. Auch wird in der Orientierungshilfe der DSK vorgesehen, dass für verschiedene Verarbeitungsvorgänge gesonderte Einwilligungen erfolgen sollen. Ein einfacher „ok“ Button genügt nicht. Somit muss für die verschiedenen Zwecke/Cookies jeweils separat eine Einwilligung erfolgen können. Dies ist durch die Nutzung einer CMP einfach umzusetzen. Richtig ist, dass das Urteil des BGH erst am 28. Mai 2020 verkündet wird. Das Urteil ist entscheidend für die Umsetzung in Deutschland.

Allerdings, aufgrund des Vorrang des EU-Rechts, wirkt bereits jetzt die Entscheidung des EuGH vom 01.10.2019 zumindest bezüglich einiger Punkte bindend. Sicher ist: Wenn Webseitenbetreiber eine Einwilligung für Cookies benötigen, müssen Nutzer diese aktiv setzen können. Die Einwilligung muss demnach fortan durch ein Opt-in Verfahren eingeholt werden. Ein vor angekreuztes Kästchen reicht nicht aus. Außerdem hat der EuGH nochmals auf bestehende Informationspflichten hingewiesen. So gehören jedenfalls Angaben zur Funktionsdauer der Cookies dazu und, ob Dritte Zugriff auf die Cookies erhalten können.

Zu beachten ist auch, dass sich in Deutschland eine Sondersituation ergibt. Aufgrund der fehlenden Umsetzung des Art. 5 III ePrivacy-Richtlinie in Deutschland hatte bereits die Datenschutzkonferenz in der Orientierungshilfe für Anbieter von Telemedien vom 03. April 2019 entschieden, dass das TMG in Deutschland keine Anwendung mehr findet, was bedeutet, dass es bei dem Anwendungsvorrang der DSGVO und der ePrivacy-Richtlinie bleibt, die wiederum von der Pflicht zur Einwilligung bei Cookies ausgeht.

Die Haftung liegt immer beim Data Controller. Daher ist es wichtig, dass der Optimierungspartner sich auch immer mit dem Kunden und dessen Legal Abteilung / Datenschützer austauscht. Usercentrics bietet eine Software in Form eines Baukastens mit dem sie einfach, schnell und sehr flexibel auf Markt / Rechtsänderung reagieren können. Wir informieren Sie regelmäßig über Änderungen über unseren Newsletter / Webinare etc. Auf Basis dieser Informationen können Sie Ihre Lösung optimieren und dynamisch anpassen.

Sie konnten nicht an unserem Webinar zum Thema „Consent Rate Optimization“ teilnehmen? Laden Sie sich gerne unser On-Demand Webinar dazu runter.