Das Ende der Third-Party-Cookies ist in Sicht

Google plant Anfang 2025 innerhalb Google Chrome die Third-Party-Cookies abzuschaffen. Website-Betreiber benötigen daher eine neue Methode, um Nutzerdaten datenschutzkonform zu erfassen, zu verwenden und mit Partnern zu teilen – und das unabhängig vom Browser der Nutzer. 

Eine beliebte Alternative nennt sich Server-Side-Tagging (SST). Dabei handelt es sich um eine raffinierte und datenschutzorientierte Lösung, die Unternehmen bei der Erfassung und Verwaltung von Online-Daten unterstützt.

Mit Hinblick auf die Bedeutung von Datenanalysen für personalisierte Marketingstrategien ist diese Umstellung für den Erfolg vieler Unternehmen entscheidend. Gleichzeitig können Unternehmen durch diese Umstellung ihren Datenschutz verbessern, da sie die Kontrolle über die Verarbeitung und Weitergabe der Daten behalten. Wenn Unternehmen diese Herausforderung der Umstellung jetzt proaktiv angehen, anstatt abzuwarten und sich reaktiv anzupassen, sparen sie Zeit und Ressourcen und müssen langfristig weniger technische Herausforderungen bewältigen.

In diesem Artikel erfahren Sie, welche Möglichkeiten es für die Datenerfassung gibt, was Sie alles über Server-Side-Tagging wissen sollten und welche Auswirkungen dies auf die Nutzereinwilligungen hat.

Datenerfassung verstehen: Von einfachen Tags zu maßgeschneiderten Lösungen

Die Grafik zeigt verschiedene Möglichkeiten für die Datenerfassung im Bereich Tracking sowie die steigenden Kosten und Komplexität der Methoden.

JavaScript-Tags werden direkt auf der Website integriert und sind eine einfache, aber anfällige Lösung, um Nutzerdaten zu erfassen. Auf der nächsten Stufe befinden sich die Tag-Management-Systeme, welche auf der Einwilligung von Third-Party-Cookies basieren. Sie bieten eine zentralisierte und genaue Steuerung von Tags, bleiben jedoch clientseitig (im Browser des Nutzers) und sind anfällig für Datenverluste durch Adblocker. Zudem werden sie bald von Google abgeschafft. Mit der nächsten Stufe, dem Server-Side-Tagging (SST), werden Tracking-Prozesse vom Browser des Nutzers auf einen Server verlagert, was die Datenqualität und den Datenschutz verbessert, aber auch die technische Komplexität und die Kosten erhöht.

Bei Customer-Data-Plattformen werden persistente First-Party-Kundenprofile erstellt, um personalisierte Marketingstrategien zu ermöglichen. Ebenso wie die letzte Stufe erfordert diese jedoch deutlich mehr Kosten und Expertise. An der Spitze stehen Lösungen, die vollständig auf die Bedürfnisse eines Unternehmens zugeschnitten sind.

Zusammengefasst zeigt die Grafik, wie sich Lösungen zur Datenerfassung immer weiter hin zu mehr Präzision und höherer Datenschutzkonformität entwickeln. Unternehmen müssen individuell entscheiden, welche Lösung ihre Anforderungen erfüllt und gleichzeitig im Verhältnis zum Budget steht. Da JavaScript-Tags sehr anfällig sind, Third-Party-Cookies bald abgeschafft werden und vollständig individuelle Lösungen sehr aufwändig und kostenintensiv sind, empfehlen wir in den meisten Fällen zukünftig auf Server-Side-Tagging zu setzen.

Was ist Server-Side-Tagging?

Grundsätzlich handelt es sich beim Server-Side-Tagging, wie bereits angeschnitten, um einen alternativen Ansatz zur Datenerfassung durch Third-Party-Cookies. Sowohl die Website, als auch die Daten ihrer Nutzer werden auf einem sicheren, zentralisierten Server gehostet. Dadurch übernimmt das Unternehmen selbst die Kontrolle über die Daten, anstatt auf Drittanbieterdienste wie Google oder HubSpot zu setzen. Es wird so mehr Kontrolle und ein besserer Schutz personenbezogener Daten ermöglicht, was einen entscheidenden Vorteil im Hinblick auf Datenschutz bietet. Außerdem kann Server-Side-Tagging geräteübergreifend und plattformunabhängig verwendet werden, wodurch eine konsistente Datengrundlage unabhängig vom Betriebssystem gewährleistet wird.

Beim Server-Side-Tagging fungieren serverseitige Tags als zentrale und schützende Schnittstellen zwischen Nutzern und Drittanbietern, um Daten zu sammeln. Drittanbieter haben keinen direkten Zugriff auf die Datenerfassung der Website und die personenbezogenen Daten. Auf dem Server des Unternehmens oder der Website, auf dem die Daten erfasst werden, werden sie gemäß Datenschutzanforderungen verarbeitet und ggf. anonymisiert oder pseudonymisiert. Danach erhalten Drittanbieter nur die Daten und Informationen, die vom Server weitergegeben werden. Somit findet eine bessere Kontrolle der Daten statt und eine höhere Sicherheit wird gewährleistet, wodurch der Datenschutz erhöht wird.

Weitere Informationen erhalten Sie in der Einführung zum Server-Side-Tagging.

Google Tag Manager und Server-Side-Tagging

Das Server-Side-Tagging des Google Tag Managers (GTM) ist ein leistungsstarkes Tool, mit dem Tags, Trigger und Variablen auf einem Server statt im Browser des Nutzers, von Unternehmen oder Website-Betreibern verwaltet werden können. Aufgrund der einfachen Bedienbarkeit ist es eine beliebte Lösung bei Marketern und Entwicklern. Die Verwendung des GTM-Server-Side-Tagging erhöht die Datenqualität und sorgt für eine einfachere Einhaltung von Datenschutzvorgaben. Daher ist diese Lösung besonders für Unternehmen geeignet, die sensible Daten verarbeiten, Datenschutz priorisieren oder eine optimierte Website-Performance anstreben.

Was ist der Unterschied zu Server-Side-Tracking?

Obwohl Server-Side-Tracking und -Tagging beide einen Server für die Datenerfassung und -verwaltung nutzen, sollten die Begriffe nicht verwechselt werden. 

Server-Side-Tracking bildet die Oberkategorie des Prozesses und beschreibt den Vorgang, wenn Daten direkt vom Server erfasst werden, anstatt vom Browser des Nutzers. Generell verbessert diese Methode die Datenqualität, verringert die Arbeitslast auf der Client-Seite und kann die Performance der Website steigern.

Server-Side-Tagging bezieht sich hingegen speziell auf die Implementierung von Tracking-Tags auf der Serverseite. Es verwaltet also ein speziell eingerichteter Tag-Manager-Server die Daten, was ebenso zu mehr Kontrolle und besserem Datenschutz führt.

Google Analytics und Server-Side-Tracking

Durch seine Nutzerfreundlichkeit ist Google Analytics ein beliebtes Tool für Server-Side-Tracking. Außerdem lassen sich viele bestehende Plattformen integrieren und zahlreiche Nutzer und Entwickler bieten Unterstützung durch beispielsweise Anleitungen.

Beim Server-Side-Tracking mit Google Analytics werden die Daten direkt vom Server an Google Analytics gesendet, wodurch der Browser des Nutzers umgangen wird. Dies verbessert die Performance der Website, erhöht den Datenschutz und ermöglicht eine bessere Kontrolle über die Datenqualität.

Was ist Server-to-Server-Sharing?

Server-to-Server-Sharing beim Server-Side-Tagging beschreibt den direkten Austausch von Tracking-Daten zwischen Servern, ohne dass der Browser des Nutzers direkt beteiligt ist. Dabei werden Daten vom Tracking-Server verarbeitet und anschließend an Analyse- oder Werbeplattformen weitergeleitet. Diese Methode bietet entscheidende Vorteile wie eine höhere Datenqualität, da Adblocker umgangen werden. Gleichzeitig wird auch  eine bessere Datenschutzkonformität gewährleistet, da nur der Server des Unternehmens entscheidet, welche Daten weitergegeben werden und sensible Daten serverseitig anonymisiert oder pseudonymisiert werden können. Außerdem wird die Performance verbessert, da weniger Skripte im Browser des Nutzers ausgeführt werden müssen. 

Client-Side-Tagging und Server-Side-Tagging im Vergleich

Sowohl Client-Side- als auch Server-Side-Tagging und somit auch Client- bzw. Server-Side-Tracking ermöglichen die Erfassung und Bereitstellung von Daten. Beide Modelle haben Vorteile. Beim Client-Side-Tagging werden Daten über Tags und den Browser des Nutzers (den Client) direkt an einen oder mehrere Server gesendet, nachdem den Third-Party-Cookies zugestimmt wurde. Das Tag-Management nutzt diese Funktion, um Daten von Ihrer Website mit Marketing-Partnern zu teilen. Bei diesem Modell gibt es keine zentrale Kontrolle über die Daten.

Beim Server-Side-Tagging hingegen sendet der Tag oder das Pixel Daten an den Webserver (oder einen anderen Server), und der Webserver leitet die Daten dann an einen oder mehrere Zielserver weiter. Marketing-Partner oder Analytics-Anbieter können die Empfänger dieser Daten sein. Es gibt einen Datenstream, der den Zugriff relevanter Services auf die Daten ermöglicht und kontrolliert. Da Daten über ein zentrales System gesammelt und an Drittanbieter weitergegeben werden, besteht eine übergreifende Kontrolle über die Bedingungen für den Zugriff und die Nutzung der Daten. Zum Beispiel können bei der Nutzereinwilligung bestimmte Cookies oder andere Webtechnologien zugelassen werden, andere jedoch abgelehnt werden.

Unser Partner Tealium hat einen interessanten und hilfreichen Artikel zu diesem Thema: Auswahl zwischen Client- und Server-Side-Datenmanagement (auf Englisch).

Server-Side-Tagging und Consent-Management/Nutzereinwilligungen

Um DSGVO- und Datenschutzkonformität im Allgemeinen zu gewährleisten, müssen informierte Nutzereinwilligungen vor der Datenerhebung sowie der Weitergabe an Drittanbieter eingeholt werden.

Ob Web, Apps oder Smart Devices – Server-Side-Tagging kann in jeden Channel integriert werden und sorgt für konsistente Daten, bessere Automatisierung, geringere Kosten, plattformübergreifendes Consent-Management und verbesserte Branchenstandards – zum Vorteil für Unternehmen und Nutzer.

Der Vorteil des Server-Side-Tagging in Bezug auf Consent-Management ist, dass Nutzereinwilligungen zentral auf dem Server verarbeitet werden. Auf dieser Basis entscheidet anschließend der Server, welche Daten an Drittanbieter weitergegeben werden. Ein positiver Aspekt ist außerdem, dass weniger Tags und Skripte im Browser geladen werden, wodurch die Einwilligungsabfrage schneller und flüssiger erfolgen kann, was zu einer besseren Performance der Website führt.

Ist Server-Side-Tagging DSGVO-konform?

Die kurze Antwort lautet: Server-Side-Tagging kann DSGVO-konform sein. Allerdings sollte sichergestellt werden, dass eine detaillierte Zustimmung der Nutzer zur Erfassung und Verwendung der Daten und zu allen damit verbundenen Aktivitäten eingeholt wird. Darüber hinaus sind Datenschutzmaßnahmen erforderlich, um die Daten der Nutzer zu schützen.

Bei Verwendung des Google Tag Managers für Server-Side-Tagging kann dieser mit dem Google Consent Mode kombiniert werden, um Tags DSGVO-konform zu gestalten. Der Consent Mode ermöglicht den Websites, die Cookie-Einwilligungen der Nutzer effektiv an Google-Tags zu übermitteln. Die Tags arbeiten dabei nur im Einklang mit den individuellen Einstellungen der Nutzer, sodass deren Wünsche in Bezug auf Datenschutz respektiert werden.

Es sollte beachtet werden, dass die Implementierung von serverseitigen Tags nicht automatisch die Einhaltung der ePrivacy-Richtlinien bedeutet. Diese stellt separate Datenschutzrichtlinien dar, die zusätzlich zur DSGVO gelten und deren Datenschutzbestimmungen ergänzen und erweitern.

Die Vorteile von Server-Side-Tagging

Durch die Umstellung auf Server-Side-Tagging lassen sich aktuelle und aufkommende Probleme lösen und bestehende Prozesse optimieren. Server-Side-Integrationen ermöglichen folgende Features:

• Umfassende Kundenübersicht über verschiedene Kontaktpunkte hinweg
• Verbesserungen der Website- und Datensicherheit
• Verbesserung der Performance von Unternehmenswebseiten
• Eine zentrale Informationsquelle für rechtliche Audits
• Bessere Anpassung an Änderungen von Datenschutzvorschriften und -Technologien
• Vollständige Kontrolle über die Weitergabe von Daten an Drittanbieter, für die eine Nutzereinwilligung vorliegt

Unternehmen und Websites

Wie bereits erläutert, werden die Datenverarbeitung und -distribution beim Server-Side-Tagging vom Client zum Server verlagert. Dadurch erhalten Websites mehr Kontrolle über die Daten und die Möglichkeit, Daten, die an Third-Parties weitergegeben werden, besser zu verwalten und zu prüfen. Außerdem wird durch Server-Side-Tagging die Performance der Website verbessert, da keine ressourcenintensiven Technologien von Third-Parties geladen werden müssen und kein Container-Tag mehr die Performance beeinträchtigt, sondern nur ein Tag implementiert werden muss.

Server-Side-Tagging erhöht auch die Sicherheit der Website mit integrierten Features, die den Zugriff auf die Website und die darüber erfassten Daten einschränken. Auch wenn Server-Side-Tagging mit höheren Kosten verbunden ist, etwa für einen speziellen Webserver, ist diese Investition eine wichtige Grundvoraussetzung, um eine Datenstrategie im Unternehmen zu implementieren. Alle Unternehmen werden in den nächsten Jahren von großen Veränderungen innerhalb der Branche betroffen sein.  So werden auch kleine Unternehmen Lösungen benötigen und von den Vorteilen dieser Technologien profitieren können.

Beim Server-Side-Tagging werden First-Party-Server eingesetzt, um das Tracking näher an den Inhalt der Seite zu bringen. So wird beispielsweise verhindert, dass Adblocker Inhalte blockieren. Zudem wird die ITP-Verkürzung der Lebensdauer von HTTP-Cookies durch Safari oder das vollständige Löschen dieser Cookies verhindert.

Auch Marketingkampagnen können durch Server-Side-Tracking profitieren – beispielsweise mit verbesserter Transparenz des Kaufzyklus, höheren Conversion Rates und erhöhtem ROI für Werbung durch gezielte Analysen der Daten.

Webseitenbesucher

Die eingeholten Nutzereinwilligungen von Webseitenbesuchern können beim Server-Side-Tagging besser über verschiedene Systeme kommuniziert werden, wodurch der Schutz und die Sicherheit der Daten verbessert werden. Dadurch wird sichergestellt, dass Daten nicht ohne ihre Einwilligung erfasst oder weitergegeben werden. 

Wie ebenfalls bereits erwähnt, behalten Unternehmen die Kontrolle über die Daten, während Drittanbieter lediglich Zugriff auf Daten haben, die bewusst und selektiv vom Server zur Verfügung gestellt werden.

Außerdem wird durch Server-Side-Tagging das Targeting, z. B. für Werbeanzeigen, verbessert, um ein personalisiertes Online-Erlebnis zu schaffen, ohne dabei die Privatsphäre der Nutzer zu beeinträchtigen.

Beim Server-Side-Tagging kann es für Nutzer im Browser nicht immer ganz ersichtlich sein, welche personenbezogenen Daten auf welche Art erfasst und geteilt werden, da Aktivitäten nicht mehr im Browser der jeweiligen Person, sondern auf dem Server stattfinden. Usercentrics arbeitet jedoch mit Tagging-Plattformen zusammen. Durch die Integration der Consent-Management-Platform (CMP) und der damit verbundenen Informationen zu Datenerfassung sowie -Zweck schafft Usercentrics wieder Transparenz. Diese Informationen werden dann im Consent-Banner an Besucher der Website weitergegeben.

Third-Party-Anbieter (Drittanbieter)

Third-Party-Anbieter, wie die Anbieter von Customer Data Platforms oder Data Warehouse-Lösungen, können sich mit Server-Side-Tagging darauf verlassen, dass von Nutzern Einwilligungen für die Verarbeitung ihrer Daten eingeholt wurden. Das Risiko von Datenschutzverstößen wird verringert, ebenso wie das Risiko eines unbefugten Datenzugriffs, da dieser von der Website oder dem Unternehmen direkt besser kontrolliert wird.

Unternehmen können zudem bessere Kommunikationsprozesse mit Drittanbietern entwickeln und spezielle Insights teilen, da das Unternehmen die Kontrolle über das Verhalten der Website zentralisiert und den Datenfluss bestimmt.

Wie kann ich Server-Side-Tagging implementieren?

Um Server-Side-Tagging zu implementieren, ist ein Tag-Management-System notwendig, das Server-Side-Tagging unterstützt. Zudem muss entweder ein eigener Webserver eingerichtet werden oder eine cloudbasierte Lösung genutzt werden, die Server-Side-Tagging ermöglicht. Sobald diese Voraussetzungen erfüllt sind, kann mit der Implementierung von Server-Side-Tagging auf Ihrer Website begonnen werden.

Fazit

Die Integration neuer Technologien ist immer eine Herausforderung. Unternehmen konnten Tags bisher per Drag-and-Drop verschieben, während sie sich in Zukunft mit Server-Side-Tagging mehr Gedanken über ihre Daten und deren Weitergabe machen müssen.

Durch die Investitionen in langfristige Datenstrategien können Unternehmen jedoch zahlreiche neue Chancen erschließen und in Zukunft erhebliche Dividenden in den Bereichen Business Intelligence, datengesteuerte Entscheidungsfindung usw. erwirtschaften und langfristig rentable Marketingstrategien entwickeln, ohne den Datenschutz zu gefährden.

Server-Side-Tagging ist eine Methode, die sowohl für Unternehmen als auch für Besucher von Websites viele positive Aspekte mit sich bringt. Unternehmen sollten sich bewusst sein, dass das Ende von Third-Party-Cookies vor der Tür steht. Sie riskieren, viele Daten und damit verbundene Insights zu verlieren, wenn sie nicht proaktiv handeln und sich entsprechend vorbereiten.

Unternehmen benötigen ein umfassendes Verständnis der Anforderungen an ihre Daten und den einzuholenden Nutzereinwilligungen. Sie benötigen außerdem klare Anforderungen für die Anbieterintegration. Dies sind alles wichtige erste Schritte  der Vorbereitung auf bevorstehende Veränderungen. Wir bei Usercentrics unterstützen Sie dabei, das Know-how unserer Implementierungspartner zum Server-Side-Tagging für Ihr eigenes Unternehmen zu nutzen.

Die Consent-Management-Platform und die Server-Side-Tagging-Lösung von Usercentrics, die mit Ihren Tools und Ihrer technischen Infrastruktur integriert werden kann, hilft Ihnen bei der Verbesserung der Monetarisierung, dem Datenschutz und der Optimierung der Website-Performance und Sicherheit.

Erfahren Sie noch heute mehr über Server-Side-Tagging und die Zukunft von First-Party-Daten. Oder wenden Sie sich jederzeit gerne an uns, wenn Sie weitere Fragen haben.

Einführung in das Konzept „Privacy by Design”

Der Begriff „Privacy by Design” wird in der 2018 eingeführten  Datenschutz-Grundverordnung (DSGVO) explizit erwähnt. Der Kerngedanke ist, dass der Datenschutz über jede Phase der Entwicklung, der Implementierung und des Betriebs in Prozesse, Produkte und Dienstleistungen von der Projektkonzeption integriert werden soll. Der Datenschutz muss bereits in der Entwurfsphase eine wichtige Rolle spielen und darf nicht erst im Nachhinein hinzugefügt werden.

Im Deutschen wird das Konzept auch als „Datenschutz durch Technikgestaltung” bezeichnet. Dieser Datenschutz durch datenschutzfreundliche Voreinstellung bezieht sich meist auf die gleiche Idee. 

Das Konzept des „Privacy by Design“ wurde erstmals in den 1990er Jahren von der kanadischen Datenschutzexpertin Dr. Ann Cavoukian vorgestellt und hat sich seitdem als bewährtes Verfahren zum Schutz der Privatsphäre durchgesetzt. Im Jahr 2010 verabschiedete die 32. Konferenz der Datenschutzbeauftragten die „Resolution zu Privacy by Design“, die eine weitere starke Aufforderung (wenn nicht sogar eine gesetzliche Verpflichtung) zur Aufnahme von Privacy by Design in künftige oder aktualisierte Datenschutzgesetze in der EU auslöste. Daraus entstand Artikel 25 der Datenschutz-Grundverordnung.

„Privacy by Design“ soll proaktiv und präventiv wirken und nicht dazu dienen, rückwirkend gesetzliche Verpflichtungen zu erfüllen, Risiken zu begrenzen oder Verstöße zu beheben. Ein Google/Ipsos-Bericht aus dem Jahr 2022 hat gezeigt, dass die negativen Auswirkungen eines schlechten Erlebnisses bezüglich Datenschutz fast so schwerwiegend sind wie die einer Datenschutzverletzung. Das Regelwerk stellt sicher, dass Risiken in Bezug auf den Schutz der Privatsphäre von Anfang an erkannt und minimiert werden, lange bevor sie überhaupt eintreten können, und dass bei betrieblichen Entscheidungen der Schutz personenbezogener Daten im Vordergrund steht.

Die Sorge der Verbraucher über die Erfassung und Verwendung persönlicher Daten wächst, und die Durchsetzung der Datenschutzgesetze durch die Datenschutzbehörden nimmt zu. „Privacy by Design“ bietet Unternehmen einen nützlichen Handlungsrahmen, um die Einhaltung der Datenschutzvorschriften zu erreichen und aufrechtzuerhalten, das Vertrauen der Nutzer zu stärken und den wichtigen Datenfluss zur Umsatzsteigerung aufrechtzuerhalten.

Was bedeutet „Privacy by Design“?

Privacy by Design ist keine Anleitung für Unternehmen, wie sie die Privatsphäre aller Stakeholder schützen können. Dahinter befindet sich vor allem eine Philosophie oder ein Leitfaden, wie das Ziel, persönliche Daten zu schützen, am Besten umgesetzt werden kann. 

Wenn sich ein Team im Unternehmen trifft, um ein neues Projekt zu starten, sollten sie sich immer auch fragen: „Wie sieht es denn hier mit dem Schutz der Daten aus?“.  Im Normalfall stehen hier Nützlichkeit, Margen und Personalmanagement im Vordergrund. Privacy by Design sieht aber vor, dass neben diesen „klassischen” Absprachepunkten  auch immer der Datenschutz berücksichtigt wird. Besonders bei der Technikgestaltung sollte das Thema aber zur Sprache kommen.

Privacy by Design geht aber noch über die Planung hinaus. Die Idee ist, die Fragen nach dem Datenschutz an jeder Stelle eines Projektes zu stellen. Bei der Planung, beim Entwurf, bei der Umsetzung und bei der Analyse der Maßnahmen. Auf diese Weise gibt man dem Datenschutz die größtmögliche Chance, erfolgreich zu sein. 

Privacy by Design ist deswegen keine klassische Anleitung, weil an dessen Ende keine Garantie steht. Das bedeutet im Prinzip: Durch die Handlungsdirektive sollte immer an Datenschutz gedacht werden, aber dadurch garantiert man nicht die erfolgreiche Umsetzung. Es geht lediglich darum, den Datenschutz miteinzubeziehen. 

Damit Datenschutz wirksam betrieben werden kann, muss es auch ein Konzept zur Umsetzung und Kontrolle geben. Dieses kann aber den Debatten über den Datenschutz entsprungen sein. 

Wie wird „Privacy by Design“ umgesetzt?

Bei manchen Prozessen scheint Privacy by Design einfach umsetzbar. Besonders bei Themen, in denen es in jedem Fall um Nutzerdaten geht, steht deren Schutz häufig im Vordergrund. Trotzdem bleibt Privacy by Design häufig ein zu theoretisches Konzept, weil der praktische Leitfaden fehlt.

Möchte ein Unternehmen beispielsweise Benutzerprofile in seinen Onlineshop integrieren, ist es schwierig, die richtigen Fragen zu finden:

1. Welche Daten darf ich von meinen Nutzern für die Anmeldung einholen?
2. Wer muss überhaupt geschützt werden?
3. Welche Erfahrung ist mit dem Datenschutz für Nutzer möglich?
4. Wie kann ich den Nutzen der Profile maximieren und gleichzeitig meine Nutzer schützen?

Wichtig ist, dass die Fragen gestellt werden. Von der Integration in die Webseite über die Consent Management Anpassungen und auch die Datenschutzerklärung. Die Integration von Privacy by Design muss in alle Tätigkeiten des Unternehmens integriert werden. 

Weil dieser Prozess aber so theoretisch ist,  gibt es einige konkrete Hilfen, die bei der Umsetzung von Privacy by Design hilfreich sind. 

Wie lauten die 7 Grundprinzipien von „Privacy by Design“?

„Privacy by Design“ – Grundprinzip 1: Proaktiv statt reaktiv; präventiv statt behebend

Erkennen und verhindern Sie Datenschutzverletzungen, bevor sie eintreten. Warten Sie nicht, bis Datenschutzrisiken auftreten. Bieten Sie keine Abhilfemaßnahmen zur Behebung von Datenschutzverletzungen an, wenn diese bereits eingetreten sind. Verhindern Sie, dass sie passieren.

„Privacy by Design“ – Grundprinzip 2: Datenschutz als Standard

Sorgen Sie für ein Höchstmaß an Datenschutz, indem Sie sicherstellen, dass personenbezogene Daten in jedem IT-System und jeder Geschäftspraxis automatisch geschützt sind. Die Privatsphäre des Einzelnen ist auch dann geschützt, wenn er selbst nichts zum Schutz seiner Daten unternimmt. Der Schutz ist standardmäßig in das System integriert.

„Privacy by Design“ – Grundprinzip 3: In das Design eingebetteter Datenschutz

Integrieren Sie den Datenschutz in die Konzeption und Architektur von IT-Systemen und Geschäftspraktiken. Implementieren Sie den Datenschutz nicht nachträglich. Machen Sie den Datenschutz zu einem wesentlichen Bestandteil der bereitgestellten Kernfunktionalität und integrieren Sie ihn in das System, ohne die Funktionalität zu beeinträchtigen.

„Privacy by Design“ – Grundprinzip 4: Volle Funktionalität – positives Ergebnis, kein Nullsummenspiel

Berücksichtigen Sie alle legitimen Interessen und Ziele nach dem Prinzip der „Win-Win-Situation“. Vermeiden Sie unnötige Kompromisse aufgrund veralteter Glaubenssätze oder Praktiken. Vermeiden Sie trügerische Gegensatzpaare wie Datenschutz oder Sicherheit und zeigen Sie, dass beides möglich und wünschenswert ist.

„Privacy by Design“ – Grundprinzip 5: End-to-End-Sicherheit — Schutz über den gesamten Lebenszyklus

Integrieren Sie den Datenschutz frühzeitig, bevor die Daten erhoben werden, und gewährleisten Sie ihn während des gesamten Lebenszyklus der Daten auf sichere Weise. Solide Sicherheitsmaßnahmen sind von Beginn an wichtig für den Datenschutz. Gewährleisten Sie, dass alle Daten nur so lange aufbewahrt werden, wie sie benötigt werden, und dass die Daten nach Abschluss des Prozesses sicher und rechtzeitig vernichtet werden. Sicheres End-to-End-Lebenszyklus-Management von Daten.

„Privacy by Design“ – Grundprinzip 6: Sichtbarkeit und Transparenz – Offenheit

Alle Beteiligten müssen sich darauf verlassen können, dass sämtliche Geschäftspraktiken und Technologien gemäß den gegebenen Zusagen und Zielen angewandt und von unabhängiger Seite überprüft werden. Die Elemente und Vorgänge sind für Nutzer und Anbieter gleichermaßen sichtbar und transparent.

„Privacy by Design“ – Grundprinzip 7: Wahrung der Privatsphäre der Nutzer – Der Nutzer muss im Mittelpunkt stehen

Software-Architekten und Website-Betreiber sind verpflichtet, die Interessen des Einzelnen in den Vordergrund zu stellen, indem sie strenge Datenschutzvorgaben, angemessene Hinweise und benutzerfreundliche Optionen anbieten. Der Nutzer muss im Mittelpunkt stehen.

Was bedeutet „Privacy by Default“ (Datenschutz als Voreinstellung)?

„Privacy by Default“ ist ebenfalls ein Grundsatz des „Privacy by Design“. Er besagt, dass Datenschutz die Standardeinstellung für Systeme und Prozesse sein soll. In der Vergangenheit gab es zuweilen, insbesondere was das Internet betrifft, die Einstellung, so viele Daten wie möglich aus so vielen Quellen wie möglich zu sammeln, auch wenn sie nicht unmittelbar oder ausdrücklich benötigt werden oder der Einzelne nie seine Einwilligung dazu gegeben hat. Die Unternehmen finden dann irgendwann heraus, wie sie damit Geld verdienen können. „Privacy by Default“ ist das Gegenteil dieses Vorgehens.

Grundlegend für „Privacy by Default“ ist, dass die Verantwortung für die Gewährleistung der Privatsphäre oder den Schutz personenbezogener Daten nicht beim Einzelnen liegen sollte. Die Nutzer sollten keine Maßnahmen ergreifen müssen, um ihre Privatsphäre zu schützen oder selbst für einen guten Schutz zu sorgen, da die Standardeinstellungen bereits ein hohes Maß an Datenschutz bieten müssen.

Dies steht auch in engem Zusammenhang mit der Nutzererfahrung, insbesondere mit dem Vertrauensgewinn. Einzelne sollen zwar nicht aktiv zum Schutz ihrer Privatsphäre beitragen müssen, aber sie müssen deutlich auf die Einstellungen und Funktionen zum Schutz ihrer Privatsphäre hingewiesen werden.

Die DSGVO und „Privacy by Design“

Die Anforderungen der DSGVO sind sehr umfangreich, und der Datenschutz muss in allen Aspekten der Prozess-, Produkt- und Dienstleistungsgestaltung, in denen personenbezogene Daten verarbeitet werden, berücksichtigt und integriert werden. 

Jedes Unternehmen ist selbst für seinen eigenen Datenschutz verantwortlich. Diese Verantwortung beinhaltet auch ein angemessenes Risikomanagement und Datenschutz in allen Bereichen. Zu diesem Prozess gehört auch Privacy by Design. Das Konzept ist folglich für die DSGVO wichtig, weil es zur Einhaltung des Gesetzes beiträgt.

Warum ist „Privacy by Design” für die DSGVO wichtig?

Artikel 25 der DSGVO behandelt die Thematik „Privacy by Design und Privacy by Default” gesondert. Der Artikel beinhaltet 3 Paragraphen, die ausführen, was Privacy by Design für die DSGVO bedeutet. Hier kommen keine Erkenntnisse zu Tage, die nicht auch in diesem Text erwähnt werden. Das bedeutet aber nicht, dass die DSGVO das Konzept nur aus Pflichtbewusstsein einbindet.

Privacy by Design ist für die DSGVO ein zentrales Konzept. Es geht dem Gesetzgeber darum, klarzumachen, dass es sich bei Privacy by Design nicht um eine vernachlässigbare Arbeit handelt, die als Empfehlung gilt. Indem die direkte Vorgabe darin liegt, in jedem Unternehmensprozess nach Datenschutz zu suchen, geht auch jeder einen potenziellen Bruch mit der DSGVO ein, der sich nicht daran hält. 

Die Verantwortung liegt bei den für die Datenverarbeitung Verantwortlichen und verpflichtet sie zu einem angemessenen Risikomanagement und Datenschutz in allen Bereichen, angefangen bei der Entwicklung bis hin zum täglichen Betrieb. Wie bereits erwähnt, widmet sich Artikel 25 der DSGVO speziell dem Thema „Privacy by Design und Privacy by Default“.

US-Datenschutzgesetze und „Privacy by Design“

Das kalifornische Verbraucherschutzgesetz (California Consumer Privacy Act, CCPA) und weitere Gesetze verpflichten Unternehmen zur Umsetzung angemessener Sicherheitsmaßnahmen zum Schutz personenbezogener Daten und zur Berücksichtigung von Datenschutzrisiken bei der Entwicklung und Einführung neuer Produkte und Dienstleistungen. Auch branchenspezifische Bundesgesetze befassen sich mit dem Datenschutz und der Datensicherheit, wie dem Gramm-Leach-Bliley Act der Federal Trade Commission, das für Finanzinstitute gilt.

In den USA gibt es kein umfassendes Bundesgesetz zum Datenschutz, das branchenübergreifend „Privacy by Design“ vorschreibt, weshalb die Auslegung und Umsetzung von „Privacy by Design“ in absehbarer Zeit wahrscheinlich sehr unterschiedlich ausfallen wird. Angesichts der zunehmenden Kontrolle und Durchsetzung durch die Datenschutzbehörden könnte dies jedoch zu verstärkten Anstrengungen und einer Standardisierung führen.

Wie kann „Privacy by Design“ auf Websites und Apps umgesetzt werden?

Es gibt eine Reihe von Empfehlungen zur Umsetzung von „Privacy by Design“ für Unternehmen, die personenbezogene Daten über Websites oder Apps erheben und verarbeiten. Auch hier gibt es Parallelen zu Artikel 5 der DSGVO, der sich mit den „Grundsätzen für die Verarbeitung personenbezogener Daten“ befasst. Diese Voreinstellungen sollten bei jedem Unternehmensprozess berücksichtigt werden.

Datenminimierung

Erfassen Sie nur die personenbezogenen Daten, die für den/die jeweiligen Zweck(e) erforderlich sind. Auf diese Weise lassen sich das Risiko und der potenzielle Schaden durch unbefugten Zugriff im Falle eines Verstoßes mindern. Außerdem wird das Vertrauen der Nutzer gestärkt, wenn ein Unternehmen nur die notwendigen Daten erhebt, um die gewünschten Erfahrungen, Produkte oder Dienstleistungen bereitzustellen.

Transparenz

Stellen Sie verständliche und leicht zugängliche Informationen über die Art der erfassten personenbezogenen Daten, die Gründe für die Erfassung und die Personen, die Zugang zu den Daten haben, bereit. Einige Datenschutzgesetze verlangen zwar keine Einwilligung vor der Erfassung personenbezogener Daten, aber die meisten dieser Vorschriften erfordern, dass die Nutzer zumindest mittels einer Datenschutzrichtlinie oder eines Hinweises über diese Informationen informiert werden. Zudem muss sichergestellt werden, dass sie stets auf dem neuesten Stand ist, und zwar nicht nur, wenn sich Vorschriften ändern, sondern auch, wenn sich die von der Website oder App verwendeten Technologien ändern (z. B. für das Tracking). Diese Funktionen sollten automatisiert werden, z. B. mit Hilfe eines Consent Management-Systems.

Sicherheit

Setzen Sie geeignete technische und organisatorische Maßnahmen ein, um personenbezogene Daten vor unbefugtem Zugriff, Diebstahl, Veränderung oder Zerstörung zu schützen. Es ist sicherer, Verstößen vorzubeugen, als sich mit deren Folgen auseinanderzusetzen. Die Rettung der Finanzen und des Rufs des Unternehmens ist immer eine Herausforderung.

Benutzersteuerung

Ermöglichen Sie es den Nutzern, die Erfassung und Verwendung ihrer personenbezogenen Daten zu kontrollieren. Dazu gehören z. B. die Möglichkeit, der Datenerhebung oder dem Datenverkauf zu widersprechen, und/oder die Möglichkeit, Berichtigungen oder Löschungen vornehmen zu lassen. Viele Datenschutzgesetze enthalten spezifische Anforderungen in Bezug auf diese Funktionen und weisen sie als Verbraucherrechte aus. Es ist jedoch empfehlenswert, mehr als nur die grundlegenden gesetzlichen Bestimmungen zu erfüllen und den Nutzern die Kontrolle zu überlassen. Dies fördert auch das Vertrauen und die Bereitschaft, langfristig mehr Daten zur Verfügung zu stellen. Achten Sie darauf, dass alle Optionen gleichermaßen dargestellt werden, um unübersichtliche Strukturen oder andere manipulative Praktiken zu vermeiden.

Privacy by Default als Voreinstellung

Sorgen Sie dafür, dass der Datenschutz in das Design und die Standardeinstellungen von Produkten und Diensten integriert wird. So sollten beispielsweise Technologien zur Verbesserung des Datenschutzes wie Verschlüsselung und Pseudonymisierung standardmäßig verwendet werden. Darüber hinaus ist es immer empfehlenswert, dass sich Unternehmen von qualifizierten Rechtsberatern unterstützen lassen, damit sie sich über ihre laufenden Verpflichtungen im Rahmen der einschlägigen Datenschutzgesetze in den Regionen, in denen sie tätig sind, im Klaren sind und wissen, wie sie diese während der gesamten Nutzungsdauer und Datenverarbeitung erfüllen können.

Beziehungen zu Dritten

Prüfen Sie die Datenschutzmaßnahmen von Drittanbietern, z. B. von Analyse- und Werbeunternehmen, und stellen Sie sicher, dass geeignete Verträge und Vereinbarungen zum Schutz personenbezogener Daten bestehen. Gemäß den meisten Datenschutzgesetzen ist bei einer Datenschutzverletzung der für die Datenverarbeitung Verantwortliche rechtlich für den Datenschutz verantwortlich und haftbar, und nicht der Auftragsverarbeiter (z. B. der Werbepartner).

Regelmäßige Überprüfung

Überprüfen und bewerten Sie regelmäßig die aktuelle Rechtslage der einschlägigen Gesetze sowie die Auswirkungen von Produkten, Dienstleistungen und Prozessen auf den Datenschutz, um sicherzustellen, dass „Privacy by Design“ auch weiterhin ein wichtiges Thema bleibt.

Einige Gesetze und gängige Verfahren schreiben eine regelmäßige Überprüfung der Datenschutzpraktiken und Benachrichtigungen vor, z. B. alle sechs oder 12 Monate. Bei der Verwendung einer Consent Management Platform ermöglichen die Auswertungen zudem eine regelmäßige Analyse der Nutzerinteraktionen, um die Nachrichtenübermittlung und sonstige Aspekte der Nutzererfahrung zu optimieren und sicherzustellen, dass die Nutzer ausreichend aufgeklärt werden, der Datenschutz gewahrt bleibt und die Einwilligungsraten optimiert werden.

Welche technischen Maßnahmen können für Privacy by Design wirksam sein?

Technisch ist es besonders wichtig, dass Webseiten und Apps umfassend mit den vorher genannten Maßnahmen kontrolliert und entwickelt werden. Gerade der Online Bereich ist anfällig für Datenschutzprobleme. Das liegt zentral daran, dass hier am häufigsten Daten gesammelt werden, die unter die DSGVO fallen. 

Analytics Tools wie Google Analytics 4, Adobe Analytics, Matomo oder andere Business Intelligence Software verarbeiten auf sehr vielen Webseiten unerlaubt Daten, da bei der Integration nicht oft genug auf Privacy by Design geachtet wird. 

Alle technischen Teams, von der Webentwicklung bis hin zur Marketingabteilung, müssen gemeinsam nach Lösungen suchen, um den Datenschutz zu maximieren. 

Ein zentraler Weg ist die Integration eines Tools wie einer Consent Management Platform, die bei richtiger Einpflege automatisch zu einer Optimierung beim Datenschutz führt. 

Welche organisatorischen Maßnahmen können für Privacy by Design wirksam sein?

Organisatorisch ist es besonders wichtig, dass alle an einem Strang ziehen. Es empfiehlt sich, eine Top-Down-Strategie zu implementieren, indem alle Führungsverantwortlichen immer wieder die Frage stellen: „Und wie sieht es mit dem Datenschutz aus?”.

Es reicht aber nicht, dass sich nur Führungsverantwortliche mit der Thematik auseinandersetzen. Alle Mitarbeiter können durch Schulungen oder Sensibilisierung darauf aufmerksam gemacht werden, dass der Datenschutz auch in ihrer Abteilung einen besonders hohen Stellenwert hat. Es muss klar sein, dass der Datenschutz zum einen zu einem besseren Vertrauensverhältnis beim Kundenkontakt sorgt und zum Anderen, dass der Datenschutz zum Risikomanagement gehört. 

Die DSGVO zeigt, dass der Datenschutz ein zentrales Element der Entscheidungsfindung sein muss. Wer das nicht in seine unternehmerische Tätigkeit einbaut, muss mit Problemen rechnen.

„Privacy by Design“ und Marketing

„Privacy by Design“ kann einen erheblichen Einfluss auf die Marketingaktivitäten haben. Die Datenstrategie für das Marketing ist bereits im Wandel und entfernt sich von der Verwendung von Third-Party-Daten und der weniger kontrollierten Verwendung von erfassten personenbezogenen Daten. „Privacy by Design“ spielt auch bei zunehmend beliebter werdenden Marketingfunktionen eine wichtige Rolle, wie z. B. bei dem Preference Management und dem Server-Side-Tagging, bei dem die Einwilligung des Nutzers eine Schlüsselfunktion während des gesamten Datenlebenszyklus darstellt.

Marketingexperten sind am Aufbau hervorragender Geschäftsbeziehungen mit ihren Kunden interessiert, und die Einbeziehung des Datenschutzes in ihre Strategien und Geschäftsbeziehungen ist ein solider Weg, dieses Ziel zu erreichen und gleichzeitig geschäftsrelevante Daten für die Durchführung dieser Aktivitäten zu erhalten. Ein Google/Ipsos-Bericht aus dem Jahr 2022 deckte auf, dass eine positive Datenschutzerfahrung für die Nutzer die Markenpräferenz um 43 % erhöht.

Wie schützt „Privacy by Design“ die Daten und die Privatsphäre der Nutzer?

Der Grundgedanke von „Privacy by Design“ ist der Schutz der Daten und der Privatsphäre der Nutzer und die Überzeugung, dass sowohl Privatsphäre als auch Sicherheit möglich und wünschenswert sind. Dies gilt für alle Projekte von der Entwicklung bis zur Wartungsphase als Voreinstellung.

„Privacy by Design“ antizipiert negative Ereignisse im Bereich des Datenschutzes, bevor sie eintreten, und sorgt dafür, dass personenbezogene Daten automatisch geschützt werden. Die Verantwortung für den Schutz der Privatsphäre wird nicht auf die Nutzer abgewälzt, wodurch Risiken durch Unwissenheit, Gleichgültigkeit oder Fehler begrenzt werden. Die Nutzer werden jedoch in allen Phasen über den Datenschutz und die Datennutzung informiert, da Transparenz ein zentraler Wert ist.

Die Verantwortung und Haftung liegt bei dem Unternehmen, das auf personenbezogene Daten zugreift, wobei es auch die Verantwortung für alle anderen Unternehmen übernimmt, die auf die Daten zugreifen, da dieses Unternehmen, sollte etwas schief gehen, für den Vertrauensverlust und die Beschädigung des Markenrufs sowie für Geldbußen und sonstige Strafen verantwortlich ist, selbst wenn das Problem nicht direkt von ihm verursacht wurde.

Daten und Privatsphäre sind geschützt, ohne dass die Nutzer aktiv werden müssen, denn der Schutz ist in alle Systeme integriert und wird während des gesamten Lebenszyklus der Daten und der Verarbeitung berücksichtigt, so dass es keine Schwachstellen gibt, an denen Datenschutzmaßnahmen nachträglich angebracht werden.

Privacy by Design und Consent Management

Mithilfe eines Consent Management Systems lässt sich „Privacy by Design“ bereits bei der Erhebung personenbezogener Daten intelligent umsetzen. Eine Consent Management Platform (CMP) informiert die Nutzer z. B. darüber, welche Daten zu welchem Zweck erhoben werden. Wo dies gesetzlich vorgeschrieben ist oder bewährte Verfahren angewandt werden, werden auch die Einwilligungen der Nutzer sicher aufgezeichnet und gespeichert. Dies erleichtert nicht nur die Einhaltung der Datenschutzvorschriften, sondern auch die Durchführung eines Audits für das Unternehmen, falls dies von einer Datenschutzbehörde angeordnet wird, und ermöglicht es den Nutzern, ihre Einwilligung in Zukunft zu aktualisieren.

Das Consent Management erleichtert auch „Privacy by Design“, da kontrolliert werden kann, welche Partner, Dienstleistungen und Tools Zugriff auf die erhobenen Nutzerdaten haben. Wird gegenüber Daten, Präferenzen und der Einwilligung der Nutzer Respekt gezeigt, kann dies die personalisierte Kommunikation und das Nutzererlebnis verbessern. Dies schafft Vertrauen, erhöht die Einbindung der Nutzer und hilft beim Aufbau langfristiger Geschäftsbeziehungen.

Fazit

In einer perfekten Welt wäre „Privacy by Design“ bereits bei der Gründung aller Unternehmen ein fester Bestandteil, und zwar noch vor der Entwicklung der Mindestanforderungen an das Produkt. Es wäre die erste und beständige Komponente bei der Entwicklung, Herstellung, Implementierung und Wartung von Produkten und Dienstleistungen. Die Nutzer müssten nicht mehr selbst eine Due-Diligence-Prüfung von Unternehmen durchführen, bei denen sie einkaufen oder mit denen sie anderweitig interagieren möchten. Sie müssten sich nicht mehr durch unübersichtliche Untermenüs wühlen, um ihre Sicherheits- und Datenschutzeinstellungen auf Websites und in Apps zu finden und zu bearbeiten.

Privatsphäre – und vor allem „Datenschutz durch Technikgestaltung“ – muss in der Realität allerdings nicht im Widerspruch zum Aufbau und Wachstum eines Unternehmens stehen. Je früher man sich damit befasst, desto leichter lässt sich der Schutz von Unternehmens- und Nutzerdaten gewährleisten.

Unternehmen sind nicht die einzigen Betroffenen, wenn es darum geht herauszufinden, wie sie „Privacy by Design“ in ihrer Philosophie, ihrer Kommunikation und ihren Abläufen verankern können. Tools wie Consent Management Platforms gibt es genau zu diesem Zweck. Bei der Entwicklung dieser Tools wurde berücksichtigt, dass Unternehmen Daten benötigen und dass sie anspruchsvolle Marketingaktivitäten durchführen müssen. Tools wie Consent Management Platforms ermöglichen und optimieren dies und bieten gleichzeitig ein angenehmes Nutzererlebnis. „Privacy by Design“ trägt dazu bei, dass sich sowohl Kunden als auch Unternehmen keine Sorgen machen müssen.

Erfahren Sie mehr darüber, wie die Consent Management Platform (CMP) von Usercentrics Sie bei der Integration von „Privacy by Design“ in Ihre Website oder App unterstützen kann. Sprechen Sie mit einem unserer Experten.

Da die Datenschutzgesetze weltweit verschärft werden, müssen sich Unternehmen an immer komplexere Datenschutzvorschriften anpassen. Third-Party-Cookies werden zwar noch nicht vollständig abgeschafft, sind aber aufgrund dieser Einschränkungen immer weniger effektiv. Selbst mit erstklassigen Consent Management Platforms (CMP) wie der Usercentrics CMP ist es schwierig, die Einwilligung der Nutzer zu erhalten, was die Kosten pro Lead für Marketingkampagnen in die Höhe treibt. Auch das Retargeting, das von Google jetzt als Re-Engagement bezeichnet wird, ist komplexer geworden.

Um diesen Herausforderungen zu begegnen, ermutigen Branchenführer wie Google Unternehmen, auf ihre eigenen Daten zu setzen. Das bedeutet, dass Unternehmen damit beginnen sollten, Zero- und First-Party-Daten zu sammeln.

Zero-Party-Daten, die oft als „Heiliger Gral” des Marketings gepriesen werden, sind Informationen, die Kunden absichtlich und proaktiv mit einer Marke teilen. Dazu gehören Daten, die durch Quizze, Umfragen, Präferenz-Zentren und Opt-in-Formulare bereitgestellt werden. Da die Nutzer ihre Präferenzen ausdrücklich angeben, sind Zero-Party-Daten äußerst zuverlässig für die Entwicklung personalisierter Marketingstrategien.

First-Party-Daten, auch bekannt als Kunden- oder proprietäre Daten, werden direkt von Ihrer Zielgruppe über Ihre eigenen Kanäle gesammelt. Diese Daten umfassen Informationen aus Website-Analysen, CRM-Systemen, Kaufhistorie und Kundenfeedback. First-Party-Daten sind von unschätzbarem Wert, wenn es darum geht, das Verhalten und die Präferenzen der Nutzer zu verstehen, und bieten eine solide Grundlage für gezielte Marketingmaßnahmen. In der Branche werden Zero- und First-Party-Daten häufig gemeinsam als First-Party-Daten bezeichnet.

Sowohl Zero- als auch First-Party-Daten sind unverzichtbar, da sie die Einhaltung der Datenschutzvorschriften gewährleisten und dazu beitragen, Vertrauen bei den Kunden aufzubauen, indem sie deren Privatsphäre und Präferenzen respektieren. Es geht nicht nur um die Einhaltung der Datenschutzvorschriften, sondern auch darum, sicherzustellen, dass Ihre Marketingmaßnahmen in einer datenschutzbewussteren Welt wirksam und relevant bleiben.

Angesichts strengerer Datenschutzgesetze wie der DSGVO in Europa und dem Digital Markets Act (DMA) sowie verschiedenen Datenschutzgesetze in den USA müssen Unternehmen mit Nutzerdaten sorgfältiger und präziser umgehen. Tools wie Customer Match von Google und Audience Ad Targeting von Facebook erfordern nun eine ausdrückliche Einwilligung, die in dem Moment eingeholt werden muss, in dem die Nutzer ihre Daten bereitstellen, und die programmatisch über eine API an verschiedene Tools weitergegeben werden muss. Wird das Einwilligungssignal nicht ordnungsgemäß weitergegeben, kann dies zu Datenschutzverstößen und zu erheblichen Marketing-Ineffizienzen führen.

Die Integration von Marketing-Automatisierungstools mit Preference Management Platforms (PMPs) ist nicht mehr nur optional, sondern unerlässlich.

Eine effektive Integration stellt sicher, dass die Präferenzen der Nutzer über verschiedene Plattformen hinweg genau erfasst und verwaltet werden, was die Erstellung zielgerichteter und datenschutzkonformer Marketingkampagnen erleichtert. Durch die Optimierung der Erfassung und Verwendung von Zero- und First-Party-Daten können Unternehmen hochgradig personalisierte Kampagnen erstellen, die bei ihrer Zielgruppe Anklang finden und gleichzeitig die Datenschutzvorschriften einhalten. Dies erhöht nicht nur die Kundenbindung, sondern hilft auch, potenzielle rechtliche Probleme zu vermeiden.

Der Usercentrics Preference Manager ist äußerst wichtig in diesem Integrationsprozess. Er vereinfacht die Synchronisierung von Nutzerpräferenzen über verschiedene Kanäle und Marketing-Tools hinweg und stellt sicher, dass Ihre Daten immer korrekt und aktuell sind. Diese nahtlose Integration ist entscheidend für die Einhaltung der Datenschutzvorschriften und die Bereitstellung personalisierter Erlebnisse, die das Vertrauen Ihrer Zielgruppe stärken. Mit der Usercentrics PMP wird die Verwaltung von Nutzerpräferenzen und die Einhaltung der Datenschutzvorschriften einfacher, sodass Sie sich auf das konzentrieren können, was Sie am besten können: die Entwicklung wirkungsvoller Marketingstrategien.

In diesem Leitfaden erklären wir Ihnen die Vorteile, die Sie erhalten, wenn Sie den Usercentrics Preference Manager in Ihren Martech-Stack integrieren. Zudem geben wir Ihnen ein Beispiel für die Einrichtung der Mailchimp-Integration über Zapier.

Vorteile der Integration Ihrer Martech-Tools mit dem Usercentrics Preference Manager

• Flexibles und anpassbares User Interface

Der Usercentrics Preference Manager bietet ein dynamisches und anpassungsfähiges Interface, das es den Endnutzern ermöglicht, ihre Kommunikationspräferenzen mühelos über mehrere Touchpoints hinweg zu verwalten, einschließlich Websites, Onboarding-Prozesse und mobile Apps. Diese Flexibilität geht weit über das hinaus, was üblicherweise zur Verfügung steht, und sorgt für eine maßgeschneiderte und ansprechende Erfahrung für die Nutzer. Durch die Integration mit dem Preference Manager von Mailchimp verbessert Usercentrics die Gesamtfunktionalität und bietet ein intuitives und anpassbares Interface, das sich nahtlos an Ihre Marke und Ihre Ziele bezüglich der Nutzererfahrung anpasst.

• Mehr Datenschutz

Der Datenschutz steht im Mittelpunkt des Usercentrics Preference Managers. Die Plattform fügt eine weitere Ebene des Datenschutzes hinzu, indem sie ein umfassendes Protokoll aller Änderungen der Nutzerpräferenzen führt und so eine lückenlose Nachvollziehbarkeit gewährleistet. Diese Funktion ist unerlässlich für Unternehmen, die strenge Datenschutzgesetze wie die DSGVO und den CCPA einhalten wollen. Darüber hinaus ermöglicht Usercentrics Unternehmen die Festlegung von Aufbewahrungsfristen für gültige Nutzerpräferenzen, wodurch die Einhaltung der Datenschutzvorschriften verbessert und das Vertrauen der Nutzer in den Umgang mit ihren Daten gestärkt wird.

• Nahtlose Integration für gezielte, nutzergesteuerte E-Mail-Kampagnen

Die Integration zwischen dem Usercentrics Preference Manager und Mailchimp ist so konzipiert, dass sie ganz nahtlos funktioniert und Unternehmen dabei unterstützt, hochgradig gezielte und personalisierte E-Mail-Kampagnen durchzuführen. Diese Integration stellt sicher, dass alle Marketingmaßnahmen vollständig vom Endnutzer kontrolliert werden, was das Vertrauen und die Transparenz fördert. Die Nutzer können ihre Präferenzen einfach aktualisieren, und die Unternehmen können diese Änderungen automatisch in ihre E-Mail-Marketingstrategien einfließen lassen, was zu einer relevanteren und ansprechenderen Kommunikation führt.

• Optimierter Arbeitsablauf

Die Integration des Usercentrics Preference Manager mit Mailchimp verbessert nicht nur die Funktionalität, sondern optimiert auch die Arbeitsabläufe. Durch diese Integration entfällt die Notwendigkeit der manuellen Dateneingabe und das Fehlerrisiko wird erheblich reduziert. Marketing-Teams können sich auf genaue, aktuelle Daten zu den Nutzerpräferenzen verlassen und sich so auf die Ausarbeitung wirkungsvoller Inhalte und Strategien konzentrieren. Durch die Automatisierung der Synchronisierung von Nutzerpräferenzen können Unternehmen sicherstellen, dass ihre Marketingkampagnen sowohl effektiv als auch datenschutzkonform sind, was letztlich zu einer besseren Kundenbindung und -zufriedenheit führt.

Warum der Usercentrics Preference Manager?

Was unterscheidet den Usercentrics Preference Manager von anderen Preference Management-Lösungen? Im Folgenden finden Sie einige der Kernfunktionen, die den Preference Manager zur idealen Wahl für Unternehmen machen, die ein umfassendes Preference Management anstreben, mit dem sie maßgeschneiderte und ansprechende Erlebnisse für ihre Zielgruppe schaffen können.

Granulare Erfassung von Präferenzen

Der Usercentrics Preference Manager zeichnet sich durch die Erfassung von Nutzerpräferenzen mit einem hohen Detailgrad aus. So erhalten Sie tiefe Einblicke in die Interessen Ihrer Nutzer, ihre bevorzugten Inhalte und die Art und Weise, wie sie mit Ihnen kommunizieren möchten. Diese Granularität stellt sicher, dass Sie auf die individuellen Bedürfnisse jedes einzelnen Nutzers eingehen können, um die Nutzererfahrung und die Nutzerinteraktion zu verbessern.

Anpassbare Widgets

Die Plattform bietet anpassbare Widgets, die Sie an das Erscheinungsbild Ihrer Marke anpassen können. Diese Flexibilität stellt sicher, dass der Prozess der Präferenzerfassung nicht nur effizient ist, sondern sich auch nahtlos in Ihre User Journey einfügt und die Identität Ihrer Marke und Ihr Engagement für nutzerzentriertes Design widerspiegelt.

Robuste Datensicherheitsmaßnahmen

In der heutigen digitalen Landschaft ist die Datensicherheit von größter Bedeutung. Der Usercentrics Preference Manager räumt diesem Aspekt durch die Implementierung strenger Sicherheitsmaßnahmen Priorität ein. Diese Maßnahmen schützen die Präferenzdaten der Nutzer, fördern das Vertrauen und gewährleisten die Einhaltung der weltweiten Datenschutzgesetze. Indem Sie diese Daten schützen, verstärken Sie Ihr Engagement für den Schutz der Privatsphäre der Nutzer und bauen stärkere, vertrauensvolle Beziehungen zu Ihren Kunden auf.

Integration mit gängigen Plattformen

Der Usercentrics Preference Manager ist so konzipiert, dass er sich reibungslos in eine Vielzahl gängiger Plattformen integrieren lässt, was ihn zu einer vielseitigen Ergänzung Ihres bestehenden Tech-Stacks macht. Ganz gleich, ob Sie Marketing-Automatisierungstools, CRM-Systeme oder andere digitale Marketing-Lösungen verwenden, Usercentrics kann sich an Ihre Bedürfnisse anpassen. Diese Fähigkeit stellt sicher, dass Sie die Nutzerpräferenzen über verschiedene Tools hinweg effektiv verwalten können, und verbessert so Ihre Fähigkeit, personalisierte und relevante Marketinginhalte zu liefern.

So ist beispielsweise die Integration von Mailchimp über Zapier mit Usercentrics ganz einfach. Dieses Beispiel unterstreicht die Leichtigkeit, mit der Sie Nutzerpräferenzen übertragen und personalisiertes Marketing nutzen können. Durch die Integration dieser Plattformen optimieren Sie die Abläufe und stellen sicher, dass die Nutzerdaten in all Ihren Marketingbemühungen korrekt wiedergegeben werden, wodurch Ihre Kampagnen effektiver werden und den Datenschutzstandards entsprechen.

Integration des Usercentrics Preference Manager mit Mailchimp über Zapier

Die Integration des Usercentrics Preference Manager mit Mailchimp über Zapier vereinfacht die Verwaltung und Nutzung von Nutzerpräferenzen. Befolgen Sie diese Schritte, um eine reibungslose Integration zu gewährleisten:

Schritt 1: Nutzen Sie die Webhook-Funktionalität des Usercentrics Preference Manager

Der Usercentrics Preference Manager bietet Webhooks, eine Funktion, die einen nahtlosen Datentransfer zwischen verschiedenen Plattformen ermöglicht. Stellen Sie sich Webhooks als eine Möglichkeit vor, Informationen über Nutzerpräferenzen ganz einfach an andere Systeme zu senden.

Schritt 2: Erfassen Sie Webhook-Daten mit Zapier

Richten Sie Zapier ein, um die vom Usercentrics Preference Manager gesendeten Daten zu erfassen. Zapier fungiert als Vermittler, der neue Daten überwacht und sicherstellt, dass sie effizient verarbeitet werden. Dieser Schritt hilft Ihnen, die Daten effektiv zu erfassen und zu verwalten.

Schritt 3: Aktualisieren Sie Mailchimp mit verarbeiteten Daten

Verwenden Sie die verarbeiteten Daten von Zapier, um Informationen in Ihren Mailchimp-Mailinglisten zu aktualisieren oder hinzuzufügen. Dieser Schritt stellt sicher, dass Ihre E-Mail-Kampagnen die neuesten Nutzerpräferenzen widerspiegeln, sodass Sie Ihre Kommunikation effektiver gestalten können.

Über die letzten 10 Jahre ist die Nachfrage nach Nutzerdaten für die Unternehmensentwicklung stark gestiegen. Die EU und andere staatliche Institutionen haben darauf reagiert und Unternehmen eine Vielzahl an Regeln für den Umgang mit Nutzerdaten auferlegt. Das hat dazu geführt, dass Unternehmen, die im digitalen Raum aktiv sind, nicht wissen, wie man Nutzerdaten ausreichend schützt.

Nutzereinwilligungen zur Verwendung personenbezogener Daten und sogenannte Data Subject Access Requests bzw. – DSAR-Anfragen sind nur ein paar der Herausforderungen, die Unternehmen meistern müssen.

Für diese Herausforderungen gibt es Datenschutz Software bzw. Datenschutz Management Software. Es handelt sich hierbei um sogenannte Software-as-a-Service Software. Diese dient dazu, Unternehmen dabei zu unterstützen, das regulatorische Chaos der Gesetzgeber zu navigieren. Es gibt allerdings eine große Auswahl an Anbietern verschiedener Datenschutz Software. Es stellt sich also schnell die Frage: Welche Datenschutz Software ist die richtige für mein Unternehmen/ meine Organisation? Was ist die beste Datenschutz Software?

Wir wollen Sie über die wichtigsten Datenschutz Software Tools aufklären und Ihre Entscheidung vereinfachen. Dafür haben wir eine breite Auswahl an Programmen herausgesucht und die Vor- und Nachteile für Sie herausgearbeitet. Da jede Software verschiedene Aufgaben unterschiedlich gut meistert, wollten wir Ihnen einen Überblick über die Kernfunktionen jedes Tools geben. Im Folgenden finden Sie einen umfassenden Vergleich von Datenschutz Management Software für 2024.

Auf unserer Liste der besten Datenschutz Management Software 2024 finden Sie folgende Anbieter:

1. Usercentrics
2. TrustArc
3. OneTrust
4. Osano
5. Didomi
6. DataGrail
7. MineOS
8. PrivacyEngine

Hier finden Sie einen Überblick über die wichtigsten Funktionalitäten der Plattformen und wofür sie am besten geeignet sind:

1. Usercentrics

Usercentrics bietet eine umfassende Lösung. Die Plattform bietet viele Produkte und Funktionalitäten, die eine große Bandbreite an Datenschutzproblemen lösen. Dazu gehören eine Consent Management Platform, Datenschutz Audits und noch vieles mehr.

Usercentrics hilft Unternehmen schon seit 2012, die Schwierigkeiten des Datenschutzes in den verschiedensten Regionen zu entschlüsseln. Dazu gehören die DSGVO, der DMA, der CCPA/CPRA, der VCDPA, das LGPD und POPIA. Usercentrics ist die Plattform der Wahl für über 1,4 Millionen Webseiten in über 180 Ländern.

Die Datenschutz Software von Usercentrics ist besonders flexibel und kann genauestens an spezifische Bedürfnisse angepasst werden. Egal in welcher Region Sie aktiv sind oder welche Sprache Sie verwenden: Usercentrics hat eine Lösung für Sie.

Kernfunktionen von Usercentrics:

• Einfache Integration: Sicheres Abfragen, Speichern und Verwalten aller Daten dank einfacher Integration in das CMS Ihrer Wahl.
• Weitläufiger Plattform-Support: Egal ob Fernseher, Computer oder Spiele: Mit der Usercentrics CMP und dem Usercentrics App SDK gibt es eine Lösung für jede Plattform.
• Aussagekräftige Analysen: Werten Sie Ihre A/B Tests im Consent Banner aus oder suchen Sie nach Ihrer Einwilligungsrate in bestimmten Technologien? Usercentrics Analytics gibt Ihnen die Möglichkeit, tiefgreifende Analysen anzufertigen – eines der besten aktuell verfügbaren Tools.
• Große Auswahl an Rechtstextvorlagen: Über 2000 Texte für die Integration in Ihre CMP liegen für Ihre Nutzung bereit. Egal welche Technologie Sie verwenden, Usercentrics hat den passenden Text dazu.
• Google-zertifiziert für den Consent Mode: Konfigurieren Sie Ihren Google Tag basierend auf den Präferenzen Ihrer Nutzer. So können Sie Ihre Daten DSGVO-konform (oder POPIA-, CCPA-konform etc.) maximieren.
• Lokalisierung: Passen Sie Ihr Consent Banner für verschiedene Regionen und Nutzer an. Dank über 60 Sprachen kann Usercentrics immer die passenden Informationen verständlich übermitteln. So fühlen sich Ihre Nutzer informiert und sicher.

Preisgestaltung von Usercentrics:

• Advanced: Ab 50€ im Monat für bis zu 50.000 Sessions/Monat auf einer Domain
• Advanced Plus: Zwischen 150€ und 999€ im Monat ab 50.000 Sessions mit unbegrenzter Konfiguration und unbegrenzt vielen Domains
• Premium: Kundenspezifische Preise für zusätzliche Leistungen, Premium-Kundensupport und Beratung

Pro	Contra
Große Auswahl an nützlichen Funktionalitäten. Bestätigt von Bewertungen auf G2.	Analysen sind bis zu 90 Tage rückwirkend möglich.
Nutzbar für Webseiten und Apps.
Sehr gute Bewertungen auf G2 bezüglich Kundenservice und Support.

2. TrustArc

TrustArc bietet eine umfassende Datenschutz Software an, die von Datenmanagement bis Datenbestandsaufnahmen vieles abdeckt. Dazu gehören vor allem Risikoprofil-Einschätzungen und Reportings zur Einschätzung der Datenschutzbeachtung.

TrustArc hat kein Angebot zum Thema Cookie Consent oder Management der Nutzereinwilligungen. Das gehört aber auch nicht zu seinem Kerngeschäft. Es geht mehr um Datenschutzmanagement auf Datenebene und Analyseebene.

Kernfunktionen von TrustArc:

• Risikoprofil-Einschätzung: Bietet Einblicke in wichtige Analysen zum Umgang mit Nutzerdaten.
• Data Flow Manager: Überblick über den Weg, den gespeicherte Nutzerdaten gehen und wo sie sich bei jedem Schritt befinden.
• DSAR Automatisierung: Zentralisierte und automatisierte DSAR Anfragen mit dem sogenannten “Individual Rights Manager”

Preisgestaltung von Trustarc:

• Auf Anfrage verfügbar

Pro	Contra
Privacy Impact Assessments (PIAs) und Data Protection Impact Assessments (DPIAs) werden automatisiert erstellt.	Die CMP ist nicht von Google zertifiziert.
Verfügbarkeit von länderspezifischen Cookie Bannern.
Hervorragende Verfügbarkeit von Datenschutz-Erkenntnissen. Auf G2 wird vor allem die Bedeutung der Datenschutzanalysen für die Kommunikation an die Managementebene hervorgehoben.

3. OneTrust

OneTrust ist ein Marktführer im Datenschutz Software Segment. Das Produkt umfasst auch einen Consent Manager (für Webseiten und Apps), DSAR Funktionalitäten und Risikomanagement für Advertiser.

Die vielen Funktionen sind allerdings kostspielig. Die Preise setzen sich aus den ausgewählten Features zusammen und wie viele Nutzer betreut werden müssen. Auf G2 wird zudem davon berichtet, dass die Nutzung der Plattform komplex ist und Ihre Integration eine Herausforderung darstellt.

Kernfunktionen von OneTrust:

• Dateneinsicht: Bietet die Möglichkeit aus sensiblen Daten mehr über potentielle Datenrisiken zu lernen.
• DSAR Portal: Vereinfachung und Automatisierung von DSAR Anfragen
• GRC (Governance, Risk and Compliance) und Sicherheit: GRC-Analysen und Management auf Basis vieler lokalisierter Datenschutzgesetze.

Preisgestaltung von OneTrust:

• Auf Anfrage verfügbar

Pro	Contra
Individuelle Einpflege der Plattform bei jedem Kunden.	Intransparente Preise.
Spezialisten für Datenschutz im Data Cloud Umfeld.
Umfassend Google-zertifizierte CMP (Inklusive Publisher Zertifizierung).

4. Osano

Osano bietet eine erstaunliche Garantie, alle möglichen Geldstrafen (bis 200.000 USD) während der Nutzung des eigenen Produktes zu decken. Das bezieht sich auf jegliche Datenschutz-Institutionen. Daher und auch wegen der Funktionalitäten ist die Datenschutz Software besonders bei kleinen bis mittelgroßen Unternehmen besonders beliebt.

Inbegriffen sind Features wie ein Consent Banner, ein DSAR Manager und Beratungen zum Thema Datenschutz. Damit bietet Osano die wichtigsten Features für Kunden, die sich einfach und schnell absichern wollen.

Kernfunktionen von Osano

• Vorlagen für Datenschutzerklärungen: Große Auswahl an Inhalten für individualisierte Datenschutzerklärungen. Von Vorlagen für Cookies und Datenverarbeitungsinformationen.
• DSAR Automatisierung: Vereinfachung der Antworten auf DSAR Anfragen, auch innerhalb des eigenen Unternehmens.
• Datenschutz-Folgenabschätzung: Präzise Analyse möglicher Datenlecks und Risiken für Daten im Unternehmensablauf. Hierfür sind Vorlagen auf Basis von ISO und NIST verfügbar, die zusätzlich individualisierbar sind.

Preisgestaltung von Osano

• Auf Anfrage verfügbar

Pro	Contra
Auf G2 wird davon berichtet, dass die Plattform besonders einfach zu installieren ist.	Keine A/B Tests verfügbar.
Laut G2 bietet Osano hervorragenden Kundensupport.
Garantie der Strafzahlung bis 200.000 USD.

5. Didomi

Didomi ist eine All-in-one-Plattform für das Datenschutzmanagement, die sich leicht in die meisten CMS einfügt. Sie ist besonders einfach zu installieren und bietet die Einbindung vieler Gesetzesrahmen an. Dabei ist besonders die große Auswahl an Sprachen und Datenschutzgesetzen (z.B. der POPIA, die DSGVO oder der CPRA) auffällig. Die Plattform lässt sich auch in Webseiten, Apps und Smart TVs einbinden.

Allerdings hat Didomi dafür kein transparentes Preissystem. Es gibt keine kostenlosen Testversionen oder die Möglichkeit, die Plattform selbstverwaltet zu integrieren. Dafür loben Nutzer auf G2 die Qualität des Kundenservice und die Unterstützung des Unternehmens. Dieser Support reicht von Live Chat Support bis hin zu Tech Support Teams. Koordiniert wird dieser Aufwand von einem extra dafür bereitgestellten Customer Success Team.

Kernfunktionen von Didomi:

• Automatisierte Beantwortung von Nutzeranfragen: Nutzer, die um Auskunft zu deren Daten bitten, können automatisiert mit den gewünschten Informationen versorgt werden.
• Einbindung mehrerer Regionen: Der Consent Manager kann auf eine große Auswahl an Regularien zurückgreifen (z.B. die DSGVO, der CCPA und das IAB TCF 2.2).
• Einfache Integration: Mehrere Plattform-Integrationen sind verfügbar, um die Installation so reibungslos wie möglich zu gestalten.

Preisgestaltung von Didomi:

• Auf Anfrage verfügbar

Pro	Contra
Auf G2 wird Didomi für sein Kundenservice gelobt.	Kein Auto-Blocking.
Verständliche Analysen.
Cross-Device und Cross-Domain Consent Sharing.

6. DataGrail

DataGrail ist Partner von Usercentrics. Die Datenschutz Software fokussiert sich vor allem auf die Effizienz des Umgangs mit sensiblen Nutzerdaten. Wie viele andere Anbieter auf dieser Liste bietet die Plattform ein automatisiertes DSAR Tool, um schnell und effizient auf Anfragen reagieren zu können.

Zudem bietet die Plattform viele Möglichkeiten für Datenschutz-Folgenabschätzungen wie DPIAs oder PIAs. Darunter fallen auch Einschätzungen für moderne und noch unbekannte KI-Systeme. Zudem kann DataGrail auf ein großes Netzwerk an Partner-Integrationen zurückgreifen, was die Nutzung vereinfacht. Die Software macht es zudem einfach, versteckte Nutzerdatenabfragen zu entdecken. So sind Sie und Ihre Nutzer besser geschützt.

Kernfunktionen von DataGrail:

• Risikobewertung: Finden Sie mithilfe von PIAs und DPIAs schnell heraus, welchem Risiko Sie im Datenschutz ausgesetzt sind.
• Nachvollziehen von Datenströmen: Finden Sie heraus, an welchen Stellen Ihre Nutzerdaten verarbeitet und gespeichert werden. Sie können sich die Informationen sogar als Live-Map darstellen lassen.
• Großes Partnernetzwerk: Über 2000 Partner stehen für eine vereinfachte Integration bereit, um Ihre Sicherheit in Sachen Datenschutz zu optimieren.

Preisgestaltung von Datagrail:

• Auf Anfrage verfügbar

Pro	Contra
Tool für DSAR Automatisierung.	Keine kostenlose Testversion.
Auf G2 wird der hilfreiche Kundenservice betont.
Bietet die Möglichkeit, den Einfluss von KI-Tools auf die Nutzerdaten einzuschätzen.

7. MineOS

Auch MineOS ist ein Usercentrics Partner. MineOS bietet eine Full-Service Datenschutz Software mit Fokus auf Data Mapping, KI und automatisierter DSR-Anfragen.

Ihre Plattform für Datenverwaltung und Datensicherheit hat auf G2 Top-Bewertungen. Mit Hilfe von KI werden Ihre Daten visualisiert und Sie bekommen ein besseres Bild davon, was mit den von Ihnen gesammelten Daten passiert. So können Sie viel einfacher Risiken erkennen und bekämpfen.

Kernfunktionen von MineOS

• Feature für automatisierte DSRs: Ein-Klick-Anfragen und vereinfachte DSR-Workflows sparen Zeit, Geld und Ressourcen.
• Data Mapping: Automatisierte und dauerhafte Visualisierung Ihrer Daten auf ihrem Weg durch Ihre Systeme. So lassen sich Prozesse leichter überwachen.
• Schnelle Implementierung: Auf G2 wird die besonders schnelle Implementierung betont.

Preisgestaltung von MineOS

• Auf Anfrage verfügbar

Pro	Contra
Hervorragende Benutzerfreundlichkeit.	Intransparente Preise.
Datenschutz Plattform mit den besten Bewertungen auf G2.
Vollständig automatisiertes DSR Tool.

8. PrivacyEngine

PrivacyEngine vereint Datenmanagement und Verwaltung von Drittanbietern in einer einzigen Datenschutz Software Plattform. Zusätzliche Add-Ons wie Schulungen und Beratungssitzungen vervollständigen das Angebot von PrivacyEngine. Auf diese Weise kann die Plattform komplexe Datenschutz-Themen angehen und sorgt für zusätzliches Bewusstsein für den Datenschutz im Unternehmen.

Die Datenschutz-Plattform bekommt vor allem Lob für Ihren herausragenden Service und Ihre Beratungsfähigkeit. Zusätzlich ist der Umgang mit Datenschutzverletzungen im Umgang mit der DSGVO oder anderen Richtlinien hervorragend. Außerdem bietet die Plattform gute Analysen der internen Datenverarbeitung und schafft so einen vereinfachten Überblick.

Kernfunktionen von PrivacyEngine

• PrivacyAssist: Zusätzliche Einblicke und Beratung für verschiedene Bereiche des Datenschutzes, von der NIS2/ISO-Konformität bis zur KI-Konformität und DSAR-
• Unterstützung.
• Verwaltung von Anbietern: Bewertung, Einbindung und Verwaltung von Anbietern.
• Schulungen: Ein einfacher Weg, um Bewusstsein für das Thema Datenschutz im Unternehmen zu schaffen.

Preisgestaltung von PrivacyEngine

• Starter: Ab 4.999€ im Jahr. Dafür erhalten Sie Schulungen für bis zu 50 Mitarbeiter, 2 Stunden Beratung, Reportings und ein Risikoprofil.
• Standard: Ab 7.999€ im Jahr. Dafür erhalten Sie Schulungen für bis zu 150 Mitarbeiter, 5 Stunden Beratung sowie persönliche Beratung durch 2 für Sie bereitgestellte
• Mitarbeiter und erweiterte Analysemöglichkeiten.
• Advanced: Ab 14.999€ im Jahr: Alles aus den vorherigen Leistungen. Dazu Schulungen für bis zu 500 Mitarbeiter, 8 Stunden Beratungsunterstützung und bis zu 5 extra bereitgestellte Mitarbeiter.
• Custom: Auf Anfrage

Pro	Contra
Beratung durch Experten, einschließlich ausgelagerter DSB-Dienste.	G2-Nutzer berichteten, dass die Schulungsunterlagen nur auf Englisch sind.
Management von Datenschutzverletzungen.
Von G2-Nutzern im Frühjahr 2024 mit dem besten Service ausgezeichnet.

Welche Funktionen sollte eine Datenschutzsoftware bieten?

Jede der oben genannten Plattformen bietet wichtige Funktionen für die Einhaltung moderner Datenschutzgesetze. Dieser Service ist aufgrund der schwierigen Übersicht über die vielen Regelungen für viele Unternehmen unerlässlich geworden. Neben der fehlenden Übersicht kommt auch noch hinzu, dass die Regelungen sich schnell ändern und neue hinzukommen. Doch welche der Funktionen ist für die Auswahl der richtigen Datenschutzsoftware am wichtigsten?

• Datenzuordnung, -sammlung und -inventur müssen in hoher Qualität zur Verfügung stehen. Die Plattform muss eine sichere Anlaufstelle für alle Anfragen zum Thema Datenmanagement und Datenlöschung sein. Sie müssen sich sicher sein können, dass das Tool alle Auflagen erfüllt und es Ihnen zudem einfach macht, sich an diese zu halten.
  Tools zur Verwaltung von Nutzereinwilligungen sollten möglichst personalisierbar sein. Dadurch können diese an die gewünschten Vorschriften angepasst werden.

• Die Verwaltung von DSR-Anfragen sollte möglichst automatisiert erfolgen. So können Nutzer völlig eigenständig ihre Daten oder Anfragen löschen, ohne dass bei ihnen ein zusätzlicher Aufwand anfällt.

• Flexibles, regionalspezifisches Datenschutzmanagement auf der Grundlage der jeweiligen Datenschutzvorschriften. Idealerweise entwickelt sich die Datenschutz Software mit den aktuellen Bestimmungen automatisch weiter.

Hier finden Sie einige Zitate von Unternehmen darüber, welche Funktionen für sie besonders wichtig sind:

„Zu den wichtigsten Funktionen, auf die ich bei einer Datenschutzmanagement-Software Wert lege, gehören robuste Datenverschlüsselung, granulare Zugriffskontrollen, Audit-Protokolle zum Tracking von Nutzeraktionen, Tools zur Einhaltung der DSGVO und des CCPA, regelmäßige Sicherheitsupdates und eine nahtlose Integration in bestehende Systeme.“ – Gregori Shein, CEO bei Nomadic Soft

„Zu den wichtigsten Merkmalen, auf die ich bei einer Software für das Datenschutzmanagement achte, gehören Skalierbarkeit, einfache Integration in bestehende Systeme und eine umfassende Abdeckung der globalen Datenschutzgesetze, um eine einheitliche Einhaltung der Vorschriften in verschiedenen Ländern zu gewährleisten.“ – Remon Nader Elsayea, IT-Berater bei TechTrone IT Services Corp.

„Zu den unverzichtbaren Funktionen einer Datenschutzmanagement-Software gehören aus meiner Sicht ein granulares Consent Management, robuste Dateninventarisierungs- und Mapping-Funktionen sowie die Erleichterung der Compliance-Berichterstattung unter Einhaltung von Standards wie der DSGVO, dem CCPA und weiteren regionsspezifischen Gesetzen.“ – Frank Kyazze, Gründer & CEO von GRC Knight

Übernehmen sie mit Usercentrics volle Kontrolle über Ihren Datenschutz

Die Welt des Datenschutzes ist schwer zu entschlüsseln. Es ist hilfreich einen Partner an der Seite zu haben, der sich um alles kümmert. In anderen Worten: Es braucht eine einzelne Plattform, mit der alle Bedürfnisse in Sachen Datenschutz abgedeckt werden können.

Durch die einfache Integration vieler Partner, die große Auswahl an Features und den Support vieler Sprachen und Gesetzen hebt sich Usercentrics vom Markt ab. Die Plattform ist besonders leicht zu integrieren und für jede Unternehmensgröße geschaffen. Alle Inhalte sind vollständig individualisierbar, damit Ihr Produkt am Ende am Besten zu Ihnen passt. Ob Cookie Banner und Datenschutz-Analysen – Usercentrics ist die richtige Datenschutzsoftware für jede Unternehmensgröße.

Halten Sie die Einwilligungsanforderungen für Advertiser mit dem Google Consent Mode ein

Seit März 2024 hat Google neue Anforderungen für die Einhaltung von Datenschutzvorschriften in Europa und der Durchsetzung Ihrer Richtlinie zur EU-Nutzereinwilligung. Diese Anforderungen gelten für Drittunternehmen, die Google-Dienste für Online-Werbung nutzen.

Laden Sie unsere Checkliste herunter, um zu erfahren, was Sie tun müssen, um gültige Nutzereinwilligungen zu erfassen und zu signalisieren und somit die Anforderungen von Google zu erfüllen und Ihre Werbekampagnen zu schützen.

Was ist der Google Consent Mode?

Google Consent Mode ist eine Lösung, die mit dem Consent-Banner Ihrer CMP interagiert. Wenn die Nutzereinwilligung über das Banner eingeholt wurde, informiert GCM die Google-Dienste über die Einwilligungsinformationen, sodass Tags ihr Verhalten an die Wahlmöglichkeiten des Nutzers anpassen können, z. B. bei personalisierter Werbung.

Wer sollte den Google Consent Mode nutzen?

Seit März 2024 verlangt Google von Unternehmen in der EU/im EWR und im Vereinigten Königreich, die Werbedienste wie Google Ads, Google Analytics und/oder die Google Marketing Platform nutzen, den Google Consent Mode v2 mit einer von Google zertifizierten Consent Management Platform (CMP) zu nutzen, wie zum Beispiel die Usercentrics CMP.

Unternehmen müssen mit dem Consent Mode gültige Nutzereinwilligungen an Google signalisieren, um Features zur Personalisierung zu nutzen und Anzeigen schalten zu können.

Erfahren Sie mehr in unserem Resource Hub zum Google Consent Mode.

Wie verläuft die Zusammenarbeit zwischen der Usercentrics CMP und dem Google Consent Mode?

Google hat mit der neuesten Version des Consent Mode (v2) zwei neue Parameter ins Spiel gebracht. Diese sorgen dafür, dass das Signalisieren von Einwilligungsinformationen für personalisierte Werbung möglich wird.

Der Google Consent Mode ist in die Usercentrics CMP integriert und standardmäßig aktiviert. Wenn die Einwilligungspräferenzen des Nutzers eintreffen, werden diese also direkt an Google gesendet, um Tags oder SDKs zu prüfen und Ihr Verhalten anzupassen, um die Datenschutzvorschriften einzuhalten.

Der Google Consent Mode sorgt außerdem für eine datenschutzkonforme Vorgehensweise zur Wiederherstellung verloren gegangener Conversions, wenn Nutzer keine Einwilligung erteilen.

Welche Google-Dienste werden im Consent Mode unterstützt?

Derzeit unterstützt der Consent Mode folgende Google-Dienste:

• Google Analytics
• Google Ads (Google Ads Conversion Tracking und Remarketing)
• Floodlight
• Conversion Linker

Was hat es mit der Google-Richtlinie zur EU-Nutzereinwilligung auf sich?

Google hat seine Richtlinie zur EU-Nutzereinwilligung im Jahr 2015 eingeführt. Sie wurde mehrmals aktualisiert, um stets gesetzliche Anforderungen zu erfüllen, wie zum Beispiel die der DSGVO, der ePrivacy-Richtlinie und des Digital Markets Act (DMA).

Google hat Anfang 2024 angekündigt, dass das Unternehmen die Durchsetzung der Richtlinie zur EU-Nutzereinwilligung in der EU verstärken würde. So kann das Unternehmen weiterhin relevante Datenschutzgesetze einhalten, einschließlich der Durchsetzung des Digital Markets Act (DMA).

Gefährden Sie nicht Ihre Werbeeinnahmen. Laden Sie noch heute unsere Checkliste für den Google Consent Mode herunter!

Bis spätestens 6. März 2024 müssen die im Rahmen des Digital Markets Act bzw. des Gesetzes über digitale Märkte (DMA) benannten „Gatekeeper“ die Anforderungen des DMA-Gesetzes für ihre bestimmten zentralen Plattformdienste erfüllen. Ansonsten riskieren sie hohe Geldstrafen.

Doch das Datum ist nicht nur für diese großen Tech-Unternehmen von Bedeutung. Auch Unternehmen, die auf den digitalen Märkten der Europäischen Union (EU) und/oder des Europäischen Wirtschaftsraums (EWR) tätig sind, müssen sich auf das Gesetz über digitale Märkte (DMA) vorbereiten. Nur so können sie die zentralen Plattformdienste ohne Unterbrechung weiterhin nutzen.

In diesem Artikel untersuchen wir, für wen der Digital Markets Act (DMA) gilt, welche rechtlichen Verpflichtungen dadurch auferlegt werden und wie betroffene Unternehmen sich auf das DMA-Gesetz vorbereiten können.

Rechtliche Verpflichtungen gemäß dem Gesetz über digitale Märkte (DMA)

Es muss beachtet werden, dass sich das Gesetz über digitale Märkte (DMA) direkt an Gatekeeper richtet, die aktiv daran arbeiten müssen, die von der Europäischen Kommission beschlossenen Anforderungen zu erfüllen. Das bedeutet jedoch nicht, dass gewerbliche Nutzer fein raus sind. Das DMA-Gesetz betrifft auch Unternehmen, die Plattformen und Dienste von Gatekeepern nutzen, um Daten von Nutzern aus der EU und/oder dem EWR zu erheben und zu verarbeiten.

Die DMA-Vorschriften zum Datenschutz haben eine große Reichweite und betreffen somit nicht nur die Plattformen, sondern auch alle auf den Plattformen erfassten personenbezogenen Daten. Außerdem haben Gatekeeper oftmals ihre eigenen Nutzungs- oder Vertragsbedingungen, die die Unternehmen einhalten müssen, wenn sie deren Plattformen nutzen. Diese Bedingungen können ebenfalls auf die DMA-Anforderungen bezüglich Transparenz und Datenschutz ausgerichtet sein. Zudem haben die Europäische Union und ihre Mitgliedstaaten andere Datenschutzgesetze, die ebenfalls beachtet werden müssen, wie die Datenschutz-Grundverordnung (DSGVO).

Das bedeutet, dass Unternehmen, die zentrale Plattformdienste nutzen, es sich nicht leisten können, nur als passive Zuschauer am Rande zu stehen. Vielmehr müssen sie ihre eigenen Verfahren und Richtlinien mit dem Gesetz über digitale Märkte (DMA) in Einklang bringen. Dies ist ein notwendiger Schritt für alle Unternehmen, die diese Dienste ohne rechtliche Schwierigkeiten oder den Verlust des Plattformzugriffs weiterhin nutzen möchten.

Zwar gibt es verschiedene Pflichten, die den Gatekeepern im Rahmen des DMA-Gesetzes auferlegt wurden. Jedoch könnten die folgenden direkte Auswirkungen auf Unternehmen haben, die die zentralen Plattformdienste nutzen, und ihnen vorschreiben, wie sie im Rahmen des Gesetzes über digitale Märkte (DMA) vorgehen müssen.

Ausdrückliche Nutzereinwilligungen zur Erfassung von personenbezogenen Daten

Das Gesetz über digitale Märkte (DMA) erlegt den Gatekeepern für die Erfassung personenbezogener Daten strenge Kontrollen auf und schreibt dafür die Einholung der entsprechenden Einwilligung der Nutzer vor. Artikel 2 Absatz 32 des Gesetzes liefert die Definition von Nutzereinwilligung im Einklang mit der Definition nach der DSGVO:

„Einwilligung der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.“

Die Einwilligung im Rahmen des Gesetzes über digitale Märkte (DMA) muss deshalb vier Schlüsselkriterien erfüllen: Sie muss freiwillig für einen bestimmten Zweck, in informierter Weise und unmissverständlich erteilt werden.

Freiwillig erteilt: Die Einwilligung wird freiwillig erteilt, wenn die jeweilige Person die freie Wahl dazu hat, nicht unter Druck gesetzt wird, nicht gezwungen wird und nicht manipuliert wird, um die Einwilligung zu erteilen; außerdem darf die Person nicht bestraft oder benachteiligt werden, wenn sie die Einwilligung nicht gibt. Die Einwilligung darf keine Voraussetzung für den Zugriff auf einen Dienst oder ein Produkt sein, es sei denn, die Verarbeitung personenbezogener Daten ist erforderlich, damit dieser Dienst oder dieses Produkt funktionieren. Das Verfahren zum Widerruf der Einwilligung muss genauso einfach sein wie die Erteilung der Einwilligung, sodass sich die Person ganz einfach wieder umentschieden kann.

Für einen bestimmten Zweck: Es liegt kein bestimmter Zweck vor, wenn eine Person einer vagen oder zu breiten Datenerfassung zustimmt. Eine für einen bestimmten Zweck erteilte Einwilligung bedeutet, dass die Nutzer jedem einzelnen Zweck zustimmen müssen, für den ihre personenbezogenen Daten erhoben und verarbeitet werden. Außerdem müssen sie Zugriff auf die Informationen zu jedem einzelnen Zweck haben, um diese Entscheidung zu treffen. Wenn beispielsweise ein Unternehmen die Daten einer Einzelperson für Werbe- und Analytics-Zwecke verarbeiten möchte, so muss eine gesonderte Einwilligung für jeden dieser Zwecke eingeholt werden. Wenn ein Unternehmen die Daten später für einen anderen Zweck nutzen möchte, muss eine neue, gesonderte Einwilligung eingeholt werden, die sich genau auf diese neue Verwendung bezieht.

In informierter Weise: Eine Einwilligung wird dann in informierter Weise eingeholt, wenn die Nutzer vor einer Entscheidung über alle relevanten Informationen verfügen. Dies umfasst das Wissen, welche Daten erfasst werden, für welche Zwecke die Daten verwendet werden und wer Zugriff auf diese Daten haben wird. Die Nutzer müssen ebenfalls über ihr Recht zum jederzeitigen Widerruf ihrer Einwilligung und die Folgen eines solchen Widerrufs informiert werden.

Unmissverständlich: Es sollte keinen Spielraum für Interpretationen geben: Die Einwilligung ist unmissverständlich, wenn der Nutzer der Datenverarbeitung klar zugestimmt hat. Üblicherweise ist dies der Fall, wenn der Nutzer eine Handlung vornimmt, wie das Aktivieren einer Checkbox oder das Anklicken eines Buttons mit der Bezeichnung „Ich stimme den Bedingungen zu“. Schweigen, Inaktivität, Scrollen oder vorausgewählte Felder stellen keine unmissverständliche Einwilligung dar.

Wenn die Einwilligung die vorstehenden Bedingungen erfüllt, ist sie eine eindeutige bestätigende Handlung gemäß dem Gesetz über digitale Märkte (DMA) und der DSGVO.

Inwiefern betrifft die Einholung einer ausdrücklichen Einwilligung die Unternehmen, die zentrale Plattformdienste nutzen?

Unternehmen, die personenbezogene Daten von Nutzern in der EU und/oder im EWR erheben und verarbeiten, müssen eine gültige und ausdrückliche Einwilligung der Nutzer einholen. Wenngleich sich die Verpflichtungen und Strafen nach dem DMA-Gesetz an Gatekeeper richten, dürfen die Unternehmen ihre eigenen Methoden der Datenerfassung nicht außer Acht lassen. Wird keine gültige Einwilligung eingeholt, so besteht nicht nur das Risiko, den Zugriff auf die zentralen Plattformdienste zu verlieren. Auch drohen in solch einem Fall Geldstrafen nach der DSGVO und anderen Gesetzen.

Beschränkungen bei der Zusammenführung von Daten für Profiling-Zwecke

Der Digital Markets Act (DMA) hat strenge Anforderungen, wenn es darum geht, Nutzerdaten zwischen den verschiedenen von Gatekeepern betriebenen Plattformen sowie zwischen den Gatekeeper-eigenen Plattformen und Plattformen Dritter zusammenzuführen.

Artikel 5 Absatz 2 des Digital Markets Act (DMA besagt ausdrücklich, dass es Gatekeepern untersagt ist:

• (a) personenbezogene Daten von Endnutzern für den Zweck von Online-Werbediensten zu verarbeiten, wenn diese Dienste Dritter nutzen, welche zentrale Plattformdienste des Gatekeepers in Anspruch nehmen,
• (b) personenbezogene Daten aus dem entsprechenden zentralen Plattformdienst mit personenbezogenen Daten aus weiteren zentralen Plattformdiensten oder aus anderen vom Gatekeeper bereitgestellten Diensten oder mit personenbezogenen Daten aus Diensten Dritter zusammenzuführen,
• (c) personenbezogene Daten aus dem betreffenden zentralen Plattformdienst in anderen vom Gatekeeper getrennt bereitgestellten Diensten, einschließlich anderer zentraler Plattformdienste, weiterzuverwenden und umgekehrt, und
• (d) Endnutzer in anderen Diensten des Gatekeepers anzumelden, um personenbezogene Daten zusammenzuführen,

außer wenn dem Endnutzer die spezifische Wahl gegeben wurde und er gemäß der DSGVO eingewilligt hat.

Das Ziel hier ist es, zu verhindern, dass die Gatekeeper einen unfairen Vorteil erlangen, indem sie Nutzerdaten aus verschiedenen Quellen zusammenführen. Ein weiteres Ziel besteht darin, die Privatsphäre der Nutzer zu schützen.

Diese Bestimmung beschränkt die Fähigkeit der Gatekeeper und dritter Unternehmen, die Daten auf verschiedenen Plattformen zu nutzen, um Kundenprofile für gezielte Werbung zu erstellen. Bei Minderjährigen ist das Profiling gemäß der DSGVO bereits verboten.

Allerdings verbietet der Digital Markets Act (DMA) nicht das Profiling insgesamt, und die Gatekeeper müssen offen darlegen, wie sie das Nutzer-Profiling vornehmen. Sie müssen geprüfte Informationen darüber bereitstellen, welche Daten sie für das Profiling erheben, wie sie sie verarbeiten, wofür sie verwendet werden, wie lange sie gespeichert werden sowie welche Auswirkungen das Profiling auf die Dienste der Gatekeeper hat.

Wichtig anzumerken ist dabei, dass die Gatekeeper ebenfalls aufzeigen müssen, wie sie die Nutzer auf das Profiling aufmerksam machen und wie sie die Einwilligung von den Nutzern einholen. Außerdem müssen sie den Nutzern die Möglichkeit bieten, die Einwilligung in die Datenerfassung und -verwendung für Profiling-Zwecke zu verweigern oder zu widerrufen. Personenbezogene Daten von Nutzern, die die Einwilligung verweigern oder widerrufen, dürfen nicht für Profiling-Zwecke verwendet werden.

Inwiefern betreffen Beschränkungen bei der Zusammenführung von Daten für Profiling-Zwecke Unternehmen, die zentrale Plattformdienste nutzen?

Unternehmen dürfen Nutzerdaten von verschiedenen Plattformen ohne die ausdrückliche Einwilligung des jeweiligen Nutzers für die konkrete Art der Datenweitergabe nicht zu Profiling-Zwecken zusammenführen – auch nicht, wenn es sich bei diesen Plattformen um Dienste Dritter handelt.

Das bedeutet, dass die Unternehmen über geeignete Systeme verfügen müssen, damit die von verschiedenen Plattformen erfassten Daten getrennt bleiben. Im Wesentlichen schreibt das Gesetz über digitale Märkte (DMA) einen transparenteren und getrennten Datenmanagement-Ansatz für alle Beteiligten vor.

Der letztgenannte Punkt ist vor allem angesichts der DMA-Anforderungen zur Interoperabilität wichtig. Gatekeeper müssen es den Nutzern ermöglichen, zwischen verschiedenen Diensten zu wechseln, einfach auf ihre Daten zuzugreifen und sie zu übertragen und die Kompatibilität und Integration mit anderen Plattformen oder Diensten zu gewährleisten. Unternehmen und Advertiser mit Zugriff auf Nutzerdaten von verschiedenen Plattformen dürfen diese Daten nicht ohne eine gültige Einwilligung der Nutzer für Profiling-Zwecke verwenden.

Risiken bei Verstößen gegen das Gesetz über digitale Märkte (DMA)

Das Gesetz über digitale Märkte (DMA) reguliert die Gatekeeper, und es sind keine Geldstrafen für andere Unternehmen vorgesehen, die die Anforderungen des Gesetzes nicht erfüllen. Allerdings drohen den Unternehmen Konsequenzen, die die Nutzerdaten nicht in Übereinstimmung mit den Anforderungen verarbeiten.

Eine Nichteinhaltung kann dazu führen, dass der Zugriff auf die zentralen Plattformdienste eingeschränkt oder komplett entzogen wird. Wobei zu beachten ist, dass diese zentralen Plattformdienste oftmals wichtige Kanäle für Unternehmen sind, um mit potenziellen Kunden in Kontakt zu bleiben und um den Umsatz und die Werbeeinnahmen zu steigern. Unternehmen können ihren Zugriff auf die Daten und den Zugang zu ihrer Zielgruppe verlieren, was zu Umsatzeinbußen führen würde.

Eine weitere, aber gleichermaßen dringende Sorge ist die Rufschädigung. Wenn die Datenschutzregeln des DMA-Gesetzes nicht eingehalten werden, kann dies das Kundenvertrauen untergraben. Die Folgen können geringere Conversion Rates, Kundenabwanderung und Umsatzeinbußen sein.

So können sich Unternehmen auf das Gesetz über digitale Märkte (DMA) vorbereiten

Wenn Unternehmen den Digital Markets Act (DMA) verstehen und wissen, wie er sich auf den Betrieb und die angebotenen Dienstleistungen auswirkt, können sie ihre personellen und finanziellen Ressourcen entsprechend zur Einhaltung der Vorschriften einsetzen. Dadurch können die Unternehmen sowohl die Rechtssicherheit als auch ein möglichst großes Kundenvertrauen sicherstellen.

Bei der Vorbereitung auf den Digital Markets Act (DMA) müssen Unternehmen sicherstellen, dass die Einwilligung der Nutzer gemäß der DSGVO und der ePrivacy-Richtlinie erhoben wird und dass die Präferenzen der Nutzer an Websites oder Apps signalisiert werden.

Einholung einer gültigen Nutzereinwilligung mit einer Consent Management Platform

Voraussetzung für eine gültige Nutzereinwilligung ist eine eindeutige, einfach abrufbare Datenschutzrichtlinie, in der erläutert wird, welche Daten erfasst werden, wie die Daten verwendet werden und wer auf sie zugreifen kann.

Consent-Banner müssen zudem einen leicht verständlichen Wortlaut haben und Auskunft darüber geben, welche Daten für welchen Zweck erfasst werden. Diese Banner müssen auf eine freiwillige Einwilligung (Opt-in) ausgerichtet sein, die nicht durch Manipulation oder irreführende Formulierungen zustande kommt.

Unternehmen, die einen optimierten Ansatz für die Verwaltung dieser Einwilligungsanforderungen suchen, können auf eine Consent Management Platform (CMP) wie die Usercentrics CMP zurückgreifen. Usercentrics ist ein Google Consent Mode zertifizierter CMP-Partner, und die CMP unterstützt Unternehmen dabei, gültige Nutzereinwilligungen einzuholen und zu dokumentieren, um die gesetzlichen Anforderungen zu erfüllen. Dadurch können Unternehmen die Gesetze besser einhalten, Geldstrafen vermeiden und das Kundenvertrauen aufrechterhalten. Die Usercentrics CMP lässt sich in viele gängige Content Management-Systeme integrieren und vereinfacht so das Setup.

Möchten Sie eine CMP nutzen, um sich auf den Digital Markets Act (DMA) vorzubereiten? Starten Sie Ihre kostenlose 14-tägige Testversion für die Usercentrics CMP.

Durchführung regelmäßiger Datenschutz-Audits und Compliance-Kontrollen

Ein systematischer Zeitplan für interne Audits hilft bei der Einhaltung der sich weiterentwickelnden DMA- und anderer einschlägiger Vorschriften. Der Schwerpunkt dieser Audits sollte auf den Datenschutz-Folgenabschätzungen liegen, um genau bewerten zu können, wie die Nutzerdaten im Rahmen des Gesetzes über digitale Märkte (DMA) verarbeitet, gespeichert und weitergegeben werden.

Gleichermaßen wichtig ist die Bewertung der Datenpraktiken externer Partner und Lieferanten. Wenn diese mit Daten aus einer Plattform des Unternehmens arbeiten, müssen deren Verarbeitungsrichtlinien ebenfalls auf die Gesetze abgestimmt sein. Ein Versäumnis seitens der Unternehmen kann Auswirkungen auf die Geschäftsbeziehung sowie mögliche rechtliche Konsequenzen haben. Viele Datenschutzgesetze schreiben vor, dass Verträge mit Dritten, die Daten verarbeiten, Pflichten zur Datenauskunft, zum Datenschutz und zur Datenverwendung enthalten müssen.

Umstellung auf Permission Marketing

Unternehmen müssen ihre bestehenden Marketingstrategien aufgrund der strengen Anforderungen des Digital Markets Act (DMA) zum Nutzer-Profiling und zu Beschränkungen beim Retargeting erneut überprüfen. Anstatt auf das Targeting basierend auf zusammengeführten Nutzerdaten zu setzen, sollten Unternehmen auf Permission Marketing setzen und andere Strategien erkunden, wie zum Beispiel Contextual Advertising.

Diese Umstellung vom nutzerspezifischen Targeting auf Kontext entspricht mehr der DMA-Anforderung zur Einholung einer ausdrücklichen Nutzereinwilligung für die Datennutzung. Außerdem bietet es Unternehmen eine Möglichkeit, um wirksame Werbestrategien ohne Gefährdung des Nutzervertrauens aufrechtzuerhalten. Permission Marketing schützt die Privatsphäre der Nutzer und ermöglicht eine transparentere Interaktion zwischen dem Unternehmen und dem Verbraucher. Dies wiederum kann zu soliden und vertrauensvollen Markenbeziehungen führen.

Aufbau eines soliden Datenmanagement-Ansatzes

Unternehmen, die Nutzerdaten auf verschiedenen Plattformen erfassen, sollten Datenmanagement-Strategien priorisieren, die die Privatsphäre der Nutzer schützen und die verschiedenen Gesetze einhalten. Jeder Schritt des Datenlebenszyklus – Erfassung, Speicherung, Verwendung und Löschung – muss geprüft werden, um sicherzustellen, dass die personenbezogenen Daten geschützt sind und nicht unnötigerweise an Dritte oder andere unbefugte Personen oder Unternehmen weitergegeben werden. Unternehmen müssen ebenfalls sicherstellen, dass Daten von verschiedenen Plattformen nicht zu Profiling-Zwecken oder für gezielte Werbung zusammengeführt werden.

Vorteile, die sich durch die Ausrichtung auf das Gesetz über digitale Märkte (DMA) innerhalb des Unternehmens ergeben

Das Einvernehmen im Unternehmen über die Vorbereitung auf das Gesetz über digitale Märkte (DMA) ist ein kraftvolles Instrument, um das DMA-Gesetz zu einem Teil des geschäftlichen Alltags zu machen und das Risiko von Verstößen gegen seine Anforderungen zu verringern.

Abteilungen mit Kontakt zur Öffentlichkeit, wie Marketing, Sales und Customer Success, die eine einheitliche Botschaft hinsichtlich der Ausrichtung mit dem Gesetz über digitale Märkte (DMA) vermitteln, stärken die Verpflichtung des Unternehmens zur Wahrung der Privatsphäre der Nutzer, zu ethischen Praktiken und zur Einhaltung der Vorschriften.

Um dies zu erreichen, benötigen die internen Teams ein umfassendes Training. Nur so können sie verstehen, wie die DMA-Vorschriften eingehalten werden können, und haben DMA-spezifische Argumente für Treffen mit Kunden und Verkaufspräsentationen parat.

Google-Checkliste: Ihr Compliance-Toolkit für die neuen Einwilligungsanforderungen in der Schweiz

Da Google seine Richtlinie zur EU-Nutzereinwilligung auf die Schweiz ausweitet, ist es für Schweizer Unternehmen unerlässlich, informiert zu bleiben, um erstmalig bzw. dauerhaft die Vorschriften einzuhalten. Unsere exklusive Checkliste bietet klare Anleitungen und Tipps, die Ihnen dabei helfen, die neuen Anforderungen zu verstehen. Außerdem bietet sie umsetzbare Schritte, damit Sie noch vor der Frist am 31. Juli 2024 die Erfüllung der Anforderungen gewährleisten können.

Für wen diese Checkliste gedacht ist:

• Digitale Marketers: Verstehen Sie die Einwilligungsanforderungen, um eine transparente und nutzergesteuerte Datenverarbeitung für gezielte Werbung zu gewährleisten.
• Publishing Manager: Implementieren Sie Praktiken für ein datenschutzkonformes Consent Management und sorgen Sie für Transparenz bei der Datenverarbeitung, um Ihre Inhalte zu monetarisieren.
• Advertising Operations Manager: Verstehen Sie, wie sich die Ausweitung der Richtlinie auf die Schweiz in Bezug auf das Schalten von Anzeigen und das Targeting von Zielgruppen auswirkt. Passen Sie Ihre Online-Werbestrategie entsprechend an.
• Compliance Manager oder Rechtsberater: Unterstützen Sie Ihr Unternehmen dabei, die Anforderungen der erweiterten Google-Richtlinie effektiv umzusetzen.
• IT- und Datensicherheits-Spezialisten: Gewinnen Sie Einblicke in die technischen Aspekte der Nutzereinwilligung und Datenverarbeitung, die den Datenschutzanforderungen entsprechen.
• Geschäftsinhaber und Unternehmer: Ermöglichen Sie die Einhaltung der nun auch für die Schweiz gültigen EU-Richtlinie hinsichtlich der Online-Aktivitäten Ihres Unternehmens, um die Privatsphäre Ihrer Nutzer zu schützen.

Warum Sie unsere Google-Checkliste herunterladen sollten

• Bleiben Sie informiert: Erhalten Sie ein umfassendes Verständnis der nun auch für die Schweiz gültigen Google-Richtlinie zur EU-Nutzereinwilligung und die Auswirkungen für Unternehmen, die Marketingmaßnahmen in der Schweiz durchführen.
• Erreichen Sie ganz einfach Datenschutzkonformität: Erhalten Sie umsetzbare Schritte und Anleitungen, um die neuen Anforderungen einfach und effektiv zu erfüllen.
• Gestalten Sie Ihre Datenstrategie zukunftssicher: Antizipieren Sie potenzielle Entwicklungen und kommen Sie der Entwicklung von Datenschutz- und Consent Management-Standards stets zuvor.

❓Welche Frist hat Google gesetzt?

✅ Die Anforderungen treten am 31. Juli 2024 in Kraft.

❓Für welche Regionen gelten die Anforderungen?

✅ Für in der Schweiz wohnhafte Online-Nutzer, an die Unternehmen Werbung richten.

❓Was sind die neuen Anforderungen?

✅ Unternehmen, die Anzeigen- und/oder Monetarisierungsprodukte von Google nutzen, sind verpflichtet, von Schweizer Nutzern die Einwilligung für die Nutzung von Cookies oder anderem lokalen Speicher einzuholen, sofern dies gesetzlich vorgeschrieben ist, außerdem für die Erfassung, Weitergabe und Nutzung personenbezogener Daten zur Anzeigenpersonalisierung.

❓Gelten die neuen Anforderungen für alle Publisher und Advertiser, die sich an den Datenverkehr in der Schweiz richten?

✅ Nein. Die neuen Google-Einwilligungsanforderungen in der Schweiz umfassen die verpflichtende Nutzung einer Google-zertifizierten CMP, die das Transparency and Consent Framework (TCF) für Publisher voll unterstützt.

✅ Für Advertiser, die ihre Plattform nicht mit digitalen Anzeigen monetarisieren, besteht die einzige Anforderung darin, eine Einwilligung von Schweizer Nutzern einzuholen, sofern rechtlich erforderlich.

❓Welche Anforderungen gelten gemäß der Google-Richtlinie zur EU-Nutzereinwilligung für verifizierbare Einwilligungen?

✅ Die Richtlinie basiert auf bestehenden Anforderungen aus Verordnungen wie dem Schweizer Bundesgesetz über den Datenschutz (DSG) und ist vereinbar mit der Datenschutz-Grundverordnung (DSGVO).

Die wichtigsten Anforderungen für Dritte, die Google-Dienste nutzen, lauten wie folgt:

• Für folgende Zwecke muss eine rechtlich gültige Einwilligung der Endnutzer eingeholt werden:
  • Verwendung von Cookies oder anderen lokalen Speichern, sofern gesetzlich vorgeschrieben
    und
  • Erfassung, Weitergabe und Nutzung personenbezogener Daten zur Anzeigenpersonalisierung.
• Bei der Einholung von Nutzereinwilligungen müssen Dritte:
  • Aufzeichnungen der Nutzereinwilligungen aufbewahren;
    und
  • den Nutzern ermöglichen, ihre Einwilligung jederzeit zu widerrufen sowie
  • klare Anweisungen zum Widerruf der Einwilligung geben.

❓Für welche Google-Dienste gelten die Anforderungen?

✅ Für die Werbeplattformen oder -dienste von Google wie etwa AdSense, AdMob, Ad Manager, Google Ads, Google Analytics oder die Google Marketing Platform.

✅ Funktionen zur Anzeigenpersonalisierung auf diesen Plattformen.

❓Ich bin ein Publisher. Was muss ich tun, um die Anforderungen zu erfüllen?

✅ Implementieren Sie eine Google-zertifizierte Consent Management Platform (CMP) für das TCF, wie etwa die Usercentrics CMP.

✅ Aktivieren Sie das Transparency and Consent Framework (TCF) (V2.2) in Ihrer CMP.

✅ Verwenden Sie Ihre CMP, um von den Nutzern die vorherige Einwilligung einzuholen, um ihre personenbezogenen Daten für Werbezwecke erfassen zu können.

✅ Denken Sie über die Implementierung der neuesten Version von Google Consent Mode nach, um von weiteren Marketingvorteilen zu profitieren.

❓Ich bin ein Advertiser. Was muss ich tun, um die Anforderungen zu erfüllen?

✅ Die Einwilligung von Nutzern in der Schweiz einholen, sofern rechtlich erforderlich.

💡 Noch müssen Sie kein verifiziertes Einwilligungssignal für Schweizer Datenverkehr über den Google Consent Mode senden – eine Anforderung, die für EU-/EWR-Zielgruppen gilt – aber dies kann sich in Zukunft ändern.

❓Wie hole ich gültige Einwilligungen mithilfe der Usercentrics CMP ein?

✅ Beginnen Sie mit einer der benutzerfreundlichen Vorlagen der Usercentrics CMP, oder passen Sie Ihr Bannerdesign und Ihre Inhalte vollständig an.

✅ Richten Sie die CMP für alle Verordnungen ein, die für Ihr Unternehmen relevant sind.

✅ Das Consent-Banner der Usercentrics CMP ermöglicht es Nutzern von Websites, ihre Einwilligungspräferenzen für die Verwendung ihrer personenbezogenen Daten mit nur einem Klick festzulegen.

✅ Website-Nutzer können ihre Einwilligung auch jederzeit widerrufen oder ihre Präferenzen aktualisieren.

✅ Die Einwilligungsinformationen werden für den Fall eines Audits oder einer DSAR-Anfrage sicher gespeichert.

❓Wie ist die Usercentrics CMP in IAB TCF 2.2 integriert?

Die Usercentrics CMP ist durch ein zusätzliches Feld im Consent-Banner der bei IAB registrierten Websites in das IAB Transparency and Consent Framework 2.2 integriert. In den Anzeigeneinstellungen können die Endnutzer zwischen IAB-Zwecken und Anbietern auswählen, bevor sie zustimmen.

Wie richten Sie die Usercentrics CMP mit Google Consent Mode ein?

1. Erstellen Sie ein Konto und fügen Sie Ihre Domain hinzu.
2. Wählen Sie Ihr Banner aus und passen Sie es an.
3. Implementieren Sie den Code in Ihre Website. Fertig!

Detaillierte Anweisungen zum Einrichten und Implementieren des Usercentrics Consent-Banners mit integriertem und aktiviertem IAB TCF 2.2 erhalten Sie in unserer Dokumentation.

❓Beinhalten die neuen Anforderungen die Implementierung des Google Consent Mode V2?

✅ Aktuell nicht.

✅ Sie sollten die Implementierung von Consent Mode V2 zwecks weiterer Marketingvorteile in Erwägung ziehen, wie etwa Analytics und Conversion-Modellierung. Dies hilft Ihnen auch, den Verlust von Marketingdaten wegen abgelehnter Nutzereinwilligungen zu vermeiden.

Holen Sie sich die Usercentrics CMP, um die neuen CMP-Anforderungen von Google in der Schweiz zu erfüllen

Durch die Nutzung der Usercentrics CMP IAB Framework Integration (TCF V2.2) als Ihre Consent Management Platform können Sie dafür sorgen, dass Sie die neuen Einwilligungsanforderungen von Google für den Datenverkehr in der Schweiz erfüllen.

Mit der Usercentrics CMP können Advertiser und Publisher durchgehend eine datenschutzkonforme Datenerfassung und Datenverarbeitung sicherstellen.

Google hat eine erhebliche Ausweitung seiner Richtlinie zur EU-Nutzereinwilligung ab 31. Juli 2024 angekündigt. Demnach werden auch Websites und Apps mit Datenverkehr/Nutzern in der Schweiz betroffen sein. Diese Neuerung hat bedeutende Auswirkungen für Publisher und Advertiser, die im Europäischen Wirtschaftsraum (EWR), im Vereinigten Königreich und nun auch in der Schweiz tätig sind.

Dieser Artikel befasst sich mit den Details dieser Ausweitung des Geltungsbereichs, ihren Auswirkungen auf Unternehmen und den Compliance-Anforderungen.

Google-Richtlinie zur EU-Nutzereinwilligung: Nächster Halt, die Schweiz!

Die Ausweitung der Google-Richtlinie zur EU-Einwilligung stellt eine umfassendere Anwendung der Einwilligungsanforderungen dar, um die Daten der Nutzer zu schützen. Dafür sind bestimmte Angaben und Einwilligungen der Endnutzer im EWR, im Vereinigten Königreich und in der Schweiz erforderlich. Dies gilt für Websites und Apps, die Google-Produkte und -Services nutzen, beispielsweise AdSense oder Google Analytics. Dabei geht es um die Verantwortlichkeiten von Publishern und Advertisern in Bezug auf Nutzereinwilligungen für Folgendes:

• Nutzung von Cookies, Online-Tracking-Technologien und lokalem Speicher: Sofern dies gesetzlich vorgeschrieben ist, muss die Nutzereinwilligung eingeholt werden, bevor auf den Nutzergeräten Cookies und/oder andere Tracking-Technologien gesetzt bzw. sonstige lokale Speichermethoden angewendet werden.
• Datenerfassung und Anzeigenpersonalisierung: Die Nutzereinwilligung ist erforderlich, um personenbezogene Daten für die Personalisierung digitaler Werbung zu erfassen, weiterzugeben und zu nutzen.

Die Nichteinhaltung dieser Richtlinie kann dazu führen, dass die Nutzung von Google-Produkten eingeschränkt oder ausgesetzt wird oder dass der Vertrag sogar gekündigt wird.

Google-Richtlinie zur EU-Nutzereinwilligung – welche Änderungen gab es und was bedeuten diese für Advertiser? (Video mit Erklärungen in englischer Sprache anschauen)

Anforderungen der Google-Richtlinie für Publisher und Advertiser

Publisher und Advertiser, die Marketingmaßnahmen für Zielgruppen im EWR, im Vereinigten Königreich und nun auch in der Schweiz durchführen und dabei Google-Produkte nutzen, unterliegen jetzt besonderen Verpflichtungen zur Gewährleistung von Datenschutzkonformität:

Einholung einer gültigen Nutzereinwilligung

Publisher und Advertiser sind verpflichtet, rechtlich wirksame Nutzereinwilligungen für die Nutzung von Cookies oder lokalem Speicher einzuholen, sofern dies gesetzlich vorgeschrieben ist, sowie für die Erfassung, Weitergabe und Nutzung personenbezogener Daten zur Anzeigenpersonalisierung.

Transparenz und Kontrolle für Nutzer

Neben der Aufforderung zur Einwilligung sollten klare Anweisungen gegeben werden, wie die Nutzer ihre Einwilligung widerrufen können. Außerdem müssen erteilte Einwilligungen dokumentiert und gepflegt werden, um die Einhaltung der Richtlinie nachzuweisen.

Angabe der Partner, an die Daten weitergegeben werden

Publisher und Advertiser müssen transparent darlegen, welche Dritten aufgrund ihrer Nutzung von Google-Produkten Nutzerdaten erfassen, erhalten oder nutzen dürfen. Dazu gehört unter anderem, dass den Nutzern leicht zugängliche Informationen darüber verfügbar gemacht werden, wie diese Dritten die Daten nutzen.

Neue Szenarien

In der Richtlinie geht es auch um Szenarien, bei denen Nutzerdaten, die aus einer externen Quelle stammen (Website oder App, die der Publisher oder Advertiser nicht kontrolliert), an Google weitergegeben werden, weil Google-Produkte genutzt werden. In diesen Fällen sind Publisher und Advertiser verpflichtet, geschäftlich angemessene Maßnahmen zu ergreifen, um sicherzustellen, dass der Betreiber dieser externen Quelle die Pflichten im Zusammenhang mit der Nutzereinwilligung aus der Richtlinie erfüllt.

Google-Anforderungen für Publisher-Marketing für die Schweiz

Seit dem letzten Jahr verlangt Google, dass Publisher-Partner für das Schalten von Anzeigen an Nutzer in der EU/im EWR und im Vereinigten Königreich eine von Google zertifizierte Consent Management Platform (CMP) nutzen müssen, wie die Usercentrics CMP, die in das Transparency and Consent Framework (TCF) der IAB Europe integriert ist. Ab dem 31. Juli müssen Schweizer Publisher, die Monetarisierungsprodukte von Google verwenden, welche sich an den Datenverkehr in der Schweiz richten, Folgendes erfüllen:

• Implementierung einer von Google zertifizierten CMP
• Einhaltung der Google-Richtlinie zur EU-Nutzereinwilligung
• Integration in das TCF bei Schweizer Datenverkehr

Die Anweisung von Google für Schweizer Publisher zur Anwendung einer CMP aus seinem Partnerprogramm stellt einen beträchtlichen Wandel der Schweizer Vorgehensweisen im digitalen Bereich dar. Diese Entscheidung, die hauptsächlich dafür sorgen soll, dass TCF auch für Schweizer Datenverkehr angewendet werden soll, spiegelt den proaktiven Ansatz von Google wider, sich an die dynamische Gesetzgebung anzupassen, und zwar an das Schweizer Bundesgesetz über den Datenschutz (DSG), welches 2023 in Kraft trat.

Auch wenn die DSGVO nicht direkt in der Schweiz Anwendung findet, so scheint die TCF-Umsetzung durch Google in der Schweiz eine Bestätigung zu sein, das DSG mit der DSGVO in Einklang zu bringen.

Google-Anforderungen für Advertiser, die Zielgruppen in der Schweiz ansprechen

Unternehmen, die Adtech-Produkte von Google nutzen, müssen von Schweizer Nutzern eine Einwilligung einholen, sofern gesetzlich vorgeschrieben. Noch müssen Advertiser kein verifiziertes Einwilligungssignal für Schweizer Datenverkehr über Google Consent Mode V2 senden – eine Anforderung, die für EU-/EWR-Zielgruppen gilt – aber auch dies kann sich zukünftig ändern.

In unserem Video mit Erklärungen in englischer Sprache erfahren Sie mehr über den Google Consent Mode:

Auch wenn der Consent Mode noch nicht vorgeschrieben ist, gilt Folgendes: wenn Sie mithilfe von Google-Produkten Werbung schalten, so ist der effizienteste Weg, Nutzereinwilligungen datenschutzkonform zu erfassen und zu verwalten, die Implementierung einer Consent Management Platform (CMP) wie die Usercentrics CMPs für Websites und mobile Apps.

Die Usercentrics CMPs sind von Google zertifiziert und unterstützen das Transparency and Consent Framework (TCF) sowie Google Consent Mode V2.

Auch wenn bis jetzt die Aktivierung des Consent Mode noch nicht erforderlich ist, wird dieser standardmäßig in den Tools aktiviert. Somit sind Sie bereits einen Schritt voraus, sollten die Anforderungen in der Schweiz mit denen im restlichen Europa in Einklang gebracht werden. Darüber hinaus können Sie durch die Implementierung des Consent Mode V2 vom Analytics-Tool und von der Conversion-Modellierung profitieren und den Verlust von Marketingdaten wegen der Ablehnung von Consent-Bannern verhindern.

Update der Google-Richtlinie: Auswirkung auf Marketingstrategien

Die aktualisierte Google-Richtlinie fordert Marketers auf, den Fokus auf die Einholung einer gültigen Nutzereinwilligung für die Datenerfassung und Personalisierung von Anzeigen zu legen. Dies schafft Vertrauen und zeigt den Respekt vor der Privatsphäre der Nutzer. Dazu gehört die Implementierung von transparenten und benutzerfreundlichen Einwilligungsmethoden, um die Vorgaben der Richtlinie einzuhalten.

Im Folgenden sind die wichtigsten Punkte aufgeführt, die Advertiser hinsichtlich der aktualisierten Richtlinie beachten müssen:

Priorisierung der Nutzereinwilligung

Machen Sie die Einholung einer gültigen Nutzereinwilligung für die Datenerfassung und Anzeigenpersonalisierung zu einem zentralen Element Ihrer Marketingstrategie in diesen Regionen.

Gemäß der Empfehlung von Google wurden seine zertifizierten CMP-Partner, wie die Usercentrics Web & App CMP und Cookiebot CMP, gründlich überprüft. Darüber hinaus erfüllen sie bestimmte technische Anforderungen, um den Advertisern das bestmögliche Erlebnis zu bieten.

Transparenz ist wichtig

Den Nutzern eindeutig mitzuteilen, wie ihre Daten erfasst, verwendet und weitergegeben werden, ist äußerst wichtig. Ebenso wichtig ist die Bereitstellung leicht zugänglicher Informationen und Optionen für Nutzer, damit sie ihre Einwilligungspräferenzen verwalten können.

Partner-Compliance

Wenn Sie für Ihre Tätigkeiten Plattformen Dritter nutzen, die in Google-Produkte integriert sind, ist es von großer Bedeutung, dass diese die Anforderungen im Zusammenhang mit der Nutzereinwilligung einhalten.

Durch Anpassung an die Richtlinie zur EU-Nutzereinwilligung können Advertiser zeigen, dass sie sich zur Achtung der Privatsphäre der Nutzer bekennen und Vertrauen zu Zielgruppen im EWR, im Vereinigten Königreich und in der Schweiz aufbauen wollen. Dies kann letztendlich zu einer stärkeren Verbindung von Marken und Zielgruppen, gesteigerter Nutzerinteraktion und erfolgreicheren Marketingkampagnen führen.

Bevor es losgeht: die Bedeutung von Datenschutzkonformität

Die Ausweitung der Google-Richtlinie zur EU-Nutzereinwilligung auf Nutzer in der Schweiz unterstreicht die stärkere Betonung von Datenschutz und Consent Management. Publisher und Advertiser müssen sich unter Einhaltung der aktualisierten Richtlinie proaktiv an diese Änderungen anpassen, um eine positive Beziehung zu Google aufrechtzuerhalten und die Privatsphäre der Nutzer zu wahren.

Zusammenfassung:

• Implementierung einer von Google zertifizierten CMP wie die Usercentrics CMP, um Nutzereinwilligungen zu erfassen
• Aktivierung des Transparency and Consent Frameworks (wenn Sie Publisher sind, d. h. Ihre Plattform monetarisieren)
• Ziehen Sie die Implementierung von Google Consent Mode V2 in Betracht, um von weiteren Marketingvorteilen zu profitieren.

Das könnte für Sie nützlich sein:

Beachten Sie, dass einige Artikel nur in englischer Sprache zur Verfügung stehen.

• [Artikel] Was hat es mit der Google-Richtlinie zur EU-Nutzereinwilligung auf sich?
• [Webinar] Google Consent Mode: 4 Schritte, die Sie jetzt durchführen sollten
• [Checkliste] Checkliste für den Google Consent Mode zur Erfüllung der Google-Anforderungen zum Datenschutz in der EU
• [Artikel] Wissenswertes über den Additional Consent von Google: Ein Leitfaden für Publisher
• [Artikel] Was ist eine von Google zertifizierte Consent Management Platform und wozu wird sie gebraucht?

Was sind CAPTCHAs?

CAPTCHA ist ein Akronym für den Ausdruck „Completely Automated Public Turing test to tell Computers and Humans Apart”. Trotz des eigenartigen Namens trifft der Name den Zweck des Tools sehr gut. Es geht darum zu erkennen, ob hinter einem Nutzer ein echter Mensch steckt, oder ob es sich lediglich um einen Bot oder automatisierten Nutzer handelt. Manche Aufgaben sind für Menschen sehr einfach, für Computer und Maschinen aber nur sehr schwer lösbar. Falls eine Seite erkennen möchte, ob ein Nutzer ein echter Mensch ist, muss dieser zum Beweis eine solche Aufgabe lösen.

Es gibt viele Beispiele dieser Aufgaben, die wir alle kennen. Zum Beispiel müssen aus 9 Bildern diejenigen erkannt werden, die einen Zebrastreifen, ein Auto oder einen Kran beinhalten. Die Bilder sind dabei nicht besonders klar und es kann auch für Menschen durchaus schwer erkennbar sein, welche Bilder die richtigen sind. Beliebt sind auch Buchstaben und Zahlen-Abfolgen, die gestreckt und gestaucht sind und vom Nutzer abgetippt werden müssen. Diese Variante wird allerdings immer seltener. Manchmal muss ein Nutzer auch einfach nur einen bestimmten Teil eines Bildes anklicken.

2014 ging das Tool reCAPTCHA v2 von Google live und das Kästchen „Ich bin kein Roboter“ erschien auf unseren Bildschirmen.

Wovor schützen CAPTCHAs?

CAPTCHAs schützen Nutzer und Webseiten vor vielen Risiken. Die größte Bedrohung für Webseiten geht häufig von sogenannten Bots aus. Das sind spezialisierte Programme, die von Servern Daten anfordern können und bei entsprechender Frequenz von Anfragen auch zu einem Absturz führen. Wenn diese Bots sich einem CAPTCHA stellen müssen, ist die Gefahr eines erfolgreichen Bot Angriffs deutlich geringer.

Auch sogenannte Account Takeover Attacks (ATO) werden immer häufiger. Hierbei versuchen Hacker, in einen Account „einzubrechen”. Zum Beispiel durch wiederholte Eingabe von Login Daten. Deswegen werden CAPTCHAs häufig getriggert, wenn man ein Passwort mehrere Male falsch eingegeben hat. So kann das „Durchprobieren” von Zugangsdaten verhindert werden, um den Zugang zu erraten. Auf die gleiche Weise können CAPTCHAs auch verhindern, dass Fake Accounts erstellt werden. Auch hier müssen sich neue Nutzer häufig als „menschlich” ausweisen.

Demo

Datenschutz und Marketing Hand in Hand

Sie möchten Nutzerdaten für Marketingzwecke datenschutzkonform sammeln und dabei gleichzeitig das Vertrauen Ihrer Nutzer in Ihre Marke stärken? Sprechen Sie mit unseren Experten und erleben Sie die Usercentrics CMP in Aktion. Wir freuen uns auf Ihre Fragen!

Jetzt Demo buchen

Was ist Google reCAPTCHA?

Google reCAPTCHA war schon immer für den oben genannten Dienst gedacht, aber hatte auch immer einen Nebenzweck. Die erste Version wurde auch entwickelt, um zu erkennen, ob automatisierte eingescannte Bücher richtig erkannt wurden. Deswegen gab es früher auch mehr der CAPTCHAS, in denen mehrere Wörter verschwommen dargestellt wurden und von Nutzern erkannt werden mussten. Seitenbetreiber können das Programm bei Google kaufen und auf der eigenen Seite einpflegen. So kann das CAPTCHA relativ einfach installiert werden und sehr zuverlässig ungewollte automatisierte Besucher filtern.

Es muss allerdings erwähnt werden, dass das Programm nicht unfehlbar ist. Google ermittelt nicht genau, ob jemand ein Bot ist, oder nicht, sondern nur, wie wahrscheinlich es ist, dass es sich bei dem Besucher um einen Bot handelt.

Die modernste Version: Google reCAPTCHA v3 API lässt Abfragen komplett entfallen

Ende 2018 hat Google die neueste Version von seinem CAPTCHA Dienst veröffentlicht. In dieser müssen Nutzer keine Aufgabe mehr erfüllen. Das System erkennt selbstständig, ob es sich um einen Menschen handelt. Jedem Besucher wird eine Zahl zwischen 0 und 1 zugewiesen, je nachdem wie menschlich das Verhalten eingestuft wird. Je nach Grenzwert werden dann Maßnahmen eingeleitet, um den Nutzer auszuschließen. Ein Wert von 0 entspricht dabei einem sehr sicheren Bot, während ein Wert von 1 für einen sehr eindeutigen Menschen steht.

Google reCAPTCHA v3 kann Verhalten auf einer Webseite so gut modellieren, dass es ganz ohne Kästchen anklicken oder Bilder erkennen auskommt. Das soll den Nutzer von dieser teilweise sehr lästigen Aufgabe befreien und Frust vermeiden. Menschen sollten also recht einfach durch „normales” Verhalten auf einer Webseite einen Score von 1 erreichen können. Wie genau dieser Score zustande kommt, gibt Google nicht preis. Auf der einen Seite ist das verständlich, da sonst Hacker diese Bedingungen maschinell erfüllen könnten, auf der anderen Seite kann so auch nur sehr schwer die Qualität des Programms eingeschätzt werden.

In dieser Technologie gibt es allerdings ein Problem: Alle Aktionen des Nutzers müssen überwacht werden. Der Nutzer und seine Bewegungen auf der Seite müssen genau nachvollzogen werden, um einen möglichst genauen Wert zu ermitteln. Das Problem liegt darin, dass der Nutzer rechtlich dazu seine Einwilligung geben MUSS.

Google reCAPTCHA v3 und Enterprise erkennt Menschen – ohne Fragen zu stellen

Website Besucher bekommen nichts von reCAPTCHA v3 mit. Für Nutzer ist, im Gegensatz zu früheren Iterationen, nicht mehr erkennbar, ob sie einem solchen Test unterzogen werden. Nur ein auf der Seite dargestelltes Logo weist auf die Nutzung von Google reCAPTCHA hin.

Wenn Google den Wert eines Nutzers auf unter 0,7 ermittelt, kann die Webseite den Zugriff des Nutzers einschränken oder komplett verhindern. Dann muss der Nutzer beispielsweise per Zwei-Faktor-Authentifizierung beweisen, dass es sich um einen Menschen handelt. Dies lässt sich umsetzen, indem ein „Action”-Tag auf einer Seite verbaut wird, auf der eine solche Abfrage stattfinden soll.

Die Vorteile von Google reCAPTCHA v3 und Enterprise

Wie schon erwähnt, liegt der größte Vorteil von Google reCAPTCHA v3 darin, dass Nutzer nicht mehr zu einem ausdrücklichen Test „gezwungen” werden müssen. Zusätzlich gibt es für Website Betreiber noch mehr Vorteile bei der Feinabstimmung der Google API.

Die Zugriffsrichtlinie kann für verschiedene Teile der Webseite unterschiedlich definiert werden. Eine Zugriffsrichtlinie ist dabei die Definition der Schwellenwerte und Prüfungsrichtlinien für eine bestimmte Seite oder einen Webseitenbereich. So kann für eine Anmeldung zu einem bestimmten Dienst ein Score von >0,9 nötig sein, um die oben erwähnten ATO Attacken zu verhindern, während ein Wert von 0,7 für die „normale” Seitennutzung völlig ausreicht. Diese Zugriffsrichtlinien können aber auch Transaktionsverläufe und Nutzungsprofile aus Nicht-Google-Daten beinhalten.

Google reCAPTCHA und die DSGVO

Das Ziel der DSGVO ist es, die personenbezogenen Daten von Nutzern möglichst umfassend zu schützen. Für diesen Schutz sind die Website-Betreiber selbst verantwortlich. Das bedeutet, dass jegliche Sammlung und Verarbeitung von personenbezogenen Daten für Analytics Tools oder Remarketing nur unter bestimmten Umständen passieren darf. Betreiber müssen also vorsichtig sein und grundsätzlich den Schutz der Nutzerdaten an oberster Stelle setzen.

Wie bereits erwähnt, läuft die Verwendung von CAPTCHAs mit Version 3 und Enterprise für die Nutzer quasi „unsichtbar“ ab. Es besteht als eine Art „Einwillingungspflicht”. So praktisch dies auf den ersten Blick erscheint, so intransparent ist es aber aus Datenschutzsicht. Denn das Nutzerverhalten wird verdeckt analysiert, ohne dass die Nutzer ihre ausdrückliche Einwilligung erteilen. Sie werden nicht darüber informiert, dass bei der Analyse durch das System u. a. folgende Daten an Google weitergeleitet werden:

• IP-Adresse
• Referrer-URL
• Betriebssystem
• Cookies
• Mausbewegungen/Tastaturanschläge
• Verweildauer
• Geräteeinstellungen (z. B. Spracheinstellungen oder Standort)

Gerade die IP-Adresse und Informationen zu den Geräten und Geräteeinstellungen in Verbindung mit den anderen Informationen sind eventuell personenbezogene Daten und fallen damit unter die DSGVO. Problematisch ist auch, dass nicht genau bekannt ist, welche Daten Google in welchem Umfang verarbeitet hat, um reCAPTCHA v3 anzubieten. Speicherdauer der Daten und Verarbeitungsprozesse sind nicht transparent. Daher müssen Website Betreiber besonders vorsichtig sein. Auch die bayerische Aufsichtsbehörde weist darauf hin, dass reCAPTCHA Risiken für Webseiten-Betreiber birgt. Klar ist: Die Einwilligungspflicht für reCAPTCHA ist nicht DSGVO konform.

Google reCAPTCHA DSGVO konform einbinden

reCAPTCHA kann, das geht aus den beschriebenen Problemen hervor, nicht problemlos in eine Seite eingebunden werden. Es gibt aber Maßnahmen, die eine DSGVO-konforme Einbindung von reCAPTCHA zulassen:

1. reCAPTCHA Hinweis in die Datenschutzerklärung

Die Funktionsweise von CAPTCHAs und besonders reCAPTCHA sollte möglichst transparent in die Datenschutzerklärung einer Webseite eingebunden sein. Das bedeutet auch, dass nicht nur das Nötigste beschrieben wird, sondern spezifisch beschrieben wird, für was diese Tools gedacht sind. Es ist wichtig, dass Nutzer verstehen, welche Vorteile das Tool hat und welche Daten dafür nötig sind. Dadurch stärken Sie auch Ihre Beziehung zu Ihren Nutzern und erhöhen Ihre Vertrauenswürdigkeit.

2. reCAPTCHA in Cookie Banner einbinden

Mit der Einbindung in die Datenschutzerklärung ist es leider noch nicht getan. Es ist wichtig, dass Nutzer explizit der Sammlung ihrer Daten für reCAPTCHA zustimmen. Das bedeutet, dass reCAPTCHA in Ihr Cookie Banner und Ihre Consent Management Platform eingebunden werden sollte. Hier können Sie die Einwilligung einholen und diese dann datenschutzkonform für die Zukunft ablegen.

Mit diesen beiden Maßnahmen können Sie reCAPTCHA möglichst DSGVO-konform verwenden. Es ist allerdings wichtig, dass Sie mit Ihrem Datenschutzbeauftragten und Ihrer Rechtsabteilung Rücksprache halten, ob die Maßnahmen für Sie ausreichen.

Schritt-für-Schritt-Integration

Events – TTT

Immer up to date: Unser Talk zum Thema Datenschutz

Egal ob Datenschutz, Recht oder Tech – wir wissen, was die Branche bewegt. Schalten Sie rein und lassen Sie sich in unserer zweiwöchentlichen Expertenrunde auf den neuesten Stand bringen.

Jetzt anmelden

Google reCAPTCHA integrieren – eine Schritt-für-Schritt Anleitung

1. Website registrieren und Secret Key erhalten

1. Sie müssen zunächst Ihre Website bei Google registrieren.
2. Melden Sie sich in Ihrem Google-Konto an und füllen Sie das entsprechende Formular aus.
3. Wählen Sie reCAPTCHA v3 oder Enterprise aus und aktivieren Sie darin die Option „Ich bin kein Roboter“.
4. Nach dem Absenden erhalten Sie von Google den Website Schlüssel und den Secret Key. Diese werden benötigt, um das Formular zu konfigurieren.

2. Google reCAPTCHA in die Website integrieren

1. Um reCAPTCHA in Ihre Website zu integrieren, müssen Sie es sowohl auf der Client-Seite als auch auf der Server-Seite einfügen.
2. reCAPTCHA v3 ist unsichtbar. Sie werden deshalb kein CAPTCHA-Formular auf Ihrer Website sehen und müssen die CAPTCHA-Antwort in Ihrem JavaScript-Code (Quellcode) erfassen.
3. Wenn Sie alle erforderlichen Aktionen getätigt haben, sehen Sie das reCAPTCHA-Symbol auf Ihrer Website. Damit können Sie den Dienst auf der Client-Seite zum Laufen bringen.
4. Das System analysiert nun die einzelnen Nutzer, erstellt dann einen Token und ordnet es einer versteckten Eingabe zu.

3. Serverseitige Einbindung

1. Da es kein CAPTCHA im Stil eines Kontrollkästchens gibt, muss die reCAPTCHA-Antwort erfasst und zur Validierung an das Backend gesendet werden.
2. Verwenden Sie eine PHP-Datei (Skriptsprache), um die Nutzer durch gewisse definierte Konstanten mit Daten zu überprüfen.
3. Der Code erstellt eine Anfrage, sendet sie an Google und gibt einen Wert zurück. Abhängig von der erhaltenen Punktzahl können Sie Aktionen durchführen, die für Ihre Anwendungen relevant sind.

Wichtig: Dies ist ein sehr simples Beispiel für eine serverseitige Einbindung und die Auswertung der Antwort. Wenn Sie es für Ihre Produkte anwenden, stellen Sie sicher, dass eine starke Client- und serverseitige Validierung verwendet wird, wie bei jedem Formular. Wenn Sie eine komplexere Validierung benötigen, lohnt sich ein Blick in die PHP-Bibliothek.

Zusammenfassung

Die Google reCAPTCHA Version 3 API-Lösung ist mit Ihrer Lösung ohne direkte Interaktionen mit den Nutzern besonders praktisch. So sind Bilder- und Worträtsel auf Webseiten eine Anekdote, die in einigen Jahren wahrscheinlich belächelt wird. Es ist vermutlich die Zukunft der „menschlichen” Prüfung. Allerdings bringt die Funktionsweise einige Probleme mit sich.

Es ist wichtig, dass ein funktionierendes Cookie Banner und eine gut funktionierende Consent Management Platform verwendet werden, wie sie von Usercentrics angeboten werden. So kann das Opt-In transparent und einfach eingeholt werden. Es ist dann auch nicht mehr nötig, eine Alternative zu verwenden. Die meisten Menschen sind dem Datenschutz von Drittanbietern wie Google gegenüber eher skeptisch. Deswegen müssen Websiten Betreiber besonderen Fokus darauf legen, Vertrauen zu schaffen. Dies funktioniert am Besten mit einem hochwertigen Cookie Banner und einer zuverlässigen CMP. Letztlich sind reCAPTCHA v3 und Enterprise für die meisten Website Besucher aber eine willkommene Neuerung.

Als Erfinderin des Teddybären weiß die Margarete Steiff GmbH, allgemein unter dem Namen Steiff bekannt, wie man Kunden glücklich macht. Seit der Herstellung der ersten Filztierspielzeuge im Jahr 1880 bis zu ihrer heutigen Online-Präsenz lag ihnen stets am Herzen, ihren Kunden das bestmögliche Einkaufserlebnis zu bieten.

Heutzutage stellt das Unternehmen Plüschtiere sowie Baby- und Kinderkleidung her. Mit seinem Hauptsitz in Deutschland und einer Tätigkeit in ganz Europa ist die Einhaltung der DSGVO für das Unternehmen von großer Bedeutung. Außerdem muss es für die sich fortlaufend weiterentwickelnden Datenschutzgesetze gewappnet sein.

Die kontinuierliche Optimierung des Online-Kundenerlebnisses erfordert Daten – und um diese Daten zu erfassen, müssen Nutzereinwilligungen eingeholt werden. Daher ist es jeden Tag aufs Neue wichtig, den Kunden ein großartiges Consent Management mit eindeutigen Informationen und Optionen bereitzustellen.

Das Steiff-Team nutzt die Usercentrics CMP bereits seit 2020. Im Hinblick auf seinen Fokus auf das Nutzererlebnis hat das Unternehmen insbesondere visuelle und interaktive Elemente angepasst, um sicherzustellen, dass die CMP sich nahtlos in seine CI einfügt und so benutzerfreundlich wie möglich ist. Außerdem stützt sich das Team stark auf die detaillierten Analytics-Insights.

Unsere Ansprechpartner bei Steiff ziehen ein tolles Fazit aus unserer Zusammenarbeit: „Usercentrics ist eine vertrauenswürdige Marke für Consent Management-Lösungen, sodass Kunden mehr Vertrauen in den Datenschutz auf unserer Website setzen.“

Jetzt herunterladen!