Carglass® ist auf die Reparatur und den Austausch von Autoglas spezialisiert. Das Unternehmen hat seinen Hauptsitz in Deutschland und ist in 34 Ländern tätig. Aufgrund der steigenden Nutzung der Website sind DSGVO-Konformität sowie die Einhaltung anderer wichtiger Vorschriften von entscheidender Bedeutung für das Unternehmen. 2021 wechselte Carglass® von der Usercentrics Consent Management Platform (CMP) Version 1 auf Version 2. Das Unternehmen nutzt die CMP auf allen 14 Domains und Subdomains.
Das Kundenerlebnis ist sehr wichtig für Carglass®, daher müssen die Websites hinsichtlich der Datennutzung und den Einwilligungsoptionen besonders klar verständlich und transparent gestaltet sein. Das Unternehmen legt zudem großen Wert auf die regelmäßige Analyse des Nutzerverhaltens und die Optimierung des User Interface. Auch die enge Zusammenarbeit mit dem Customer Success Team sowie schnelle und sorgfältige Interaktionen mit dem Support Team schätzt Carglass® sehr. Das Unternehmen führt viele Anpassungen durch und nutzt die angebotenen Features umfangreich und muss, dank des Support Teams, nicht lange auf Antworten oder Lösungen warten.
Die Migration von Version 1 auf Version 2 der CMP funktionierte schnell und problemlos. Seitdem profitiert das Team von Carglass® von schnelleren Ladezeiten, einer noch einfacheren Wartung und Features wie Cross-Domain Consent Sharing.
Jetzt herunterladen!
OEV Online Dienste ist ein zentraler Dienstleister für Versicherungen und Finanzdienstleister. Transparenz, Vertrauenswürdigkeit und Datenschutzkonformität sind daher von größter Bedeutung für das Unternehmen. Da das Unternehmen die Usercentrics CMP auf rund 50 Websites einsetzt, sind eine einfache Implementierung, Anpassung und Wartung ebenfalls sehr wichtig. Zudem lag OEV Online Dienste bei der Auswahl eines geeigneten Anbieters Wert darauf, dass dieser seinen Sitz in Europa hat, wo die Daten auch gespeichert werden.
Die Benutzerfreundlichkeit, die häufigen Aktualisierungen und der freundliche, hilfsbereite Support gehören laut OEV Online Dienste zu den größten Vorteilen der Partnerschaft, ebenso wie die Tatsache, dass Usercentrics dafür sorgt, dass die Kunden über gesetzliche Änderungen und Anforderungen auf dem Laufenden gehalten werden. Das Unternehmen vertraut weiterhin auf die Partnerschaft mit Usercentrics, um seine Marke zu schützen, DSGVO-Konformität aufrechtzuerhalten und die Zufriedenheit seiner Kunden hinsichtlich des Datenschutzes zu gewährleisten. Zudem freut sich das Unternehmen auch auf weitere Upgrades von Analytics und anderen Tools, die die Online-Erfahrung verbessern.
Jetzt herunterladen!
Datum: 23. Februar 2023
Wo: Online
Sprache: Deutsch
Diese ganztägige Veranstaltung zum Thema Datenschutz richtet sich speziell an Marketingfachleute: Wichtige Entscheidungsträger im digitalen Bereich, CMOs und datengesteuerte Marketingteams.
Jetzt kannst du live dabei sein und dein Wissen im Bereich Data Driven Marketing auf das nächste Level bringen. Melde dich an beim Digital Bash event und höre unser Speaking:
Session Titel: Die Zukunft des Datenschutzes – Vertrauen und Zustimmung in der Post-Cookie-Ära
2018 begann mit der DSGVO das Zeitalter des Datenschutzes. Das kann vor allem für datengetriebene Geschäftsmodell zum Problem werden. Zusätzlich wollen große Tech-Unternehmen das Ende der 3rd Party Technologien einläuten. Doch das Ende der Cookies von Drittanbietern bedeutet nicht das Ende des Tracking.
Die Notwendigkeit einer Zustimmung des Endnutzers zur Verarbeitung personenbezogener Daten wird auch ohne 3rd Party Cookies bestehen bleiben. Erfahre am 23.02., welchen Herausforderungen Unternehmen im Datenschutz-Zeitalter gegenüberstehen und welche alternativen Lösungen es in einer cookie-losen Zukunft gibt!
Heute werden mehr Nutzerdaten denn je über mehr Plattformen denn je generiert, erfasst und verarbeitet. Paradoxerweise geht es aber nicht mehr darum, um jeden Preis auf so viele Daten wie möglich zuzugreifen. Stattdessen liegt der Schwerpunkt inzwischen auf höherwertigen Daten und ihrer strategischen Verwendung. Diese lassen sich jedoch nur erfassen, wenn die Kunden und Nutzer, die diese Daten bereitstellen, direkt einbezogen werden.
Welche Probleme gibt es mit Third-Party-Daten?
Third-Party-Daten, die bisher den Großteil der Daten für Marketing, Werbung, Analytics usw. geliefert haben, und die Tools, mit denen sie erfasst wurden, werden zunehmend zu Lösungen und Technologien von gestern degradiert. Das liegt sicher auch daran, dass sie aufgrund der sich ändernden Datenschutzvorschriften als Strategie immer unattraktiver werden. Vor allem aber gibt es heute einfach bessere Optionen. Moderne Datenstrategien setzen zunehmend auf Zero- und First-Party-Daten, bessere Kontrolle und Systemintegration sowie auf eine stärkere Konzentration auf Nutzereinwilligungen und Datenschutz. Marketers müssen diese Entwicklung genau verfolgen und lieber früher als später handeln.
Welche Vorteile bietet Server-Side-Tagging?
Server-Side-Tagging (SST) ist ein wichtiger Bestandteil dieser Datenstrategie und der allgemeinen Entwicklung im Datenschutz. Unternehmen können ihre Integrationsmöglichkeiten über verschiedene Kanäle, wie Web, Apps oder Smart Devices, und Technologien, wie Data Warehouses und Customer Data Platforms (CDP), erweitern. Außerdem erhalten sie mehr Kontrolle über die Cookie-Nutzung. Dadurch haben sie Zugang zu konsistenten Daten über alle Kundenkontaktpunkte hinweg, können die Automatisierung verbessern und ihre Kosten im Laufe der Zeit senken.
Aus rechtlicher Sicht verbessern sie ihr Consent Management, verfügen über eine Option zur Bewältigung von Angemessenheitsproblemen, wie beim Privacy Shield (falls relevant), und können im Falle von Audits eine zentrale, zusammenhängende Informationsquelle nutzen.
Beim Client- wie auch beim Server-Side-Tagging ist es wichtig, Daten zu erfassen und dorthin zu liefern, wo das Unternehmen sie haben möchte. SST erstellt einen einzelnen Datenstrom, der eine zentrale Kontrolle über den Datenzugriff ermöglicht. Bei SST werden anstelle von JavaScript-Tags die gesammelten Daten vom Tag oder Pixel an einen First-Party-Tagging-Server gesendet, der sie dann an verschiedene Partner oder Anbieter weiterleitet. Sie entscheiden, welche Server auf welche Daten zugreifen können. Die Daten selbst sind ebenfalls einflussreich, da die Einwilligungspräferenzen z. B. Auswirkungen auf weitere Systeme und Plattformen haben, mit denen das Unternehmen verbunden ist, und die Nutzung von Cookies kontrollieren oder den Zugriff Dritter auf sensible Daten verhindern.
Tealium und Server-Side-Tagging
Tealium ist ein langjähriger Integrationspartner von Usercentrics und verfügt über umfangreiche Erfahrungen sowohl mit der Usercentrics CMP als auch mit Server-Side-Tagging. Die Customer Data Platform dieses Partners ist eine bewährte, marktführende Lösung, die Kundendaten über Online- und Offline-Kanäle hinweg vernetzt und Unternehmen bessere Interaktionsmöglichkeiten mit ihren Kunden eröffnet. Tealium bietet eine leistungsstarke, flexible Kontrolle über Marketing-Technologien und Kundendaten mit Tag Management, das den Datenschutz an erster Stelle setzt.
Tealium EventStream
Tealium EventStream ist eine flexible Lösung zur Erfassung und Bereitstellung von Daten, die sich ideal für alle Plattformen eignet. Im Web, auf Mobilgeräten und auf vernetzten Geräten wird Effizienz zunehmend zum entscheidenden Faktor. Konsolidieren Sie Ihre cloudbasierten (serverseitigen) Daten mit einem zentralen Hub. Jede Person mit zugewiesener Kontrolle kann die Daten dann aktivieren, um eine bessere Kundenerfahrung zu gewährleisten. (Dokumentation zu EventStream).
Die Usercentrics-Erweiterung
Mit der Usercentrics-Erweiterung profitieren Tealium-Kunden von einer vereinfachten, vollständig integrierten und einwilligungsbasierten Kontrolle über alle Services, einschließlich Tags und Anbieterintegrationen. Ordnen Sie Data Processing Services bestimmten Tags zu und verbessern Sie die Integration von Tag Management und Consent Management. So werden nur die Daten an Dritte weitergegeben, für die der Nutzer seine Einwilligung gegeben hat. Um die Implementierung zu vereinfachen, können Sie zur Einrichtung der Usercentrics CMP in Tealium iQ Tag Management die Plug-and-Play-Erweiterung nutzen.
Implementierungsleitfaden für EventStream
Voraussetzungen
Für das Tealium SST-Setup mit der Usercentrics CMP müssen einige Implementierungsvoraussetzungen erfüllt sein:
- Tealium iQ Tag Management ist vollständig eingerichtet und konfiguriert.
- Die Usercentrics-Erweiterung zur Verwaltung von Nutzereinwilligungen wurde auf der Website implementiert.
- Es ist ein aktuelles EventStream-Setup in Kombination mit dem Tealium Collect-Tag zur Erfassung von Website-Daten vorhanden.
Hinweis: Obwohl es sich hier um ein gängiges Beispiel handelt, kann jedes Setup von Server-Side-Tagging auf die Anforderungen des jeweiligen Unternehmens angepasst werden. Das in diesem Leitfaden verwendete Beispiel dient nur zu Lehrzwecken. Wir können keine Garantie für die Vollständigkeit oder Genauigkeit für einzelne Anwendungsfälle übernehmen.
Schritt 1: Weiterleitung der Einwilligung
Der große Vorteil der Tealium-Integration besteht darin, dass die Weiterleitung der Einwilligung so einfach und automatisiert wie möglich ist, vor allem dank der Interaktion zwischen der Usercentrics-Erweiterung, Collect und EventStream. Sobald die Usercentrics-Erweiterung in Tealium iQ Tag Management konfiguriert wurde, werden die Data Processing Services mit Einwilligung automatisch zu einem Array namens usercentrics_services_with_consent hinzugefügt und über Collect Tag in jede Anfrage an EventStream einbezogen.
Schritt 2: Einwilligungen in EventStream berücksichtigen
Der nächste Schritt besteht darin, sicherzustellen, dass nur die Daten in EventStream aktiviert werden, für die eine Einwilligung vorliegt. Das lässt sich ganz einfach erreichen, indem Sie eine Einwilligungsbedingung für Ihre Event Feeds hinzufügen. So werden nur Events erfasst, denen das Attribut usercentrics_services_with_consent zugewiesen ist und die den jeweiligen Service enthalten, für den eine Einwilligung erforderlich ist. Verwenden Sie dabei unbedingt dieselben Namen für die Data Processing Services (z. B. „Facebook Pixel“), die in der Usercentrics-Erweiterung und dem Admin Interface angegeben sind, da die Zuordnung über den Namen der Services erfolgt.
Wiederholen Sie den Vorgang für alle Ihre Event Feeds und schon sind Sie fertig mit dem Setup. Die auf der Website angeforderten Nutzereinwilligungen werden an EventStream weitergeleitet, um sicherzustellen, dass nur berechtigte Daten aktiviert werden.
Zusammenfassung
In einer Welt, in der sich Technologien, Verordnungen und Nutzererwartungen ständig ändern, kann sich Server-Side-Tagging als wichtiges Tool für die Weiterentwicklung Ihrer Datenstrategie und Marketingaktivitäten erweisen. Erhalten Sie hochwertige Daten und mehr Kontrolle über deren Verwendung. Hebeln Sie Intelligent Tracking Prevention (ITP) und Adblocker aus. Verbessern Sie die Performance und Benutzerfreundlichkeit Ihrer Website. Setzen Sie den Datenschutz an erste Stelle, um gesetzliche Verpflichtungen zu erfüllen und die Einwilligungsentscheidungen Ihrer Kunden zu respektieren.
Wie der Leitfaden veranschaulicht, hilft Tealium in Kombination mit der Usercentrics-Integration dabei, die Weiterleitung von Einwilligungen so einfach und automatisiert wie möglich zu gestalten. Die Einhaltung von Datenschutzvorschriften kann komplex sein, aber dank unserer stabilen Partnerschaft profitieren Sie von einem nahtlosen Consent Management. Tealium iQ Tag Management und EventStream geben Ihnen leistungsstarke Tools an die Hand, mit denen Sie die Vorteile von Server-Side-Tagging nutzen und die Möglichkeiten von First-Party-Daten voll ausschöpfen können.
Usercentrics setzt auf die Zusammenarbeit mit erfahrenen Partnern wie Tealium, insbesondere da das Team von Tealium mit seinem Fachwissen über Server-Side-Tagging und seiner Erfahrung mit unserer CMP Systemintegrationen erstellt, die Kundenziele erfüllen und eine bessere Datennutzung ermöglichen.
Kontaktieren Sie unsere Experten und erfahren Sie, wie Sie Server-Side-Tagging für Ihr Unternehmen implementieren können.
Bei der Einführung und dem Betrieb einer erfolgreichen mobilen App gibt es viele Faktoren, die berücksichtigt und bis ins kleinste Detail durchdacht werden müssen. Wichtige Faktoren sind: die Nutzererfahrung, die Optimierung des App-Stores, die Offline-Funktionalität, der Datenschutz und die Sicherheit, das Marketing und der tatsächliche Vorteil, den Ihre App zum Alltag der Nutzer beisteuert.
Entwickler mobiler Apps, die ihre Einnahmequellen schützen und vertrauensvolle Beziehungen zu ihren Nutzern aufbauen möchten, konzentrieren sich zunehmend auf den Datenschutz.
Wenn sie die Einwilligung für mobile Apps nämlich nicht respektieren, kann dies zu einem Vertrauensverlust zwischen dem Verbraucher und dem App-Entwickler führen. Mobile Apps, die gegen Datenschutzverordnungen wie dem California Consumer Privacy Act (CCPA), dem brasilianischen Datenschutzgesetz/Lei Geral de Proteção de Dados (LGPD), der ePrivacy-Richtlinie und natürlich auch der Datenschutz-Grundverordnung der Europäischen Union (DSGVO) verstoßen, haben bereits erhebliche Geldstrafen hinnehmen müssen.
Die DSGVO der EU ist im Mai 2018 in Kraft getreten und soll Einzelpersonen eine bessere Kontrolle über ihre personenbezogenen Daten gewähren. Die DSGVO schreibt vor, dass App-Verantwortliche die ausdrückliche Einwilligung ihrer Nutzer einholen müssen, bevor sie personenbezogene Daten erfassen, verwenden oder verkaufen dürfen. Eine DSGVO-konforme Einwilligung für mobile Apps umfasst z. B. Daten wie Standort, Name, Adresse, Telefonnummer, biometrische Daten, Gesundheits- oder Finanzdaten. Die DSGVO beinhaltet jedoch auch die Cookie-Einwilligung sowie alle Daten, die zur Identifizierung einer Person genutzt werden könnten, wie z. B. die IP-Adresse. Daher müssen Entwickler von mobilen Apps auch die Cookie-Einwilligung berücksichtigen.
Mobile Apps benötigen Verbraucherdaten aus vielen legitimen und notwendigen Gründen. Wir verraten Ihnen fünf Best Practices für die Einholung und Verwaltung von Einwilligungen in mobilen Apps.
1. Das richtige Timing: Legen Sie den Zweck zum Zeitpunkt der Anfrage offen
Der Kontext spielt bei der persönlichen Entscheidungsfindung eine große Rolle. Es ist viel wahrscheinlicher, dass ein App-Nutzer Ihnen die Erlaubnis zur Verwendung seiner Daten erteilt, wenn er genau versteht, welche Daten Sie verlangen und warum. Was hat der Nutzer davon, wenn er Ihnen gestattet, seine Daten zu verwenden?
Es ist ratsam, bereits bei der Anfrage nach der Verwendung von personenbezogenen Daten den Zweck offenzulegen – und in einigen Datenschutzgesetzen ist dies sogar gesetzlich vorgeschrieben. Nehmen wir an, Sie haben eine App für einen Mode-Einzelhandel entwickelt und bieten einen kostenlosen Lieferdienst an. Wenn Sie einen Kunden um die Einwilligung zur Verwendung seiner Standortdaten bitten, während er gerade nach T-Shirts stöbert, wird er sich vielleicht wundern, warum Sie diese Daten benötigen. Wenn Sie jedoch dieselbe Einwilligungsanfrage stellen, wenn der Nutzer zur Kasse geht und eine Lieferoption auswählt, ergibt es für den Verbraucher kontextbezogen gesehen mehr Sinn, dass Sie Standortdaten benötigen, um diesen Dienst bereitzustellen.
Indem Sie offen, transparent und klar kommunizieren, welche Daten Sie benötigen und welche Vorteile der Verbraucher dadurch erhält, kann er fundierte Entscheidungen treffen, wodurch das Vertrauen zwischen Ihnen und Ihren Nutzern wächst.
2. Bieten Sie dem Verbraucher die Möglichkeit, seine Einwilligung zu verweigern
Natürlich möchten wir alle, dass die Nutzer unserer mobilen Apps ihre Einwilligung zur Verwendung ihrer Daten geben, aber es ist auch wichtig, dass Sie Verbrauchern eine klare und einfache Möglichkeit bieten, diese zu verweigern.
Zudem sollten Sie es Ihren Nutzern leicht machen, ihre Einstellungen für die mobile App zu einem späteren Zeitpunkt zu ändern. Tatsächlich ist dies in einigen Datenschutzgesetzen sogar vorgeschrieben. Gemäß der DSGVO darf die Einwilligung jedoch keine Bedingung für die Verwendung sein. Wenn ein Verbraucher seine Einwilligung verweigert, diese Daten aber für die Bereitstellung einer bestimmten Funktion erforderlich sind, kann es sinnvoll sein, diese Funktion in Ihrer App einzuschränken. Bleiben wir bei unserem Beispiel von vorhin. Wenn ein Verbraucher Ihre Anfrage zur Verwendung von Standortdaten ablehnt und dann feststellt, dass er nicht sehen kann, wo sein Lieferfahrer sich derzeit befindet, möchte er vielleicht zu einem späteren Zeitpunkt doch seine Einwilligung geben. Machen Sie es ihm leicht, seine Meinung zu ändern.
Vergessen Sie nicht, dass die DSGVO die ausdrückliche Einwilligung des Verbrauchers zur Verwendung seiner Daten (oder auch nicht) verlangt. Daher ist es wichtig, dass Sie Ihre Anfragen klar und transparent formulieren und sowohl eine Option zum Akzeptieren als auch zum Ablehnen anbieten.
3. Fordern Sie klar und höflich die ausdrückliche Einwilligung für jeden einzelnen Anwendungsfall an
In der Anfangsphase der DSGVO schienen einige Apps zu versuchen, die Einwilligung des Nutzers über vage oder verwirrende Einwilligungserklärungen einholen zu wollen. 2023 ist das jedoch keine „sichere“ Taktik mehr. Heute sind nicht nur die Kontrollen deutlich strenger, sondern Verbraucher wissen auch viel besser Bescheid darüber, welche Daten Teil eines Einwilligungsprozesses für eine mobile App sein können und welche Rechte sie in Bezug auf diese Daten haben.
Sie schaffen Vertrauen und geben den Nutzern Ihrer App die beste Möglichkeit, eine fundierte Entscheidung zu treffen, indem Sie explizit, klar und transparent kommunizieren.
Mit klaren Formulierungen, die Ihre Nutzer auch verstehen, haben Sie bessere Chancen, dass sie Ihnen die Einwilligung zur Verwendung ihrer Daten erteilen. Zu diesem Zweck empfiehlt Google, bei der Verfassung von Einwilligungserklärungen für mobile Apps von einem Lesealter eines 13-Jährigen auszugehen. (In vielen Gesetzgebungen ist das 13. Lebensjahr das Alter, in dem eine Person ihre eigene Einwilligung geben kann und nicht mehr von einem Elternteil oder Erziehungsberechtigten abhängig ist.)
4. Verwenden Sie Offenlegungshinweise, die wie Ihre App und nicht wie die Benachrichtigungen des Betriebssystems (OS) aussehen
Es ist wichtig, dass Ihre Offenlegungshinweise nicht wie Benachrichtigungen des Betriebssystems aussehen, da dies Ihre Verbraucher verwirren könnte.
Schließlich sollen Ihre Nutzer verstehen, dass es Ihre spezielle App ist, die um die Verwendung dieser Daten bittet, und nicht Apple oder Google. Nehmen wir noch einmal das Beispiel einer mobilen App eines Mode-Einzelhandels. Wenn ein Nutzer einer mobilen App denkt, dass Sie, also die Shopping-App, um die Einwilligung zur Verwendung von Standortdaten bitten, damit er seine Lieferungen verfolgen kann, ist die Wahrscheinlichkeit groß, dass er Ihnen diese Einwilligung auch gibt. Eine gute Consent Management-Lösung bietet Ihnen die Möglichkeit, das User Interface und die Nutzererfahrung anzupassen.
Wenn ein Nutzer hingegen fälschlicherweise denkt, dass die Anfrage zur Verwendung von Standortdaten vom Betriebssystem stammt, könnte er denken, dass er damit allen Apps die Erlaubnis zur Verwendung seiner Standortdaten erteilt, und diese ablehnen.
Um Vertrauen aufzubauen und eine nahtlose Nutzererfahrung zu bieten, sollten Funktionen wie Offenlegungshinweise wie Ihre eigene App aussehen und sich auch so anfühlen, d. h. dieselben Schriftarten, Farben usw. haben.
Der ideale Moment für Ihre Einwilligungsanfrage ist innerhalb der normalen Nutzererfahrung an einem Punkt, an dem die Einwilligung im Kontext sinnvoll ist. (Weitere Details siehe Tipp 1 oben.)
5. Formulieren Sie Einwilligungsanfragen transparent, klar und konkret
Verbraucher wissen heutzutage bestens über ihre Datenrechte Bescheid. Der Versuch, sie abzulenken oder zu verwirren, ist daher riskant – sowohl für das Vertrauen der Nutzer als auch für die Einhaltung gesetzlicher Vorschriften.
Wenn Sie langfristige, vertrauensvolle Geschäftsbeziehungen zu Ihren Nutzern aufbauen möchten, sollten Sie Ihre Einwilligungsanfragen transparent, klar und konkret formulieren. Die DSGVO verlangt, dass die Einwilligung „freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich“ gegeben wird.
Setzen Sie daher auf klare und einfache Formulierungen, da die Nutzer Ihrer mobilen App oft nicht lange überlegen, ob sie die Einwilligung geben oder verweigern. Wenn Ihre Zielgruppe international ist, kann es auch nützlich sein, Informationen und Anfragen in mehreren Sprachen zu präsentieren.
Kommunizieren Sie eindeutig, was der Nutzer im Gegenzug für seine Einwilligung von der Transaktion erhält. Verbraucher wollen wissen, welche Vorteile sie erhalten, wenn sie ihre Einwilligung geben, also sorgen Sie dafür, dass sie Bescheid wissen.
Fazit
Was: Für welche konkreten Daten bitten Sie um die Einwilligung des Nutzers?
Warum: Legen Sie transparent die Hauptzwecke dar, für die Ihre App die Einwilligung zur Verwendung von personenbezogenen Daten einholt. Studien haben gezeigt, dass Nutzer eher dazu neigen, eine App zu deinstallieren, wenn sie nicht verstehen, warum die App um eine Einwilligung bittet.
Wie: Erklären Sie den Nutzern Ihrer mobilen App, wie Sie ihre Daten verwenden, wie sie gespeichert werden und wie sie ihre Einstellungen zu einem späteren Zeitpunkt ändern können.
Klarheit: Verwenden Sie klare, einfache Formulierungen, die leicht zu lesen und verstehen sind. Google empfiehlt, bei Ihren Einwilligungsanfragen für mobile Apps von einem Lesealter von 13 Jahren auszugehen. Auch wenn in der Kürze die Würze liegt, sind längere Erklärungen, die das Verständnis der Nutzer verbessern, empfehlenswerter als kürzere Erklärungen, die Zweifel aufkommen lassen.
Third-Parties: Vergessen Sie nicht, Angaben zu Third-Parties zu machen, denen Sie die Daten eines Nutzers ebenfalls zur Verfügung stellen möchten, und zu erläutern, warum diese Third-Parties Zugang benötigen.
Datenschutzkonformität muss nicht kompliziert sein. Eine Consent Management Platform, wie die von Usercentrics, kann Ihnen dabei helfen, die Einholung, Verwaltung und Optimierung von Einwilligungen für mobile Apps zu meistern. Haben Sie noch Fragen? Sprechen Sie mit einem unserer Experten. Wir helfen Ihnen gerne weiter.
Demo buchenUsercentrics bietet keine Rechtsberatung zur Einhaltung von Datenschutzvorschriften. Wir empfehlen immer, einen qualifizierten Rechtsbeistand zu konsultieren, um Ihre speziellen Anforderungen an den Datenschutz und das Consent Management zu erfüllen.
Die Hamburg Messe und Congress (HMC) veranstaltet viele verschiedene nationale und internationale Events mit 700.000 Besuchern jährlich. Das Unternehmen betreibt außerdem mehr als 20 Websites, und angesichts der verstärkten Kontrolle, der ein öffentliches Unternehmen ausgesetzt ist, ist DSGVO-Konformität für die HMC von entscheidender Bedeutung. Die Einhaltung der DSGVO auch in Zukunft gewährleisten zu können sowie die Einhaltung anderer deutscher und EU-Gesetze ist dem Unternehmen daher sehr wichtig.
Die HMC ist bereits seit 2021 ein Kunde von Usercentrics und persönliche Empfehlungen waren einer der Hauptgründe bei der Auswahl der Usercentrics CMP. Die hohe Reaktionsbereitschaft des Support-Teams, die benutzerfreundlichen Features im Admin Interface und die umfangreiche DPS-Bibliothek haben maßgeblich zu einer schnellen und reibungslosen Implementierung beigetragen. Zudem kann die CMP mit Hilfe dieser Features ganz einfach gewartet und optimiert werden.
Jetzt herunterladen!
Welche Arten von Nutzerdaten gibt es?
In jeder Art von Organisationen werden durch den täglichen Betrieb Daten gesammelt. Besonders intensiv ist die Anhäufung von Daten bei der Nutzung einer webbasierten Anwendung wie einer Webseite oder einer App. Die Daten können von Nutzern, Kunden oder Besuchern stammen, die mit einer Organisation in Kontakt kommen.
Manche dieser Daten sind unspezifische Daten, die Rückschlüsse über eine Website zulassen. Dazu gehören beispielsweise die durchschnittliche Sitzungsdauer, oder welche Elemente auf einer Seite besonders häufig geklickt werden. Andere Informationen sind explizite Informationen zur Identifizierung von Nutzern, bspw. nach einem Kauf. Hierbei handelt es sich um Daten wie Namen, Adressen oder Kontodaten.
Andere Daten liegen zwischen diesen beiden Kategorien. Sie sind zwar grundsätzlich unspezifisch, lassen aber in Kombination mit weiteren Informationen Rückschlüsse über eine individuelle Person zu. Beispiele hierfür sind Geburtsdaten, IP-Adressen oder der Wohnsitz einer Person.
Manche Daten beziehen sich auch nur auf die Beziehung eines Nutzers zu einer Organisation. Beispielsweise, wann die Person das letzte Mal einen Kauf getätigt hat oder ob eine Person in den Erhalt eines Newsletters eingewilligt hat.
Alle Daten, durch die entweder direkt oder indirekt Rückschlüsse auf eine individuelle Person möglich sind, heißen personenbezogene Daten. In einigen oben beschriebenen Fällen handelt es sich sogar um sogenannte persönlich identifizierbare Informationen (PII). Diese Kategorisierung ist für den Datenschutz besonders wichtig, da die Daten für den Gesetzgeber als besonders schützenswert gelten.
Wie können Nutzerdaten kategorisiert werden?
Für geschäftliche Zwecke und insbesondere für das Marketing, können Nutzerdaten in vier Hauptkategorien eingeteilt werden:
- Zero Party Data
- First Party Data (auf deutsch manchmal Erstanbieter Daten)
- Second Party Data
- Third Party Data (auf deutsch manchmal Drittanbieter Daten)
Second Party Daten sind deutlich seltener anzutreffen als die Daten der anderen drei Kategorien. Daher finden Sie hier eine Auflistung der Definition und der Beispiele der drei wichtigsten Kategorien:
| Datenart | Zero-Party-Daten | First-Party-Daten | Third-Party-Daten |
|---|---|---|---|
| Definition | Explizit vom Nutzer zur Verfügung gestellte Daten. | Implizite Nutzerdaten, die basierend auf dem Nutzerverhalten erfasst werden. | Von Dritten erfasste Daten, die erworben oder gekauft wurden und so indirekt von Advertisern stammen. |
| Beispiele | Daten, die über Formulare, Umfragen, Fragebögen, Profileinstellungen usw. erfasst werden. | Interaktion mit der Website, App-Nutzung, frühere Online-Käufe, Interaktion in sozialen Medien. | Über Kaufsignale erfasste Daten, demografische Informationen, über Tracking-Technologien von Drittanbietern erfasste Daten. |
Diese Datentypen können für verschiedene Zwecke genutzt werden und bringen unterschiedliche technische und rechtliche Herausforderungen mit sich. Die Daten diverser Nutzer unterliegen unterschiedlichen Rechtsgrundlagen. Die Daten europäischer Nutzer unterliegen beispielsweise der DSGVO. Diese regelt, wie mit europäischen Nutzerdaten umgegangen werden muss. In Südafrika müssen sich Unternehmen allerdings an die POPIA halten.
Grundsätzlich ist allen Datenschutzgesetzen wichtig, dass die Nutzerdaten bestmöglich geschützt werden. Dieser Schutz ist bei verschiedenen Nutzerdaten unterschiedlich umsetzbar und sorgt dadurch für Schwierigkeiten beim Sammeln und Verarbeiten von Nutzerdaten diverser Art.
Es ist wichtig zu verstehen, warum die beschriebenen Kategorien an Nutzerdaten für den Datenschutz unterschiedlich relevant sind. Außerdem ist wichtig, welche Bedeutung die Kategorien auf die potentiellen Anwendungsmöglichkeiten der Daten haben.
DSGVO konformer Umgang mit Nutzerdaten
Die DSGVO regelt in Europa sowohl die Sammlung, als auch die Verarbeitung von personenbezogenen Daten. Grundsätzlich können Zero Party Daten, First Party Daten und Third Party Daten personenbezogen sein. Entscheidend ist, dass aus den Daten entweder direkt oder indirekt Rückschlüsse auf einzelne Personen möglich sind.
Personenbezogene Daten werden von der DSGVO besonders geschützt, weil sie das größte Potential für Schaden bieten. Zudem geht das europäische Recht davon aus, dass das Recht auf Eigentum an den eigenen Daten besonders schützenswert ist.
Für die verschiedenen Formen der Daten hat das unterschiedlich starke Konsequenzen, auf die in den einzelnen Abschnitten näher eingegangen wird. Gemein haben die Kategorien zwei entscheidende Fragen, die datenschutzrechtliche Implikationen haben:
- Wie werden die Daten gesammelt?
- Wie werden die Daten verarbeitet?
Wie werden Nutzerdaten DSGVO konform gesammelt?
Damit Nutzerdaten DSGVO konform gesammelt werden können, ist es wichtig, dass einige Kriterien erfüllt sein müssen. Zentral ist, dass Nutzer in die Sammlung und die spezifische Verarbeitung Ihrer Daten einwilligen. Die Einwilligung in den Erhalt eines Newsletters kann z. B. mithilfe eines gesetzten Hakens passieren. Bei einem Code, der automatisch Nutzerdaten sammelt, braucht es allerdings eine andere Lösung. Hierbei kommen häufig Consent Management Plattformen zum Einsatz. Diese ermöglichen eine DSGVO-konforme Einwilligung in die Sammlung und Verarbeitung der Nutzerdaten. Damit diese Einwilligung gültig ist, muss sie einige Kriterien erfüllen:
Wie werden Daten DSGVO konform verarbeitet?
Neben der Sammlung von Nutzerdaten ist für die DSGVO auch entscheidend, wie diese verarbeitet werden. Dafür gelten gemäß Art. 5 DSGVO folgende Grundsätze:
- Die Daten müssen auf „rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person […]” verständlichen Art verarbeitet werden.
- Die Daten müssen „für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden”.
- Die Menge der erhobenen Daten sollte so klein wie möglich ausfallen.
- Die Daten müssen richtig sein und nach Möglichkeit auch auf dem neuesten Stand gehalten werden.
- Die Daten sollen nur so lange gespeichert werden, wie es nötig ist, um den ursprünglichen Zweck der Datensammlung zu erfüllen.
- Die Daten müssen umfangreich geschützt werden. Es müssen möglichst alle Maßnahmen ergriffen werden, um die Daten vor unbefugtem Zugriff zu schützen.
- Wer personenbezogene Daten sammelt, muss jederzeit nachweisen können, dass er die vorherigen sechs Vorgaben einhält.
Wie sich diese Regelungen auf die verschiedenen Nutzerdatenkategorien auswirken, finden Sie in den folgenden Abschnitten.
Zero Party Data
Was sind Zero Party Daten?
Zero-Party-Daten werden auch als explizite Daten, Opt-In- Daten oder selbst angegebene Daten bezeichnet. Manchmal werden sie als „Heiliger Gral“ oder „Zukunft des Marketings“ beschrieben. Konkret handelt es sich dabei um Daten, die Kunden, Website-Besucher und Nutzer bewusst und freiwillig an ein Unternehmen weitergeben – in der Regel auf Nachfrage des Unternehmens.
Das Erfassen von Zero-Party-Daten läuft nicht über externe Quellen. Es ist auch nicht notwendig, die Nutzerpräferenzen durch Analyse oder Rückschlüsse zu erschließen, da der Nutzer sie explizit angibt. Trotzdem müssen die Einwilligungen der einzelnen Nutzer in die Verwendung Ihrer Daten gespeichert werden. Laut DSGVO haben Nutzer das Recht, die Einwilligung in die Verwendung und Speicherung der Daten jederzeit zu widerrufen. Zudem können Nutzer eine Auskunft über die Daten einfordern, die ein Unternehmen von Ihnen besitzt.
Wie wird Zero Party Data erfasst?
Zero Party Daten werden direkt vom Unternehmen erfasst und nur dem Unternehmen zur Verfügung gestellt. Es handelt sich dabei also um Daten aus der Erstellung eines Profils oder die Antworten auf eine Umfrage. Manchmal findet als „Gegenleistung” für die Daten ein Austausch statt. Unternehmen bieten häufig für eine Anmeldung zum Newsletter einen einmaligen Rabatt oder einen dauerhaften Mitglieder-Rabatt. Falls Sie mit solchen Aktionen Daten sammeln, handelt es sich also um Zero Party Daten. Zero Party bedeutet in diesem Fall, dass die Daten nicht indirekt gesammelt wurden (wie etwa die Angabe, wie lange eine Person auf einer Seite verweilt), sondern direkt vom Nutzer übermittelt wird.
Wie kann eine Zero Party Data Strategie aussehen?
Da Zero Party Daten von Nutzern freiwillig übergeben werden, können Unternehmen der Datenqualität vertrauen. Die Daten können verwendet werden, um Kundenpräferenzen besser zu verstehen und Einsicht in das Kundenverhalten zu gewinnen. Auf diese Weise können personalisierte Werbemaßnahmen ergriffen oder individuelle Rabatte entwickelt werden.
Die Daten können auch dafür verwendet werden, die eigene Produktstrategie zu optimieren. So können beispielsweise Kundenbefragungen für die Produktinnovation oder die Ermittlung von Nachfragetrends verwendet werden. Zero Party Daten sind also sowohl für das Marketing als auch für die Unternehmensentwicklung wichtig.
Zero Party Data und die DSGVO
Aufgrund dessen, wie Zero Party Daten gesammelt werden, sind einige der Vorschriften der DSGVO automatisch erfüllt. Zudem behalten Nutzer bei der Angabe Ihrer Daten ein gewisses Maß an Kontrolle, welche Daten sie übermitteln wollen. So kann etwa die Angabe einer Telefonnummer optional sein. Es entsteht aber auch das Risiko, dass Fehlangaben gemacht werden, um sich beispielsweise einen weiteren Rabatt zu sichern. Da fehlerhafte, abgespeicherte Daten über eine Person ein potentieller Verstoß gegen die DSGVO sein können, müssen sich Unternehmen eine Strategie überlegen, um Fehlangaben so gut wie möglich zu vermeiden.
Alle Regelungen zu einer DSGVO-konformen Einwilligung in die Nutzung der angegebenen Daten lassen sich recht einfach umsetzen. Eine gesonderte Einwilligung ist nicht erforderlich, da die Daten gar nicht erst zugänglich wären, wenn der Kunde sie nicht freiwillig zur Verfügung gestellt hätte. Auch die Möglichkeit zum Widerruf der gegebenen Einwilligung lässt sich bei Zero-Party-Daten recht einfach gewährleisten. Schließlich können die Personen den Erhalt von Mitteilungen eines Unternehmens einfach abbestellen, eine Umfrage ignorieren, ein Konto schließen usw.
Die größte Herausforderung für den wachsenden Zugriff auf Zero-Party-Daten besteht darin, dass das Vertrauen der Verbraucher nach wie vor niedrig ist. Dieses Problem beschränkt sich nicht auf eine bestimmte Branche, sondern ist weit verbreitet. Unternehmen müssen sich nach und nach und über alle Kanäle hinweg das Vertrauen der Verbraucher verdienen, indem sie Transparenz und Respekt für ihre Privatsphäre demonstrieren und ein durchgehend positives Nutzererlebnis bieten. Erst dann sind Kunden bereit, im Gegenzug für Rabatte, gezielte Kommunikation, Produktempfehlungen oder andere Vorteile ihre Daten anzugeben.
First Party Data
Was sind First Party Daten?
First Party Daten heißen auch Kundendaten, proprietäre Daten, eigene Daten oder interne Daten. Die Art und Weise, wie diese Informationen von Unternehmen erfasst werden, ist nach Zero-Party-Daten die unmittelbarste. Die aus diesen Informationen gewonnenen Erkenntnisse sind mitunter nicht so genau wie die Insights aus Zero-Party-Daten, bilden aber dennoch eine sehr wichtige Quelle für die Datenstrategie von Unternehmen.
Beispiele von First Party Data
- Daten aus der Analyse der Website wie Seitenaufrufe, die auf der Website verbrachte Zeit oder Klickpfade.
- Aufzeichnung der online gekauften Produkte oder welche Produkte in den Warenkorb gelegt wurden.
- App-Daten wie etwa die Häufigkeit der Aufrufe der App oder darin getätigte Käufe.
- Daten aus einem Social Media Profil wie Follower, Kommentare, Likes oder Shares.
- Daten aus E-Mail-Kampagnen wie die Öffnungsrate oder allgemein die Auswertung von Marketingkampagnen.
Wie kann eine Datenstrategie mit First Party Data aussehen?
Daten aus erster Hand, die aus Kundeninteraktionen mit einer Website gewonnen werden, sind wertvoll, um Muster und Präferenzen aufzudecken, die Kunden indirekt durch ihre Handlungen zum Ausdruck bringen. Diese Erkenntnisse sind wichtig für die Segmentierung von Zielgruppen, die Personalisierung von Marketingbotschaften und die Entwicklung von Vorhersagemodellen. Durch eine Segmentierung von Zielgruppen lassen sich beispielsweise gezielt Anzeigen schalten, welche die Wahrscheinlichkeit eines Kaufes signifikant steigern können.
Daten aus erster Hand sind auch bei der Bewertung von Marketingkampagnen entscheidend. Durch die Analyse der Nutzerdaten lässt sich der ROAS für Anzeigen und Kampagnen ermitteln, sowie ein Bild der dadurch generierten Nutzer und Käufer gewinnen. First Party Daten sind für die Webanalyse unerlässlich.
Eine der größten Stärken des Online Marketings ist die Möglichkeit, gezielt Menschen über Werbeanzeigen ansprechen zu können. Diese Stärke wird vor allem durch First Party Daten ermöglicht. Zudem können die Daten dabei helfen, Online Stores zu optimieren und so Kennzahlen wie die Conversion Rate zu steigern.
Wie wird First Party Data erfasst?
Da First Party Daten aus erster Hand stammen, umfassen die Quellen alle unternehmenseigenen Webaktivitäten. Dazu gehören beispielsweise:
- Websites
- E-Commerce-Shops
- mobile Apps
- Social-Media-Kanäle
Sie umfassen eine Vielzahl von Daten, die nicht nur Aufschluss darüber geben können, wer ein Benutzer ist – von der IP-Adresse über Anmeldedaten bis hin zu Zeitstempeln und E-Commerce-Aktivitäten –, sondern auch darüber, was seine Aufmerksamkeit erregt und für ihn von Interesse ist.
First Party Daten und die DSGVO
First Party Daten werden häufig in aggregierter Form verwendet, um Einblicke in die Unternehmensleistung oder das Nutzerverhalten zu gewinnen. Für diese Zwecke ist es von Vorteil, wenn die Daten möglichst vieler Nutzer gewonnen werden und der jeweilige Datensatz möglichst umfangreich ausfällt.Wichtig ist aber, dass die Nutzer dieser Verwendung Ihrer Daten ausdrücklich zustimmen und dass die Verarbeitung der Daten bei der Aggregation im Sinne der DSGVO durchgeführt wird. Dieser Prozess ist häufig an Cookies gebunden, die datenschutzrechtlich fragwürdig sein können. Das DSGVO-konforme Einholen der Einwilligung sollte daher über eine Consent Management Platform und ein darin integriertes hochwertiges Consent Banner passieren. Dadurch kann ein Höchstmaß an Sicherheit für die Nutzer und ein vertrauensvoller Umgang mit den Nutzerdaten gewährleistet werden.
Second Party Data
Was sind Second Party Daten?
Second Party Daten sind Nutzerinformationen, die direkt von einer anderen Organisation oder einem anderen Unternehmen stammen. Sie sind also nicht selbst gesammelte Daten (First Party Daten) oder gekaufte Daten von einem darauf spezialisierten Unternehmen (Third Party Daten). Es handelt sich meistens um First Party Daten eines anderen Unternehmens, das diese entweder willentlich teilt oder verkauft.
Dabei handelt es sich häufig um einen Austausch innerhalb von Unternehmen, die ein komplementäres Verhältnis führen. Die Daten einer Fluggesellschaft könnten beispielsweise für Hotelketten von Vorteil sein, um aktuelle Reisetrends erkennen zu können und das eigene Angebot darauf abzustimmen. Ein solcher Austausch könnte auch in die andere Richtung vorteilhaft sein, damit Fluggesellschaften ermitteln können, wie viele Flüge auf einer Route profitabel sein werden. Auf diese Weise helfen die Second Party Daten beiden Unternehmen, ohne dass sie in Konkurrenz zueinander stehen.
Beispiele von Second Party Daten
- Verkaufsdaten, die Einzelhändler mit Herstellern teilen, um das Produktangebot zu optimieren.
- Umfrageantworten von einem vertrauenswürdigen Partner.
- Demografische Kundendaten von einer Partnerorganisation.
- Daten, die bei Sponsoring-Veranstaltungen oder Webinaren gewonnen wurden, die eine gemeinsame Zielgruppe ansprechen.
- Daten, die zwischen Unternehmen derselben Branche, aber mit unterschiedlichen Markt-Schwerpunkten ausgetauscht werden.
Second Party Daten und die DSGVO
Second Party Daten haben viele Vorteile für Unternehmen, weil sie häufig wichtige Informationen liefern, die für den eigenen Betrieb wertvoll sind. Zudem basiert der Austausch meist auf einer Vertrauensbeziehung, die sicherstellt, dass die geteilten Daten nicht zweckentfremdet werden. Da meistens zwei Parteien involviert sind, die durch die eigene Datensammlung ein hohes Maß an Datenverantwortung tragen, werden die Daten häufig ähnlich gut wie bei der Primärquelle geschützt.
Da die Daten allerdings weitergegeben werden, müssen einige zusätzliche Regelungen eingehalten werden. Häufig werden Daten geteilt, die in unterschiedlichen Ländern gewonnen wurden. Es muss also überprüft werden, ob neben der DSGVO auch weitere spezifische Landesgesetze eingehalten werden müssen.
Zudem müssen (das gilt auch grundsätzlich für alle anderen Nutzerdaten) die Regelungen des Digital Market Acts (DMA) eingehalten werden. Es gilt besonders, dass die Einwilligung in das Sammeln und Übertragen aller gesammelten Daten unter den strengen Regelungen des DMA, der DSGVO und aller weiteren Gesetze passiert ist. Nur dann kann gewährleistet werden, dass die Daten auch ihr volles Potential entfalten können.
Es gilt immer der Grundsatz, dass der Schutz des Nutzers zuerst kommt. Nur wer diese Regel beachtet, kann ein vertrauensvolles Verhältnis zwischen Nutzer und Unternehmen herstellen.
Herausfordernd ist zudem, dass die Daten so formatiert und integriert werden müssen, dass aus Ihnen wertvolle Erkenntnisse gewonnen werden können. Auch dieser Prozess kann datenschutzrechtlich relevant sein, wenn die Daten an einen Dienstleister für die Datenverarbeitung übermittelt werden.
Third Party Data
Was sind Third Party Daten?
Third Party Daten werden manchmal auch als externe, aggregierte, abgeleitete oder erworbene Daten bezeichnet. Häufig findet sich auch die Bezeichnung als Drittanbieter Daten. Bezogen werden sie indirekt von Marketers, Aggregatoren oder aus anderen Quellen. Sie stammen also nicht vom Nutzer bzw. aus seinen Interaktionen oder Aktivitäten mit einem bestimmten Unternehmen.
Häufige Bezugsquellen sind direkt von Marketing Plattformen (wie Meta oder Google), sowie durch Third Party Cookies (wie Google Analytics 4, Meta Pixel oder Adobe Analytics).
Third-Party-Daten müssen in der Regel mit vielen First-Party-Daten und anderen Third-Party-Daten aggregiert werden, um einen Mehrwert zu liefern, und bestehen manchmal aus mehreren Datensätzen, die „zusammengeheftet“ werden.
Beispiele von Third Party Daten
- Demografische Informationen, die von Datenaggregationsunternehmen erworben wurden.
- Interessen- und Verhaltensdaten, die von Datenmaklern erworben wurden.
- Kaufabsichtsdaten, die von Marktforschungsunternehmen erhoben wurden.
- Stimmungsdaten aus den sozialen Medien, die von einem Unternehmen für digitales Zuhören gesammelt wurden.
- Daten über den Browserverlauf und das Online-Verhalten, die von Werbenetzwerken gesammelt wurden.
Vorteile von Third Party Data
Das Sammeln von Daten Dritter liefert umfassende Markt-Einblicke und bietet einen weiten Blickwinkel auf Verbrauchertrends und -verhaltensweisen, die über die direkte Reichweite eines Unternehmens hinausgehen. Darüber hinaus sind die Kosten für Daten Dritter im Vergleich zur Durchführung der eigenen Datensammlung oft geringer, was sie zu einer kostengünstigen Option für die Gewinnung von Marktinformationen macht. Sie helfen auch bei der Wettbewerbsanalyse, indem sie Einblicke in die Aktivitäten der Konkurrenten und in Branchenbenchmarks bieten.
Third Party Data und die DSGVO
Wie bei Second Party Daten müssen Third Party Daten bei der Übergabe die Richtlinien der DSGVO und des DMA erfüllen. Hinzu kommen jegliche Landesvorschriften, aus denen die Daten stammen oder in die sie geliefert werden. Da Datenaggregatoren häufig weniger darauf achten, wie Daten gesammelt oder verarbeitet werden, besteht zudem ein erhöhtes Risiko für Missachtungen der Gesetzeslage. Es besteht folglich eine größere Gefahr für Nutzer und Unternehmen. Die Strafen für Unternehmen bei unrechtmäßiger Verwendung von Daten können, besonders in der EU, sehr hoch ausfallen.
Je nach Vorschrift kann die Nichtbenachrichtigung von Kunden oder Nutzern bei deren Datensammlung oder Datenverkauf ein Verstoß gegen die vorgeschriebene Gesetzeslage sein. Einwilligungen der Nutzer über die Sammlung, den Zweck und die Weitergabe von Daten an Dritte müssen explizit nach den Bestimmungen der DSGVO eingeholt werden. Zusätzlich muss die Verarbeitung der Daten grundsätzlich innerhalb der Gesetze geschehen.
Google hat in den letzten Jahren mehrfach angekündigt, die Verwendung von Cookies von Drittanbietern im Chrome-Browser (der nach wie vor den größten Marktanteil hat) zu beenden.
Ein weiteres Risiko sind Datenlecks oder Datenklau. Im Normalfall ist immer das Unternehmen für die Daten verantwortlich, dass diese auch gesammelt hat. Mit dem DMA sind allerdings auch Unternehmen dafür verantwortlich geworden, dass die bei ihnen gespeicherten Daten datenschutzkonform gesammelt wurden. Letztlich ist es für alle Unternehmen empfehlenswerte, jegliche Nutzerdaten, unabhängig von dessen Quellen, nur dann zu verwenden, wenn klar ist, dass diese aus datenschutzrechtlicher Sicht verwendet werden dürfen.
Für Unternehmen, die mit externen Datenanbietern zusammenarbeiten, wird in einer Vereinbarung über die gemeinsame Nutzung von Daten eindeutig festgelegt, wie diese Daten verwendet und geschützt werden. Diese Vereinbarung dient als Fahrplan, in dem die Art der ausgetauschten Daten, die beabsichtigten Zwecke und die bestehenden Sicherheitsprotokolle festgelegt werden. Sie stellt sicher, dass beide Parteien ein gegenseitiges Verständnis und klare Erwartungen in Bezug auf den Umgang mit Daten, deren Nutzung und den Datenschutz haben.
Die Sicherstellung, dass der Drittanbieter die einschlägigen Datenschutzgesetze einhält, ist ein wesentlicher Bestandteil dieser Vereinbarungen. Diese Due-Diligence-Prüfung trägt dazu bei, die Risiken im Zusammenhang mit Datenmissbrauch und Datenschutzverletzungen zu verringern.
Die Vereinbarung sollte auch regeln, wer Eigentümer der Daten ist, wie lange sie verwendet werden dürfen und wie sie nach Ablauf der Vereinbarung entsorgt werden. Bestimmungen über regelmäßige Audits des Drittanbieters sind von entscheidender Bedeutung, um sicherzustellen, dass er sich weiterhin an die Vertragsbedingungen hält.
Wo liegt der Unterschied zwischen Zero und First Party Data?
Der offensichtlichste Unterschied zwischen Zero und First Party Daten ist die Quelle. Zero Party Daten werden direkt, bewusst und freiwillig von den Nutzern angegeben. Die Nutzer wissen, dass diese Daten erfasst werden, da sie sie zu einem bestimmten Zweck bereitstellen – in der Regel, um selbst in irgendeiner Form davon zu profitieren. Dies bedeutet im Allgemeinen, dass die Daten qualitativ hochwertig sind und keine zusätzliche Einwilligung eingeholt werden muss – schließlich hätte das Unternehmen diese Informationen erst gar nicht, wenn der Nutzer nicht damit einverstanden wäre. Zero Party Daten können ohne Aggregation und Analyse nützlich und wertvoll sein. Sie können vom Unternehmen für bestimmte Zwecke oder Ziele erfasst werden.
Die Erfassung und Nutzung von Zero Party Daten kann insbesondere für das Marketing von großem Nutzen sein. Durch Transparenz, die Personalisierung von Nutzererlebnissen und die Achtung der Nutzerpräferenzen kann die Conversion Rate verbessert werden. Zudem sind ein optimiertes Retargeting, bessere Nutzererlebnisse und eine Steigerung des Vertrauens für langfristige Kundenbeziehungen möglich.
Die Erfassung von First Party Daten hingegen kommt vor allem dem Unternehmen zugute, nicht dem Verbraucher. Die Daten werden durch das Unternehmen, das sie nutzen möchte, mithilfe von Online-Technologien erfasst. Die Erfassung erfolgt also indirekt. Ohne die gesetzlich vorgeschriebene Benachrichtigung wüssten Kunden wahrscheinlich gar nicht, dass diese Daten erfasst werden und zu welchem Zweck.
Verbraucher profitieren nicht von der Bereitstellung dieser Daten. Die Daten sind zudem nicht wirklich relevant, um die Markenbeziehung oder das Vertrauen zu verbessern, können jedoch zur Verbesserung der Nutzererfahrung und zur Personalisierung von Marketingaktivitäten verwendet werden. Die Qualität von First Party Daten ist immer noch relativ hoch und definitiv viel höher als bei Third Party Daten, aber in der Regel geringer als bei Zero Party Daten. Um wertvolle Erkenntisse zu liefern, müssen First Party Daten jedoch aggregiert werden. Die Erfassung einer ausreichenden Menge an Daten kann zudem einige Zeit in Anspruch nehmen. Zudem muss der Nutzer direkt mit einer Website, einem E-Commerce-Shop, einer App usw. interagieren.
Je nach Verordnung dürfen First Party Daten nicht ohne Benachrichtigung und Einwilligung des Nutzers erfasst werden. Das liegt daran, dass sie in ihrer aggregierten Form mitunter genügend Informationen liefern, um eine Person identifizieren zu können. Ohne die richtigen Tools zur Automatisierung, ist es für Unternehmen sehr schwer, sicherzustellen, dass die entsprechenden Einwilligungen in die Erfassung und Verwendung dieser Daten auch korrekt eingeholt wurden. Viele Websites nutzen etwa eine Vielzahl von Cookies, Trackern und anderen Web-Technologien. Diese jeweils manuell hinzuzufügen oder gar eigene Lösungen zu entwickeln, verschlingt viel Zeit und viele Ressourcen.
Consent Management-Lösungen wie die Usercentrics CMP stellen eine umfassende Liste dieser Services bereit, aus der Unternehmen ganz einfach die gewünschten Services auswählen können. Der Smart Data Protector scannt außerdem regelmäßig die Online-Präsenz und erkennt neue Technologien, die verwendet werden. So gewährleisten Unternehmen Datenschutzkonformität über einen längeren Zeitraum hinweg, während sie weiter First Party Daten erfassen.
Hier finden Sie eine detaillierte Auflistung aller Unterschiede zwischen Zero, First, und Third Party Daten:
| Datentyp | Zero Party Daten | First Party Daten | Second Party Daten | Third Party Daten |
|---|---|---|---|---|
| Definition | Daten werden direkt und bewusst von Nutzern geteilt. | Interne Datenaggregation vom Nutzerverhalten. | Daten, die direkt von einer anderen Organisation stammen. | Daten, die von externen Quellen gekauft oder aggregiert wurden. |
| Sammlung | Freiwillige Angaben | Analyse der Daten einer Website, CRM Daten | Direkt von einer anderen Organisation | Drittanbieter Tracking oder von Daten-Maklern |
| Beispiele | Umfragen, Newsletter Anmeldung | Kaufhistorie, Kontodetails, Nutzerverhalten | First Party Daten einer anderen Organisation | Demographische Daten, ähnliche Daten wie bei First Party |
| Genauigkeit | Eher hoch durch direkte Erfassung | Hoch, weil es auf echten Daten basiert | Variiert je nach Datenqualität des Partners | Niedriger, da höhere Hürden für die Sammlung und Aggregation bestehen |
| Bekanntheit bei Verbrauchern | Hoch, da Nutzer die Daten aktiv angeben | Moderat, da die Sammlung im Hintergrund abläuft | Je nach Transparenz der Partner moderat bis niedrig | Moderat bis Niedrig, da Nutzer sich der Sammlung häufig nicht bewusst sind |
Warum sollte sich Ihr Unternehmen von Third Party Daten verabschieden?
Technologische Veränderungen sind einer der Hauptgründe, warum mehr und mehr Unternehmen immer weniger Third Party Daten nutzen. Beispielsweise wird es aufgrund von Adblockern und Browsereinschränkungen zunehmend schwieriger, überhaupt an diese Daten zu kommen.
Adblocker sind nach wie vor beliebte Browser-Add-ons und können immer mehr Anzeigen in immer größerer Menge blockieren. Einige Adblocker zielen möglicherweise nur auf Pop-ups ab. Andere erkennen die Nutzung von JavaScript oder versuchen gleich alle Anzeigen zu blockieren. Wieder andere beschränken sich nicht auf Anzeigen, sondern blockieren auch das Tracking zu Analytics-Zwecken. Sie können sogar Cookies und Technologien stören, die für das korrekte Funktionieren der Websites erforderlich sind, was möglicherweise das Nutzererlebnis beeinträchtigt.
Einige Browseranbieter ändern derzeit ihre Standardeinstellungen. Dazu gehören Funktionen wie das Entfernen von URL-Tracking-Parametern, das Verschleiern oder Entfernen von Referral-IDs oder das Festlegen von Grenzen, ob und wie Websites Cookies in den Browsern der Nutzer speichern können. Apple hat Intelligent Tracking Prevention (ITP) für Safari eingeführt und auch Mozilla verfügt über eine Enhanced Tracking Protection für seinen Firefox-Browser. Einige von Googles Initiativen zur Abkehr von Third Party Daten in Chrome haben wir oben bereits erwähnt.
Da die Datenschutzbedenken der Verbraucher weiter zunehmen und immer mehr Datenschutzgesetze in Kraft treten, gibt es auch immer mehr Technologien, die bisher übliche Methoden für das Tracking und den Zugriff auf die Daten verändern. Einige dieser Technologien arbeiten präzise, andere nicht, und manche können entgegen ihrer eigenen Absicht sogar das Nutzererlebnis beeinträchtigen. Marketer müssen daher unbedingt ihre Strategien verfeinern, um den kontinuierlichen Zugriff auf Daten mit einer durchgehend hohen Qualität zu ermöglichen. Die Einhaltung von Datenschutzrichtlinien muss jederzeit gewährleistet werden, damit das Vertrauen der Nutzer gewonnen und gehalten werden kann, während sich die Technologien und Verordnungen weiterentwickeln.
Best Practises für die Datenerhebung
1. Verwenden Sie eine Consent Management Platform
Für eine rechtskonforme Einwilligung zur Erhebung von Nutzerdaten gibt es je nach Standort des Nutzers verschiedene Anforderungen, darunter:
- ausdrückliche Zustimmung (oder Ablehnung, wenn der Nutzer in einem der US-Bundesstaaten ansässig ist)
- granulare Zustimmungs-Optionen, d. h. die Nutzer können die Verwendung von Daten für bestimmte Zwecke erlauben und für andere Zwecke verweigern – eine Zustimmung, die leicht zurückgenommen oder widerrufen werden kann
- transparente und leicht zugängliche Datenschutzrichtlinien, in denen erläutert wird, welche Daten zu welchem Zweck erhoben werden und wer Zugang zu diesen Daten haben kann
- klare, einfache und nicht-juristische Formulierungen in den Datenschutzhinweisen und den Bannern für die Cookie-Einwilligung, in denen erklärt wird, welche Daten erfasst werden und warum
Die Verwendung einer Consent Management Platform (CMP) wie Usercentrics CMP erleichtert die Einwilligungsverwaltung, um sie mit den rechtlichen Standards in Einklang zu bringen und die Nutzerpräferenzen zu respektieren.
2. Strenge Datensicherheitsmaßnahmen implementieren
Starke Datensicherheitsmaßnahmen schützen sensible Kundeninformationen vor unbefugtem Zugriff oder Verstößen. Dazu gehören die Verschlüsselung von Daten, die Sicherung von Netzwerken und die Einrichtung strenger Zugangskontrollen.
Regelmäßige Aktualisierungen der Sicherheitsprotokolle und Schulungen der Mitarbeiter über potenzielle Cyber-Bedrohungen sind entscheidend für die Integrität und Vertraulichkeit der erfassten Daten.
Datenschutzrichtlinien sollten regelmäßig aktualisiert werden, um den sich stetig entwickelnden Datenschutzgesetzen zu entsprechen. Aktuelle und zugängliche Datenschutzrichtlinien stellen sicher, dass die Nutzer darüber informiert sind, wie ihre Daten verwendet und geschützt werden, was das Vertrauen und die Einhaltung der Vorschriften weiter stärkt.
3. Nur notwendige Daten erfassen
Verfolgen Sie einen Ansatz der Datenminimierung und sammeln Sie nur die Daten, die für einen bestimmten Zweck erforderlich sind. Das macht die Datenverwaltung einfacher, sicherer und verringert die Gefahr des Datenmissbrauchs.
4. Prüfen Sie die Einhaltung der Vorschriften durch Anbieter und Dritte
Wenn Sie Daten mit Dritten austauschen oder Daten von Zweit- oder Drittanbietern erwerben, stellen Sie sicher, dass auch Anbieter, Partner und Dritte die Datenschutzstandards einhalten.
Dazu gehört die Durchführung einer Due-Diligence-Prüfung vor der gemeinsamen Nutzung von Daten und die regelmäßige Überprüfung ihrer Einhaltung. Solche Maßnahmen tragen dazu bei, die mit der Datenverarbeitung durch externe Parteien verbundenen Risiken zu mindern.
5. Regelmäßige Datenschutz-Audits durchführen
Um die Integrität der Daten und die Einhaltung der gesetzlichen Vorschriften zu gewährleisten, sollten Unternehmen regelmäßig Datenschutz-Audits durchführen. Bei diesen Audits wird geprüft, ob die Methoden zur Erfassung und Speicherung von Kundendaten mit den geltenden Datenschutzbestimmungen übereinstimmen. Außerdem wird geprüft, wie die Daten innerhalb des Unternehmens verwendet werden, um sicherzustellen, dass sie dem Zweck entsprechen, für den sie erhoben wurden.
Durch diese Audits können Unternehmen Verbesserungsmöglichkeiten im Umgang mit Daten und deren Verarbeitung aufzeigen und so sowohl die Sicherheit als auch die Effizienz der Datenverwaltung erhöhen.
Einführung
Trusted Shops gehört mit über 800 Mitarbeitern an sechs Standorten zu den branchenführenden Anbietern für digitales Vertrauen und Käuferschutz in Europa. Das Unternehmen bietet Dienstleistungen für Online-Shops. Dazu gehören Rechtsberatung, Online-Bewertungen, Käuferschutz und Zertifizierungen für vertrauenswürdige Online-Shops.
Usercentrics und Trusted Shops pflegen seit drei Jahren eine stabile Partnerschaft: Wir stellen unsere Consent Management-Lösung zur Verfügung, die zusammen mit dem beachtlichen Angebot an Dienstleistungen von Trusted Shops sowohl Käuferschutz und digitales Vertrauen als auch eine schnelle und einfache Möglichkeit bietet, Anforderungen aus dem Telekommunikation-Telemedien-Datenschutz-Gesetz zu erfüllen. Sie müssen sich dazu lediglich bei ihrem Trusted Shops-Konto anmelden. Bei Usercentrics ist keine erneute Registrierung oder Anmeldung erforderlich.
Erfahren Sie mehr darüber, was Trusted Shops über seine Partnerschaft mit Usercentrics und die Vorteile, die sich daraus für seine Kunden ergeben, berichtet.
Die anfängliche Herausforderung für Trusted Shops
Mit Trusted Shops haben Unternehmen viele Möglichkeiten, das digitale Vertrauen ihrer Kunden zu gewinnen und zu stärken. Im Rahmen seiner Business Solution für Legal Service bietet Trusted Shops seinen Kunden eine automatisierte und einfach zu implementierende Lösung an, um die rechtliche Sicherheit zu unterstützen. Dies bedeutet beispielsweise, dass Cookies und andere Tracking-Technologien nur dann aktiviert werden dürfen, wenn der Nutzer diesen einwilligt.
Ein zentraler Bestandteil der Geschäftstätigkeit von Trusted Shops besteht darin, seine Kunden über Datenschutz und die Notwendigkeit von DSGVO-Konformität zu informieren. Dabei teilen sie ihren Kunden mit, wie sie bei der Verarbeitung von personenbezogenen Daten datenschutzkonform agieren, Geldstrafen vermeiden und das Vertrauen der Endnutzer aufrechterhalten können.
Neben den zahlreichen Rechtsdienstleistungen stellt Trusted Shops seinen Kunden über die Partnerschaft mit Usercentrics eine Consent Management Plattform zur Verfügung. Somit können Trusted Shops-Kunden einfach und schnell ihren eigenen Cookie Banner erstellen.
Die Partnerschaft zwischen Usercentrics und Trusted Shops
Für die Kunden von Trusted Shops ist Kunden- und Nutzervertrauen besonders wichtig. Vertrauen aufzubauen und zu stärken, kann allerdings unterschiedlich aussehen. Kunden sind beispielsweise froh, wenn sie sich auf ihr Kerngeschäft konzentrieren können, ohne sich darum sorgen zu müssen, wie sie Datenschutzkonformität gewährleisten können.
Hierfür bietet Trusted Shops eine Reihe von Dienstleistungen an, die Unternehmen dabei unterstützen, komplexe rechtliche Anforderungen zu erfüllen. Dazu zählen beispielsweise Forderungsmanagement, Websiten-Check, Consent Management und vieles mehr.
In Zusammenarbeit mit Usercentrics wurde unsere Scanning- und Consent Management-Technologie in die Legal-Lösung von Trusted Shops integriert.
„Usercentrics ist ein zuverlässiger Partner und Dienstleister – wir haben eine wirklich gute Balance zwischen umfangreichen Features, Performance und Preisgestaltung gefunden“, sagt Denise Heister, Communications & Project Managerin bei Trusted Shops.
Heister fügt hinzu: „Die Zusammenarbeit mit Usercentrics ist sehr angenehm. Wir haben viele verschiedene Anforderungen und werden rundum gut betreut. Auch der Support ist schnell und unkompliziert.“
Wenn sich Kunden für die Legal-Lösung von Trusted Shops entscheiden, können sie den Consent-Banner basierend auf der Technologie von Usercentrics nutzen, um automatisierte und dynamische Consent-Banner auf ihren Webseiten zu implementieren. So können Nutzer, je nach ihren Einstellungen, gemäß den Anforderungen des TTDSG informierte Einwilligungen zu Cookies und anderen Tracking-Technologien abgeben.
Die enge Partnerschaft zwischen Trusted Shops und Usercentrics hat sich für das Team kommerziell sehr gelohnt. Trusted Shops hat nun sein Angebot mit der Consent Management-Lösung von Usercentrics erweitert.
Heister führt weiter aus: „Wir sind aus Kostengründen auf das Outsourcing bestimmter Dienstleistungen angewiesen. Dazu gehört die technische Entwicklung einer benutzerfreundlichen CMP-Lösung, die für Kunden und Kundinnen individuell angepasst werden kann.“
Kundennutzen und Feedback
Die Unique Jewelry GmbH, ein Kunde von Trusted Shops, äußert sich positiv über die integrierte Lösung von Usercentrics, die im Rahmen des CMP Legal Package von Trusted Shops eingesetzt wurde.
So sagt Marvin Wagner von Unique Jewelry: „Die Konfiguration über Trusted Shops hat problemlos funktioniert! Bis auf zwei Services (einzelne Lösungen) konnten wir alle Cookie-Anbieter direkt bei der Vorauswahl festlegen, was die Konfiguration beschleunigt und vereinfacht hat.“
Unique Jewelry äußerte sich zudem ebenso positiv über seine Erfahrungen mit der Anpassung und Integration von Third-Party-Services.
Wagner merkte an: „Der Kunde oder Webseitenbesucher kann sehr gut nachvollziehen, welchen Services er zustimmt und welchen nicht, wodurch Cookies entsprechend aktiviert oder blockiert werden. Auch das einfache Hinzufügen neuer Services bietet viele Vorteile – so können Unternehmen stets datenschutzkonform und effizient agieren.“
Ein Blick in die Zukunft
Trusted Shops ist zuversichtlich, was die Zukunft unserer Partnerschaft betrifft:
Denise Heister von Trusted Shops fasst kurz zusammen: „Wir hoffen auf einen weiterhin guten und schnellen Support und freuen uns auf die Erweiterung der gemeinsamen Features für unsere Kunden. “
Die Herausforderung von DSGVO-Konformität bei Datenübertragungen mit Google Analytics 4
Der Online-Betrieb von Unternehmen ist zunehmend international, was Datenschutzkonformität noch komplexer macht. Kunden oder Website-Besucher können aus jedem Land der Welt kommen, sodass Unternehmen die Verantwortung für die Einhaltung einer Vielzahl von Datenschutzgesetzen übernehmen müssen. Auch Partner und Lieferanten können sich auf der ganzen Welt befinden, was bedeutet, dass Daten international übertragen werden müssen.
Gemäß vielen Vorschriften, insbesondere der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, dürfen Nutzerdaten nur dann in Länder außerhalb ihres Geltungsbereichs (z. B. die EU) übermittelt werden, wenn mit dem Zielland eine Angemessenheitsvereinbarung besteht, die ein ausreichendes Datenschutzniveau gewährleistet.
Die Europäische Union und die Vereinigten Staaten haben keine solche Angemessenheitsvereinbarung mehr, seit der vorherige Privacy Shield im Jahr 2020 gekippt wurde. Dies stellt viele Unternehmen vor Herausforderungen, insbesondere in der EU, da einige der am häufigsten genutzten Tools und Technologien für den Online-Betrieb von Unternehmen stammen, die ihren Sitz in den USA haben, wie zum Beispiel Google. Die EU und die Vereinigten Staaten arbeiten an einer neuen Vereinbarung, deren Abschluss jedoch noch einige Zeit in Anspruch nehmen wird.
Im Jahr 2022 gab es in der EU eine Reihe von Beschlüssen, die die Bedenken der Datenschutzbehörden gegenüber Google Analytics und Datenübertragungen angesichts der fehlenden Angemessenheitsvereinbarung deutlich machten. Erfahren Sie mehr: Google Analytics und EU-Beschlüsse zur Einhaltung der DSGVO.
Wie können Unternehmen bis zur Einführung eines neuen Privacy Shields weiterhin die Daten und Privatsphäre von Nutzern schützen und die DSGVO einhalten, während sie die Tools und Systeme nutzen, auf die sie angewiesen sind? In diesem Artikel wird erklärt, wie Server-Side-Tagging mit Google Analytics 4 dabei helfen kann, Daten DSGVO-konform zu übertragen.
Server-Side-Tagging als Lösung für DSGVO-Konformität bei GA4-Datenübertragungen
Was ist Server-Side-Tagging?
Server-Side-Tagging ist ein wichtiger Bestandteil für die Weiterentwicklung der Datenstrategie. Es soll dabei helfen, eine Datenstrategie zu entwickeln, die Third-Party-Daten nicht mehr notwendig machen, welche oft von geringerer Qualität sind und Probleme mit der Nutzereinwilligung aufwerfen können. Auch wenn Third-Party-Cookies (eine wichtige Quelle für Third-Party-Daten) abgeschafft werden, benötigen Unternehmen dennoch Möglichkeiten, um Kunden und Nutzer zu identifizieren und Daten mit Partnern über verschiedene Kanäle hinweg auf sichere Weise zu integrieren und auszutauschen.
Server-Side-Tagging nutzt keine JavaScript-Tags. Im Gegensatz zum Client-Side-Tagging, bei dem die Daten immer vom Browser des Nutzers direkt an den (Third-Party-)Anbieter gehen, werden die Daten beim Server-Side-Tagging nur an den Tagging-Server (der First-Party) gesendet. Von diesem Punkt aus können die Daten dann auf kontrollierte Weise an verschiedene Anbieter weitergegeben werden.
So können Sie als Kunde entscheiden, welche Daten gesendet werden und welche Server auf die Daten zugreifen dürfen. Sie haben aber auch Einfluss auf die Plattformen, die Zugriff auf die Daten haben. So kann die Einwilligung des Nutzers beispielsweise über dieses System gesammelt und an verschiedene Anbieter gesendet werden, um weitere Systeme zu beeinflussen, z. B. nur bestimmte Cookies zuzulassen oder sensible Daten zu entfernen, bevor sie an Third-Party-Anbieter wie Google weitergegeben werden.
Mit Investitionen in Server-Side-Tagging können Unternehmen wieder bessere Insights in Daten gewinnen, die zu fundierten Werbeausgaben und tieferem Verständnis des Kunden führen. Zunehmende rechtliche Beschränkungen sowie technische Einschränkungen aufgrund von Intelligent Tracking Prevention, das in modernen Webbrowsern enthalten ist, haben zu Datenverlusten und einem geringeren ROI bei Werbeausgaben geführt. Server-Side-Tagging kann dazu beitragen, dies zu ändern. Es ermöglicht auch eine bessere Automatisierung und Integration mit Technologien wie Customer Data Platforms oder Data Warehouses und bietet eine einzige Datenquelle für rechtliche Audits.
Zudem kann Server-Side-Tagging zur Lösung einer Reihe anderer Probleme beitragen, darunter:
- Self-Hosting von Tag-Management-Systemen zur Umgehung rechtlicher Beschränkungen
- Verschlechterung der Website-Performance aufgrund großer Mengen von Javascript, was wiederum zu einem schlechteren SEO-Ranking durch schlechte Core Web Vitals führt
- Eingeschränkte Kontrolle und Fähigkeit zur Überprüfung des Skript-Verhaltens
- Weniger robuste Sicherheit aufgrund des verstärkten Zugriffs auf Systeme und Daten durch Third-Parties
- Konsistente und bessere Datenqualität statt abgehackten Kundenübersichten aufgrund unterschiedlicher Datenquellen
Wie funktioniert Server-Side-Tagging?
Beim Server-Side-Tagging wird die Verwendung von Tags vom Client, d. h. vom Browser, auf einen separaten Tagging-Server verlagert. Ein Tag oder Pixel, das vom Client (Browser) verwendet wird, sendet Daten an einen Tagging-Server, der sie an einen Ziel-Dienstleister (Anbieter) wie Google, Facebook usw. weiterleitet. Bei den Empfängern kann es sich um Analytics-Anbieter, Marketing-Technologiepartner, eigene Datenbanken usw. handeln. Der Zugriff auf die Daten ist jedoch besser kontrolliert, da ein einziger Datenstrom über ein zentrales System weitergeleitet wird, das vom Setup des Kunden gesteuert wird.
Erfahren Sie mehr: Server-Side-Tagging und seine Auswirkungen auf die Zukunft von Nutzereinwilligungen und Daten
Wir werden uns auf die Verwendung von Google Analytics 4 konzentrieren, um Daten vom Browser an den serverseitigen Tag-Manager zu übertragen. Beachten Sie, dass es auch andere Möglichkeiten gibt, dies zu tun, einschließlich benutzerdefinierter Skripte oder Third-Party-Tools.
Google Analytics 4 mit Server-Side-Tagging für DSGVO-konforme Datenübertragungen einrichten – So geht’s
Server-Standort
Um zu verhindern, dass persönlich identifizierbare Daten (PII) in unerwünschte Drittländer gesendet oder dort gespeichert werden, sollte der Tagging-Server innerhalb der EU gehostet werden. Dies kann in der Google Cloud, bei einem anderen Cloud-Anbieter oder vor Ort in einer selbst verwalteten, nicht cloudbasierten Umgebung geschehen, je nach Entscheidung Ihres Datenschutzbeauftragten.
Serverseitige Implementierung
Sobald Ihr EU-Server erfolgreich eingerichtet ist, stellen Sie sicher, dass die Einwilligungen serverseitig respektiert werden und nur Daten verarbeitet werden, für die eine entsprechende Einwilligung des Nutzers vorliegt. (Erfahren Sie mehr: Server-Side-Conversion-Tracking mit Google Ads und Usercentrics CMP)
Im Hinblick auf eine datenschutzkonforme Datenübermittlung können Sie auch alle Daten, die Sie nicht an Third-Parties wie Google weitergeben möchten, wie z. B. die IP-Adresse, vor der Übermittlung an Anbieter weglassen oder die Daten manipulieren oder pseudonymisieren, z. B. nur Teile der IP-Adresse weglassen, um Geo-Informationen zu erhalten. Es ist auch möglich, die Daten mit zusätzlichen Informationen anzureichern, die durch Client-Side-Tracking nicht verfügbar sind.
DWC Consult ist ein langjähriger Partner von Usercentrics. Das Unternehmen hat umfangreiche Erfahrungen sowohl mit der Usercentrics CMP als auch mit Server-Side-Tagging und insbesondere mit Google-Tools wie GTM, GA4, BigQuery und der Google Cloud gesammelt. Da diese Projekte und die benutzerdefinierten Clients des serverseitigen Tag-Managers oft recht einzigartig sind, kann es sehr nützlich sein, einen Partner zur Unterstützung hinzuzuziehen.
DWC kann Ihnen helfen, zu verstehen, welche Daten gesammelt werden sollen. Zudem kann DWC Sie dabei unterstützen, Datenschutzanfragen zu analysieren. Bei Bedarf kann sich das Unternehmen auch um das komplette Setup kümmern, einschließlich der Entwicklung benutzerdefinierter Clients oder des technischen Setups in der Google Cloud.
Zusätzliche Vorteile bei der Verwendung von Server-Server-Tagging mit Google Analytics 4
Die Verwendung von Server-Side-Tagging mit Google Analytics 4 ermöglicht die Umgehung der (Intelligent) Browser Tracking Prevention (ITP), da die Datenerfassung und -verarbeitung vom Server und nicht vom Client abhängt. Genauer gesagt können Cookies serverseitig gesetzt werden, wodurch die Verkürzung der Lebenszeit von HTTP-Cookies oder die vollständige Löschung dieser Cookies durch ITP in Safari verhindert wird, was das Tracking und die Genauigkeit enorm beeinträchtigt.
Wir empfehlen folgenden Artikel: Server-Side-Conversion-Tracking mit Google Ads und Usercentrics CMP
Zusammenfassung
Unternehmen verlassen sich nach wie vor auf datenzentrierte Tools wie Google Analytics, auch wenn das Warten auf einen Ersatz für den Privacy Shield anhält. Unternehmen brauchen Daten, haben aber auch eine Verantwortung für den Datenschutz gemäß der DSGVO oder anderen Vorschriften.
Server-Side-Tagging kann ein entscheidender Vorteil bei der Entwicklung einer Datenstrategie sein. Es bietet Unternehmen mehr Kontrolle über ihre Daten, eine verbesserte Sicherheit und hilft zu verhindern, dass Daten an unerwünschte Third-Parties gesendet werden. Zudem kann Server-Side-Tagging dazu beitragen, die Performance der Website und die Benutzerfreundlichkeit zu verbessern, indem es eine Consent Management Platform (CMP) integriert, um die Präferenzen der Nutzer in Bezug auf den Datenschutz zu respektieren und diese an die angeschlossenen Systeme weiterzuleiten. Dies hilft Unternehmen dabei, Datenschutzkonformität zu erreichen und auch aufrechtzuerhalten. Server-Side-Tagging trägt zudem dazu bei, höhere Datenmengen zu erhalten, indem es Intelligent Tracking Prevention (ITP) und Adblocker umgeht.
Die Verwendung von Server-Side-Tagging mit Google Analytics 4 ermöglicht es Unternehmen, mehr aus den von ihnen verwendeten Tools herauszuholen, und bietet eine praktikable Strategie zur Verwaltung von Datenübertragungen in der EU. Ein spezielles Setup mit einem benutzerdefinierten Client kann auch die Anreicherung von Analytics-Daten ermöglichen.
Für individuelle Setups arbeitet Usercentrics mit erfahrenen Partnern wie DWC zusammen, die ihr Wissen über Server-Side-Tagging, Google Analytics und unsere CMP nutzen, um eine bestmögliche Beratung zu bieten und die Tracking-Fähigkeiten der Kunden zu verbessern.
Kontaktieren Sie unsere Experten und erfahren Sie, wie Sie Server-Side-Tagging für Ihr Unternehmen implementieren können.
Was kommt nach Third-Party-Cookies?
Die Europäische Union und die Vereinigten Staaten verfügen seit dem „Schrems II“-Urteil im Juli 2020 über keinen Angemessenheitsbeschluss über den Datenschutz bei internationalen Datenübermittlungen zu gewerblichen Zwecken. Damals erklärte der Europäische Gerichtshof den EU-US Privacy Shield für ungültig. Schon zuvor war die langjährige Vorgängervereinbarung „Safe Harbor“ 2015 vom Europäischen Gerichtshof aufgrund der gleichen Problematik mit US-Gesetzen und EU-Datenschutzrechten für ungültig erklärt worden.
Durch die Ungültigkeitserklärung des EU-US Privacy Shield verursachte Probleme
Die Entscheidung von 2020 hat in vielen Bereichen Besorgnis ausgelöst, denn eine Vielzahl der weltweit größten Technologieunternehmen, darunter Mischkonzerne wie Alphabet (Muttergesellschaft von Google), deren Dienste auf der ganzen Welt genutzt werden, haben ihren Sitz in den USA. Die Beziehungen der EU und der USA haben ein wirtschaftliches Volumen von 7,1 Billionen US-Dollar. Nicht zuletzt deshalb war es ungemein wichtig, einen transatlantischen Beschluss über Datenschutz und die Weitergabe von Daten sicherzustellen.
Die Rechtsunsicherheit hatte jedoch Auswirkungen auf die europäischen Datenschutzbehörden, und es kam zu verschiedenen Urteilen gegen Tools wie Google Analytics im Jahr 2022. Diese übermitteln Daten außerhalb der EU und weisen keine angemessenen Datenschutzmaßnahmen oder Beschränkungen bei der Datenübermittlung auf. Meta (ehemals Facebook, auch Muttergesellschaft von Instagram) warnte sogar vor einer möglichen Schließung des Zugangs und Beendigung der Geschäftstätigkeit in der EU, sollte es keinen Ersatz für den Privacy Shield geben.
Im März 2022 haben die EU und die USA mit dem neuen Trans-Atlantic Data Privacy Framework ein grundsätzliches Privacy Shield-Abkommen getroffen. „Dies wird vorhersehbare, zuverlässige Datenflüsse zwischen der EU und den USA ermöglichen, um den Datenschutz und die Rechte der Bürger zu sichern“, so Ursula von der Leyen, Präsidentin der Europäischen Kommission.
Was ist in der Durchführungsverordnung zum Privacy Shield enthalten?
Präsident Biden hat am 7. Oktober eine Durchführungsverordnung zur Umsetzung eines EU-US-Datenschutzabkommens unterzeichnet. Weder ersetzt diese automatisch den Privacy Shield noch tritt das Abkommen sofort in Kraft. Sie beschreibt jedoch die Schritte der USA, die in Übereinstimmung mit ihren erklärten Zusicherungen zur Umsetzung des Abkommens ergriffen werden.
Zu den wichtigsten Funktionen der Durchführungsverordnung gehören:
Zusätzliche Sicherheitsmaßnahmen für US-amerikanische Signal Intelligence-Aktivitäten, einschließlich der Beschränkung von Aktivitäten auf das Notwendige und innerhalb von Parametern, die in einem angemessenen Verhältnis zur Priorität (in Bezug auf die nationale Sicherheit) stehen, und unter Berücksichtigung der Privatsphäre und der bürgerlichen Freiheiten aller Personen, unabhängig von ihrer Staatsangehörigkeit und ihrem Wohnsitzland.
Vorgeschriebene Anforderungen an den Umgang mit personenbezogenen Daten, die durch Signal Intelligence erfasst werden, und Ausweitung der Verantwortlichkeiten zuständiger Beamter, um sicherzustellen, dass im Falle der Nichteinhaltung geeignete Maßnahmen ergriffen werden.
Aktualisierungen der Richtlinien und Verfahren der US-amerikanischen Intelligence Community, sodass neue Sicherheitsmaßnahmen in Bezug auf Datenschutz und bürgerliche Freiheiten berücksichtigt werden.
Schaffung eines mehrstufigen Mechanismus für Einzelpersonen aus qualifizierten Staaten und Organisationen, um eine unabhängige, verbindliche Überprüfung von Fällen zu gewährleisten, in denen bezüglich der Erfassung oder des Umgangs mit personenbezogenen Daten gegen geltende US-Gesetze verstoßen wird, und um Entschädigung bei Ansprüchen zu leisten.
Das Privacy and Civil Liberties Oversight Board (Aufsichtsgremium für Datenschutz und bürgerliche Freiheiten) wurde aufgerufen, die Richtlinien und Verfahren der Intelligence Community in Hinblick auf Vereinbarkeit mit der Durchführungsverordnung zu überprüfen und eine jährliche Überprüfung des Entschädigungsverfahrens durchzuführen.
Fazit
Durch die Umsetzung dieser Schritte wird ein neuer Angemessenheitsbeschluss durch die Europäische Kommission ermöglicht, wodurch wichtige und praktische transatlantische Datenübermittlungsmechanismen gemäß EU-Recht wieder ermöglicht werden. Außerdem bietet es Unternehmen, die Standardvertragsklauseln oder verbindliche unternehmensinterne Datenschutzvorschriften für die Übermittlung von EU-Daten in die USA verwenden, auch ein höheres Maß an Rechtssicherheit.
Es ist jedoch auch zu beachten, dass die endgültige Entscheidung über ein neues Abkommen beim Europäischen Gerichtshof liegt. Schließlich ist es auch möglich, dass ein solches Abkommen vor Gericht angefochten wird, wenn Zweifel daran bestehen sollten, ob es in angemessener Form in Einklang mit EU-Recht steht oder ob es ausreichende Sicherheit bietet.
Bei Fragen zur Einhaltung der DSGVO, zu internationalen Datenübermittlungen oder zu den Datenschutzgesetzen der USA helfen wir Ihnen gerne weiter. Nehmen Sie Kontakt mit uns auf.