Was sind Cookies im Internet?
Cookies im Internet sind kleine Textdateien, die über den Webbrowser Informationen sammeln oder mitteilen. Wenn eine Webseite geöffnet wird, sendet der Browser eine Anfrage an einen Server, auf dem die Dateien liegen, die sich dann als Webseite öffnen. Diese Anfragen und Informationen über die Antragsteller können in den Cookies gespeichert werden. Beim Surfen im Internet werden auf fast jeder Seite Cookies verwendet.
Dieser Prozess ist vergleichbar mit einem Stempel beim Einlass in ein Theater oder einen Club. Hierbei wird der Besucher markiert. Diese Markierung kann nur grundsätzlich bedeuten, dass eine weitere Sicherheitskontrolle wegfällt oder sie könnte sogar Informationen zu den Sitzplätzen beinhalten. Cookies sind die „Stempel“, in denen Informationen über Nutzer gespeichert werden, die auf verschiedenen Seiten surfen.
Man nennt diesen Prozess auch „Cookies setzen“, weil für jeden Nutzer ein Cookie neu generiert und gespeichert werden muss. Es wird also sprichwörtlich „gesetzt”. Aber warum heißen Cookies, Cookies? Einen verlässlichen historischen Grund für den Begriff gibt es nicht. Es gab ursprünglich den Begriff des „Magic Cookie”. Dieser beschrieb eine verpackte Menge an Daten, die unleserlich versendet werden konnte und eine bestimmte Funktion, wie beispielsweise eine Identitätsprüfung beinhaltete. Die Idee dahinter war ein Glückskeks, in dem auch eine Information verborgen liegt und nur dem Konsument eine Weisheit offenbart. Diese Technologie wurde für die ersten E-Commerce Warenkörbe verwendet und der Name wurde beibehalten. So nennen wir die abgewandelte Technologie heute noch immer Cookies.
Welche Vorteile haben Cookies?
Cookies sind aus dem modernen Internet nicht mehr wegzudenken. Durch Cookies werden Nutzer erkannt und die Seite für sie personalisiert. So wird beispielsweise die Sprachausgabe einer Webseite ausgewählt oder bestimmte Inhalte, die beim letzten Besuch gespeichert wurden, wieder aufrufbar. Ein gutes Beispiel sind Warenkörbe. Durch Cookies können die dort gespeicherten Produkte beim nächsten Besuch noch sichtbar sein. Das erleichtert das Einkaufen und verbessert das Nutzererlebnis.
Welche Arten von Cookies gibt es?
Es gibt grundsätzlich drei verschiedene Arten von Cookies:
- Für die Funktion einer Seite notwendige Cookies
- Performance oder funktionelle Cookies
- Tracking- und Werbe-Cookies
Diese Cookies werden nochmal unterteilt in First Party Cookies und Third Party Cookies. Es gibt also immer zwei Kategorien, denen ein Cookie zugeordnet werden kann. Die erste Kategorie bezieht sich auf den Nutzen eines Cookies, die zweite bezieht sich auf die Hersteller oder Betreiber der Cookies.
First Party Cookies (Erstanbieter Cookies)
First Party Cookies werden direkt von der Webseite erstellt, auf der sich ein Nutzer befindet. Diese Kategorisierung wird gemacht, weil kein Drittanbieter involviert ist, der sich in den Datenaustausch einmischt. Solange es sich hier also um eine vertrauenswürdige Seite handelt, sind First Party Cookies die unproblematische Variante von Cookies.
Zu den Erstanbieter Cookies gehören vor allem die notwendigen Cookies, die für eine verbesserte Nutzererfahrung sorgen. Durch diese wird dem Nutzer die richtige Sprache angezeigt und bestimmte Inhalte priorisiert.
Third Party Cookies (Drittanbieter Cookies)
Third Party Cookies sind häufig die Cookies, die von Datenschützern als kritisch betrachtet werden. Sie werden von Programmen erstellt, die nicht direkt zu der geladenen Webseite gehören. Sie werden häufig dazu eingesetzt, mehr Informationen über Nutzer und deren Surfverhalten zu speichern und diese Informationen zu einem bestimmten Zweck einzusetzen, der über die reibungslose Funktionalität hinausgeht. Dazu gehören häufig Marketing Cookies , mit denen zielgerichtete Inhalte ausgespielt werden, die zu einem Kauf führen sollen. Auch Tracking Cookies gehören hier häufig dazu. Über diese werden Informationen über die Sitzungen gesammelt, die über diese Drittanbieter ausgewertet werden. Marketing- und Tracking Cookies müssen aber nicht unbedingt Third Party Cookies sein.
Session Cookies und Persistent Cookie-Arten
Session Cookies werden, wie der Name schon verrät, nur für die Dauer der Sitzung gespeichert. Sobald diese endet, werden die Cookies wieder gelöscht. Die Speicherdauer ist ein essentieller Teil von Cookies, da dieser maßgeblich dazu beitragen kann, ob ein Cookie harmlos oder potentiell datenschutzgefährdend ist. Persistent Cookies sind dagegen Cookies, die über die Sitzungsdauer hinaus gespeichert werden. Wie lange die Speicherdauer dann ist, wird vom Anbieter vorgegeben.
Eine weitere Form des Persistent Cookie sind sogenannte „Evercookies”. Diese binden eine Funktion ein, bei der selbst gelöschte Cookies repliziert werden. Auf diese Weise können Nutzer bereits durch das Laden der Seite gespeicherte Cookies nicht mehr loswerden. Evercookies wurden unter anderem durch Edward Snowden bekannt. Dieser hatte berichtet, die NSA hätte Evercookies gezielt platziert, um an sensible Daten zu gelangen. Ähnlich diesem Vorgehen können auch Anbieter auf alltäglichen Seiten unerlaubt Daten aggregieren.
Unterscheidung nach dem Nutzen eines Cookies
Die Funktionen von Cookies können in drei Bereiche eingeteilt werden:
Zunächst gibt es die angesprochenen Performance- oder Funktionellen Cookies. Hier geht es alleine um einen angenehmen Besuch einer Webseite.
Webseitenbetreiber können über Cookies auch Nutzeranalysen durchführen, wodurch Besuchszeiten oder die Häufigkeit der Seitenaufrufe festgehalten werden. Mit Hilfe von Nutzungsströmen können Fehler eliminiert und Angebote verwaltet werden. Als Beispiel dienen hier Verkaufs- und Vergleichsportale, Streamingdienste, Suchmaschinen, etc. Diese gleichen das Verhalten ihrer Nutzer im Internet ab und ermitteln somit das bestmögliche Ergebnis für präzise Trefferquoten. Hier spricht man von sogenannten Analytischen oder Tracking- Cookies.
Um die kostenfreie Nutzung von Internetseiten für Besucher zu ermöglichen, schalten Webseitenbetreiber häufig Werbung. Werbeagenturen spielen als Drittanbieter Werbung anhand der durch die Cookies generierten Nutzerinformationen und deren Surfverhalten aus. Cookies können also durch Werbung zur Finanzierung einer Webseite beitragen (siehe vorheriger Abschnitt Third Party-Cookies). Hier spricht man von Marketing Cookies.
Welche Sicherheitsrisiken gehen von Cookies aus?
Das erste Problem, welches Cookies für Nutzer mit sich bringen, ist der Datenklau oder der Datenmissbrauch. Werden Cookies nicht oder schlecht geschützt, sind die gespeicherten Daten (z. B. Log-in Daten, Nutzerdaten oder sonstige Datensätze) eines Nutzers leicht einzusehen und es droht die Gefahr von Hackerangriffen. Falls die Daten in die falschen Hände gelangen, landen diese häufig auf sogenannten Datenportalen. Auf Datenportalen können diese gekauft werden und beispielsweise für Spam Nachrichten verwendet werden. Auch die Verbraucherzentrale warnt vor diesen Folgen des Datenmissbrauchs.
Ein weiteres Problem ist die Erstellung von persönlichen Profilen durch die Verwendung von Cookies. In der Regel sollte eine Erstellung von Profilen nur auf anonymer Basis möglich sein. Durch seitenübergreifendes Zusammenführen von Cookies können jedoch detaillierte Nutzerprofile erstellt werden. Man spricht in diesem Fall von Profiling. Unter Profiling wird die in jeglicher Form automatisierte Verarbeitung personenbezogener Daten unter der Bewertung persönlicher Aspekte auf eine natürliche Person verstanden. Personen können im Internet durch Profiling anhand von Browser-Verläufen, Websuchen, IP-Adressen, Einkäufen und Aktivitäten persönlicher Konten eindeutig identifiziert und mit ihren Aktivitäten verzeichnet werden.
Cookies und personenbezogene Daten
Besonders problematisch ist aber die Sammlung von personenbezogenen Daten. Personenbezogene Daten sind laut DSGVO alle Daten, mit denen sich eine Person identifizieren lässt. Dazu gehören die im vorherigen Paragraph genannten Merkmale. Diese dürfen unter bestimmten Umständen gesammelt und verarbeitet werden. Unter personenbezogene Daten fallen aber auch Informationen wie sexuelle Orientierung oder politische Meinung. Diese dürfen nur in seltenen Ausnahmefällen verarbeitet werden.
Personenbezogene Daten fallen daher unter besonderen Schutz in der DSGVO. Problematisch ist allerdings die Definition davon, welche Daten in welcher Form Personenbezug besitzen. Es gibt hier verschiedene und andauernde Rechtsstreits darüber, welche Daten übermittelt werden dürfen.
Wichtig ist: Cookies können personenbezogene Daten sammeln. Diese werden von Datenschützern als besonders wichtig erachtet. Für jegliche Webseiten, die Cookies setzen, sollte es oberste Priorität haben, diese Nutzerdaten zu schützen. Für Nutzer ist es wichtig zu wissen, was passiert, wenn diese Daten in die falschen Hände geraten. Für alle Beteiligten sollte folglich der gemeinsame Schutz personenbezogener Daten im Vordergrund stehen.
Die DSGVO und Cookies
Von Cookies geht eine Gefahr für den Schutz von personenbezogenen Nutzerdaten aus. Diese Gefahr soll durch bestimmte Regelungen möglichst gebannt werden. Die Datenschutz-Grundverordnung (DSGVO) regelt die Verarbeitung und Datenspeicherung von personenbezogenen Daten und schränkt diese ein. Die Verarbeitung von personenbezogenen Daten ist nur dann erlaubt, wenn diese entweder anonym sind oder aufgrund bestimmter Zwecke verwendet werden. Da Cookies in der Mehrzahl personenbezogene Daten verarbeiten, fallen diese somit auch unter die DSGVO.
Kurz gesagt:
- Wenn es technisch notwendig ist, dass ein Cookie gesetzt wird, wird keine Einwilligung benötigt (Beispiel Warenkorb-Cookie beim Online-Shopping).
- Daneben gibt es die sog. funktionellen und Performance-Cookies. Hier kommt es darauf an, ob es sich um ein First Party- oder Third Party Cookie handelt. (Bei Drittanbieter-Cookies ist eine Einwilligung Pflicht).
- Die dritte Cookie-Art sind Analytics-/Tracking- oder Marketing-Cookies. Hier benötigen wir laut Datenschutz-Regelung in jedem Fall eine Nutzereinwilligung.
Es ist folglich außerordentlich wichtig, als Webseitenbetreiber zu wissen, welche Cookies auf der eigenen Seite installiert sind. Etwaige Dienste weisen aber nicht unbedingt darauf hin, dass deren Nutzung eine Einwilligung durch den Nutzer benötigt.
Das Cookie Banner
Cookie Banner (auch Cookie Hinweis genannt) sind eine Möglichkeit, Cookies DSGVO konform auf einer Seite einzubringen. Mithilfe eines Banners wird explizit nach der Einwilligung in die verschiedenen Cookies gebeten. Die Einwilligung muss laut der DSGVO allerdings einige Auflagen erfüllen. Der Verbraucher muss sich über jedes einzelne Cookie vor seiner Einwilligung informieren können. Zu den wichtigsten Informationen gehören hier die Speicherdauer und die Auswahl der Daten, die übermittelt werden. Die Einwilligung muss zudem freiwillig zustande kommen.
Einfach gesagt: Der Cookie Hinweis darf nicht nur erfragen, ob der Nutzer in die Cookies der Seite einwilligen möchte. Der Nutzer muss auch verstehen können, auf was er sich einlässt. Hierbei geht es darum, dem Nutzer möglichst viel Autorität über seine personenbezogenen Daten zu geben. In die Nutzung jedes Cookies muss eine explizite Einwilligung erfolgen.
Consent Management Platforms und Cookies
Cookie Banner sind nur das, was der Nutzer auf der Webseite wahrnimmt. Hier wird um Zustimmung zu den einzelnen Cookies gebeten. Man spricht auch von sogenannten Präferenzen. Deswegen steht auf vielen Cookie Bannern auch häufig der Schriftzug „Präferenzen verwalten”. Wer allerdings Cookies rechtskonform einbinden möchte, muss noch weiter gehen. Damit die Cookies auch erst aktiviert werden, wenn die Zustimmung gegeben wird, müssen diese vorher geblockt werden. Das bedeutet, dass eine technische Infrastruktur bestehen muss, die diese Einstellungen erfüllen kann. Zudem müssen die Cookie Technologien geblockt bleiben, wenn die Cookies abgelehnt werden. Wenn die Cookies akzeptiert werden, soll deren Funktionalität reibungslos funktionieren.
Des Weiteren ist es wichtig, dass die Zustimmung zur Cookie Nutzung rechtssicher gespeichert wird. Das bedeutet, dass die Einwilligung so abgelegt werden muss, dass sie jederzeit wieder gelöscht werden kann. Falls ein Verbraucher eine Anfrage zur Auskunft über die Verarbeitung seiner personenbezogenen Daten stellt oder diese gelöscht haben möchte, muss dieser Bitte nachgekommen werden.
Um diese und viele weitere Funktionen zu erfüllen, gibt es sogenannte Consent Management Platforms. Mithilfe dieser CMPs können Cookies DSGVO konform eingepflegt werden. Zudem ist die Verwaltung der Einwilligungen rechtssicher. Auf diese Weise lassen sich alle Einstellungen des Cookie Banners und des technischen Back-Ends einfach verwalten.
Eine CMP für Cookies erhöht die Sicherheit der Nutzer einer Webseite und sichert gleichzeitig die Interessen der Webseitenbetreiber.
Was ist ein Cookie Hinweis?
Beim ersten Aufruf vieler Webseiten werden Website-Besucher von einem sogenannten Cookie Hinweis empfangen. Das Pop-Up-Fenster, das Website-Besuchern angezeigt wird, wird auch Cookie Banner genannt. Seit Inkrafttreten der EU-weit geltenden Datenschutz Grundverordnung (DSGVO) am 25. Mai 2018 haben fast alle Webseiten einen solchen Hinweis auf Ihrer Seite.
Wir wollen hier darüber aufklären, was Cookie Hinweise bzw. Cookie Banner sind und warum sie auf so vielen Webseiten zu finden sind.
Was ist ein Cookie?
Die wichtigste Frage sollte vorweg geklärt werden: Was ist ein Cookie? Ein Cookie ist eine kleine Textdatei, die Informationen über die Nutzer einer Webseite enthält. Sie wird auf einem Webserver abgelegt und ermöglicht der Seite damit mehr über die Nutzer zu erfahren und die Gestaltung der Seite auf die Nutzer abzustimmen. Dadurch können Cookies beispielsweise das Abspeichern eines Warenkorbs in einem Webshop oder die automatische Auswahl der richtigen Sprache möglich machen. Technisch notwendige Cookies (auch essenzielle Cookies genannt) ermöglichen beispielsweise eine technisch einwandfreie Funktionalität.
In welchem Zusammenhang stehen DSGVO und Cookies?
Die DSGVO regelt den Umgang mit Cookies, weil diese personenbezogene Daten enthalten. Personenbezogene Daten sind zum Beispiel Namen, (IP-) Adressen, Telefonnummern, etc.. Grundsätzlich sind damit alle Daten gemeint, mit denen eine Person identifiziert werden kann, darunter fallen auch Teilinformationen, die gemeinsam zur Identifizierung einer Person führen können.
Die DSGVO regelt allerdings nicht nur Cookies, sondern auch jegliche Technik, die auf einer Webseite personenbezogene Daten weiterverarbeiten kann. Ein gutes Beispiel hierfür sind Tracking- und Retargeting Pixel für Facebook oder andere Werbedienste. Gemäß Erwägungsgrund 30 DSGVO benötigen Webseitenbetreiber eine Einwilligung für die Datenverarbeitung mithilfe solcher Technologien.
Der Ausdruck Cookie Hinweis ist eigentlich fehlleitend. Ein einfacher Hinweis wie ein „Diese Seite verwendet Cookies” Text reicht nicht aus. Es geht hier nicht nur um eine Mitteilungspflicht, sondern um das Einholen einer Einwilligung. Falls Sie sich dafür interessieren, welcher Text für Cookie Banner verwendet werden muss oder welche Anforderungen im Detail gelten, können Sie hier mehr erfahren.
Alles, was Webseitenbetreiber zum Thema Cookies und personenbezogene Daten wissen sollten, haben wir hier für Sie zusammengefasst:
- Sind Cookies personenbezogene Daten? (Video, 2 Min.)
Alles zum Thema „Cookie Consent“, also der Einwilligung des Nutzers zur Erhebung und Verwendung seiner Daten, finden Sie in diesem Beitrag:
- Benötige ich für das Setzen von Cookies eine Einwilligung? (Video, 3 Min.)
Benötige ich einen Cookie Hinweis auf meiner Homepage?
Ob Sie einen solchen Hinweis benötigen, kommt ganz auf die Technologien an, die Sie auf Ihrer Webseite verwenden wollen. Technisch notwendige Cookies (auch essenzielle Cookies genannt) dürfen immer verwendet werden. Da sie für die Funktion der Webseite erforderlich sind, ist eine Einwilligung nach DSGVO nicht erforderlich.Sofern allerdings Cookies oder Technologien angewendet werden, die personenbezogene Daten zu nicht essentiellen Zwecken sammeln, ist ein Hinweis und das Einholen einer Einwilligung oft unerlässlich. Sie müssen sich also die Frage stellen: „Welche Cookies setzt meine Webseite?”. Werden personenbezogene Daten nicht DSGVO-konform verarbeitet und Cookies nicht rechtskonform gesetzt, könnte Ihnen eine Abmahnung drohen.
Ein Beispiel für ein essenzielles Cookie ist das Warenkorb-Cookie. Für die Verwendung aller anderen Web-Technologien (bspw. Pixel) ist ein erweiterter Cookie Hinweis Pflicht. Wie oben beschrieben, haben Webseitenbetreiber dafür Sorge zu tragen, dass die Nutzereinwilligung zur Verarbeitung personenbezogener Daten DSGVO-konform eingeholt wird.
Rechtliche Lage
Obwohl die rechtliche Behandlung von Cookies in der EU durch die Cookie Richtlinie geregelt ist, hat Deutschland lange Zeit die Regelungen nie durch ein Gesetz umgesetzt. Das heißt, die Richtlinie galt streng genommen gar nicht, weil EU-Richtlinien erst durch die Mitgliedstaaten in nationales Recht umgesetzt werden müssen. Dies erfolgte in Deutschland erst 2021 durch das TTDSG. Auch die DSGVO, die 2018 in Kraft trat, gibt Vorgaben, die umgesetzt werden müssen. Webseitenbetreiber sind verpflichtet, Informationen über das Setzen von Cookies und anderen Trackern, sowie aber auch die Verarbeitung von personenbezogenen Daten leicht zugänglich auf der Webseite bereitzustellen.Durch die neue ePrivacy Verordnung soll hier Abhilfe geschaffen werden. Sie soll die Bereiche „Tracking” und „Cookies” eindeutig regeln und die DSGVO ergänzen. Allerdings ist auch diese bis heute nicht in Kraft getreten.Der aktuelle Stand kurz zusammengefasst: Wer als Webseitenbetreiber – zusätzlich zum technischen Betrieb der Webseite notwendigen Cookies – weitere Cookies verwendet, benötigt eine Datenschutzerklärung oder Cookie Hinweise, auf denen nicht nur über das Setzen von Cookies informiert wird, sondern auch über die Verarbeitung von personenbezogener Daten. Werden neben Cookies auch Web-Technologien wie Pixel eingesetzt, muss auch über diese informiert werden.
7 Kriterien eines DSGVO-konformen Cookie Hinweises
Ein Cookie Hinweis oder Cookie Banner muss neben den inhaltlichen Hinweisen auch Cookies DSGVO konform verarbeiten. Doch wie muss eine DSGVO-konforme Einwilligung konkret aussehen?Die Nutzereinwilligung in die Verwendung von Cookies muss sieben Kriterien erfüllen:
- Die Einwilligung in die Verwendung von Cookies muss vorab passieren. Das bedeutet, dass die Seite erst betreffende Technologien verwenden darf, wenn der Nutzer seine Zustimmung dazu gibt.
- Die Einwilligung muss freiwillig sein. Der Nutzer darf also nicht zur Nutzung gezwungen werden.
- Die Einwilligung muss rechtssicher dokumentiert sein. Somit muss die Einwilligung sicher gespeichert werden und auch jederzeit abgerufen und angepasst werden.
- Die Einwilligung muss informiert sein. Die Nutzer müssen sich also über die angewendeten Technologien informieren können.
- Die Einwilligung muss explizit sein und damit aktiv und nicht passiv sein.
- Die Einwilligung muss granular erfolgen. Jeder muss sich also genau aussuchen können, welche Technologien Anwendung finden und welche nicht.
- Der Nutzer muss seine Einwilligung – also den “Opt-in” – darüber hinaus jederzeit widerrufen können (“Opt-out”).
Falls Sie mehr Details zu diesen Kriterien wissen wollen, können Sie hier mehr erfahren.
Wie wird ein Cookie Hinweis in der Praxis DSGVO-konform?
In der Praxis empfiehlt sich für die DSGVO-konforme Verwendung von Cookies eine sogenannte Consent Management Platform (CMP). Ein solches Consent Management Tool macht es möglich, jederzeit sicherzustellen, dass bei der Verwendung von Cookies alle Anforderungen an eine DSGVO-konforme Einwilligung automatisiert umgesetzt werden. Sie schützen sich dadurch optimal vor dem Risiko von Bußgeldern. Diese Programme helfen Ihnen, die Einwilligungen Ihrer Webseitenbesucher einzuholen, zu verwalten und zu speichern. Die Einwilligung wird über ein anpassbares Cookie Banner eingeholt, welches die oben genannten sieben Kriterien berücksichtigt.Die Usercentrics Consent Management Platform bietet Ihnen optimalen Schutz vor Geldstrafen bei Datenschutzverstößen und Ihren Webseitenbesuchern optimale Sicherheit im Umgang mit ihren personenbezogenen Daten.
DSGVO-konform werden mit Usercentrics
Die Usercentrics Consent Management Platform kann an Ihre individuellen Wünsche angepasst werden. Das User Interface, sowie die rechtlichen und technischen Hinweise können nach eigenen Vorstellungen individualisiert werden.
Das Cookie Banner
Usercentrics ermöglicht Ihnen das Aufsetzen eines individuellen Cookie Hinweises bzw. Cookie Banners. Ob Design, Text, Datenschutzstrategie (Granularität) sowie Kategorisierung der eingebundenen Technologien – Sie und Ihr Unternehmen sitzen im Cockpit. Gestalten Sie Ihr Cookie Banner nach Ihren Vorstellungen und Wünschen, sodass es sich harmonisch in den Gesamtkontext Ihrer Webseite einfügt.
Cookie Richtlinien Generator
Sie haben die Möglichkeit, mit unserem Website Scan alle auf Ihrer Webseite angewendeten Technologien zu identifizieren und rechtssichere Hinweise dazu zu hinterlegen. Die Richtlinien werden automatisch in der CMP hinterlegt und sind für Ihre Nutzer leicht aufzufinden. Es stehen dafür über 2.200 Textvorlagen zur Verfügung. Dadurch sparen Sie Aufwand und Ihre Besucher haben alle relevanten Informationen auf einen Blick.
Datenschutzkonforme Granularität
Ihre Besucher können jederzeit selbst auswählen, welchen Technologien sie zustimmen wollen und welchen nicht. Sie zeigen Ihren Nutzern mit einem hochwertigen Cookie Banner: Ihre Daten sind uns wichtig! Dadurch schaffen Sie Vertrauen. Die Technologien werden auch automatisch kategorisiert und sortiert, damit Sie und Ihre Besucher die maximale Übersicht über die angewendeten Cookies haben.
Usercentrics bietet keine rechtliche Beratung. Alle Angaben dienen nur zu Informationszwecken. Wir empfehlen immer, zu Fragen des Datenschutzes und der Datenverarbeitung einen qualifizierten Rechtsbeistand oder Datenschutzexperten hinzuzuziehen.
Was ist ein Cookie Banner?
Schon vor dem Inkrafttreten der EU-weit gültigen Datenschutzgrundverordnung (kurz DSGVO) im Mai 2018 sind sog. Cookie-Banner (auch Consent-Banner genannt) auf Websites zur Normalität geworden.
Beim ersten Besuch einer Webseite erscheint unten auf der Seite ein Banner oder ein Popup-Fenster. Dieses informiert den Nutzer über die Verarbeitung von persönlichen Daten sowie die Verwendung von Cookies. Die Seite möchte die ankommenden Daten nutzen, um mehr über den Nutzer zu erfahren.
Was sind Cookies? Ein Cookie ist im Grunde nichts anderes als eine kleine Textdatei, in der Informationen gespeichert werden. Diese Informationen ermöglichen einem Webserver die Wiedererkennung eines Nutzers.
Die DSGVO regelt den Umgang von Unternehmen mit persönlichen Daten. Es stellt sich also die Frage, ob die Nutzung von Cookies ohne Nutzereinwilligung rechtlich zulässig ist. Darf eine Website bestimmte Technologien verwenden, ohne darüber zu informieren oder eine Einwilligung einzuholen? Die Antwort ist hier, wie so oft im Rechtsbereich: Es kommt darauf an.
Keine Einwilligung wird benötigt bei Cookies, die für den technischen Betrieb der Webseite notwendig sind. Der Klassiker ist hier das Warenkorb-Cookie. Hier geht es alleine darum, dass bereits in den Warenkorb gelegte Produkte gespeichert werden und auch noch beim nächsten Website-Besuch im Warenkorb aufgerufen werden können.
Bestimmte Technologien benötigen aufgrund Ihres Umgangs mit persönlichen Daten allerdings unbedingt vor Anwendung eine Einwilligung des Nutzers. Dazu gehören alle Funktionen, die unter Erwägungsgrund 30 der DSGVO fallen.
Tracking-Cookies auf der Website benötigen eine ausdrückliche Einwilligung. Sie dienen dazu, das Verhalten der Nutzer zu tracken und zu analysieren.
Diese Cookies werden oft von Werbenetzwerken verwendet, um personalisierte Werbung anzuzeigen. Ohne die Einwilligung des Nutzers dürfen solche Technologien jedoch nicht eingesetzt werden. Die DSGVO schützt die Privatsphäre der Nutzer durch strenge Regeln für den Umgang mit persönlichen Daten. Wenn Sie sich also fragen: “Brauche ich Cookies auf meiner Webseite?” müssen Sie sich auch immer fragen: “Wie informiere ich meine Nutzer über die Cookies auf meiner Webseite?”.
Für alle Arten von Cookies und Technologien, die persönliche Daten verarbeiten, ist eine Einwilligung erforderlich. Es ist wichtig, dass Website-Betreiber die gesetzlichen Anforderungen erfüllen und den Nutzern klare Informationen und Wahlmöglichkeiten bieten. Nur so kann das Vertrauen der Nutzer gewonnen und die Privatsphäre geschützt werden.
Auch das Sammeln von Daten für eine besonders genaue Auswertung des Nutzerverhaltens fällt unter diese Regelung. Das betrifft insbesondere die Einwilligung für die Nutzung von Google Analytics Cookie Consent, die so viele Seitenbetreiber an dieser Stelle einholen müssen.
Cookie-Banner bzw. Consent-Banner sind damit Pflicht für alle, welche die Regelungen des Gesetzgebers einhalten wollen. Aus Datenschutzgründen folgt, dass folgender Hinweis bei jedem Website-Besuch angezeigt werden muss: „Diese Website verwendet Cookies“.
Sind Cookies personenbezogene Daten?
Benötige ich für das Setzen von Cookies eine Einwilligung?
Benötige ich ein Cookie-Banner für meine Website?
Die DSGVO gilt für alle Websites, die von EU-Bürgern genutzt werden können. Daher muss jede Seite ein DSGVO-konformes Cookie Consent Banner verwenden, das nicht EU-Bürger gezielt ausschließt.
Dies gilt allerdings nur für Cookies, die unter den Gebrauch der oben genannten Richtlinie fallen. Wenn es nur um technische Cookies geht, braucht es keinen Hinweis. Es geht folglich vor allem um personenbezogene Daten und deren Verwendung. Es muss eine DSGVO-konforme Einwilligung eingeholt werden, bevor die Cookies angewendet werden dürfen.
Das Banner dient dazu, den Nutzer zu informieren und ihm die Möglichkeit zur Einwilligung und Informationsbeschaffung zu geben. Es muss nicht unbedingt ein „klassisches“ Banner sein. Wichtig ist, dass der Zweck des Datenschutzes damit erfüllt werden kann.
Was sind die Anforderungen an ein DSGVO-konformes Consent Management?
Eine datenschutzkonforme Nutzereinwilligung muss im Sinne der DSGVO zahlreiche Kriterien erfüllen. Im Fokus steht dabei die möglichst nutzerfreundliche Einholung der Einwilligung.
Eine DSGVO-konforme Einwilligung muss vorab und freiwillig erfolgen und rechtssicher dokumentiert werden. Darüber hinaus muss die Einwilligung informiert, explizit und granular abgegeben werden. Der Nutzer muss seine Einwilligung zudem zu jeder Zeit widerrufen können.
Einfach gesagt bedeutet das: Der Nutzer muss wissen, welcher Sache er zustimmt. Zudem muss er sich darüber eine Meinung bilden können, was die Einwilligung bedeutet. Es reicht folglich nicht einfach mitzuteilen, dass diese Seite Cookies benutzt. Die DSGVO kann eine Chance sein, obwohl viele sie als Gefahr für die Analysefähigkeit betrachten.
Es bietet sich die Möglichkeit, Vertrauen zwischen Ihnen und Ihren Besuchern zu schaffen. Es ist vergleichbar mit einem Schild an der Wand, dass Besucher auf Hilfeleistungen im Einzelhandel hinweist. So wären Cookies vielleicht mit Verkäufern vergleichbar, deren Hilfestellung im echten Leben auch einfach abgelehnt werden kann. Sie können Ihre Besucher bilden und auf Ihre eigene Kompetenz im Netz hinweisen.
Hier können Sie mehr über die Kriterien und Anforderungen an ein DSGVO-konformes Consent Management erfahren. Zudem erfahren Sie mehr darüber, welcher Text für Cookie Banner verwendet werden sollte.
Warum reicht ein Cookie Banner alleine nicht aus?
Mit der DSGVO-konformen Einholung der Einwilligung ist allerdings noch nicht gegeben, dass das Consent Management datenschutzkonform ist. Hier kommen sogenannte Consent Management Platforms (CMPs) ins Spiel.
Usercentrics bietet eine solche Consent Management Platform (CMP) an, die die richtigen Consent Layer automatisch implementieren kann. Die Plattform stellt sicher, dass die Daten der Nutzer auch datenschutzkonform verarbeitet werden. Beim Anwenden einer solchen Software sind Betreiber auch im Falle eines Audits bestens geschützt. Gleichzeitig gewährleistet das Programm aber auch die Funktion des Trackings und macht es möglich, die gesammelten Daten auszuwerten.
Usercentrics ermöglicht es Ihnen, die Einwilligungen Ihrer Website-Besucher einzuholen, zu verwalten und zu dokumentieren. Dies gewährleistet umfassende Analysen und rechtliche Sicherheit.
Mit Usercentrics DSGVO-konform werden
Die Usercentrics Consent Management Platform (CMP) ist vollständig anpassbar. So können die UI sowie technische und rechtliche Anforderungen komplett individuell gestaltet werden. Usercentrics ermöglicht Ihnen DSGVO-konforme Datenverarbeitung auf Webseiten oder mobilen Apps mithilfe eines anpassbaren Cookie Banners/Consent Banners.
Consent Banner anpassen
Die Usercentrics CMP ermöglicht Ihnen mittels DSGVO-konformen Vorlagen eine direkte Integration auf Ihrer Seite. Die visuellen und interaktiven Elemente des Consent Banners auf Ihrer Webseite oder App können zusätzlich an die Farbgebung Ihres Unternehmens angepasst werden. Sie können darüber hinaus Logos, Schriftarten, Textbausteine, Buttons uvm. hinzufügen.
Alle Cookies und Tracking Technologien identifizieren
Der Website-Scan deckt automatisch alle Cookies und andere Tracking Technologien auf, die aktuell auf Ihrer Seite im Gebrauch sind. Die Informationen werden automatisch in die CMP integriert, so sparen Sie Zeit und Ressourcen. Der Scan beantwortet automatisch die Fragen „Welche Cookies verwendet meine Webseite?” und „Nutzt meine Webseite Cookies?”. Die CMP kategorisiert die Technologien direkt, was für die DSGVO-Konformität wichtig ist. Auf diese Weise besteht eine datenschutzkonforme Grundlage für die Sammlung von Einwilligungen und die Speicherung der Nutzerdaten.
Datenschutzkonforme Bereitstellung von Informationen über Datenverarbeitungsdienste
Usercentrics bietet Ihnen eine Auswahl an 2.200 rechtssicheren Textvorlagen für Ihre Datenverarbeitungsdienste. Dazu gehören z.B. Cookies zur Analyse des Nutzerverhaltens oder Cookies zur Messung von Werbemaßnahmen. Sie können aus den Texten die für Sie relevanten auswählen und sparen damit Zeit und Ressourcen, da Sie die Texte weder selbst schreiben noch aufwendig prüfen lassen müssen. Sie haben zudem die Gewissheit, dass die Texte auf dem neuesten Stand hinsichtlich der rechtlichen und technologischen Entwicklung sind.
Im Consent Banner können Ihre Nutzer genau einsehen, welche Daten für welchen Zweck gesammelt werden und alle Informationen bezüglich der verwendeten Technologien nachlesen. Nutzer können dadurch selbst bestimmen, ob sie allen, manchen oder gar keinen Cookies zustimmen wollen. Auf diese Weise wird das Kriterium der „Informiertheit” für eine DSGVO-konforme Einwilligung erfüllt und aktiv gefördert.
Usercentrics GmbH bietet keine Rechtsberatung an. Der Inhalt dieses Artikels ist nicht rechtsverbindlich. Der Artikel stellt die Meinung von Usercentrics dar.
Unser Partner
Cookies sammeln derzeit noch munter Nutzerdaten in unseren Browsern, aber ihre Tage sind gezählt. Auf sie wartet das gleiche Schicksal, wie einst auf den T-Rex – irgendwann werden Sie komplett aussterben. Die gute Nachricht: Zielgerichtete Werbung und Datenerfassung sind deshalb aber nicht tot. Im Gegenteil, sie sind Teil einer bevorstehenden Revolution.
Bevor bei Ihnen als Marketer die Alarmglocken läuten, ist es wichtig herauszufinden, wie Sie Ihre Marketingstrategie an diese Entwicklung anpassen können. Finden Sie heraus, wie genau Ihr Unternehmen davon betroffen ist und wie Sie von diesem Wandel profitieren können. In diesem Webinar gehen wir der Frage nach, wie eine Zukunft ohne Cookies aussehen könnte, und erklären, wie der Late Consent-Ansatz für Sie der Schlüssel zum Erfolg werden könnte.
Zielgruppe: Marketer & Entscheidungsträger
Sprache: Deutsch
¹der Webinar-Partner ist die Fusedeck GmbH
Cookies von Drittanbietern werden aussterben – da ist sich die Branche mittlerweile einig. Kein Wunder, basieren sie doch auf einer vergleichsweise veralteten Technologie, die nicht zuletzt immer wieder aufgrund ihrer invasiven Wirkung in Frage gestellt wird. In Zeiten zunehmender Besorgnis über den Online-Datenschutz und dessen Regulierung verwundert es also nicht, dass die Branche neue Möglichkeiten auslotet. Was nun letztlich ein adäquater Ersatz für Drittanbieter-Cookies sein wird, bleibt abzuwarten.
Eine Idee wird sich schon mal nicht durchsetzen: Googles Federate Learning of Cohorts (FLoC). Ende Januar 2022 gab der Konzern bekannt, dass es das Mitte 2021 angekündigte Projekt nicht weiterverfolgen wird. Kritikpunkte an FLoC waren mangelnder Datenschutz und Privatsphäre, auch Werbetreibende waren ebenfalls nicht begeistert von dem Konzept.
Mehr Information hierzu in unserem Artikel: Googles Federated Learning of Cohorts: Warum FLoC uns alle angeht
Google kündigte stattdessen ein neues Projekt an: Topics. Ein ebenfalls API-gesteuertes Aggregationsmodell, das die Interessen der Nutzer ermittelt, um sie gezielt mit Werbung anzusprechen.
Wie funktioniert Topics?
Wie FLoC wird auch Topics auf einem interessenbasierten Modell beruhen. Während die Nutzer im Internet surfen, erfasst der Browser ihre Interessen anhand der von ihnen besuchten Websites. Wichtig: Im Moment gilt dies nur für den Chrome-Browser, der allerdings fast 70 Prozent Marktanteil hat. Im Browserverlauf werden hierbei maximal 300 Interessen gespeichert. Nach drei Wochen werden diese gelöscht und komplett neu erstellt. Welche Art oder Menge von Informationen hierbei genau als „Interesse“ gelten, ist nicht ganz klar. Allerdings werden Informationen, die als „sensibel“ eingestuft werden, laut Google nicht erfasst.
Während bei FLoC die Browserverläufe der Nutzer verglichen und in Gruppen mit ähnlichen Interessen eingeteilt wurden, werden Nutzer bei Topics nach ihrem Verhalten kategorisiert.
Ein Beispiel: Bei FLoC wären Nutzer als Personen mit ähnlichen Interessen kategorisiert worden, weil sie die Website usercentrics.com besucht haben. Bei Topics werden Nutzer nach ihrem Verhalten kategorisiert, z. B. weil sie Artikel über das Thema Consent Management lesen, aber nicht, weil sie dies auf derselben Website tun.
Topics ähnelt demnach dem klassischen Contextual Targeting. Datenschützer äußern hier allerdings bereits die Befürchtung, dass auch bei Topics den Trackern von Drittanbietern mitgeteilt wird, welche Websites die Nutzer besuchen.
Google selbst weist darauf hin, dass Nutzer die Möglichkeit haben werden, Themen zu überprüfen und aus ihren Listen zu entfernen, und betont, dass die Funktionsweise von Topics stark von den Ergebnissen der FLoC-Tests und des Feedbacks der Browser-Nutzer beeinflusst wurde.
Sobald die Nutzer eine Liste ihrer Interessen erstellt haben, kategorisiert Google die anschließend besuchten Websites auf der Grundlage dieser Liste. Wenn die Themenliste noch nicht erstellt wurde oder Nutzer eine nicht kategorisierte Website aufrufen, ermittelt ein Algorithmus das Thema anhand des Domainnamens der Website.
Finden Sie in Sekundenschnelle heraus, welche Daten Ihre Website sammelt und wie hoch das Risiko der Einhaltung des Datenschutzes ist.
Wie funktioniert die Topics API für Werbezwecke?
Websites werden eine Topics API für Werbezwecke nutzen können, und Google plant aktuell Ende des ersten Quartals 2022 mit der Testphase zu beginnen.
Angedacht ist Folgendes: Der Browser eines Nutzers wählt nach dem Zufallsprinzip drei Themen aus den fünf Top-Themen der aktuellen Interessenliste des Nutzers aus, und zwar jeweils eines aus den drei Wochen, in denen der Browser Daten speichert.
(Weitere Informationen: Technische Informationen zur Topics API)
Die Website, auf der die Topics API läuft, kann dann diese drei Themen verwenden und sie mit Werbepartnern teilen, um festzulegen, welche Anzeigen dem Nutzer gezeigt werden sollen. Laut Google können die Nutzer nicht nur ihre Interessenliste bearbeiten, sondern auch die Topics API ganz abschalten.
Werbetreibende haben sich bereits besorgt über die Beschränkungen durch Topics geäußert. Google betont jedoch, dass Werbetreibenden weiterhin zusätzliche Signale zur Verfügung stehen werden, um zu entscheiden, welche Anzeigen den Nutzern angezeigt werden sollen. Topics wären hierbei nur eine Option von vielen. So können beispielsweise Daten über die Website, auf der sich Nutzer gerade befinden, wie der Artikel, den sie gerade lesen, zusätzliche Informationen und Kontext liefern.
Und wie sieht es mit den anderen Browser-Anbietern aus? Diese hatten sich in der Vergangenheit geweigert FLoC hinzuzufügen. Ob sie die Möglichkeit, die Topics API hinzuzufügen nutzen werden, bleibt abzuwarten. Denn in der Branche gibt es weiterhin Bedenken, dass Topics keine wirklichen Probleme löst oder eine echte Neuerung darstellt, sowie Bedenken bezüglich Googles „Unentschlossenheit“ bei der Ausrichtung in Bezug auf Datenschutz und die entsprechenden Technologien.
Da Nutzer, Datenschutzbeauftragte und Werbetreibende Bedenken bezüglich Topics haben, könnte es sein, dass Google in Zukunft Änderungen vornimmt oder einen weiteren Ersatz für Cookies von Drittanbietern vorschlägt.
Haben Sie noch Fragen zu Datenschutz und Privatsphäre in Browsern? Wir sind gerne für Sie da. Sprechen Sie noch heute mit einem Experten!
“Consent is the new gold” – das ist schon lange kein Geheimnis mehr unter Online Marketers. Aber was, wenn ein Websitebesucher das Cookie Banner einfach ignoriert oder direkt auf den Ablehnen-Button drückt? Ist er dann für gezielte Marketingmaßnahmen für immer verloren oder gibt es vielleicht doch noch eine Möglichkeit, solche Opt-out Nutzer zu reaktivieren?
In diesem Artikel erfahren Sie:
- Warum die Akzeptanzrate der Schlüssel zum Ad Revenue ist
- Wann sich die Reaktivierung von Opt-out Nutzern lohnt
- Konkrete Tipps, wie Sie Opt-out Nutzern reaktivieren können
DSGVO-konformer Cookie Consent funktioniert nach dem Opt-in Prinzip. Sprich, es dürfen nur personenbezogene Daten zu Marketingzwecken verwendet werden, wenn der User hierzu aktiv seine Einwilligung gegeben hat – und diese Einwilligung zudem noch weiteren Kriterien genügt. -> Mehr dazu in unserem Artikel im Knowledge Hub “7 Kriterien einer DSGVO-konformen Einwilligung”.
Achtung: Ignoriert der User das Banner und surft weiterhin auf der Website, gilt dies laut DSGVO nicht als Einwilligung.
Weitere Tricks, die gerne angewandt werden, um Webseitenbesucher zum Cookie Opt-in zu bewegen, aber vom Gesetz her nicht erlaubt sind, finden Sie in unserem Artikel ”Nutzer Einwilligung einholen: diese 5 Tricks sind nicht DSGVO-konform”.
Finden Sie’s heraus mit unserem kostenlosen Website-Check. In 30 Sekunden erhalten Sie einen detaillierten Datenschutz-Risikobericht und wissen dann ganz genau welche Third Party-Cookies und ähnliche Technologien auf Ihrer Website im Einsatz sind.
Warum die Akzeptanzrate der Schlüssel zum Ad Revenue ist
Für Online Marketer macht es einen großen Unterschied, ob Nutzer mehrheitlich nur essentielle oder auch Marketing Cookies akzeptieren. Schließlich bilden die Informationen, die durch optionale Cookies gewonnen werden, die Grundlage für das gezielte Ausspielen von Inhalten.
⇨ Die Akzeptanzrate ist der Schlüssel zu einem marketingrelevanten Datenschatz, dessen Ausmaß sich wiederum direkt auf das Ad Revenue auswirkt.
Lohnt sich die Reaktivierung von Opt-out Nutzern überhaupt?
Bevor man sich eine Strategie zurechtlegt, um Opt-out Nutzer zurückzugewinnen, stellt sich zunächst einmal die Frage nach dem Potenzial. Wie hoch ist die aktuelle Opt-in Rate überhaupt? Sprich, wieviel Prozent der Nutzer erteilen im Schnitt ihre Einwilligung zum Einsatz aller Cookies? Ist sie bereits relativ hoch, können zwar immer noch gezielt Optimierungsmaßnahmen vorgenommen werden, so wirklich lohnt sich der Aufwand allerdings nur bei einem hohen Anteil von Opt-out Nutzern.
Interessant: Im Schnitt erteilen etwa zwei Drittel der Nutzer ihre Einwilligung (interne Usercentrics Auswertung).
Allerdings trifft dieser Wert nicht auf jede Webseite bzw. jede Branche zu, denn ob ein Nutzer der Verwendung seiner Daten zustimmt, hängt von verschiedenen Faktoren ab.
Zum Beispiel:
- Wie datenschutz-affin ist der Nutzer?
- Wie vertrauensvoll wird die Marke wahrgenommen?
- Wie sehr ist ein Webseitenbetreiber/Unternehmen auf den Opt-in angewiesen?
Bevor zu viele Hebel auf einmal umgelegt werden, um einen Nutzer zum Opt-in zu bewegen, muss klar sein: Der Nutzer muss sich aus freien Stücken für den Opt-in entscheiden (Erwägungsgrund 42, DSGVO), ein Opt-in darf ihm nicht aufgezwungen werden, z. B. indem ihm der Zugang zur Webseite durch eine Cookie Wall versperrt wird.
So gewinnen sie Opt Out-User zurück
Hat sich der Nutzer bereits einmal gegen den Einsatz von Cookies entschieden (wobei dies auch versehentlich passiert sein könnte), macht es beim zweiten Anlauf Sinn, nicht direkt mit der Tür ins Haus zu fallen. Es ist also etwas Fingerspitzengefühl gefragt. Die Zauberwörter hierbei: Timing, Anreiz und Extras. Folgende Praxis-Tipps haben sich bewährt.
Möglichkeit 1: Contextual Consent nutzen
Um einen Nutzer für den Opt-in zu gewinnen, muss der Mehrwert für ihn klar ersichtlich sein. Eine gute Möglichkeit stellen einzelne, eingebettete Inhalte dar.
Das Szenario: Möchte ein Opt-out Nutzer mit diesen interagieren, wird ein Cookie Consent-Dialog ausgespielt und der Nutzer erneut um seine Einwilligung gebeten. Diese Option bietet sich z. B. bei:
- eingebetteten Social Media-Beiträgen von Twitter oder Facebook
- eingebetteten Timelines von Twitter
- eingebetteten YouTube-Videos
Der Vorteil: Der Nutzer erkennt direkt, was er für seine Zustimmung bekommt. Das Ausspielen des Cookie Consent fügt sich also optimal in seine User Journey ein. Eine hohe Zustimmungsrate ist daher sehr wahrscheinlich.
Unsere Einschätzung:
✔ einfache Umsetzbarkeit
✔ hohe Nutzerakzeptanz
Möglichkeit 2: Programmatisches Displaying einsetzen
Während sich Möglichkeit 1 direkt erschließt, muss man beim Programmatischen Displaying tiefer in die Datenanalyse einsteigen. Entlang der Nutzerdaten, die man von den Opt-in Nutzern erhält, gilt es hier herauszufinden, welche Unterseiten und Landingpages einen hohen Trust-Faktor aufweisen – um dann gezielt auf diesen Seiten erneut den Cookie Consent auszuspielen.
Wichtig dabei: Die Entwicklung durch das Programmatische Displaying im Auge behalten. Um es möglichst unaufdringlich für den Nutzer zu gestalten, bietet es sich an, die Ausspielung zunächst auf einen kleinen Teil der Anwender zu beschränken – und erst die Frequenz zu erhöhen, wenn die Daten sich entsprechend abzeichnen.
Unsere Einschätzung:
✔ unaufdringliche Variante die Chancen auf einen Opt-in zu erhöhen
⚠ setzt aufwändige Datenauswertung bzw. Analyse voraus
⚠ Strategie muss nachverfolgt und ggfs. nachjustiert werden
Möglichkeit 3: Erneutes Ausspielen des Cookie Banners zu Sale-Events (z.B. Black Friday)
Groß angekündigte Verkaufsaktionen wie der Singles Day oder Black Friday locken nicht nur mehr Nutzer auf die Webseite von Händlern, sondern sorgen auch für eine erhöhte Opt-in Bereitschaft. So zeigt beispielsweise unsere Black Friday-Studie, dass die Zustimmung an diesen Tagen deutlich höher liegt als sonst.
Der Grund dafür liegt auf der Hand: Der Websitebesucher möchte möglichst schnell zu den Schnäppchen gelangen und stellt deshalb eventuelle Datenschutzbedenken hinten an. Inwiefern man sich diese Verschiebung der üblichen “Schmerzgrenze” zunutze machen möchte, bleibt jedem Händler selbst überlassen. Allerdings sollte man das erneute Ausspielen des Cookie Banners dosieren, um nicht zu riskieren, dass Nutzer sich so davon bedrängt fühlen, dass sie die Seite verlassen.
Unsere Einschätzung:
✔ viel Potenzial die Opt-in Rate deutlich zu steigern
⚠ Schmerzgrenze der Nutzer sollte nicht überschritten werden
Möglichkeit 4: Incentivierung per Gutschein
Wer einen Webshop besucht, kommt am obligatorischen Deal “Gutscheincode gegen Erhalt des Newsletters” kaum vorbei. Dieser Marketing-Kniff lässt sich allerdings auch nutzen, um die Cookie-Einwilligung von Nutzern zu erbitten, die zunächst abgelehnt hatten. Machen Sie Ihren Nutzern also ein Angebot: “Du willst wirklich ablehnen? Wie wäre es mit einem 5% Rabatt-Code für deinen nächsten Einkauf?”
Achtung: Achten Sie hierbei auf Maß und Mitte. Denn wer mit zu großen Goodies lockt, könnte schnell in Verdacht geraten den Nutzern den Opt-in aufzuzwingen – weil das Angebot eventuell zu gut ist um es abzulehnen – und der Nutzer so quasi alternativlos ist. Es empfiehlt sich das Gebot der Freiwilligkeit (Erwägungsgrund 42, DSGVO) hier also unbedingt einzuhalten um DSGVO-konform zu handeln.
Unsere Einschätzung:
✔ hohe Nutzerakzeptanz
⚠ Potenzial über’s Ziel hinauszuschießen, wenn Rabatte zu großzügig ausfallen
Fazit
Je nachdem wie hoch die Opt-out-Quote ist, bietet die Rückgewinnung von Nutzern, die zuvor Cookies abgelehnt haben, großes Potenzial. Die Implementierung der Maßnahmen erfordert dabei einen unterschiedlich hohen Aufwand. Zudem unterscheidet sich – je nach Szenario – auch die Aufdringlichkeit der Opt In-Aufforderung. Während sich etwa am Contextual Consent die allermeisten kaum stören dürften, ist bei anderen Ansätzen deutlich mehr Feingefühl- bzw. Tuning gefragt.
Wer dabei clever vorgeht, für den kann sich der Mehraufwand lohnen. Denn die so zusätzlich datenschutzkonform erhobenen Daten tragen über einen längeren Zeitraum erhoben maßgeblich zum gesamten verwertbaren Datenvolumen bei, was sich wiederum direkt auf das Ad Revenue auswirkt.
Unsere Empfehlung: Behalten Sie Ihre Opt-in Rate im Auge und überprüfen sie regelmäßig, wie Sie diese durch gezielte Maßnahmen steigern können. Denn manchmal haben bereits kleine Hebel, wie z.B. Incentives eine große Wirkung.
Sie möchten gesetzeskonform Nutzerdaten für Marketingzwecke sammeln und dabei gleichzeitig das Kundenvertrauen in Ihre Marke stärken? Sprechen Sie mit unseren Experten und lassen Sie sich die Usercentrics CMP in Aktion zeigen. Wir freuen uns auf Ihre Fragen!
DISCLAIMER:
Diese Ausführungen stellen keine Rechtsberatung dar. Bei rechtlichen Fragen, sollten Sie sich an einen Fachanwalt wenden. Die Umsetzung einer datenschutzkonformen Implementierung einer CMP liegt letztlich im Ermessen des jeweiligen Datenschutzbeauftragten bzw. der Rechtsabteilung.
Das Ende der Third-Party-Cookies naht. Auch wenn Google jüngst verkündete erst ab 2023 die Verwendung von Third Party-Cookies nicht mehr zu unterstützen, solltest du jetzt keine Zeit verlieren, um dein Marketing zukunftssicher zu gestalten. So blockieren beispielsweise große Internet-Browser bereits jetzt standardmäßig Third-Party-Cookies. Was genau bedeutet das für dein Advertising, deine Web-Analyse und Storage Tools? Und was musst du jetzt tun, um dein Marketing zukunftssicher zu gestalten? Erfahre hier, was du tun kannst, um dein Webtracking auch in Zukunft DSGVO-konform und zukunftssicher zu gestalten.
¹der Webinar-Partner ist OMR
Manche Webseiten lassen Nutzern keine Wahl: Noch bevor man damit beginnen kann auf der Website zu surfen, versperrt ein Cookie Banner den Zugang – und gibt die Seite erst frei, wenn man auf „Akzeptieren“ oder „Okay“ geklickt hat.
Was sich hinter dieser Vorgehensweise verbirgt, ob sie wirklich rechtens ist und was eine Cookie Wall von einer Paywall unterscheidet, erfahren Sie hier.
Das “Take it- or leave it”-Prinzip
Cookie Walls sind genau genommen nichts anderes als eine Art Türsteher. Das Dilemma: Der Nutzer kann entweder die Vorgaben des Clubs akzeptieren – in diesem Fall Marketing-Cookies und andere Tracking-Technologien zuzulassen – oder er kommt einfach nicht rein, sprich, er erhält keinen Zugriff auf den Inhalt der Seite. Diese Situation nennt man Take-it or Leave-it.
Finden Sie’s heraus mit unserem kostenlosen Website-Check. In 30 Sekunden erhalten Sie einen detaillierten Datenschutz-Risikobericht und wissen ganz genau welche Third Party-Cookies und ähnliche Technologien auf Ihrer Website im Einsatz sind.
Was sind Cookie Walls und wie funktionieren sie?
Cookie Walls sind Barrieren vor einer Website, die Nutzen nur umgehen können, wenn sie akzeptieren, getrackt zu werden. Sie müssen sich also entscheiden, ob ihre persönlichen Informationen von der Website verarbeitet werden dürfen, oder ihnen der Zugang zu den Inhalten der Seite verwehrt bleibt.
Ziel des Einsatzes einer Cookie Wall ist letztlich, möglichst viele Daten zu sammeln und zu verarbeiten, aus denen detaillierte Profile erstellt und an Firmen weiterverkauft werden können.
Aus der Sicht von Publishern ist das Vorgehen verständlich. Immerhin müssen sie ihre Inhalte finanzieren, wozu Gewinne aus Werbung einen Großteil beitragen.
Welche Arten von Cookie Walls gibt es?
a) ohne Wahlmöglichkeit
Eine Cookie Wall ohne Einstellungsoptionen bietet dem Nutzer keine Möglichkeit, bestimmte Kategorien von Cookies aus- oder abzuwählen. Der Nutzer hat weder einen Überblick, welche seiner Daten gespeichert werden, noch kann er aktiv etwas an den Einstellungen verändern oder seine Einwilligung (consent) für bestimmte Dienste oder die allgemeine Datensammlung geben bzw. entziehen.
❗ Dieses Vorgehen ist nicht DSGVO konform, u.a. weil der Nutzer keine granulare Einstellungsmöglichkeiten und auch keine Information über die eingesetzten Dienste bekommt. Zudem muss der Zugang zu einem Service auch bei Verweigerung des Consent gegeben sein. Dem Nutzer darf kein Nachteil entstehen, wenn er die Einwilligung zur Nutzung seiner Daten verweigert.
b) mit Wahlmöglichkeit
Statt das Cookie Banner dezent im unteren Drittel der Website aufploppen zu lassen, handelt es sich bei dieser Variante letztlich um eine etwas aggressivere Abfrage der Nutzerpräferenzen. Sprich, es ist eine Consent Management Platform (CMP) im Einsatz, das Banner erscheint allerdings zentral auf der Website, oftmals bei ausgegrautem Hintergrund, solange der Nutzer noch keine Einstellungen vorgenommen hat. Der entscheidende Unterschied zu Variante a): Bei dieser Art Cookie Banner hat der Nutzer wirklich eine Wahl – und vor allem kann er die Services der Website auch dann nutzen, wenn er der Verarbeitung seiner persönlichen Daten nicht zustimmt.
❗ Dieses Vorgehen ist DSGVO-konform, vorausgesetzt das Cookie Banner erfüllt alle Vorgaben an eine gültige Einwilligung. Mehr dazu finden Sie auf unserem Blog im Artikel “7 Kriterien einer DSGVO-konformen Einwilligung“.
Eine Paywall ist eine “Bezahlschranke”. Sie wird beispielsweise von Online-Magazinen oder Zeitungen eingesetzt, deren Artikel nur (weiter-)gelesen werden können, wenn man dafür bezahlt, z. B. in Form eines Abos.
Alternativ wird dem Websitebesucher oftmals angeboten, umsonst weiterzulesen, allerdings im Austausch für die Weitergabe seiner Daten und das Ausspielen von Werbung.
Somit hat der Nutzer eine echte Alternative, weshalb die Paywall auch nach Einschätzung des EDSA (Europäischer Datenschutzausschuss) als DSGVO-konform gilt.
Welche Cookies dürfen ohne Einwilligung gesammelt werden?
Grob unterscheidet man zwei Arten von Cookies:
- Notwendige Cookies
Diese dienen dazu, die grundlegenden Funktionen der Website zu erfüllen, z. B. die Möglichkeit seine Käufe im Warenkorb abzulegen. Sie dürfen in der Regel ohne explizite Einwilligung des Nutzers eingesetzt werden, da ansonsten die Website ihre grundlegenden Funktionen nicht ausführen kann.
- Statistik-Cookies und Marketing-Cookies
Diese Cookies sammeln persönliche Daten über den Nutzer und sein Surfverhalten, um diese entweder anonym oder personenbezogen weiter zu verarbeiten. Bevor diese Daten erhoben werden, muss um DSGVO-konform zu agieren, die Einwilligung der Nutzer eingeholt werden. Dies geschieht im Idealfall über eine Consent Management Platform (CMP).
Weitere Infos, wie Sie Ihr Cookie Banner korrekt aufsetzen, finden Sie unter: “Best Practice: So implementieren Sie Ihre CMP DSGVO-konform”.
Welche Tricks sie dabei lieber unterlassen sollten, erklären wir hier: “Nutzer Einwilligung einholen: diese 5 Tricks sind nicht DSGVO-konform”.
Rechtliche Grundlagen – EDSA und Cookie Walls
Prinzipiell muss ein Betreiber seine Website nicht für jeden Besucher zugänglich machen. Die Frage ist allerdings, ob der Cookie-Dialog zu einem Ausschluss von Personen führen darf. Sprich, ob diese den Service auch weiter nutzen oder auf Inhalte zugreifen können, wenn sie die Verarbeitung ihrer Daten abgelehnt haben.
Konkret geht es hier um das Thema „Freiwilligkeit“ beim Datenschutz. Laut DSGVO sollen Betroffene die freie Wahl haben, ob sie der Nutzung personenbezogener Daten zustimmen, oder eben nicht. Aber ist diese Entscheidung wirklich freiwillig, wenn es keine andere Option gibt?
Laut der Datenschutzbehörde EDSA und der französischen Datenschutzbehörde CNIL dürfen Internetseiten die Nutzung der Seite nicht davon abhängig machen, ob der Nutzer in die Verwendung von Tracking- oder Werbecookies einwilligt, oder nicht. Bereits im Vorwort der Leitlinien wird hervorgehoben, dass das Einholen einer Einwilligung durch den Einsatz einer Cookie-Wall und einfaches Scrollen gegen die Datenschutz-Grundverordnung (DSGVO) verstößt. Der Bundesbeauftragte für den Datenschutz in Deutschland positioniert sich wie folgt:
„Es gibt immer noch Internetseiten, die durch Ihren Aufbau den Nutzenden Tracking aufdrängen. Die aktualisierten Leitlinien machen erneut deutlich, dass Einwilligungen nicht erzwungen werden können. Die meisten Cookie-Walls und die Annahme, dass das Weitersurfen eine Einwilligung bedeutet, widersprechen dem Aspekt der Freiwilligkeit und verstoßen gegen die Datenschutz-Grundverordnung. Ich wünsche mir, dass Verantwortliche daraus die richtigen Schlüsse ziehen und endlich datenschutzfreundliche Alternativen anbieten. „
Sind Cookie Walls legal?
Die Antwort darauf ist ganz klar: Nein. Cookie Walls sind illegale Wege der Websitebetreiber durch angebliche Einwilligung des Nutzers seine Daten zu sammeln. Das European Data Protection Board (EDPB), eine unabhängige Kontrollinstanz, die aus Vertretern der nationalen Datenschutzbehörden der EU zusammengesetzt ist, veröffentlichte am 4. Mai 2020 konkrete Richtlinien, in denen die Gültigkeit einer Einwilligung erörtert wird.
In diesen Richtlinien werden Cookie Walls als illegales und ungültiges Mittel eingestuft, um von Nutzern die Zustimmung zur Verarbeitung ihrer Daten einzuholen.
„Der Zugang zu Diensten und Funktionsweisen darf nicht von der Zustimmung eines Benutzers zur Speicherung von oder zum Zugang zu bereits gespeicherten Informationen im Endgerät eines Benutzers abhängig gemacht werden“ (EDPB-Richtlinien 05/2020, Seite 11)
Alle Details hierzu finden Sie unter “Die aktuellen Guidelines der EDSA zur DSGVO-konformen Einwilligung”.
Eine gültige Einwilligung nach DSGVO muss in der EU u.a. folgenden Kriterien genügen:
- freiwillig gegeben
- informiert
- spezifisch
- eindeutige Angabe der Wünsche der Nutzer
Weitere Infos hierzu finden Sie im Artikel “7 Kriterien einer DSGVO-konformen Einwilligung“.
Der Nutzer muss also eine klare befürwortende Haltung gegenüber der Verwendung von Trackern und Cookies haben und aktiv seine Zustimmung zur Verarbeitung persönlicher Informationen durch die Website geben.
Passives Verhalten in Form eines Opt-out von einer bereits voreingestellten Zustimmung, einfaches Weiterscrollen oder Wegklicken eines Fensters, kann somit nicht als gültige Einwilligung gewertet werden.
Datenschutz, Recht oder Tech? Wir wissen, was die Branche bewegt. Schalten Sie ein und lassen Sie sich in unserer wöchentlichen Experten-Runde auf den neuesten Stand bringen.
Die Alternative zur Cookie Wall
Um das Vertrauen der Nutzer in eine Website zu gewinnen, macht es Sinn, ihnen eine echte, granulare Auswahlmöglichkeit zu bieten und Nutzer konsequent und transparent zu informieren, welche Cookies und Tracking-Dienste im Einsatz sind, bzw. mit welchen Partnern der Websitebetreiber zusammenarbeitet. Wie das geht? Z. B. mit einer professionellen Consent Management Platform (CMP).
Consent Management Platformen ermöglichen es Websitebetreibern auf den Einsatz der Cookie Wall zu verzichten und auf die Freiwilligkeit der Nutzer zu setzen.
Nutzer der Webseiten können so ihre Einwilligungen zur Datenerhebung- und Verarbeitung filtern. Der Websitebetreiber hat so die Möglichkeit die gesetzlichen Auflagen der Datenschutzbehörden zu erfüllen.
Nicht nur Webseitenbetreiber müssen sich an die gesetzlichen Datenschutzvorgaben halten. Auch bei Apps müssen Betreiber die Rechtsprechung einhalten und die Privatsphäre ihrer Nutzer schützen. Abhilfe schaffen hier spezielle Mobile CMPs.
Wie Sie ihre App mit der Usercentrics CMP datenschutzkonform (DSGVO, CCPA, LGPD) monetarisieren und dabei möglichst hohe Consent Raten erzielen, erklären wir Ihnen gerne in einem persönlichen Gespräch – kostenfrei und unverbindlich.
Was bedeutet granulare Einwilligung?
Der Nutzer muss die Möglichkeit haben, seine Zustimmung nach verschiedenen Kategorien von Cookies zu filtern:
- notwendige Cookies
- Marketing-Cookies
- Statistik-Cookies
- Präferenz-Cookies
Während notwendige Cookies keine Zustimmung benötigen, können Besucher bei den übrigen Kategorien zwischen der Verwendung einzelner Cookies differenzieren und somit gezielt ihre Daten schützen.
Durch die Selbstbestimmung der Nutzer entsprechen die Internetseiten so den Datenschutz-Forderungen der DSGVO und der Aufsichtsbehörden bezüglich der Weiterverarbeitung personenbezogener Informationen.
Die Rechte und Privatsphäre der Besucher werden durch die granulare Einwilligung respektiert und der Nutzer kann sowohl aktiv seine Zustimmung für bestimmte Cookies geben, als auch Zugriff auf die Themen der Website bekommen und somit an Aktionen und Events teilnehmen oder Dienstleistungen und Produkte erwerben.
Fazit
Letztlich stellen sich beim Thema Cookie Wall immer auch folgende Fragen: Wie möchte ich als Websitebetreiber generell mit meinen Nutzern und ihren Daten umgehen? Welche Ziele bzw. welches Geschäftsmodell verfolge ich? Und welches Verhalten zahlt sich langfristig aus?
Ist das Angebot so gut, dass viele Nutzer bereit sind dafür zu zahlen, spricht alles für den Einsatz einer Paywall. Hier haben die Nutzer transparent die Wahl die Inhalte direkt zu bezahlen – oder eben mit ihren Daten.
Mittig platzierte Banner auf Websites mit echter Wahlmöglichkeit (durch eine Consent Management Platform (CMP)) einzusetzen, kann bei attraktiven Inhalten auf der Website ebenfalls sinnvoll sein. Ob ein ausgegrauter Hintergrund oder das Verstecken von Inhalten hinter der Wall die Nutzer letztlich abschreckt oder anlockt, zeigen die Interaktionsdaten, die gute CMPs ihren Nutzern zur Verfügung stellen.
Usercentrics bietet seinen Kunden beispielsweise umfangreiche Möglichkeiten, das Nutzerverhalten in Bezug auf die CMP genau zu analysieren und so direkt Maßnahmen zu ergreifen die Interaktionsraten zu verbessern. Wie genau das funktioniert erfahren Sie hier.
Wie transparent – oder eben nicht – Websitebetreiber Nutzerdaten erheben und verarbeiten, rückt zunehmend in den Fokus der Verbraucher. Und somit auch ein weiteres Thema: Das Vertrauen.
Abgesehen davon, dass die Nutzung einer Cookie Wall, die Inhalte nur freigibt, wenn der Nutzer der Verarbeitung seiner Daten zustimmt, nach aktuellen EDSA-Leitlinien illegal und die Einholung der Einwilligung nicht rechtskonform ist, verlieren Besucher zudem das Vertrauen in Websites, die in Bezug auf Datenschutz nicht mit offenen Karten spielen.
Genervt von ständigen Cookie Hinweisen, Tracking-Informationen und Werbung, verlieren Kunden schlimmsten Falls das Interesse an der Website und nehmen das Angebot oder die Dienstleistung erst gar nicht in Anspruch.
Wird Websitebesuchern allerdings die Wahl gegeben, mittels eines “echten” Cookie Banners aktiv zwischen den Cookies zu filtern und ihre Zustimmung nur für die Bereiche zu geben, die ihre Privatsphäre nicht verletzen, sieht die Sache schon ganz anders aus.
Websitebetreiber können so nicht nur u.a. die Leitlinien der EDSA einhalten, sondern auch Ihre Nutzer zufriedenstellen, die nun nicht nur Zugriff auf die Themen und Services haben, die sie interessieren, sondern auch dank einer transparenten Datenschutzstrategie Vertrauen in das Unternehmen aufbauen. Ein Deal, der sich langfristig für beide Seiten auszahlt, denn guter Service oder Content findet seine Nutzer.
Sie möchten mehr darüber erfahren, wie Sie Ihre Datenschutzstrategie durch eine Consent Management Platform (CMP) fit für die Zukunft machen und dabei Marketing und Legal-Voraussetzungen geschickt unter einen Hut bringen? Wir beraten Sie gerne – kostenfrei und unverbindlich.
DISCLAIMER
Die Umsetzung einer datenschutzkonformen Implementierung einer CMP liegt letztlich im Ermessen des jeweiligen Datenschutzbeauftragten bzw. der Rechtsabteilung.
Offiziell wurde der Brexit am 31. Januar 2020 vollzogen, Großbritannien ist also seit über einem Jahr kein Mitglied der EU mehr. Bis zum 31. Dezember galten noch zahlreiche Übergangsregelungen, die beispielsweise auch den Datentransfer zwischen den Ländern regelten. Für den Datenschutz wurde inzwischen eine weitere Frist vereinbart. Aber auch die läuft bald ab.
Was hat der Brexit mit der DSGVO zu tun?
Mit dem Austritt Großbritanniens aus der EU traten zahlreiche Übergangslösungen in Kraft, die bis zum 31. Dezember 2020 gültig waren. Davon betroffen war auch der grenzüberschreitende Datenverkehr mit den Ländern der Europäischen Union. Bis Ende vergangenen Jahres wurde das Vereinigte Königreich weiterhin als EU-Staat behandelt. Damit war eine frühzeitige Anpassung der Wirtschaft an neue Datenschutzregelungen nicht nötig: Es galt weiterhin die Datenschutz-Grundverordnung (DSGVO) sowie die nationale Anpassung, der Data Protection Act 2018. Daten konnten damit zwischen Deutschland und Großbritannien problemlos übermittelt werden
Brexit nun ein Drittland?
Seit dem Ablauf der Übergangsfrist ist Großbritannien nicht mehr Teil des europäischen Binnenmarktes und der Zollunion. Damit gilt es jetzt als sogenanntes Drittland, auch im Sinne der DSGVO (Art. 44 DSGVO). Um Rechtsunsicherheiten vorzubeugen, wurde in den Schlussbestimmungen des Entwurfs eines Handels- und Zusammenarbeitsabkommens zwischen Großbritannien und der EU aber eine neue Übergangsregelung für Datenübermittlungen vorgesehen. Diese Frist gilt bis Ende April und kann um zwei weitere Monate verlängert werden. In diesem Zeitraum wird Großbritannien noch nicht als Drittland betrachtet.
Die DSGVO und das TCA
Dieses sogenannte Trade and Cooperation Agreement (TCA) legt die Übergangsregelungen für den Transfer personenbezogener Daten fest. Danach gilt für Daten, die bis zum 31. Dezember 2020 gesammelt wurden, weiterhin die DSGVO. Daten, die nach dem 31. Dezember im Vereinigten Königreich gesammelt werden, müssen sich nach einer neuen, angepassten DSGVO, der UK GDPR richten. Das TCA legt außerdem fest, dass Datentransfers von der EU nach Großbritannien weiterhin möglich sind, so als wäre das Land nach wie vor Mitglied der Europäischen Union.
Wie eine zwischenzeitliche Einigung im Einklang mit der DSGVO erreicht werden könnte
Der Übergangszeitraum endet also spätestens am 30. Juni 2021. Er endet aber auch dann, wenn die EU bis zu diesem Zeitpunkt einen sogenannten Angemessenheitsbeschluss für das Vereinigte Königreich erlässt (Art. 45 Abs. 3 DSGVO), wie er beispielsweise auch für die Schweiz gilt. Die Übergangsfrist endet allerdings auch, wenn Großbritannien seine Datenschutzgesetze ändern und dadurch das aktuell bestehende Datenschutzniveau gefährdet würde.
Brexit & DSGVO – Datentransfer und Angemessenheitsbeschluss
Bislang deutet aber wenig darauf hin. Es sieht vielmehr so aus, als würde ein Angemessenheitsbeschluss verabschiedet werden. Dafür spricht, dass Großbritannien bereits damit begonnen hat, die Regelungen der DSGVO in nationales Recht umzusetzen. Sollte es zu keinem Angemessenheitsbeschluss für die britischen Inseln kommen, werden künftig die strengen Vorschriften der DSGVO für die Übermittlung personenbezogener Daten in Drittländer gelten. Nur in Einzelfällen dürfte dann eine Datenübermittlung möglich sein, die auf der Ausnahmeregelung in Artikel 49 DSGVO basiert.
Was können Unternehmen jetzt schon tun?
Europäische Unternehmen müssen also Schutzvorkehrungen für den Fall treffen, dass kein Angemessenheitsbeschluss gefasst wird. Sie sollten deshalb ihre Datenflüsse in das Vereinigte Königreich analysieren und eine entsprechende Dokumentation anfertigen. Daneben sollten sie weiterhin in ihrer Datenschutzerklärung auf einen Datentransfer in ein Drittland gesondert hinweisen.
Perspektive dieser Entwicklung
Nach Einschätzung von Juristen ändert sich damit vorerst nichts, zumindest nicht bis Ende Juni 2021. Dann läuft die Übergangsfrist ab. Die EU-Kommission ist bis zu diesem Zeitpunkt in der Pflicht, eine tragfähige Entscheidung vorzulegen.
Allerdings hat die EU-Kommission am 19.02.2021 in einer offiziellen Pressemitteilung erklärt, dass ein Verfahren zur Annahme von zwei Angemessenheitsbeschlüssen eingeleitet wurde. Aus dieser lässt sich herauslesen, dass personenbezogene Daten im UK im Wesentlichen ein dem Europäischen Datenschutzrecht gleichwertigen Schutz genießen und somit die Voraussetzungen des Art. 45 II DSGVO erfüllt sind.
CHECKLISTE: Worauf Unternehmen jetzt achten müssen
✔ Daten dokumentieren
Unternehmen sollten jetzt die Daten dokumentieren, die in das Vereinigte Königreich gehen. Darin sollten auch die Garantien und Ausnahmeregelungen aufgeführt sein, auf die man sich bezieht.
✔ Datenschutzerklärung überprüfen
Unternehmen sollten darauf hinweisen, dass ein Datentransfer nach Großbritannien erfolgt. Auch das Verarbeitungsverzeichnis sollte entsprechend angepasst werden.
✔ Nutzer aufklären
Stellt eine Person ein Auskunftsersuchen, muss sie über die Datenübermittlung in ein Drittland aufgeklärt werden.
✔ Verträge checken
Unternehmen sollten zudem bestehende Verträge, beispielsweise mit Cloud-Anbietern, für die Zeit nach dem Übergangszeitraum absichern.
Bislang blieben die befürchteten Rechtsunsicherheiten bei den Datentransfers zwischen der EU und UK zum Glück aus. Bis Ende des ersten Halbjahres 2021 ist vermutlich auch nichts Gegenteiliges zu befürchten. Auch für die Zeit danach deutet viel darauf hin, dass weiterhin ein geordneter und weitgehend reibungsloser Datentransfer möglich sein wird. Ausgeschlossen aber ist nicht, dass Großbritannien dennoch als Drittland eingestuft wird, mit dem keine gesonderten Regelungen vereinbart sind. In diesem Fall gelten die strengen Vorgaben der DSGVO – und dafür sollten Unternehmen auf jeden Fall gewappnet sein.
Cookies und Live-Chat – Was Sie wissen sollten
Live-Chat ist eine beliebte Lösung, um online eine persönliche Kundenerfahrung in Echtzeit zu schaffen. Trotzdem handelt es sich um ein optionales Angebot, das für die Online-Darstellung des Unternehmens nicht zwingend notwendig ist (anders als beispielsweise Produkte in den Warenkorb zu legen, durch den Katalog zu browsen etc.). Deshalb zählen Cookies, die im Web-Chat verwendet werden, zu den funktionalen Cookies. Nutzer müssen bei dieser Kategorie ihr Einverständnis geben, bevor Webseitenbetreiber diese Cookies aktivieren dürfen. Was die meisten nicht wissen: Cookies spielen bei einer Live-Chat-Interaktion zu jedem Zeitpunkt eine Rolle – sogar bereits bevor der Chat gestartet wird. Denn Cookies verarbeiten nicht nur persönliche Daten, die Kunden im Chat teilen. Sie werden auch eingesetzt, um grundlegende technologische Anforderungen auszuführen, wie den Chat-Button auf der Website anzuzeigen. Wenn sich Webseitenbesucher nicht mit funktionalen Cookies einverstanden erklären, werden sie den Live-Chat-Button beispielsweise nicht mal sehen. Chat-Support anzubieten und gleichzeitig die Datenschutzbestimmungen zu erfüllen, ist aufgrund der geltenden Datenschutzbestimmungen schwieriger geworden. Aber keine Sorge: es gibt einen regelkonformen Weg, dies zu tun.Tipp 1: Nutzen Sie ein Consent-Management-Tool
Unser erster Tipp bezieht sich nicht nur auf Live-Chat, sondern ist die Grundvoraussetzung für einen datenschutzkonformen Umgang mit Cookies auf Ihrer Website. Unter Consent-Management-Tools versteht man Software, die Ihnen erlaubt, das Einverständnis Ihrer Website-Besucher auf Ihrer Webseite zu verwalten. Fügen Sie einen Cookie-Banner auf Ihrer Website ein, um Ihren Besuchern den Opt-in zu Cookies zu ermöglichen. Natürlich muss das Tool, das Sie auswählen, mit den Datenschutzbestimmungen in Ihrem Land übereinstimmen. Außerdem empfiehlt es sich, eine Software zu nutzen, die sich leicht einbinden und verwenden lässt, damit Sie den Kopf frei haben, sich auf Ihre eigentlichen Projekte zu konzentrieren. Einige Provider bieten auch flexible Anpassungsmöglichkeiten, was ein Vorteil ist, wenn Ihnen das Website-Design wichtig ist. Sind Sie noch auf der Suche nach einem Tool? Weitere Informationen hierzu erhalten Sie in der einminütige Einführung in die Consent Management Platform von Usercentrics.Tipp 2: Wählen Sie einen konformen Live-Chat-Provider
Datenschutzgesetze ändern sich ständig und sind zudem pro Land unterschiedlich gestaltet. Softwarelösungen, die in Ländern wie den USA entwickelt werden, sind daher häufig nicht konform mit dem geltenden EU-Recht. Wenn Sie bereits einen Live-Chat auf Ihrer Webseite nutzen, prüfen Sie, ob die Software des Anbieters mit den rechtlichen Bestimmungen Ihres Landes vereinbar ist. Punkte, die Sie im Blick haben sollten, sind neben der Konformität mit der DSGVO, wie mit Kundendaten umgegangen wird und wo sich die Server befinden. In Deutschland entwickelt und gehostet, ist Userlike die führende Live-Chat-Software für Unternehmen, die Datenschutz ernst nehmen. Eine Vielzahl smarter Funktionen für den Datenschutz gewähren eine konforme Nutzung, beispielsweise die automatische Löschung von Daten, der rollenbasierte Zugang und der Datenschutz-Modus. Dieser funktioniert wie ein Filter für Ihre Chat-Sessions, so dass keinerlei persönliche Kundendaten gesammelt werden. Userlike ermöglicht außerdem, ein individuelles Cookie-Timeout festzulegen. Im Allgemeinen verhält es sich so, dass einige Cookies (“Session-Cookies”) automatisch gelöscht werden, sobald der Browser geschlossen wird, während andere (“Expire-Cookies”) bis zu einem Jahr gespeichert werden. Letztere enthalten Informationen wie die Anzahl an Besuchern oder die individuelle User-ID. Userlike speichert Expire-Cookies in der Standardeinstellung ein Jahr lang, Sie können den Zeitraum aber auch flexibel anpassen. Hier erfahren Sie mehr über die Privatsphäre-Funktionen von Userlike.Tipp 3: Geben Sie Ihren Besuchern die Kontrolle
Eine häufige Sorge von Unternehmen ist, dass sich Nutzer, wenn sie die Wahl haben, nicht freiwillig für Cookies entscheiden werden. Um eventuelle negative Konsequenzen zu vermeiden, ziehen einige es daher vor, das Einverständnis einfach vorauszusetzen, anstatt danach zu fragen. Leider gibt es noch viele Beispiele für solche nutzlosen Cookie-Hinweise, sogar von globalen Playern. Sich an die Gesetzesvorgaben zu halten ist aber nicht optional – Nutzer nicht eindeutig nach Zustimmung zu fragen ist illegal und kann mit hohen Bußgeldern bestraft werden. Es hat nebenbei aber auch Auswirkungen darauf, wie Kunden Ihr Unternehmen beurteilen. In der heutigen digitalen Welt ist die Kontrolle über die persönlichen Daten immer wichtiger. Deshalb kann es sogar vorteilhaft sein, wenn Sie Ihren Kunden die Zügel in die Hand geben. Welche psychologischen Faktoren stecken hinter diesem Phänomen? Kontrollverlust ist das entscheidende Gefühl, das hinter den meisten Privatsphäre-Bedenken steckt. Der Harvard Business Review zeigt, dass Kunden nicht generell gegen die Verwendung ihrer Daten in einem bestimmten Kontext sind. “Sie sorgen sich allerdings darum, nicht bestimmen zu können, wer Einsicht darin erhält und wie sie letztendlich genutzt werden.” Indem Sie transparent kommunizieren und Ihren Kunden die Kontrolle über Cookies geben, werden Sie Ihre Opt-In-Performance verbessern. Nutzer mit Datenschutzbedenken können so die Cookie-Einstellungen granular steuern, was wiederum für Transparenz und Akzeptanz sorgt. Solch ein Setup ist vor allem für digitale Angebote wie Live-Chat wichtig. Selbst wenn Kunden den Zweck von Tools der funktionalen Cookie-Kategorie anzweifeln, sehen die meisten den direkten Vorteil von Live-Chat (“eine schnelle und einfache Möglichkeit mit einem Unternehmen in Kontakt zu treten”). Auch wenn sie nicht allen Ihren funktionalen Cookies zustimmen werden, ist die Wahrscheinlichkeit groß, dass Nutzer ihr Einverständnis zu Live-Chat-Cookies geben, da sie hiervon unmittelbar profitieren.Tipp 4: Zeigen Sie einen Datenschutzhinweis vor dem Chat
Die Harvard Business Review hat gezeigt, dass eine genaue Erklärung dafür, wieso etwas benötigt wird, die Zustimmung positiv beeinflusst. Live-Chat-Lösungen wie Userlike erlauben Ihnen, einen Privatsphäre-Disclaimer vor den Chat zu setzen. In diesem können Sie erklären, warum Sie die Daten brauchen und Ihren Nutzern versichern, dass sie nur für den genannten Zweck verwendet werden. Das spielt Ihnen auch in die Karten, wenn es um die gefühlte Datenkontrolle geht. Statt die Live-Chat-Session sofort zu starten, ermöglichen Sie Ihren Kunden durch den vorgeschobenen Disclaimer, eine überlegte, eigenmächtige Entscheidung zu treffen. Indem Sie Datenschutz-Angelegenheiten proaktiv ansprechen, zeigen Sie, dass das Thema Priorität für Sie hat. Das schafft Vertrauen und erhöht die Zustimmung der Nutzer.Tipp 5: Holen Sie Zustimmung erst ein, wenn es relevant wird
Nicht nur für Unternehmen sind Cookies eine Herausforderung. Sie haben auch die Erfahrung für Nutzer grundlegend verändert, die sich jetzt bei jedem Webseitenaufruf mit einer Vielzahl an Cookie-Bannern auseinandersetzen müssen. Diese Cookie-Müdigkeit kann zu zwei gegensätzlichen “Bringen-wir-es-hinter-uns”-Reaktionen führen: alle Cookies werden akzeptiert oder aber alle werden abgelehnt. Nutzer treffen ihre Entscheidung für gewöhnlich innerhalb von Sekunden. Dabei ist ihnen wahrscheinlich nicht bewusst, dass sie im Zweifelsfall auch wichtige Tools abschalten, die sie später verwenden wollen. Und wie wir oben erwähnt haben, ohne funktionalen Cookie-Consent, gibt es auch keinen Live-Chat-Button auf der Webseite. Was passiert also, wenn Ihre Besucher alle Cookies abgelehnt haben, Sie aber später kontaktieren möchten? Für diese Fälle gibt es einen effektiven Trick, der sich einen kleinen Umweg zu Nutze macht: Zeigen Sie zu Beginn ein Chat-Icon an der Stelle, wo gewöhnlich der Chat-Button zu finden ist. Das ist praktisch eine Nachbildung von Ihrem echten Chat-Button, der für sich allerdings keine Funktionalität besitzt. Klickt ein Nutzer auf diesen Pseudo-Button, öffnet sich statt des Live-Chat-Fensters eine gesonderte Webseite, auf der Zustimmung für die im Live-Chat nötigen Cookies gezielt abgefragt wird. Auf dieser Seite können Sie außerdem erklären, warum der Live-Chat nicht sichtbar ist, da vielen Nutzern der Zusammenhang zwischen Chat und Cookies wahrscheinlich nicht bewusst sein wird. Sie können die Gelegenheit auch nutzen, um etwas zu Ihrer Servicementalität zu sagen. M1 Beauty nutzt diese Landingpage-Technik, um Kunden zu ermöglichen, den Chat nachträglich zu aktivieren. Durch das Umlegen des Schalters drücken Kunden Ihr Okay für die Live-Chat-Cookies aus, wodurch Sie den Chat sofort aktivieren und mit Ihnen in Kontakt treten können.Autor: Tamina arbeitet im Marketing bei Userlike, einer der führenden Lösungen für Live-Chat und Customer Messaging. Sie und Ihr Team teilen regelmäßig Tipps für eine bessere Kundenkommunikation auf Ihrem Userlike-Blog.