Google hat eine erhebliche Ausweitung seiner Richtlinie zur EU-Nutzereinwilligung ab 31. Juli 2024 angekündigt. Demnach werden auch Websites und Apps mit Datenverkehr/Nutzern in der Schweiz betroffen sein. Diese Neuerung hat bedeutende Auswirkungen für Publisher und Advertiser, die im Europäischen Wirtschaftsraum (EWR), im Vereinigten Königreich und nun auch in der Schweiz tätig sind.

Dieser Artikel befasst sich mit den Details dieser Ausweitung des Geltungsbereichs, ihren Auswirkungen auf Unternehmen und den Compliance-Anforderungen.

Google-Richtlinie zur EU-Nutzereinwilligung: Nächster Halt, die Schweiz!

Die Ausweitung der Google-Richtlinie zur EU-Einwilligung stellt eine umfassendere Anwendung der Einwilligungsanforderungen dar, um die Daten der Nutzer zu schützen. Dafür sind bestimmte Angaben und Einwilligungen der Endnutzer im EWR, im Vereinigten Königreich und in der Schweiz erforderlich. Dies gilt für Websites und Apps, die Google-Produkte und -Services nutzen, beispielsweise AdSense oder Google Analytics. Dabei geht es um die Verantwortlichkeiten von Publishern und Advertisern in Bezug auf Nutzereinwilligungen für Folgendes:

Die Nichteinhaltung dieser Richtlinie kann dazu führen, dass die Nutzung von Google-Produkten eingeschränkt oder ausgesetzt wird oder dass der Vertrag sogar gekündigt wird.

Google-Richtlinie zur EU-Nutzereinwilligung – welche Änderungen gab es und was bedeuten diese für Advertiser? (Video mit Erklärungen in englischer Sprache anschauen)

We need your consent to load the YouTube Video service!

We use a third party service to embed video content that may collect data about your activity. Please review the details and accept the service to watch this video.

powered by Usercentrics Consent Management Platform

Anforderungen der Google-Richtlinie für Publisher und Advertiser

Publisher und Advertiser, die Marketingmaßnahmen für Zielgruppen im EWR, im Vereinigten Königreich und nun auch in der Schweiz durchführen und dabei Google-Produkte nutzen, unterliegen jetzt besonderen Verpflichtungen zur Gewährleistung von Datenschutzkonformität:

Einholung einer gültigen Nutzereinwilligung

Publisher und Advertiser sind verpflichtet, rechtlich wirksame Nutzereinwilligungen für die Nutzung von Cookies oder lokalem Speicher einzuholen, sofern dies gesetzlich vorgeschrieben ist, sowie für die Erfassung, Weitergabe und Nutzung personenbezogener Daten zur Anzeigenpersonalisierung.

Transparenz und Kontrolle für Nutzer

Neben der Aufforderung zur Einwilligung sollten klare Anweisungen gegeben werden, wie die Nutzer ihre Einwilligung widerrufen können. Außerdem müssen erteilte Einwilligungen dokumentiert und gepflegt werden, um die Einhaltung der Richtlinie nachzuweisen.

Angabe der Partner, an die Daten weitergegeben werden

Publisher und Advertiser müssen transparent darlegen, welche Dritten aufgrund ihrer Nutzung von Google-Produkten Nutzerdaten erfassen, erhalten oder nutzen dürfen. Dazu gehört unter anderem, dass den Nutzern leicht zugängliche Informationen darüber verfügbar gemacht werden, wie diese Dritten die Daten nutzen.

Neue Szenarien

In der Richtlinie geht es auch um Szenarien, bei denen Nutzerdaten, die aus einer externen Quelle stammen (Website oder App, die der Publisher oder Advertiser nicht kontrolliert), an Google weitergegeben werden, weil Google-Produkte genutzt werden. In diesen Fällen sind Publisher und Advertiser verpflichtet, geschäftlich angemessene Maßnahmen zu ergreifen, um sicherzustellen, dass der Betreiber dieser externen Quelle die Pflichten im Zusammenhang mit der Nutzereinwilligung aus der Richtlinie erfüllt.

Implementieren Sie die Usercentrics CMP, um noch vor dem 31. Juli 2024 die Richtlinie einzuhalten

Starten Sie jetzt Ihre kostenlose 30-tägige Testversion

Google-Anforderungen für Publisher-Marketing für die Schweiz

Seit dem letzten Jahr verlangt Google, dass Publisher-Partner für das Schalten von Anzeigen an Nutzer in der EU/im EWR und im Vereinigten Königreich eine von Google zertifizierte Consent Management Platform (CMP) nutzen müssen, wie die Usercentrics CMP, die in das Transparency and Consent Framework (TCF) der IAB Europe integriert ist. Ab dem 31. Juli müssen Schweizer Publisher, die Monetarisierungsprodukte von Google verwenden, welche sich an den Datenverkehr in der Schweiz richten, Folgendes erfüllen:

Die Anweisung von Google für Schweizer Publisher zur Anwendung einer CMP aus seinem Partnerprogramm stellt einen beträchtlichen Wandel der Schweizer Vorgehensweisen im digitalen Bereich dar. Diese Entscheidung, die hauptsächlich dafür sorgen soll, dass TCF auch für Schweizer Datenverkehr angewendet werden soll, spiegelt den proaktiven Ansatz von Google wider, sich an die dynamische Gesetzgebung anzupassen, und zwar an das Schweizer Bundesgesetz über den Datenschutz (DSG), welches 2023 in Kraft trat.

Auch wenn die DSGVO nicht direkt in der Schweiz Anwendung findet, so scheint die TCF-Umsetzung durch Google in der Schweiz eine Bestätigung zu sein, das DSG mit der DSGVO in Einklang zu bringen.

Auch das könnte hilfreich für Sie sein:

DSG-Checkliste: Ihr Compliance-Toolkit

Erfahren Sie alles, was Sie wissen müssen, um das Schweizer Datenschutzgesetz (DSG) einzuhalten.

Google-Anforderungen für Advertiser, die Zielgruppen in der Schweiz ansprechen

Unternehmen, die Adtech-Produkte von Google nutzen, müssen von Schweizer Nutzern eine Einwilligung einholen, sofern gesetzlich vorgeschrieben. Noch müssen Advertiser kein verifiziertes Einwilligungssignal für Schweizer Datenverkehr über Google Consent Mode V2 senden – eine Anforderung, die für EU-/EWR-Zielgruppen gilt – aber auch dies kann sich zukünftig ändern.

In unserem Video mit Erklärungen in englischer Sprache erfahren Sie mehr über den Google Consent Mode:

We need your consent to load the YouTube Video service!

We use a third party service to embed video content that may collect data about your activity. Please review the details and accept the service to watch this video.

powered by Usercentrics Consent Management Platform

Auch wenn der Consent Mode noch nicht vorgeschrieben ist, gilt Folgendes: wenn Sie mithilfe von Google-Produkten Werbung schalten, so ist der effizienteste Weg, Nutzereinwilligungen datenschutzkonform zu erfassen und zu verwalten, die Implementierung einer Consent Management Platform (CMP) wie die Usercentrics CMPs für Websites und mobile Apps.

Die Usercentrics CMPs sind von Google zertifiziert und unterstützen das Transparency and Consent Framework (TCF) sowie Google Consent Mode V2.

Auch wenn bis jetzt die Aktivierung des Consent Mode noch nicht erforderlich ist, wird dieser standardmäßig in den Tools aktiviert. Somit sind Sie bereits einen Schritt voraus, sollten die Anforderungen in der Schweiz mit denen im restlichen Europa in Einklang gebracht werden. Darüber hinaus können Sie durch die Implementierung des Consent Mode V2 vom Analytics-Tool und von der Conversion-Modellierung profitieren und den Verlust von Marketingdaten wegen der Ablehnung von Consent-Bannern verhindern.

Update der Google-Richtlinie: Auswirkung auf Marketingstrategien

Die aktualisierte Google-Richtlinie fordert Marketers auf, den Fokus auf die Einholung einer gültigen Nutzereinwilligung für die Datenerfassung und Personalisierung von Anzeigen zu legen. Dies schafft Vertrauen und zeigt den Respekt vor der Privatsphäre der Nutzer. Dazu gehört die Implementierung von transparenten und benutzerfreundlichen Einwilligungsmethoden, um die Vorgaben der Richtlinie einzuhalten.

Im Folgenden sind die wichtigsten Punkte aufgeführt, die Advertiser hinsichtlich der aktualisierten Richtlinie beachten müssen:

Priorisierung der Nutzereinwilligung

Machen Sie die Einholung einer gültigen Nutzereinwilligung für die Datenerfassung und Anzeigenpersonalisierung zu einem zentralen Element Ihrer Marketingstrategie in diesen Regionen.

Gemäß der Empfehlung von Google wurden seine zertifizierten CMP-Partner, wie die Usercentrics Web & App CMP und Cookiebot CMP, gründlich überprüft. Darüber hinaus erfüllen sie bestimmte technische Anforderungen, um den Advertisern das bestmögliche Erlebnis zu bieten.

Transparenz ist wichtig

Den Nutzern eindeutig mitzuteilen, wie ihre Daten erfasst, verwendet und weitergegeben werden, ist äußerst wichtig. Ebenso wichtig ist die Bereitstellung leicht zugänglicher Informationen und Optionen für Nutzer, damit sie ihre Einwilligungspräferenzen verwalten können.

Partner-Compliance

Wenn Sie für Ihre Tätigkeiten Plattformen Dritter nutzen, die in Google-Produkte integriert sind, ist es von großer Bedeutung, dass diese die Anforderungen im Zusammenhang mit der Nutzereinwilligung einhalten.

Durch Anpassung an die Richtlinie zur EU-Nutzereinwilligung können Advertiser zeigen, dass sie sich zur Achtung der Privatsphäre der Nutzer bekennen und Vertrauen zu Zielgruppen im EWR, im Vereinigten Königreich und in der Schweiz aufbauen wollen. Dies kann letztendlich zu einer stärkeren Verbindung von Marken und Zielgruppen, gesteigerter Nutzerinteraktion und erfolgreicheren Marketingkampagnen führen.

Bevor es losgeht: die Bedeutung von Datenschutzkonformität

Die Ausweitung der Google-Richtlinie zur EU-Nutzereinwilligung auf Nutzer in der Schweiz unterstreicht die stärkere Betonung von Datenschutz und Consent Management. Publisher und Advertiser müssen sich unter Einhaltung der aktualisierten Richtlinie proaktiv an diese Änderungen anpassen, um eine positive Beziehung zu Google aufrechtzuerhalten und die Privatsphäre der Nutzer zu wahren.

Zusammenfassung:

Das könnte für Sie nützlich sein:

Beachten Sie, dass einige Artikel nur in englischer Sprache zur Verfügung stehen.

Die Implementierung der Usercentrics CMP ist der einfachste Weg, um Datenschutzkonformität zu erreichen

Starten Sie jetzt Ihre kostenlose 30-tägige Testversion

Google hat Änderungen bezüglich der zu Google Consent Mode eingeführten neuen Signale angekündigt. Da ein wesentlicher Teil unserer Kunden und Partner Google-Produkte nutzt, sind diese Änderungen für die Usercentrics CMP wichtig. Aus diesem Grund freuen wir uns, die Unterstützung von Google Consent Mode V2 auf unserer Plattform freigeben zu können.

Was ist Google Consent Mode (Einwilligungsmodus)?

Wenn Sie gerade das erste Mal von Google Consent Mode hören: Es handelt sich dabei um ein Tool mit APIs, die es Unternehmen ermöglichen, die Funktionsweise von Google-Tags basierend auf den Nutzereinwilligungen im Bezug auf Werbeanzeigen und Analytics-Cookies zu ändern.

Zuvor war Google Consent Mode in erster Linie für sein anonymisiertes Tracking von Daten ohne Einwilligung bekannt. Der Consent Mode hat sich seither weiterentwickelt und fungiert nun hauptsächlich als Signalisierungstool.

Google Consent Mode: Das Wichtigste für Sie zusammengefasst

Warum ist Google Consent Mode wichtig?

Mit Google Consent Mode erhalten Sie einen eindeutigen Wettbewerbsvorteil. Warum? Zwar ist die Einhaltung der Datenschutz-Grundverordnung (DSGVO) wichtig, doch ist sie eher eine Pflicht als ein Vorteil.

Wenn Sie Google Analytics, Google Tag Manager oder Google Ads verwenden, hilft Ihnen Google Consent Mode dabei, die Opt-in-Raten zu optimieren sowie Einblicke in die Conversion Rates der Nutzer zu erhalten, die ihre Einwilligung nicht geben. Als Website-Betreiber erhalten Sie somit über 70% der Daten für Advertiser zurück.

Laut Google Marketing Platform Blog stellt der Consent Mode durchschnittlich mehr als 70% der durch Nutzereinwilligungen verloren gegangene Ad-Click-To-Conversions wieder her.

Quelle: Google Marketing Platform Blog

Was sind die anstehenden Änderungen mit Google Consent Mode V2?

Die neuen Schlüsseleinstellungen für Google Consent Mode sind ad_user_data und ad_personalization.

Die zwei neuen Schlüsseleinstellungen werden anhand desselben Triggers als ad_storage festgelegt.

Einstellungen von Google Consent Mode

Einstellungen von Google Consent Mode

Was ist die Einstellung ad_user_data des Google Consent Mode?

Die Einstellung ad_user_data des Google Consent Mode kontrolliert, ob personenbezogene Daten an einen zentralen Plattformdienst von Google gesendet werden, wie Google Ads, Google Shopping und Google Play.

Was ist die Einstellung ad_personalization des Google Consent Mode?

Die Einstellung ad_personalization des Google Consent Mode kontrolliert, ob Daten für die Personalisierung von Werbung (z. B. Remarketing) verwendet werden können.

Wie passen sich Usercentrics Web und App CMP an Google Consent Mode V2 an?

Um sich an die Änderungen von Google Consent Mode V2 anzupassen und um zu garantieren, dass unsere Kunden über die erforderliche Consent Mode-Signalisierung verfügen, unterstützen wir Consent Mode V2. So wird sichergestellt, dass die Nutzereinwilligung für die zwei neuen Attribute von Google korrekt signalisiert wird.

Wir empfehlen allen Kunden der Usercentrics CMP, Google Consent Mode V2 zu aktivieren. So ist sichergestellt, dass die Nutzereinwilligung an Google weitergeleitet wird und dass die Werbungs-, Messungs- und Personalisierungsfunktionen von Google ununterbrochen verwendet werden können.

Consent Management mit Google Consent Mode V2: Welche Maßnahmen müssen getroffen werden?

Wenn Sie bereits Google Consent Mode implementiert haben oder die Aktivierung von Google Consent Mode V2 für Web planen, lesen Sie bitte unseren Support-Guide zum Google Consent Mode für die Usercentrics CMP. Die Anleitung zur Implementierung des Consent Mode für Ihre Apps finden Sie hier.

Für neue Kunden ist Google Consent Mode V2 standardmäßig aktiviert.

Buchen Sie eine Demo mit unseren Experten und erfahren Sie, wie das Consent Management mit Google Consent Mode und der Usercentrics CMP in der Praxis funktioniert.

Demo buchen

Google Consent Mode: Fragen und Antworten

Erfahren Sie mehr über die von Google angekündigten Änderungen mit unseren FAQs zum Google Consent Mode weiter unten.

Was sind die Änderungen am Google Consent Mode?

Mit Consent Mode V2 hat Google zwei neue Signale zum eigenen Rahmenwerk hinzugefügt: ad_user_data und ad_personalization. Diese sind wichtig, um die Kompatibilität mit den sich weiterentwickelnden Anforderungen von Google sicherzustellen, insbesondere hinsichtlich der anstehenden Änderungen aufgrund des Gesetzes über digitale Märkte (DMA).

Warum erfolgen diese Änderungen?

Wir wollen sicherstellen, dass alle unsere Kunden, die Google-Produkte verwenden, eine reibungslose Integration mit unserer standardmäßigen CMP-Implementierung erleben.

Welcher Typ der Google Consent Mode-Implementierung kann verwendet werden?

Die zusätzlichen Google Consent Mode-Parameter können wie folgt implementiert werden:

Welchen Implementierungstyp würden Sie empfehlen?

Wir empfehlen generell die manuelle Implementierung des Einwilligungsskripts für eine optimale Integration. Wenn Sie sich jedoch gegen diese manuelle Implementierung entscheiden, können Sie versichert sein, dass unsere Änderungen die Kompatibilität für Sie sicherstellen.

Wie kann ich überprüfen, ob der Consent Mode korrekt implementiert wurde?

Befolgen Sie die Schritte in unserer Dokumentation zum Google Consent Mode.

Inwiefern betreffen die Änderungen die Partner von Usercentrics?

Bitte achten Sie bei der Kommunikation mit Kunden von Usercentrics darauf, dass sie informiert werden und dass die Consent Mode-Signale korrekt implementiert sind. Dies ist besonders dann wichtig, wenn diese Kunden einen Google-Dienst nutzen.

Mit seinen neuen Anforderungen, die 2024 in Kraft treten, leitet Google in Bezug auf die Datenschutzkonformität womöglich strengere Schritte ein als staatliche Aufsichtsbehörden. Dies wurde im neuesten Google-Artikel von Shirin Eghtesadi, Director Product Management, bestätigt.

Die sich ständig weiterentwickelnden Datenschutzverordnungen geben Google und bestimmten anderen „Gatekeepern“ strenge Anforderungen vor. Zu den wichtigsten Anforderungen zählt die Signalisierung einer verifizierbaren Nutzereinwilligung an Google, damit Googles Features zur Ads-Personalisierung weiterhin genutzt werden können.

Lesen Sie weiter und erfahren Sie, welche Anforderungen Google an Advertiser in der EU und im EWR stellt, wie Sie Ihre Werbeeinnahmen sichern können, welche Vorteile ein Permission Marketing mit sich bringt und über welche Arten der Datenerfassung Sie sich informieren sollten.

Was bedeutet die von Google gesetzte Frist für Advertiser?

Die neuen Anforderungen von Google sollen die Einhaltung von Datenschutzvorschriften wie der Datenschutz-Grundverordnung (DSGVO) und der ePrivacy-Richtlinie sowie anderer relevanter Verordnungen in der EU/im EWR und im Vereinigten Königreich erleichtern. Darüber hinaus verbessern sie auch die Durchsetzung der Richtlinie zur Einwilligung der Nutzer in der EU (EU UCP), insbesondere in Bezug auf Lösungen für Zielgruppen und Messungen.

Erfahren Sie mehr in unserem Blogbeitrag: Was ist Googles Richtlinie zur Einwilligung der Nutzer in der EU und für wen gilt sie?

Wenn Sie Google Ads, Google Analytics und Google Marketing Platform verwenden, um personalisierte Werbeanzeigen in diesen Regionen zu schalten, müssen Sie prüfen, wie Sie die Einwilligung von Endnutzern einholen und signalisieren (hauptsächlich für Online-Verbraucher). Unternehmen, die diese Anforderungen bis März 2024 nicht erfüllen, können in der EU/im EWR und im Vereinigten Königreich nicht wie bisher personalisierte Werbeanzeigen über die Google-Plattformen schalten und so den Zugriff auf die Features zur Ads-Personalisierung verlieren.

Unternehmen können die Anforderungen von Google erfüllen, indem sie für die Einholung und Verwaltung von gültigen Nutzereinwilligungen eine von Google zertifizierte CMP implementieren. Die CMP muss außerdem in die neueste Version des Google Consent Mode (Einwilligungsmodus) integriert werden, damit Informationen zu Nutzereinwilligungen an Google-Plattformen gesendet werden können.

Wer gilt als Advertiser?

Als Advertiser gelten Unternehmen oder Einzelpersonen, die Produkte, Dienste oder Marken über verschiedene Medienkanäle bewerben, darunter auch Online-Werbeplattformen wie Google Ads. Diese Unternehmen verwenden digitale Marketing- und Werbe-Tools, um potentielle Kunden zu erreichen und z. B. mithilfe von Google Analytics Daten die Conversion Rates zu tracken.

Kurz gesagt: Wenn Sie Ads-Kampagnen auf Adtech-Plattformen von Google ausführen oder Google Analytics verwenden, um die Auswirkungen auf Ihre Werbeeinnahmen in Europa zu messen, müssen Sie die Anforderungen von Google erfüllen, um ab März 2024 ununterbrochene Werbeeinnahmen zu sichern.

Welche Anforderungen gelten gemäß der Google-Richtlinie zur Einwilligung der Nutzer in der EU für verifizierbare Einwilligungen?

Die wichtigsten Bestimmungen der Richtlinie für Dritte, die Google-Dienste nutzen, lauten wie folgt:

Was ist der Google Consent Mode (Einwilligungsmodus)?

Der Google Consent Mode (Einwilligungsmodus) wurde 2020 eingeführt und bot zu diesem Zeitpunkt einen großen Vorteil: Er ermöglichte es, Daten zu tracken und einzusehen, selbst wenn die Nutzer keine Einwilligung erteilt hatten. Seitdem haben sich der Consent Mode (Einwilligungsmodus) und das, wofür er steht, weiterentwickelt. Heute wird er als Signalisierungstool verwendet, mit dem weitere Tools und Services auf der Grundlage erfasster Einwilligungsdaten kontrolliert werden können.

Wenn Sie zum Beispiel Google Analytics, Google Tag Manager oder Google Ads verwenden, hilft Ihnen der Consent Mode (Einwilligungsmodus) dabei, die Opt-in-Raten zu optimieren sowie Insights in die Conversion Rates derjenigen Nutzer zu erhalten, die ihre Einwilligung nicht erteilen.

Die im letzten November veröffentlichte zweite Version des Google Consent Mode (Einwilligungsmodus) umfasste die zwei neuen Einstellungen ad_user_data und ad_personalization, die die Nutzung personenbezogener Daten und die Ads-Personalisierung auf der Grundlage von Nutzereinwilligungen steuern.

Erfahren Sie in unserem Artikel mehr zum Google Consent Mode: Google Consent Mode (Einwilligungsmodus): Das Wichtigste für Sie zusammengefasst

Wie erfüllt die Verwendung des Consent Mode (Einwilligungsmodus) die Anforderungen von Google an Advertiser?

Advertiser, die eine Consent Management Platform (CMP) implementieren, können rechtlich gültige Einwilligungsdaten von Nutzern erfassen. Dank des Consent Mode (Einwilligungsmodus) können Sie diese Informationen automatisch an Google senden sowie Einwilligungsdaten für die Verwendung von Cookies und anderen Tracking-Technologien von Nutzern übermitteln. Verwendete Tags passen das Verhalten von Google Ads, Google Analytics und mehr automatisch an, um die Einwilligungspräferenzen der Nutzer zu respektieren und die Datenschutzvorschriften einzuhalten.

Derzeit unterstützt der Consent Mode (Einwilligungsmodus) folgende Google-Dienste:

Die Usercentrics CMP ist Ihr Google CMP-Partner

Die Usercentrics CMP wurde als eine der ersten CMPs von Google zertifiziert, als Google 2022 sein CMP-Partnerprogramm startete. Als Google gegen Ende 2023 Änderungen am Consent Mode (Einwilligungsmodus) ankündigte, wurde die Usercentrics CMP umgehend aktualisiert, um die Integration der zweiten Version des Consent Mode (Einwilligungsmodus) zu unterstützen.

Wenn die Usercentrics CMP implementiert ist, ist auch der Consent Mode (Einwilligungsmodus) standardmäßig aktiviert, d. h. Upgrades auf die neueste API des Consent Mode (Einwilligungsmodus) sind automatisiert.

Mithilfe der Usercentrics CMP können Sie als Advertiser rechtlich gültige Einwilligungen einholen und diese an Google signalisieren, damit Sie die Anforderungen erfüllen und weiterhin personalisierte Werbeanzeigen in der EU/im EWR und im Vereinigten Königreich schalten können.

Konfiguration des Google Consent Mode (Einwilligungsmodus) in 3 einfachen Schritten mit der Usercentrics CMP

1. Konfigurieren Sie die Usercentrics Web oder App CMP

Scannen Sie alle Datenverarbeitungsdienste, die auf Ihrer Website oder in Ihrer App verwendet werden. Mit unserem intuitiven User Interface können Sie die Usercentrics CMP schnell einrichten und vollständig an Ihre Bedürfnisse und Anforderungen anpassen, um rechtliche Anforderungen zu erfüllen.

2. Implementieren Sie die CMP auf Ihrer Website oder in Ihrer App

Fügen Sie das CMP-Skript-Tag auf Ihrer Website oder im Google Tag Manager hinzu. Passen Sie die vom Scan gefundenen Datenverarbeitungsdienste an. Für Apps ist eine einfache Implementierung mit dem Usercentrics SDK möglich. Der Google Consent Mode (2. Version) ist standardmäßig aktiviert. So können Sie direkt gültige Nutzereinwilligungen einholen und signalisieren.

3. Genießen Sie die Vorteile des Consent Mode (2. Version)

Respektieren Sie Nutzerentscheidungen und passen Sie gleichzeitig Google-Tags und SDK-Verhalten automatisch an, indem Sie das Einwilligungssignal an Google weiterleiten. Sammeln Sie mithilfe der Conversion-Modellierung und dem Advanced Consent Mode zusätzliche Nutzereinblicke, selbst wenn die Nutzer keine Einwilligung erteilen.

Wenn Sie Unterstützung bei der Implementierung benötigen, sehen Sie in unserer Dokumentation zum Google Consent Mode (Einwilligungsmodus) für das Web und Mobile Apps/Games nach oder suchen Sie nach einem qualifizierten Partner, der Ihnen bei der Implementierung und Wartung Ihrer Usercentrics CMP zur Seite steht.

Wie wirken sich Googles Anforderungen auf die Werbung aus?

Unternehmen benötigen Nutzerdaten für viele digitale Marketingzwecke, einschließlich Werbezwecken. Es ist möglich, Ads-Kampagnen auf der Grundlage eingeschränkter und nicht-personalisierter Daten und Analysen durchzuführen. Die meisten Marketer wollen jedoch zur Maximierung ihrer Werbeeinnahmen und Optimierung ihrer Conversion Rates verschiedene Zielgruppen analysieren, segmentieren und erreichen. Um dies zu ermöglichen, benötigen sie Daten von den Mitgliedern dieser Zielgruppen sowie Daten über diese. Gleichzeitig müssen Unternehmen jedoch immer öfter die Einwilligung der Nutzer einholen, bevor sie deren Daten erfassen und verwenden können.

1. Ab März 2024 müssen Sie beweisen können, dass sie Nutzereinwilligungen eingeholt haben, bevor sie Werbeanzeigen über Google-Dienste schalten können.

2. Unternehmen, die eine CMP und den Google Consent Mode (Einwilligungsmodus) implementieren, können dann Einwilligungsdaten an Google senden und für Nutzer, die ihre Einwilligung erteilt haben, personalisierte Ads schalten. Wenn ein Nutzer keine Einwilligung erteilt hat, können Unternehmen weiterhin Ads schalten. Sie müssen dann jedoch von einer Personalisierung absehen. Gemäß der zweiten Anforderung von Google müssen Nutzer jedoch jederzeit die Möglichkeit haben, ihre Einwilligungspräferenzen zu ändern (viele Datenschutzgesetze verlangen dies ebenfalls). Nutzer können also auch noch zu einem späteren Zeitpunkt ihre Einwilligung zu personalisierten Ads erteilen.

3. Unternehmen, die bis März 2024 weder eine CMP noch den Google Consent Mode (Einwilligungsmodus) implementieren, können weiterhin Werbeanzeigen auf Google-Plattformen schalten. Diese sind jedoch auf nicht-personalisierte Ads, die auf aggregierten Daten und keinen bestimmten Nutzeranalysen basieren, beschränkt.

4. Wenn Sie Google-APIs/-SDKs verwenden, um auf Websites und/oder in Apps erfasste Daten Ihrer Zielgruppe mit Google zu teilen, müssen Sie auch ein Upgrade auf eine der neuesten API-Versionen durchführen, um sicherzustellen, dass die Nutzereinwilligungen an Google signalisiert werden.

Melden Sie sich jetzt für eine kostenlose 30-tägige Testversion an

So verändern die Änderungen von Google die Online-Datennutzung

Generalisierte Third-Party-Daten gelten im digitalen Marketing aufgrund ihrer mangelnden Genauigkeit und Datenschutzprobleme als überholt. Zudem verlassen sich Unternehmen immer weniger auf diese Art von Daten. So auch Google: Das Unternehmen stellt, wie bereits vor einigen Jahren an
gekündigt, die Verwendung von Third-Party-Cookies ein. Anfang Januar 2024 wurden im Browser Google Chrome die ersten Third-Party-Cookies für ungefähr ein Prozent der globalen Nutzer deaktiviert. Die vollständige Durchführung dieser Änderung ist für einen späteren Zeitpunkt im Jahr geplant.

Server-Side-Tagging ist eine weitere Möglichkeit, um Third-Party-Daten zu umgehen und durch Datenschutzverordnungen entstandene Herausforderungen und sich ständig weiterentwickelnde Webtechnologien zu bewältigen. Usercentrics bietet eine Lösung für das Server-Side-Tagging, die sich in die Google-Dienste und den Google Consent Mode (Einwilligungsmodus) integrieren lässt, damit Sie eine zukunftssichere, digitale Marketingstrategie gestalten können.

Erfahren Sie mehr in unserem Artikel: So implementieren Sie Server-Side-Tagging mit Google Analytics 4 und der Usercentrics CMP für DSGVO-konforme Datenübertragungen

Fazit und nächste Schritte für Advertiser

Die Frist im März 2024, die Google Advertisern in der EU/im EWR und im Vereinigten Königreich gesetzt hat, steht beinahe schon vor der Tür. Glücklicherweise lässt sich die Usercentrics CMP schnell und einfach in den auf Websites und in Apps integrierten Consent Mode (Einwilligungsmodus) implementieren. So verfügen Sie über die richtige Grundlage, um Ihre digitale Performance im Jahr 2024 und auch darüber hinaus schützen zu können.

Starten Sie jetzt Ihre kostenlose 30-tägige Testversion

Erleben Sie die Usercentrics CMP und erhalten Sie Antworten auf alle Ihre Fragen.

Demo buchen

Arbeiten Sie mit einem Usercentrics zertifizierten Partner zusammen

Partner finden

Eine Vielzahl neuer Datenschutzgesetze wurden 2023 verabschiedet, und einige zuvor verabschiedete Gesetze traten im letzten Jahr in Kraft. In 2024 werden noch weitere Gesetze folgen bzw. in Kraft treten. Aber möglicherweise noch gravierender ist, dass rechtliche Datenschutzanforderungen an große Technologiekonzerne fundamentale Auswirkungen auf Drittunternehmen haben werden, die auf deren Plattformen und Dienste angewiesen sind, um eigene Zielgruppen zu erreichen, Daten zu erfassen und Umsatz zu generieren.

KI wird künftig sicher noch stärker reguliert, und der Fokus darauf hat auch das Bewusstsein der Verbraucher in Bezug auf den Zugriff und die Nutzung ihrer Daten erhöht. Einige der zuvor genannten Gesetze und Unternehmensanforderungen bringen jedoch auch willkommene Verbesserungen für die Verbraucher mit sich. Dazu zählen mehr Transparenz, Wettbewerb, Innovation und Auswahl für die Konsumenten.

Schauen wir uns an, welche Änderungen im Datenschutz im Jahr 2024 bevorstehen.

Datenschutzgesetze und Unternehmen im Jahr 2024

Eine Vielzahl der 2023 in den USA beschlossenen Gesetze werden 2024 in Kraft treten. Dadurch erhöht sich die Anzahl der US-Bundesstaaten mit geltenden Datenschutzgesetzen sowie die damit verbundenen Anforderungen an Unternehmen, die personenbezogene Daten verarbeiten, erheblich.

Es gibt mehrere umfassende Datenschutzgesetze weltweit, die 2024 voraussichtlich verabschiedet werden. Diese sorgen für neue Schutzmaßnahmen für noch mehr Menschen bzw. verbessern den Datenschutz, z. B. in der Europäischen Union.

Darüber hinaus werden Technologien, die Datenschutz ermöglichen und verbessern, wahrscheinlich einen großen Stellenwert einnehmen. Die Datenschutzrichtlinie Ihrer Website dient dabei maßgeblich der Stärkung von Nutzervertrauen, der Förderung von Transparenz und der Ausrichtung auf die gesellschaftliche Verantwortung von Unternehmen.

Sobald die Durchsetzung von neuen Gesetzen wie dem Gesetz über digitale Märkte (DMA) beginnt, werden wir wahrscheinlich schnelle und bedeutende Änderungen im Betrieb großer Technologiekonzerne erleben. Gleiches gilt für kleinere Unternehmen, die auf deren Plattformen angewiesen sind. Datenschutzmaßnahmen werden bald für mehr Menschen weltweit als je zuvor gelten. Werden bis zum Ende des Jahres 75% der Menschheit von Datenschutzgesetzen geschützt, wie Gartner voraussagt?

Datenschutz in den USA

Acht US-Bundesstaaten haben 2023 Datenschutzgesetze beschlossen, und fünf dieser Gesetze treten 2024 in Kraft:

14 der 50 US-Bundesstaaten verfügen nun über Datenschutzgesetze. Dabei hatten 40 Bundesstaaten das Datenschutzrecht 2023 auf die Tagesordnung gesetzt, viele davon nicht zum ersten Mal. Es ist davon auszugehen, dass in 2024 weitere Datenschutzgesetze verabschiedet werden.

Die Fortschritte bei den Datenschutzgesetzen auf US-Bundesebene kommen nur langsam voran oder sind in einigen Fällen sogar ganz zum Stillstand gekommen. Entwicklungen wie die generative KI und ihre Anwendung erhalten jedoch viel Aufmerksamkeit und werden skeptisch verfolgt, auch im Hinblick auf den Datenschutz. Daher ist es möglich, dass Randthemen wie diese eine größere Motivation für ein umfassenderes US-Datenschutzgesetz darstellen.

Datenschutz in Kanada

Die Gesetzesvorlage Bill C-27 beinhaltet den Digital Charter Implementation Act von 2022. Dieser würde ein neues gesetzliches Rahmenwerk zum Zugang und zur Nutzung personenbezogener Daten im Privatsektor mit sich bringen. Die Gesetzesvorlage liegt derzeit dem Ausschuss vor und könnte im Jahr 2024 verabschiedet werden. Sie würde den Consumer Privacy Protection Act (CPPA) in Kraft treten lassen und den Personal Information Protection and Electronic Documents Act (PIPEDA) ersetzen, welcher über 20 Jahre alt ist.

Der Digital Charter Implementation Act würde auch den Personal Information and Data Protection Tribunal Act umfassen. Dieser sieht ein administratives Tribunal vor, das Entscheidungen des Privacy Commissioners von Kanada überprüfen und bei Verstößen gegen den CPPA Bußgelder verhängen kann.

Das Gesetz würde auch dazu beitragen, die Ausweitung des Einflusses und der Anwendungen von KI mit dem Artificial Intelligence and Data Act (AIDA) anzugehen, wobei der Handel und das Gewerbe mithilfe von KI-Systemen anhand eines risikobasierten Ansatzes reguliert werden könnten. Jegliche neue KI-Gesetze bzw. -Rahmenwerke müssten dann einen Fokus auf Datenschutz legen, insbesondere in Bezug auf Verbraucher.

Datenschutz in Australien

Auf Bundesebene verfügt Australien seit 1988 über den Privacy Act (mit zusätzlichen Gesetzen für Bundesstaaten und Territorien). Eine Überarbeitung dieses Gesetzes wird schon lange erwartet, obwohl zuletzt 2022 eine Änderung vorgenommen wurde. Der Privacy Act Review Report mit 116 Empfehlungen wurde im Februar 2023 veröffentlicht. Wahrscheinlich werden einige Aufsehen erregende Datenschutzverstöße der letzten Jahre den Druck auf die australische Regierung erhöhen, den Datenschutz für die Bevölkerung zu stärken. Freuen Sie sich auf bedeutende Veränderungen im Jahr 2024.

ePrivacy-Verordnung in der EU

In der Europäischen Union gilt seit 2018 die ePrivacy-Richtlinie (ePD), ebenso wie die Datenschutz-Grundverordnung (DSGVO). Doch die ePrivacy-Verordnung (ePR), welche die ePrivacy-Richtlinie außer Kraft setzen würde, lässt bislang auf sich warten. Die EU hat seitdem über die letzten Jahre andere Gesetze mit Datenschutzelementen verabschiedet, zu denen auch das Gesetz über digitale Märkte (DMA) gehört. Auch das KI-Gesetz bzw. der AI Act wird vermutlich Anfang 2024 verabschiedet.

Die ePrivacy-Verordnung würde unter anderem klarere Regeln für die Verwendung von Cookies festlegen und neuere elektronische Kommunikationsdienste regulieren, die nicht unter die ePrivacy-Richtlinie fallen, z. B. WhatsApp oder Facebook Messenger. Bei einer Übergangsphase von 24 Monaten würde das Gesetz jedoch selbst bei einer Verabschiedung im Jahr 2024 nicht vor 2026 in Kraft treten.

Regulierung von künstlicher Intelligenz (KI)

Der AI Act bzw. das KI-Gesetz der Europäischen Union, das erste seiner Art, wird voraussichtlich Anfang 2024 fertiggestellt. Zusätzlich zu neuen Regeln, Richtlinien und Verboten hinsichtlich der Entwicklung und Anwendung von KI in der EU wird das Gesetz wahrscheinlich ähnliche Gesetze anderer Länder maßgeblich beeinflussen, wie es auch schon beim Inkrafttreten der DSGVO der Fall war.

Im Oktober 2023 unterzeichnete US-Präsident Biden auch eine Präsidentenverfügung zur sichereren Verwendung von KI, welche ebenfalls weitere Entwicklungen in diesem Bereich beeinflussen wird.

Digital Services Act Paket

In unserer Zusammenfassung des Jahres 2023 haben wir das Digital Services Act Paket mit seinen zwei Gesetzen behandelt: dem Gesetz über digitale Dienste (DSA) und dem Gesetz über digitale Märkte (DMA). Einige Anforderungen der Gesetze bestanden schon 2023, doch die Durchsetzung beginnt erst Anfang des Jahres 2024.

Diese Gesetze fordern Datenschutzkonformität von bestimmten großen Technologiekonzernen. Dadurch wird gleichzeitig Druck auf die Einhaltung der Datenschutzvorschriften von Drittunternehmenskunden und -partnern ausgeübt. Dies könnte gerade für kleinere Unternehmen eine weitaus stärkere Wirkung hinsichtlich der Einhaltung der Datenschutzvorschriften haben – insbesondere in der EU – als dies bis heute für Gesetze wie die DSGVO der Fall ist. Zum Beispiel: Die Anforderung von Google zur Verwendung einer zertifizierten Consent Management Platform zur Unterstützung des TCF 2.2 und Consent Mode.

Halten Sie ab 2024 nach wesentlichen Änderungen Ausschau, die sich auf die Auswahlmöglichkeiten der Verbraucher sowie auf die Geschäftstätigkeit und die Wettbewerbsfähigkeit auf den digitalen Märkten auswirken. Dazu zählen auch die Einführung von Consent Management Platforms (CMPs), die Datenschutzkonformität und die Signalisierung der Einwilligung ermöglichen. 

Wichtig ist es dabei nicht nur Webseiten, sondern auch Consent Management für Apps und Consent Management für TV zu berücksichtigen.

Scannen Sie Ihre Website mit unserem kostenlosen Datenschutz-Audit und finden Sie heraus, welche Cookies und Tracking-Technologien Daten erfassen.

Scan starten

Die Zukunft von „Pay or Okay“?

Aufgrund der fortlaufenden Datenschutz-Herausforderungen in der EU und als Reaktion auf den Digital Markets Act (DMA), unter dem der Mutterkonzern von Facebook und Instagram als „Gatekeeper“ gilt, hat Meta Pläne für ein neues Abonnement-Modell angekündigt, mit dem Nutzer auf Facebook und Instagram zugreifen können. Dieses Modell wird auch als „Pay or Okay“ bezeichnet.

In der EU, dem EWR und der Schweiz könnten sich Nutzer von Facebook und Instagram dabei für ein kostenpflichtiges monatliches Abonnement dieser Plattformen registrieren, bei dem sie keine Werbung erhalten. Für Nutzer, die kein zahlungspflichtiges Abonnement abschließen möchten, wird nicht nur Werbung angezeigt, sondern es werden auch ihre personenbezogenen Daten erfasst und verwendet, z. B. für personalisierte Werbung.

Ende 2023 reichten jedoch verschiedene Gruppen Beschwerden gegen das geplante Abonnement-Modell von Meta ein, darunter der Europäische Verbraucherverband (BEUC). Sie argumentierten, dass dieser Ansatz ungerecht und ein weiterer Versuch sei, die Gesetzgebung der EU zu umgehen. Verfolgen Sie im Laufe des Jahres 2024 die Entwicklung dieses Falls, der auch für andere große Technologiekonzerne interessant sein dürfte.

Fazit – So können Sie Datenschutz zu Ihrem Vorteil machen

Das passendste Stichwort dafür, was wir 2024 im Bereich Datenschutz erwarten dürfen, lautet wohl: Beschleunigung. 2023 wurden so viele Initiativen ins Leben gerufen, die sich im Jahr 2024 weiterentwickeln oder neue Gesetze, Unternehmensanforderungen, Technologien und Verbrauchererwartungen prägen werden.

Datenschutz wird immer wichtiger für die Geschäftstätigkeit und den Schutz des Markenimages und Umsatzes. Unternehmen erkennen nicht nur die Gefahr, gegen Datenschutzgesetze zu verstoßen, sondern auch die Chancen, die sich aus dem Schutz von Nutzerdaten und der Achtung der Privatsphäre von Kunden ergeben. Wir können zum Beispiel davon ausgehen, dass Datenschutz in der Mobilbranche im Jahr 2024 noch relevanter wird.

In einigen Regionen müssen Unternehmen mehrere Gesetze gleichzeitig einhalten. Dies stellt vor allem für kleine und mittlere Unternehmen mit begrenzten Ressourcen eine Herausforderung dar. Doch daran müssen wir uns gewöhnen – und das ist gar nicht so schwierig, wie es auf den ersten Blick erscheint. Usercentrics unterstützt Sie dabei: Unsere Lösungen sind benutzerfreundlich, zuverlässig und besonders skalierbar, während Ihr Unternehmen wächst, Ihre technischen Systeme sich ändern und Gesetze sich weiterentwickeln.

Sprechen Sie noch heute mit unseren Experten

Kontaktieren Sie uns

Usercentrics bietet keine rechtliche Beratung. Alle Angaben dienen nur zu Informationszwecken. Wir empfehlen immer, zu Fragen des Datenschutzes und der Datenverarbeitung einen qualifizierten Rechtsbeistand oder Datenschutzexperten hinzuzuziehen.

Künstliche Intelligenz (KI) ist derzeit in aller Munde und die finanziellen Investitionen scheinen genauso groß zu sein wie die mediale Aufmerksamkeit. Ist es nur ein Tech-Trend oder ändert KI — jetzt und in Zukunft — von Grund auf die Art, wie wir etwas entwickeln oder wie wir arbeiten? Wer ist für die Eingabedaten und Ergebnisse verantwortlich?

Die Entwicklung von KI soll sich auf die Säulen von Algorithmen, Hardware und Daten stützen. Dabei sind die Herausforderungen in Bezug auf „Daten“ die größten, und die Nutzereinwilligung ist hier ein wichtiger Teil davon.

Die raschen Entwicklungen hinsichtlich des Trainings und der Nutzung von KI hat Bedenken aufkommen lassen, in Bezug auf die Einwilligung der Nutzer und die ethische Nutzung personenbezogener Daten. Wenn Nutzerdaten für das Trainieren von KI verwendet werden, haben Nutzer dann Rechte am Ergebnis? Müssen Unternehmen, die Daten zum Trainieren von KI benötigen, die Einwilligung für bereits online veröffentlichte Daten einholen? Für wie viele granulare Zwecke sollten KI-Tools oder -Services die explizite Einwilligung der Nutzer einholen?

Was ist künstliche Intelligenz (KI)?

KI bezieht sich auf die Entwicklung von Maschinen, die Aufgaben ausführen können, für die normalerweise menschliche Intelligenz erforderlich ist. Dazu gehören Bereiche wie Text- oder Spracherkennung, Problemlösung und Entscheidungsfindung. Die Entwicklung von KI erfordert oftmals die Eingabe großer Datenmengen, damit die Systeme besser „lernen“ können.

Was ist maschinelles Lernen bzw. Machine Learning (ML)?

Maschinelles Lernen ist ein Teilbereich der KI und konzentriert sich auf die Entwicklung von Algorithmen und Modellen, die es Computern ermöglichen, aus Daten zu lernen und Prognosen oder Entscheidungen zu treffen, ohne explizit dafür programmiert werden zu müssen. So können Computer aus Beispielen „lernen“ und ihre Leistung im Laufe der Zeit verbessern.

Was sind Large Language Models (LLM)?

Large Language Models (große Sprachmodelle) sind ein brandneuer Durchbruch in der KI-Forschung. Sie sind darauf ausgelegt, menschliche Sprache zu verstehen und zu generieren. ChatGPT von OpenAI und Bard von Google sind Beispiele für öffentlich zugängliche LLMs. Einige Tools, die mit ihnen entwickelt wurden, können für SEO, Marketing und andere geschäftliche Zwecke verwendet werden.

Der Zweck des Trainings eines LLM besteht darin, es ihm zu ermöglichen, die Struktur, Bedeutung und den Kontext der menschlichen Sprache zu verstehen. So kann bei einem einmaligen Gebrauch eine genauere Antwort gegeben werden, wenn Personen eine Anfrage haben.

LLMs werden anhand großer Textmengen aus Büchern, Artikeln, Websites und anderen Quellen trainiert. Bisher gab es Datenschutzprobleme bei Inhalten, die ohne die Einwilligung der Ersteller oder Eigentümer genutzt und analysiert wurden. Möglicherweise wurde auf vertrauliche Daten zugegriffen oder sie wurden ohne Einwilligung verwendet.

Was ist KI-Training?

KI-Training bzw. Machine Learning Training ist ein Prozess, bei dem ein KI-System anhand der bereitgestellten Daten lernt, Muster zu erkennen und Prognosen zu erstellen oder Entscheidungen zu treffen. Das Trainieren ist entscheidend für die Entwicklung von KI-Systemen, die bestimmte Aufgaben ausführen, Muster erkennen, genaue Informationen liefern oder fundierte Beurteilungen vornehmen können.

Der Trainingsprozess besteht aus einer Reihe von Schritten. Zu Anfang steht die Beschaffung relevanter Daten und deren Bereitstellung. Danach wird ausgewählt, was das Modell mit den KI-Trainingsdatensätzen tun soll, dann folgen Dateneingabe und Analyse. Schließlich wird daran gearbeitet, die Ergebnisse oder Prognosen mit den tatsächlichen Ergebnissen zu vergleichen oder die Genauigkeit zu verbessern. Und es wird sichergestellt, dass das KI-Modell gut mit allen Datensätzen funktioniert, darunter auch mit den realen Daten, und nicht nur mit den KI-Trainingsdaten. KI-Modelle müssen alle Schritte durchlaufen, bevor sie für eine breitere Verwendung eingesetzt werden können.

Mehrdeutigkeiten bei der Verwendung von KI-Trainingsdatensätzen

Unternehmen könnten Fragen dazu stellen, was die Definition von „Verwendung“ personenbezogener Daten ist. Ab wann handelt es sich nicht mehr um personenbezogene Daten? Um die Daten beispielsweise in ein Format zu bringen, das das Trainingsmodell verwenden kann, muss möglicherweise das ursprüngliche Format geändert werden. Sollte ein Unternehmen außerdem die Einwilligung zur Verwendung von Daten einholen, um KI-Modelle zu trainieren, auch wenn diese nur für Forschungszwecke und nicht für kommerzielle Zwecke bestimmt sind? Womöglich würde außer den Forschern niemand jemals Zugriff darauf haben.

Mit welchen Daten wird KI trainiert?

KI kann mit vielen Arten von Daten trainiert werden. Was die Trainer benötigen, hängt davon ab, was das System tun soll – ob es beispielsweise Fragen beantworten, Entscheidungen treffen, Grafiken oder Texte erstellen soll usw.

Zu den häufigsten Arten von Trainingsdaten für KI gehören:

Bedenken bezüglich der Einwilligung für verschiedene Arten von KI-Trainingsdaten

Auf viele dieser Arten von KI-Trainingsdaten wird in den Datenschutzverordnungen ausdrücklich Bezug genommen. Bei vielen handelt es sich um persönliche Informationen, bei einigen um personenbezogene Daten. Einige dieser Datentypen werden gemäß den Datenschutzgesetzen als sensibel eingestuft, was bedeutet, dass größerer Schaden entstehen könnte, wenn sie ohne Genehmigung abgerufen oder verwendet werden.

Besonders wichtige Beispiele für sensible personenbezogene Daten sind Gesundheitsinformationen, genomische Daten und Finanzdaten. Sensible Daten erfordern gemäß geltenden Datenschutzgesetzen in der Regel eine Einwilligung des Nutzers, um sie verwenden oder verarbeiten zu können. Dagegen erfordern personenbezogene, aber nicht sensible Daten häufig nur dann eine Einwilligung, wenn sie verkauft oder für gezielte Werbung, Profiling usw. verwendet werden.

Es ist auch wichtig zu beachten, dass nicht alle Batches der Trainingsdaten gleich sind. Qualität, Quantität, Vielfalt und Nutzungsberechtigung können sehr unterschiedlich sein. Dies kann erhebliche Auswirkungen auf das „Lernen“ und die Leistung der Systeme haben. Es könnte auch bedeuten, dass eine Einwilligung für die Verwendung bestimmter Datenarten im Trainingsdaten-Batch erforderlich ist, für andere jedoch nicht. Schlecht ausgewogene oder zu wenig vielfältige Daten können auch verzerrte Ergebnisse liefern, manchmal mit anstößigen oder rechtlich prekären Ergebnissen, wenn Systeme etwa diskriminierende Empfehlungen oder eine ungenaue Identifizierung abgeben.

Gemäß vieler Datenschutzgesetze haben betroffene Personen das Recht, ihre Daten von der Organisation korrigieren zu lassen, die sie erfasst hat, wenn sie unvollständig oder unrichtig sind. Doch wie sieht es aus, wenn die Daten korrekt sind, aber dazu verwendet werden, unrichtige Ergebnisse zu liefern? Welche Rechte haben diese Personen dann? Der Einsatz dieser Technologien stellt viele komplexe Fragen an die Gesetzgebung, zu denen auch die Ethik der Automatisierung gehört.

Einwilligung, KI und personenbezogene Daten

Das Forschungsunternehmen Gartner hat vorausgesagt, dass bis Ende 2023 die personenbezogenen Daten von 65 % der Weltbevölkerung durch Datenschutzgesetze geschützt sein werden. Gartner prognostiziert, dass diese Zahl bis 2024 auf 75 % ansteigen wird. Doch die Technologie selbst und die Nachfrage nach den Daten entwickeln sich noch rascher als die Datenschutzgesetze. So können wissenschaftliche Durchbrüche, Marketingkampagnen usw. vorangetrieben werden.

Viele der vorhandenen Daten, auf die Unternehmen zugreifen möchten, werden von Menschen generiert. Deshalb haben sie Rechte in Bezug auf den Datenschutz und den Zugriff auf ihre Daten. Verbraucher haben heutzutage ein zunehmend stärkeres Bewusstsein für den Datenschutz und ihre Rechte im Hinblick auf ihre personenbezogenen Daten. Auch wenn sie nicht unbedingt verstehen, wie KI-Systeme und andere Funktionen im Detail arbeiten.

Da weltweit immer mehr Datenschutzgesetze verabschiedet werden, müssen Unternehmen bei der Erfüllung ihrer Datenschutzverpflichtungen immer vorsichtiger vorgehen. Potenziell hohe Geldstrafen, wie beispielsweise einige der Strafen, die gemäß der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union erhoben werden, zeigen auch, wie wichtig es ist, Datenschutzvorschriften und Verbraucherrechte ernst zu nehmen.

Spielt es eine Rolle, woher KI-Trainingsdaten stammen?

Es gibt immer mehr potenzielle Quellen für Nutzerdaten, insbesondere online, z. B. über soziale Plattformen und Apps. Es kann für Unternehmen auch schwierig sein, ihre Verantwortlichkeiten für den Datenschutz festzulegen, wenn das Unternehmen seinen Hauptsitz zwar an einem bestimmten Ort, aber möglicherweise auf der ganzen Welt Nutzer hat. Dies kann dazu führen, dass ein Unternehmen für die Einhaltung verschiedener Datenschutzgesetze verantwortlich ist. Viele dieser Gesetze sind also extraterritorialer Natur. In diesem Fall ist es in Bezug auf die Rechte von Nutzern und den Schutz ihrer Daten nur wichtig, wo sich die Nutzer befinden, nicht die Unternehmen.

Viele Verbraucher konzentrieren sich nicht allzu sehr darauf, wie viele Daten sie täglich erstellen, wer Zugriff darauf hat und wie sie verwendet werden können. Kinder achten möglicherweise überhaupt nicht darauf oder verstehen die Erstellung oder Verarbeitung von Nutzerdaten nicht, obwohl die meisten Datenschutzgesetze einen zusätzlichen Schutz und eine zusätzliche Einwilligung für den Zugriff auf ihre Daten erfordern. Diese Einwilligung muss in der Regel von einem Elternteil oder Erziehungsberechtigten eingeholt werden, wenn das Kind unter einer bestimmten, gesetzlich festgelegten Altersgrenze liegt.

Einige Datenschutzgesetze beziehen sich nicht auf personenbezogene Daten, die Personen öffentlich verfügbar machen, darunter auch Daten, die auf sozialen Plattformen generiert werden. Möglicherweise stellen Beiträge, Kommentare und Fotos für manche keine große Sorge um den Datenschutz dar. Aber wie sieht es mit privaten Nachrichten oder Chats aus? Diese könnten weit sensiblere Daten enthalten.

Sobald die Daten erfasst worden sind, idealerweise mit Nutzereinwilligung, sollten die betroffenen Personen darüber Bescheid wissen, was mit ihnen geschieht. Es ist bei den meisten Datenschutzgesetzen eine Bedingung, dass der Datenverantwortliche – also, der für die Erfassung und Nutzung der Daten Verantwortliche – die Nutzer darüber informiert, welche Daten zu welchen Zwecken erfasst werden. Ändern sich diese Zwecke, muss der Datenverantwortliche bei vielen Datenschutzgesetzen die Nutzer benachrichtigen und eine neue Einwilligung einholen. Bei KI-Trainings können hierbei genaue Details erforderlich sein und häufige Änderungen vorkommen.

Herausforderungen bei der Einholung von KI-Einwilligungen

Da es sich bei KI-Systemen oft noch um Experimente handelt und die Ergebnisse unvorhersehbar sind, können einige Datenschutzanforderungen sich schwierig gestalten. Unternehmen können Nutzer darüber informieren, wofür sie Daten verwenden möchten. Doch unter Umständen unterscheidet sich dies dann davon, wofür die Daten tatsächlich verwendet werden oder wie sie geändert werden, oder wie die Ergebnisse, die sich aus der Verwendung ergeben, ausfallen.

Obwohl die Nutzer benachrichtigt werden müssen, bevor ein neuer Zweck eingeleitet wird, erfahren die Personen, die die Arbeit durchführen, möglicherweise erst dann von der Änderung, wenn sie umgesetzt ist. Wenn Daten in großen Mengen in Echtzeit analysiert werden, sind herkömmliche Mechanismen zur Einholung der Einwilligung von Nutzern, wie z. B. Cookie-Banner, möglicherweise nicht schnell oder detailliert genug oder anderweitig nicht ausreichend.

Benutzerorientierte KI-Systeme können potenziell manipulativ sein, was dazu führt, dass Nutzer Informationen zur Verfügung stellen, die sie nicht im Voraus bedacht haben. Systeme können auch komplizierte und undurchsichtige Verbindungen zwischen Datenpunkten aufweisen, was die Identifizierung und das Profiling auf einem Niveau ermöglicht, das es bisher noch nicht gegeben hat. So könnten fast alle Daten zu personenbezogenen oder sensiblen Daten werden. Dies wird von aktuellen Einwilligungsanforderungen möglicherweise nicht entsprechend behandelt.

Während manipulative Funktionen im Zusammenhang mit User Interfaces und Nutzererlebnissen – allgemein als Dark Patterns bekannt – zunehmend missbilligt werden und in einigen Fällen Gesetze dagegen geschaffen wurden, konzentrieren sich diese vornehmlich auf Taktiken, die bereits bekannt sind. Ein ansprechendes Design könnte die Entwicklung neuer und raffinierterer Methoden zur Nutzermanipulation ermöglichen.

Zoom-Kontroverse und Nutzereinwilligungen

Die beliebte Videokonferenz-Plattform Zoom hat im März 2023 die Nutzungsbedingungen aktualisiert, was für ein Unternehmen völlig normal ist. Zwei Abschnitte schienen jedoch weitreichende Auswirkungen auf die Berechtigungen von Zoom in Bezug auf Nutzerdaten zu haben, die als „von Diensten generierte Daten“ bezeichnet werden. Dazu gehören Telemetrie, Produktnutzung, Diagnose und ähnliche Daten oder Inhalte, die durch die Verwendung von Zoom generiert werden und die das Unternehmen im Laufe der Nutzung der Plattform erfasst.

Die aktualisierten Nutzungsbedingungen gewährten Zoom alle Rechte an von Diensten generierten Daten, einschließlich der Rechte zum Ändern, Teilen, Verarbeiten, Freigeben, Verwalten und Speichern von Daten, „für jeden Zweck, soweit und in der nach geltendem Recht zulässigen Weise“. Das Recht von Zoom, Nutzerdaten für maschinelles Lernen und künstliche Intelligenz zu verwenden, einschließlich Training, Tuning-Modellen und Algorithmen, wurde ausdrücklich erwähnt.

Zoom könnte also eine Vielzahl von Nutzerdaten aus der Nutzung seiner Plattform erfassen und auf verschiedene Arten verwenden, einschließlich KI-Training, ohne die ausdrückliche Einwilligung der Nutzer einholen oder ihnen die Möglichkeit geben zu müssen, diese zu widerrufen.

Dies kann nach den aktuellen Datenschutzgesetzen in den USA, wo Zoom seinen Hauptsitz hat, gesetzlich zulässig sein – das Land verfügt nicht über ein einheitliches Bundesrecht, sondern nur über eine Reihe von Gesetzen auf Bundesstaatsebene. Dies ist jedoch unter anderem gemäß der DSGVO der EU, die ein „Informieren“ erfordert, nicht gesetzmäßig (Erwägungsgrund 32 DSGVO).

Gemäß der DSGVO muss die Einwilligung zur Gültigkeit auch vor Beginn der Datenerfassung eingeholt werden und erfordert eine klare und verständliche Benachrichtigung der Nutzer. Die Nutzungsbedingungen von Zoom sind etwas kryptisch, ebenso wie die von vielen anderen Unternehmen.

Reaktion von Zoom auf die Kontroverse der Bedingungsänderungen

Die Reaktion auf die Aufdeckung und die öffentliche Berichterstattung dieser Änderung der Nutzungsbedingungen war beträchtlich. Die Unternehmen waren besorgt, dass firmeneigene Informationen aus vertraulichen Sitzungen ohne Einwilligung verwendet werden könnten. Oder dass Zoom ihre kreativen Inhalte besitzt, wie z. B. Interviews für Videos oder Podcasts.

Einige US-Unternehmen, die Zoom für gesundheitsbezogene Zwecke verwenden, waren aufgrund von Bedenken hinsichtlich Datenschutzverletzungen des Health Insurance Portability and Accountability Act (HIPAA) in Panik geraten. Es gab Befürchtungen, dass das Unternehmen beispielsweise die Inhalte der Therapiesitzungen der Menschen besitzen und nutzen könnte. Diese Art von Verwendung der Daten war nicht unbedingt die Absicht des Unternehmens, aber die öffentliche Wahrnehmung ist kraftvoll.

Zoom reagierte auf die Reaktion mit einer weiteren Aktualisierung der Nutzungsbedingungen, um die Datennutzung zu verdeutlichen, und gab an, dass es seine KI-Modelle nicht mit Audio-, Video- oder Chat-Inhalten des Kunden trainieren würde, ohne zuvor die Einwilligung einzuholen.

Außerdem wurde in Absatz 10.2 eine Zeile mit folgendem Inhalt hinzugefügt: „Zoom verwendet keine Ihrer Audio-, Video-, Chat-, Bildschirmfreigabe-, Anhänge oder anderen kommunikationsähnlichen Kundeninhalte (wie Umfrageergebnisse, Whiteboard und Reaktionen), um KI-Modelle von Zoom oder Drittanbietern zu trainieren.“

Einige Nutzer äußerten sich jedoch weiterhin über die anscheinend weitreichenden Berechtigungen, die Zoom durch eine Einwilligung gewährt wurden, und viele sind immer noch nicht genau darüber informiert, was „von Diensten generierte Inhalte“ beinhaltet.

Andere Herausforderungen mit Tech-Unternehmen, Bedingungen und Einwilligung

Nun sollte man jedoch Zoom nicht als einziges Unternehmen herausstellen. Auch andere Unternehmen verwenden KI für Funktionen auf ihren Plattformen. Google verwendet KI, um Transkripte von Google Meet-Anrufen zu erstellen (mit Ergebnissen unterschiedlicher Qualität). Bei der Facebook-Muttergesellschaft Meta stellte sich heraus, dass die Einwilligung für die Nutzung von Nutzerdaten für personalisierte Werbung in ihren Nutzungsbedingungen von 2022 „versteckt“ wurde. Im Januar 2023 wurde es dem Unternehmen untersagt, personenbezogene Daten mit dieser Art von „Einwilligung“ für Werbung zu verwenden, was den meisten Nutzern völlig unbekannt war. Meta hat seither erklärt, dass sie ihr Modell ändern und die Einwilligung zur Werbung in der EU anfragen würden.

Andere Unternehmen haben ähnliche undurchsichtige Taktiken versucht. Bei einigen Unternehmen kam ans Licht, dass sie die „Einwilligung“ oder fragwürdige Berechtigungen in ihren Nutzungsbedingungen versteckten, wohlwissend, dass nur wenige Nutzer diese im Detail lesen. Dies ist bestenfalls eine armselige Methode und im schlimmsten Fall gesetzeswidrig, da viele Gesetze eine Einwilligung erfordern.

Der Bedarf an mehr Klarheit in Bezug auf KI-Training, benutzergenerierte Inhalte auf Plattformen und Einwilligung ist an dieser Stelle offensichtlich und wird mit der Zeit zu einem immer dringlicheren Problem werden.

Wie können Unternehmen Daten mit gültiger Nutzereinwilligung ethisch verwenden?

Unternehmen, die Daten für KI-Training oder andere Verwendungszwecke erwerben, können und sollten sicherstellen, dass die Einwilligung von den Quellen oder Nutzern eingeholt wurde. In einigen Fällen kann es erforderlich sein, Geschäfte mit Partnern oder Lieferanten zu tätigen.

Die Einwilligung wird auch für die Monetarisierungsstrategie immer wichtiger. Zum Beispiel bestehen Premium-Advertiser zunehmend darauf, dass die Einwilligung zur Erfassung von Nutzerdaten nachgewiesen wird, bevor sie mit App-Entwicklern zusammenarbeiten.

Unternehmen, die Nutzerdaten von ihren eigenen Plattformen und Nutzern für KI-Training oder andere Anwendungen erfassen, sind direkt dafür verantwortlich, eine gültige Einwilligung einzuholen und die Datenschutzgesetze einzuhalten. Es gibt eine Reihe von Möglichkeiten, wie Unternehmen Datenschutzkonformität und eine gültige Einwilligung erreichen können.

Transparenz – Datenschutzgesetze verlangen klare, zugängliche Benachrichtigungen, und Unternehmen müssen Nutzern verständliche Informationen darüber zur Verfügung stellen, wie die Nutzerdaten verwendet und verarbeitet werden, einschließlich KI-Training. Wenn sich die Nutzung personenbezogener Daten ändert, müssen Unternehmen ihre Datenschutzhinweise aktualisieren, die Nutzer informieren und unter vielen Datenschutzgesetzen eine neue Einwilligung für die neue Nutzung personenbezogener Daten einholen.

Granulare Einwilligung – Nutzer müssen die Möglichkeit haben, die Erfassung und Verarbeitung ihrer personenbezogenen Daten zu akzeptieren oder abzulehnen. Dies sollten sie jedoch auf detaillierter Ebene tun können: etwa bestimmte Arten von Verarbeitung wie gezielte Werbung oder KI-Training akzeptieren, aber andere, wie den Verkauf von Daten, ablehnen. Dies trägt auch dazu bei, dass Personen informiert werden, was bei den meisten Datenschutzgesetzen eine Voraussetzung dafür ist, dass die Einwilligung gültig ist.

Benutzerfreundliche Mechanismen – Ebenso wie Benachrichtigungen klar und zugänglich sein müssen, muss die Art und Weise, wie Nutzer ihre Einwilligung erteilen oder widerrufen, leicht verständlich und zugänglich sein. Es müssen Informationen verfügbar sein, um die Nutzer über die Datenverarbeitung zu informieren, ebenso wie die Möglichkeit der Einwilligung oder Ablehnung auf detaillierter Ebene. Die Einwilligung abzulehnen, muss genau so einfach sein, wie sie zu akzeptieren ist, und bei vielen Datenschutzgesetzen müssen Nutzer auch die Möglichkeit erhalten, ihre Präferenzen für die Einwilligung einfach zu ändern.

Vertrautheit mit gesetzlichen Vorschriften – In verschiedenen Rechtsordnungen gibt es unterschiedliche Datenschutzgesetze mit unterschiedlichen Anforderungen und Einwilligungsmodellen. Es ist wichtig, dass Unternehmen wissen, welche Gesetze sie einhalten müssen und wie sie dies tun. Es kann wichtig sein, sich mit einem qualifizierten Rechtsberater oder einem Datenschutzexperten, z. B. einem Datenschutzbeauftragten (DSB), zu beraten oder diesen zu beauftragen, was auch von einigen Datenschutzgesetzen vorgeschrieben ist. Eine solche Rolle hilft beim Festlegen von Richtlinien und Prozessen, beim Aktualisieren von Vorgängen und beim Verwalten der Sicherheit für Daten und deren Verarbeitung.

Welche Rechte haben Nutzer von Online-Plattformen in Bezug auf ihre Daten?

Die Rechte der Verbraucher in Bezug auf ihre personenbezogenen Daten hängen von einer Reihe von Faktoren ab. Dazu gehört, wo der Nutzer lebt und welche Datenschutzgesetze gelten, wofür die Plattform dient und welche Daten der Nutzer darauf bereitstellt oder generiert und welchen Nutzungsbedingungen die Plattform unterliegt.

In der Europäischen Union müssen Unternehmen, die personenbezogene Daten erheben und verarbeiten, zuvor die Einwilligung des Nutzers einholen. Dies gilt gleichermaßen für Social-Media-Plattformen, einen Blog, eine behördliche Website oder einen E-Commerce-Shop. Nutzerdaten können erfasst werden, um zu erfahren, wie Nutzer eine Website verwenden, sowie zum Verbessern der Funktionsweise. Oder damit die Dienste erfüllt werden können, wenn Nutzer etwas online kaufen, um Werbung anzuzeigen oder KI-Modelle zu trainieren.

Weltweit haben Plattformen, die für finanzielle Aktivitäten oder das Gesundheitswesen verwendet werden, aufgrund der Art der von ihnen verarbeiteten Informationen, im Rahmen mehrerer Gesetze höhere Anforderungen an den Datenschutz und die Sicherheit.

In einigen Rechtsordnungen ist es immer noch zulässig, ein Cookie-Banner anzuzeigen, in dem darüber informiert wird, dass man in die Erfassung und Verwendung personenbezogener Daten einwilligt, wenn die Website oder der Dienst weiterhin genutzt werden. In der EU und anderen Ländern ist dies jedoch nicht akzeptabel und eine granulare Einwilligung ist erforderlich.

KI und Cookies

Die Verwendung von Cookies im Internet ist zurückgegangen, da es neuere und bessere Technologien gibt, um zu erreichen, was mit Cookies bezweckt wird. Heute und in Zukunft stellt sich die Frage, wie Cookies von der KI verwendet werden und wie KI den Austausch von Cookies beschleunigen kann.

Apple und Mozilla haben Third-Party-Cookies blockiert und Google beabsichtigt, diese vollständig abzulehnen. Neue Tools und Methoden ermöglichen zudem einen besseren Datenschutz und eine bessere Einwilligung und können in hochwertigeren Nutzerdaten resultieren.

Die aktuellen Modelle zur Cookie-Einwilligung reichen möglicherweise nicht aus, um die KI-Nutzung abzudecken, da KI-Systeme große Datenmengen in Echtzeit analysieren können, im Gegensatz zu Tools, die Daten aus aktiven Cookies analysieren. Damit die Einwilligung eingeholt werden kann, bevor Daten erfasst oder verwendet werden, muss der Nutzer schneller und häufiger mit Pop-ups für die Einwilligung überhäuft werden, als dies von Menschen getätigt werden könnte.

KI-Modelle können effektivere Anzeigen oder personalisierte Nutzererlebnisse ermöglichen, ohne sich auf die Erfassung personenbezogener Daten verlassen zu müssen, da sie große Datenmengen sehr schnell analysieren können, um Personen anhand von Verhaltensweisen in Gruppen einzuteilen. Wenn das System keine Nutzerdaten erfassen muss, ist – zumindest für die Datenerfassung – unter Umständen keine Einwilligung erforderlich.

Gesetze und Best Practices würden aber wahrscheinlich weiterhin erfordern, dass Nutzer darüber informiert werden, wie ihr Verhalten getrackt und analysiert werden kann – und mit welcher Art von Analysen –, ob etwa für personalisierte Anzeigen oder die Einkaufserfahrung. Personenbezogene Daten, die nie erfasst worden sind, können aber auch nicht verkauft werden.

Was ist das Gesetz über künstliche Intelligenz bzw. der Artificial Intelligence Act (AIA) der EU?

Das AIA-Gesetz der EU ist ein von der Europäischen Kommission vorgeschlagenes Gesetz über künstliche Intelligenz (KI). Es ist das weltweit erste umfassende Gesetz zur Regulierung von KI. Das Ziel ist es, die positive Nutzung der Technologie zu fördern, um gleichzeitig die negativen Effekte abzumildern und die Rechte festzuschreiben. Ein Ziel besteht auch darin, viele aktuelle und zukünftige Fragen zur KI-Entwicklung zu klären und dieses Gesetz zu einem globalen Standard zu machen, wie es auch bei der DSGVO der Fall ist.

Das Gesetz würde Anwendungen der KI-Technologie einer von mehreren Kategorien zuordnen:

Inakzeptables Risiko – KI mit inakzeptablen Risiken würde vollständig verboten werden, z. B. das Social-Scoring-Tool der chinesischen Regierung.

Hohes Risiko – KI mit potenziellen Risiken, zulässig vorbehaltlich der Einhaltung der KI-Anforderungen und prognostizierter Konformitätsbewertung, z. B. ein Tool, das Bewerber durch das Scannen von Lebensläufen einordnet.

Mittleres Risiko – KI mit spezifischen Transparenzverpflichtungen, zulässig je nach Anforderungen der Informationen, z. B. Bots, die zur Imitation einer Person verwendet werden können.

Minimales oder kein Risiko – KI ohne nennenswerte Risiken, zulässig ohne Einschränkungen.

Einwilligungsbestimmungen im AIA

Der AIA befindet sich derzeit im Entwurfsstadium und kann noch geändert werden, bevor er in Kraft tritt. Derzeit werden die Einwilligung des Nutzers sowie Datenschutz in den Statuten an verschiedenen Ebenen behandelt:

Hohes Risiko – Für die Verwendung von KI-Systemen mit hohem Risiko, z. B. kritische Infrastruktur, Beschäftigung, Gesundheitswesen und Strafverfolgungsbehörden, ist eine ausdrückliche Einwilligung erforderlich.

Transparenz – KI-Anbieter müssen klare Informationen über den beabsichtigten Zweck, die Fähigkeiten und die Einschränkungen der Systeme bereitstellen, um sicherzustellen, dass die Nutzer informiert sind, um Entscheidungen treffen und mögliche Auswirkungen auf ihre Rechte verstehen zu können.

Erklärungsrecht – Nutzer haben das Recht, sinnvolle Erklärungen der Entscheidungen von KI-Systemen zu erhalten.

Recht auf Nutzerkontrolle – Nutzer sollten die Möglichkeit haben, KI-Systeme abzulehnen, zu deaktivieren oder zu deinstallieren, insbesondere wenn grundlegende Rechte oder Interessen involviert sind (bei einigen Datenschutzgesetzen haben Nutzer das „Recht auf Ablehnung von automatisierten Entscheidungen“).

Datenschutz und Privatsphäre – Der AIA betont die Notwendigkeit der Datenminimierung, Zweckbindung und Sicherheitsvorkehrungen zum Schutz personenbezogener Daten bei der Verwendung von KI-Systemen und stimmt mit bestehenden Datenschutzgesetzen wie der DSGVO überein.

Fazit und die Zukunft von KI und Einwilligung

Die KI-Technologie ist die Zukunft und Gegenwart. Ihre Funktionen und potenziellen Anwendungsfälle werden sich weiterhin rasant weiterentwickeln. Dies stellt eine Herausforderung für die Regulierung dar, da die Erstellung und Aktualisierung von Gesetzen in der Regel viel langsamer vor sich geht als die Geschwindigkeit, mit der Technologien sich entwickeln.

Nutzer sollten jedoch nicht mit dem „Ausschluss der Gewährleistung“ konfrontiert werden (vor allem nicht online), wenn es um die neue Nutzung ihrer personenbezogenen Daten und die Herausforderungen in Bezug auf ihre Privatsphäre geht. Regulierungsbehörden müssen Gesetze entwickeln und aktualisieren, die klar und umfassend, aber flexibel genug sind, um heute und in Zukunft interpretierbar und durchsetzbar zu sein.

Unternehmen müssen sich darüber im Klaren sein, welche Datenschutzgesetze sie einhalten müssen, was diese vorschreiben und was das für ihre Geschäftstätigkeit bedeutet. Dies muss regelmäßig überprüft und klar kommuniziert werden, wenn sich die Betriebsabläufe ändern. Wenn versucht wird, Änderungen an den Nutzungsbedingungen vorzunehmen oder die erfassten Daten für neue Zwecke zu verwenden, ohne eine neue Einwilligung der Nutzer einzuholen, kann der Ruf der Marke schlagartig geschädigt werden. In vielen Ländern ist das gesetzeswidrig. Da Verbraucher immer besser über ihre Daten und ihre Privatsphäre Bescheid wissen, müssen Unternehmen auch immer deutlicher darüber informieren, wie sie Daten erfassen und verwenden.

Unternehmen sollten auch Best Practices wie Privacy by Design implementieren, um sicherzustellen, dass sie Menschen – die Quelle ihrer Daten – respektieren und die Gesetze einhalten. Dies trägt auch dazu bei, dass die Einwilligung eingeholt und die Erfassung und Nutzung von Daten auf gesetzliche Zulassungen für alle Vorgänge beschränkt wird, unabhängig davon, ob E-Commerce-Aufträge erfüllt oder neue KI-Modelle trainiert werden.

KI ist schlicht und einfach die jüngste Technologie, die Verbraucher, Unternehmen und Regulierungsbehörden vor neue Herausforderungen stellt. Sie ist nicht die erste und nicht die letzte ihrer Art. Doch die Best Practices für Datenschutzkonformität, für den Aufbau von Vertrauen bei den Nutzern und das erfolgreiche Wachstum von Unternehmen (oder den Erfolg von wissenschaftlicher Arbeit) sind nach wie vor die gleichen und leisten sowohl Unternehmen als auch Verbrauchern gute Dienste.

Mehr erfahren Sie noch heute bei unseren Experten.

Usercentrics bietet keine rechtliche Beratung. Alle Angaben dienen nur zu Informationszwecken. Wir empfehlen immer, zu Fragen des Datenschutzes und der Datenverarbeitung einen qualifizierten Rechtsbeistand oder Datenschutzexperten hinzuzuziehen.

Was kommt nach Third-Party-Cookies?

Die Europäische Union und die Vereinigten Staaten verfügen seit dem „Schrems II“-Urteil im Juli 2020 über keinen Angemessenheitsbeschluss über den Datenschutz bei internationalen Datenübermittlungen zu gewerblichen Zwecken. Damals erklärte der Europäische Gerichtshof den EU-US Privacy Shield für ungültig. Schon zuvor war die langjährige Vorgängervereinbarung „Safe Harbor“ 2015 vom Europäischen Gerichtshof aufgrund der gleichen Problematik mit US-Gesetzen und EU-Datenschutzrechten für ungültig erklärt worden.

Durch die Ungültigkeitserklärung des EU-US Privacy Shield verursachte Probleme

Die Entscheidung von 2020 hat in vielen Bereichen Besorgnis ausgelöst, denn eine Vielzahl der weltweit größten Technologieunternehmen, darunter Mischkonzerne wie Alphabet (Muttergesellschaft von Google), deren Dienste auf der ganzen Welt genutzt werden, haben ihren Sitz in den USA. Die Beziehungen der EU und der USA haben ein wirtschaftliches Volumen von 7,1 Billionen US-Dollar. Nicht zuletzt deshalb war es ungemein wichtig, einen transatlantischen Beschluss über Datenschutz und die Weitergabe von Daten sicherzustellen.

Die Rechtsunsicherheit hatte jedoch Auswirkungen auf die europäischen Datenschutzbehörden, und es kam zu verschiedenen Urteilen gegen Tools wie Google Analytics im Jahr 2022. Diese übermitteln Daten außerhalb der EU und weisen keine angemessenen Datenschutzmaßnahmen oder Beschränkungen bei der Datenübermittlung auf. Meta (ehemals Facebook, auch Muttergesellschaft von Instagram) warnte sogar vor einer möglichen Schließung des Zugangs und Beendigung der Geschäftstätigkeit in der EU, sollte es keinen Ersatz für den Privacy Shield geben.

Im März 2022 haben die EU und die USA mit dem neuen Trans-Atlantic Data Privacy Framework ein grundsätzliches Privacy Shield-Abkommen getroffen. „Dies wird vorhersehbare, zuverlässige Datenflüsse zwischen der EU und den USA ermöglichen, um den Datenschutz und die Rechte der Bürger zu sichern“, so Ursula von der Leyen, Präsidentin der Europäischen Kommission.

Was ist in der Durchführungsverordnung zum Privacy Shield enthalten?

Präsident Biden hat am 7. Oktober eine Durchführungsverordnung zur Umsetzung eines EU-US-Datenschutzabkommens unterzeichnet. Weder ersetzt diese automatisch den Privacy Shield noch tritt das Abkommen sofort in Kraft. Sie beschreibt jedoch die Schritte der USA, die in Übereinstimmung mit ihren erklärten Zusicherungen zur Umsetzung des Abkommens ergriffen werden.

Zu den wichtigsten Funktionen der Durchführungsverordnung gehören:

Zusätzliche Sicherheitsmaßnahmen für US-amerikanische Signal Intelligence-Aktivitäten, einschließlich der Beschränkung von Aktivitäten auf das Notwendige und innerhalb von Parametern, die in einem angemessenen Verhältnis zur Priorität (in Bezug auf die nationale Sicherheit) stehen, und unter Berücksichtigung der Privatsphäre und der bürgerlichen Freiheiten aller Personen, unabhängig von ihrer Staatsangehörigkeit und ihrem Wohnsitzland.

Vorgeschriebene Anforderungen an den Umgang mit personenbezogenen Daten, die durch Signal Intelligence erfasst werden, und Ausweitung der Verantwortlichkeiten zuständiger Beamter, um sicherzustellen, dass im Falle der Nichteinhaltung geeignete Maßnahmen ergriffen werden.

Aktualisierungen der Richtlinien und Verfahren der US-amerikanischen Intelligence Community, sodass neue Sicherheitsmaßnahmen in Bezug auf Datenschutz und bürgerliche Freiheiten berücksichtigt werden.

Schaffung eines mehrstufigen Mechanismus für Einzelpersonen aus qualifizierten Staaten und Organisationen, um eine unabhängige, verbindliche Überprüfung von Fällen zu gewährleisten, in denen bezüglich der Erfassung oder des Umgangs mit personenbezogenen Daten gegen geltende US-Gesetze verstoßen wird, und um Entschädigung bei Ansprüchen zu leisten.

Das Privacy and Civil Liberties Oversight Board (Aufsichtsgremium für Datenschutz und bürgerliche Freiheiten) wurde aufgerufen, die Richtlinien und Verfahren der Intelligence Community in Hinblick auf Vereinbarkeit mit der Durchführungsverordnung zu überprüfen und eine jährliche Überprüfung des Entschädigungsverfahrens durchzuführen.

Fazit

Durch die Umsetzung dieser Schritte wird ein neuer Angemessenheitsbeschluss durch die Europäische Kommission ermöglicht, wodurch wichtige und praktische transatlantische Datenübermittlungsmechanismen gemäß EU-Recht wieder ermöglicht werden. Außerdem bietet es Unternehmen, die Standardvertragsklauseln oder verbindliche unternehmensinterne Datenschutzvorschriften für die Übermittlung von EU-Daten in die USA verwenden, auch ein höheres Maß an Rechtssicherheit.

Es ist jedoch auch zu beachten, dass die endgültige Entscheidung über ein neues Abkommen beim Europäischen Gerichtshof liegt. Schließlich ist es auch möglich, dass ein solches Abkommen vor Gericht angefochten wird, wenn Zweifel daran bestehen sollten, ob es in angemessener Form in Einklang mit EU-Recht steht oder ob es ausreichende Sicherheit bietet.

Bei Fragen zur Einhaltung der DSGVO, zu internationalen Datenübermittlungen oder zu den Datenschutzgesetzen der USA helfen wir Ihnen gerne weiter. Nehmen Sie Kontakt mit uns auf.

Wann: 21-22 September 2022
Wo: Online & in Köln

Das führende europäische Digital Marketing & Tech Event kehrt 2022 nach Köln zurück. Usercentrics wird in diesem Jahr als prominenter Aussteller dabei sein und Einblicke in die Themen Datenschutzkonformität und Consent Management geben – nicht nur auf der Bühne, sondern auch mit persönlichen Beratungsgesprächen direkt an unserem Stand.

Das Leben ist zu kurz, um sich über die DSGVO den Kopf zu zerbrechen – lassen Sie uns darüber sprechen!

Die DSGVO-Anforderungen sind ziemlich komplex. Aus diesem Grund ist es unsere Priorität, sicherzustellen, dass Sie sich durch diese Komplexität so einfach wie möglich zurechtfinden können. Deshalb freuen wir uns sehr, Ihnen ankündigen zu können, dass das Usercentrics-Team dieses Jahr kostenlose, persönliche Beratungsgespräche zu Cookie-Bannern direkt an unserem Stand auf der DMEXCO anbieten wird.

Vereinbaren Sie ein Beratungsgespräch mit uns und erhalten Sie Antworten auf Fragen wie:

Unser Expertenteam ist gerne bereit, alle Ihre Fragen zu beantworten und Ihnen dabei zu helfen, die Performance Ihrer Cookie-Banner zu verbessern – wir sind für Sie da!

Usercentrics auf der Bühne

Zeitslot auf der DMEXCO am 21.09.22

Kundenvertrauen und Bot-Traffic: zwei Bereiche, die entscheidend für Ihre Werbeeinnahmen sein können.

Wenn man an Werbeeinnahmen denkt, kommen einem Kundenvertrauen und Bot-Traffic vielleicht nicht als erstes in den Sinn. Untersuchungen zeigen jedoch, dass diese beiden Bereiche für die richtige Marketingstrategie entscheidend sind, denn ohne zuverlässige Daten ist jede datengesteuerte Marketingstrategie sinnlos. Doch was genau kann Ihre Daten gefährden? Nun, wir möchten auf zwei Bereiche eingehen:

Zunächst ist es kein Geheimnis, dass das Kundenvertrauen eine große Rolle für hohe Opt-In Raten spielt, was sich letztlich auf datengesteuertes Marketing auswirkt. Aus diesem Grund ist es wichtig, die richtige CMP auf Ihrer Webseite zu nutzen, um den Verbrauchern einen granularen und transparenten Ansatz für die Einholung von Einwilligungen zu bieten. Aber das ist noch nicht alles. Wussten Sie, dass Bots die Hälfte des gesamten Internetverkehrs ausmachen, was sich auf alle Branchen auswirkt, von E-Commerce über Reisen bis hin zu Fintech? Dies verfälscht Marketingdaten und Analysen wie Opt-In- oder Conversionraten.

Diskutieren Sie mit uns, wie Sie Bots erkennen und das Kundenvertrauen stärken können, um letztlich die Werbeeinnahmen zu steigern. Unsere Experten Felipe Iregui von Usercentrics, einer Consent Management-Lösung für Enterprisekunden und Online-Marketing-Agenturen, und Dominik Johnson von Fraud0.com, einem in München ansässigen Fraud Detection Unternehmen, das Firmen dabei hilft, Risiken im Zusammenhang mit automatisiertem, nicht-menschlichem Traffic zu minimieren, führen Sie durch das Webinar.

Der Onlinehandel mit Arzneimitteln in Europa ist einer der am schnellsten expandierenden Wirtschaftszweige. Allein für den Zeitraum zwischen 2020 und 2024 wird ihm ein Umsatzwachstum von 9 Milliarden Euro prognostiziert.

Für diesen Bericht hat Usercentrics die Websites der 150 meistbesuchten Online-Apotheken der EU gescannt und untersucht, wie es um die DSGVO-Konformität dieser datenschutzsensiblen Branche steht. Mit Hilfe des Cookiebot CMP-Scanner wurden so schwerwiegende Verstöße gegen die DSGVO – speziell im Hinblick auf die Erhebung von Daten ohne vorherige Einwilligung des Nutzers – aufgedeckt.

In diesem Bericht erfahren Sie:

Steht das Vertrauen der Verbraucher auf dem Spiel, wenn sie Produkte für ihre geistige und körperliche Gesundheit suchen und kaufen? Beeinflusst die Datenschutz-Konformität, wie Konsumenten eine Marke online wahrnehmen?

In diesem Bericht erfahren Sie die Antworten auf all diese Fragen und wie es generell um die DSGVO-Konformität des Arzneimittel-Onlinehandels in der EU steht.

Cookies von Drittanbietern werden aussterben – da ist sich die Branche mittlerweile einig. Kein Wunder, basieren sie doch auf einer vergleichsweise veralteten Technologie, die nicht zuletzt immer wieder aufgrund ihrer invasiven Wirkung in Frage gestellt wird. In Zeiten zunehmender Besorgnis über den Online-Datenschutz und dessen Regulierung verwundert es also nicht, dass die Branche neue Möglichkeiten auslotet. Was nun letztlich ein adäquater Ersatz für Drittanbieter-Cookies sein wird, bleibt abzuwarten.

Eine Idee wird sich schon mal nicht durchsetzen: Googles Federate Learning of Cohorts (FLoC). Ende Januar 2022 gab der Konzern bekannt, dass es das Mitte 2021 angekündigte Projekt nicht weiterverfolgen wird. Kritikpunkte an FLoC waren mangelnder Datenschutz und Privatsphäre, auch Werbetreibende waren ebenfalls nicht begeistert von dem Konzept.

Mehr Information hierzu in unserem Artikel: Googles Federated Learning of Cohorts: Warum FLoC uns alle angeht

Google kündigte stattdessen ein neues Projekt an: Topics. Ein ebenfalls API-gesteuertes Aggregationsmodell, das die Interessen der Nutzer ermittelt, um sie gezielt mit Werbung anzusprechen.

Wie funktioniert Topics?

Wie FLoC wird auch Topics auf einem interessenbasierten Modell beruhen. Während die Nutzer im Internet surfen, erfasst der Browser ihre Interessen anhand der von ihnen besuchten Websites. Wichtig: Im Moment gilt dies nur für den Chrome-Browser, der allerdings fast 70 Prozent Marktanteil hat. Im Browserverlauf werden hierbei maximal 300 Interessen gespeichert. Nach drei Wochen werden diese gelöscht und komplett neu erstellt. Welche Art oder Menge von Informationen hierbei genau als „Interesse“ gelten, ist nicht ganz klar. Allerdings werden Informationen, die als „sensibel“ eingestuft werden, laut Google nicht erfasst.

Während bei FLoC die Browserverläufe der Nutzer verglichen und in Gruppen mit ähnlichen Interessen eingeteilt wurden, werden Nutzer bei Topics nach ihrem Verhalten kategorisiert.

Ein Beispiel: Bei FLoC wären Nutzer als Personen mit ähnlichen Interessen kategorisiert worden, weil sie die Website usercentrics.com besucht haben. Bei Topics werden Nutzer nach ihrem Verhalten kategorisiert, z. B. weil sie Artikel über das Thema Consent Management lesen, aber nicht, weil sie dies auf derselben Website tun.

Topics ähnelt demnach dem klassischen Contextual Targeting. Datenschützer äußern hier allerdings bereits die Befürchtung, dass auch bei Topics den Trackern von Drittanbietern mitgeteilt wird, welche Websites die Nutzer besuchen.

Google selbst weist darauf hin, dass Nutzer die Möglichkeit haben werden, Themen zu überprüfen und aus ihren Listen zu entfernen, und betont, dass die Funktionsweise von Topics stark von den Ergebnissen der FLoC-Tests und des Feedbacks der Browser-Nutzer beeinflusst wurde.

Sobald die Nutzer eine Liste ihrer Interessen erstellt haben, kategorisiert Google die anschließend besuchten Websites auf der Grundlage dieser Liste. Wenn die Themenliste noch nicht erstellt wurde oder Nutzer eine nicht kategorisierte Website aufrufen, ermittelt ein Algorithmus das Thema anhand des Domainnamens der Website.

Finden Sie in Sekundenschnelle heraus, welche Daten Ihre Website sammelt und wie hoch das Risiko der Einhaltung des Datenschutzes ist.

Scan starten
Icon_Module

Wie funktioniert die Topics API für Werbezwecke?

Websites werden eine Topics API für Werbezwecke nutzen können, und Google plant aktuell Ende des ersten Quartals 2022 mit der Testphase zu beginnen.

Angedacht ist Folgendes: Der Browser eines Nutzers wählt nach dem Zufallsprinzip drei Themen aus den fünf Top-Themen der aktuellen Interessenliste des Nutzers aus, und zwar jeweils eines aus den drei Wochen, in denen der Browser Daten speichert.

(Weitere Informationen: Technische Informationen zur Topics API)

Die Website, auf der die Topics API läuft, kann dann diese drei Themen verwenden und sie mit Werbepartnern teilen, um festzulegen, welche Anzeigen dem Nutzer gezeigt werden sollen. Laut Google können die Nutzer nicht nur ihre Interessenliste bearbeiten, sondern auch die Topics API ganz abschalten.

Werbetreibende haben sich bereits besorgt über die Beschränkungen durch Topics geäußert. Google betont jedoch, dass Werbetreibenden weiterhin zusätzliche Signale zur Verfügung stehen werden, um zu entscheiden, welche Anzeigen den Nutzern angezeigt werden sollen. Topics wären hierbei nur eine Option von vielen. So können beispielsweise Daten über die Website, auf der sich Nutzer gerade befinden, wie der Artikel, den sie gerade lesen, zusätzliche Informationen und Kontext liefern.

Und wie sieht es mit den anderen Browser-Anbietern aus? Diese hatten sich in der Vergangenheit geweigert FLoC hinzuzufügen. Ob sie die Möglichkeit, die Topics API hinzuzufügen nutzen werden, bleibt abzuwarten. Denn in der Branche gibt es weiterhin Bedenken, dass Topics keine wirklichen Probleme löst oder eine echte Neuerung darstellt, sowie Bedenken bezüglich Googles „Unentschlossenheit“ bei der Ausrichtung in Bezug auf Datenschutz und die entsprechenden Technologien.

Da Nutzer, Datenschutzbeauftragte und Werbetreibende Bedenken bezüglich Topics haben, könnte es sein, dass Google in Zukunft Änderungen vornimmt oder einen weiteren Ersatz für Cookies von Drittanbietern vorschlägt.

Haben Sie noch Fragen zu Datenschutz und Privatsphäre in Browsern? Wir sind gerne für Sie da. Sprechen Sie noch heute mit einem Experten!

Am 1. Dezember 2021 trat mit dem “Telekommunikations-und Telemedien- Datenschutzgesetz” (TTDSG) in Deutschland ein neues Datenschutzgesetz in Kraft. Was sich für Unternehmen ändert und was konkret zu tun ist, erklären wir hier.

Die Orientierungshilfe der DSK

Am 20. Dezember 2021 veröffentlichte die Datenschutzkonferenz (DSK) zudem eine Orientierungshilfe für das TTDSG. Diese Leitlinien enthalten weitere Informationen und Klarstellungen zum TTDSG und dessen Umsetzung.

Hier die wichtigsten Punkte:

  • Das TTDSG gilt für Unternehmen und Personen, die in Deutschland Waren und Dienstleistungen anbieten.
  • Das TTDSG gilt unabhängig von der Art der Daten. Es ist nicht erforderlich, wie in der DSGVO, dass die Möglichkeit besteht, dass eine Person identifizierbar ist.
  • Eine einzige „Akzeptieren“-Option genügt, um sowohl das TTDSG als auch die DSGVO abzudecken. Es ist also nicht notwendig, zwei separate „Akzeptieren“-Optionen bereitzustellen. Ein “Akzeptieren”-Button reicht aus, solange der Nutzer bereits auf der ersten Eben des Banners darüber informiert wird, dass seine Einwilligung sowohl für den Zugriff auf das Endnutzer-Gerät als auch für die Verarbeitung der Daten (z. B. zu Marketingzwecken) gilt.
  • Für eine gültige Einwilligung laut TTDSG gelten die gleichen Anforderungen wie in der DSGVO (freiwillig erteilt, ausdrücklich, granular usw.). Das bedeutet auch, dass die Informationen in der gleichen Weise bereitgestellt werden müssen wie nach der DSGVO. Es ist allerdings notwendig, eine Unterscheidung zwischen den beiden Verfahren vorzunehmen (Zugriff gemäß TTDSG und Verarbeitung gemäß DSGVO). Damit eine Einwilligung gültig ist, muss sie zudem informiert sein. Das bedeutet, dass die Rechtsgrundlage genannt werden muss, auf der der Zugriff erfolgt.
  • Wenn auf der ersten Ebene des Banners die Option „Akzeptieren“ platziert ist, müssen auch alle Zwecke der Datenerhebung/-verarbeitung auf der ersten Ebene angegeben werden. Es ist jedoch nicht erforderlich, bereits in der ersten Ebene die Möglichkeit einer granularen Auswahl anzubieten.
  • Eine gültige Einwilligung erfordert eine gleichermaßen auffällige und leicht zugängliche Möglichkeit, die Einwilligung ausdrücklich zu verweigern oder abzulehnen; eine Auswahl in den Browsereinstellungen reicht beispielsweise nicht aus. Wenn es eine „Akzeptieren“-Option gibt, muss es demnach auch eine „Ablehnen“-Option geben, die ebenso gut sichtbar und zugänglich ist (z. B. durch die gleiche Anzahl von Klicks). Nudging oder andere Arten der Nutzerbeeinflussung verhindern eine gültige Einwilligung.
  • Cookie-Walls sind nicht ausdrücklich verboten. Sie sind erlaubt, solange die Anforderungen an die „Akzeptieren/Ablehnen“-Option erfüllt sind. Wenn sich der “Akzeptieren”-Button auf der ersten Ebene des Banners befindet, was in der Regel der Fall ist, dann müssen alle Zwecke auch auf der ersten Ebene angegeben werden.
  • Ausnahmen vom TTDSG (Abschnitt 25 II TTDSG) müssen von Fall zu Fall entschieden werden. So müssen z. B. Dienste wie nutzerorientierte Zusatzfunktionen, der Einkaufskorb oder Betrugsprävention technisch notwendig und vom Nutzer gewünscht sein.

Was ändert sich für Unternehmen?

Für Unternehmen, die Einwilligungen bereits über eine Consent Management Platform (CMP) einholen und verwalten, ändert sich kaum etwas. Die Vorgaben zur Einholung der Einwilligung bleiben gleich und richten sich weiterhin nach den Vorgaben der DSGVO.

Sie möchten gesetzeskonform Nutzerdaten für Marketingzwecke sammeln und dabei gleichzeitig das Kundenvertrauen in Ihre Marke stärken? Sprechen Sie mit unseren Experten und lassen Sie sich die Usercentrics CMP in Aktion zeigen. Wir freuen uns auf Ihre Fragen!

Jetzt Demo buchen
icon Talk

Achtung: Der Anwendungsbereich der CMP vergrößert sich

Die Voraussetzungen für eine gültige Einwilligung

Damit eine Einwilligung gültig ist, muss der Nutzer sie informiert treffen können.

Die Anforderungen des TTDSG an die Einwilligung sind die gleichen wie die der DSGVO (Erwägungsgrund 32 DSGVO). Die Rechtsgrundlage für die Datenverarbeitung nach dem TTDSG muss den Websitenutzern zugänglich gemacht werden. Dies kann z. B. auf dem Banner oder in der Datenschutzerklärung geschehen.

Beachten Sie, dass ein Dienst in den meisten Fällen zwei Rechtsgrundlagen hat: eine für die DSGVO und eine für das TTDSG. In einigen Fällen, z. B. wenn keine personenbezogenen Daten verarbeitet werden, gilt die DSGVO nicht. In diesen Fällen ist jedoch weiterhin die Rechtsgrundlage des TTDSG erforderlich.

Mehr TECHNOLOGIEN benötigen nun die Einwilligung

Alle Technologien, die auf dem Gerät des Nutzers wirken, bedürfen nach dem TTDSG einer Einwilligung unabhängig davon, ob es sich um personenbezogene Daten handelt oder nicht.

Der Hintergrund: § 25 TTDSG regelt nicht nur den Schutz personenbezogener Daten.
Dadurch vergrößert sich der Anwendungsbereich der CMP, denn von nun an ist auch die Speicherung von oder der Zugriff auf Informationen, die nicht personenbezogen sind, einwilligungspflichtig.

⇨ Das bedeutet: Von 1. Dezember 2021 an müssen ​​Unternehmen mit Sitz in Deutschland oder Unternehmen, die Waren/Dienstleistungen auf dem deutschen Markt anbieten, die Einwilligung für eine größere Anzahl von Technologien einholen als bisher – nämlich auch für solche, bei denen Informationen auf Endnutzergeräten bzw. Endeinrichtungen (genaue Erklärung: siehe weiter unten im Text) ausgelesen oder gespeichert werden.

Das Einholen der Nutzereinwilligung

Laut TTDSG muss die Einwilligung sowohl für den Zugriff auf das Gerät des Nutzers als auch für die Verarbeitung der von diesem Gerät erhaltenen Daten eingeholt werden. Es ist jedoch nicht erforderlich, den Nutzern zwei getrennte „Akzeptieren“-Optionen (zusammen mit „Verweigern/Ablehnen“-Optionen) anzubieten, um diese Einwilligungen einzuholen. Eine Option ist ausreichend, solange der Nutzer in der ersten Ebene des Banners darüber informiert wird, dass die Einwilligung sowohl für den Zugriff auf sein Gerät als auch für die Datenverarbeitung gilt.

Es muss jedoch auch die Möglichkeit bestehen, sowohl den Gerätezugriff als auch die Datenverarbeitung zu verweigern. Die Option „Verweigern/Ablehnen“ sollte das gleiche Design und die gleiche Funktion haben wie die Option „Akzeptieren“.

Die eine Option sollte hierbei nicht auffälliger oder leichter zugänglich sein, als die andere, da sonst die Einwilligung nicht als frei gegeben angesehen werden kann, so wie es die gesetzlichen Anforderungen an die Einwilligung vorsehen. Beide Optionen sollten die gleiche Anzahl von Klicks erfordern und in der gleichen Ebene verfügbar sein. Ist z. B. die Option „Akzeptieren“ auf der ersten Ebene platziert, sollte die Option „Verweigern/Ablehnen“ nicht erst auf der zweiten Ebene erscheinen.

„Nudging“, d. h. das Hervorheben einer Option gegenüber einer anderen, wird von den Behörden zunehmend als manipulative Benutzererfahrung und deshalb als illegal angesehen.

Das müssen Sie als Usercentrics Kunde nun tun:

1. Bitte prüfen Sie intern, welche datenverarbeitenden Technologien Sie auf Ihrer Website nutzen. Unser DPS Scanner kann Ihnen dabei helfen.

settings4

2. Fügen Sie diejenigen Technologien zur CMP hinzu, die auf Endgeräte des Nutzers zugreifen. Hierzu können Sie den Add-Button in den Ergebnissen nutzen und bei unbekannten Technologien gezielt intern evaluieren, welcher Kategorie Sie diese hinzufügen möchten.

Settings3

3. Überprüfen Sie die aktuelle Kategorisierung all Ihrer Services, die Technologien wie Cookies, den Local Storage oder andere Speicherorte auf dem Endgerät nutzen. Denn für diese muss im Rahmen des TTDSG nun die Einwilligung eingeholt werden. Das heißt: Eventuell müssen Technologien aus der “Essential”-Kategorie in die “Marketing-” oder “Functional”- Kategorie verschoben werden.

4. § 25 Absatz 2 TTDSG besagt, dass die Voraussetzungen für die Gültigkeit der Einwilligung die gleichen sind wie in der DSGVO (Art. 13, DSGVO). Eine der wichtigsten Anforderungen in diesem Artikel ist die Rechtsgrundlage. Es wird daher empfohlen, den Nutzern Informationen über die Rechtsgrundlage des TTDSG zur Verfügung zu stellen.

Wann benötigt man keine Einwilligung?

Websitebetreiber benötigen laut § 25 TTDSG für den Einsatz von Cookies und Tracking-Diensten die ausdrückliche Nutzereinwilligung.

Laut § 25 Absatz 2 TTDSG sind folgende Tatbestände von der Einwilligungspflicht ausgenommen:

Achtung: Ob einer der datenverarbeitenden Services nun unter einen Ausnahmetatbestand fällt, bei dem keine Einwilligung benötigt wird, weil der Service “erforderlich”, “technisch notwendig” oder “essentiell” ist, müssen Sie im Rahmen Ihrer Datenschutzprozesse eigenverantwortlich prüfen – eine detaillierte, rechtssichere Beratung kann Usercentrics Ihnen nicht geben.

Zusätzliche “ENDEINRICHTUNGEN” sind betroffen

Durch das TTDSG erweitert sich der Anwendungsbereich des Datenschutzes, denn die Vorgaben des TTDSG beziehen sich auf sämtliche „Endeinrichtungen“.

Was versteht man unter “Endeinrichtung”?

Als Endeinrichtung gilt “jede direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Einrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten. Dies umfasst z.B. Laptops, Tablets, Smartphones, Smart TVs, Sprachassistenten, Connected Devices des Internet of Things (IoT), die i.R.d. Maschine-Maschine-Kommunikation (M2M) automatisch oder nur mit geringfügiger menschlicher Beteiligung Informationen austauschen, wie z.B. Connected Cars.”

Das bedeutet: Alle Technologien, die auf dem Gerät eines Nutzers wirken, bedürfen einer Einwilligung – und zwar unabhängig davon, ob es sich um personenbezogene Daten handelt oder nicht.

⇨ Wer also Cookies oder anderen Tracking-Technologien einsetzt, braucht künftig in Deutschland eine explizite Einwilligung (und damit zwingend ein funktionales Cookie Banner bzw. eine CMP).

Egal ob Datenschutz, Recht oder Tech – wir wissen, was die Branche bewegt. Schalten Sie rein und lassen Sie sich in unserer zweiwöchentlichen Experten-Runde auf den neuesten Stand bringen.

Jetzt anmelden
icon Talk

Was ist sonst noch neu?

PIMs und Single Sign On-Lösungen zukünftig möglich

PIMS („Personal Information Management Systems“) sind Dienste, die es Nutzern ermöglichen sollen, einmalig die Voraussetzungen für die Einwilligung oder die Ablehnung einer Datenerhebung festzulegen. Diese Informationen leitet der PIMS-Anbieter automatisch an alle Websites weiter. Das Ziel? Nutzer sollen generell mehr Kontrolle über ihre personenbezogenen Daten und den Zugriff Dritter auf Informationen erhalten.

Obwohl PIMS im TTDSG nicht ausdrücklich genannt werden, liefert der Gesetzgeber hier bereits einen Rechtsrahmen für mögliche Innovationen. Aus den Begründungen zu den Entwürfen geht zudem hervor, dass hierzu neben PIMS u.a. auch Single Sign On-Lösungen zählen.

§ 26 TTDSG soll einen verlässlichen und glaubwürdigen Rahmen für die Anerkennung solcher Dienste schaffen damit Endnutzer diesen ihre Einwilligung auch anvertrauen. Im ersten Schritt müssten diese Dienste allerdings zunächst offiziell anerkannt werden, wofür wiederum bestimmte Voraussetzungen vorliegen müssten (kein wirtschaftliches Eigeninteresse der Anbieter, Sicherheitskonzept des Anbieters, etc.). Und auch das Verfahren zur Anerkennung der Dienste müsste die Bundesregierung noch in Form einer Rechtsverordnung festlegen.

Ob in Zukunft der Browser-Anbieter selbst oder etwa neue Anbieter ein PIMS bereitstellen werden und wie die Zusammenarbeit der Akteure aussehen wird, ist noch offen. Weiterhin gilt aber, dass die unmittelbare Beziehung zwischen Verantwortlichem und dem Nutzer Vorrang hat. Das heißt, Cookie Banner können auch im Zeitalter der PIMS für die Einholung der Einwilligung hilfreich sein.

DISCLAIMER: Diese Ausführungen stellen keine Rechtsberatung dar. Bei rechtlichen Fragen, sollten Sie sich an einen Fachanwalt wenden. Die Umsetzung einer datenschutzkonformen Implementierung einer CMP liegt letztlich im Ermessen des jeweiligen Datenschutzbeauftragten bzw. der Rechtsabteilung.