Am 1. Dezember 2021 trat mit dem “Telekommunikations-und Telemedien- Datenschutzgesetz” (TTDSG) in Deutschland ein neues Datenschutzgesetz in Kraft. Was sich für Unternehmen ändert und was konkret zu tun ist, erklären wir hier.
Die Orientierungshilfe der DSK
Am 20. Dezember 2021 veröffentlichte die Datenschutzkonferenz (DSK) zudem eine Orientierungshilfe für das TTDSG. Diese Leitlinien enthalten weitere Informationen und Klarstellungen zum TTDSG und dessen Umsetzung.
Hier die wichtigsten Punkte:
- Das TTDSG gilt für Unternehmen und Personen, die in Deutschland Waren und Dienstleistungen anbieten.
- Das TTDSG gilt unabhängig von der Art der Daten. Es ist nicht erforderlich, wie in der DSGVO, dass die Möglichkeit besteht, dass eine Person identifizierbar ist.
- Eine einzige „Akzeptieren“-Option genügt, um sowohl das TTDSG als auch die DSGVO abzudecken. Es ist also nicht notwendig, zwei separate „Akzeptieren“-Optionen bereitzustellen. Ein “Akzeptieren”-Button reicht aus, solange der Nutzer bereits auf der ersten Eben des Banners darüber informiert wird, dass seine Einwilligung sowohl für den Zugriff auf das Endnutzer-Gerät als auch für die Verarbeitung der Daten (z. B. zu Marketingzwecken) gilt.
- Für eine gültige Einwilligung laut TTDSG gelten die gleichen Anforderungen wie in der DSGVO (freiwillig erteilt, ausdrücklich, granular usw.). Das bedeutet auch, dass die Informationen in der gleichen Weise bereitgestellt werden müssen wie nach der DSGVO. Es ist allerdings notwendig, eine Unterscheidung zwischen den beiden Verfahren vorzunehmen (Zugriff gemäß TTDSG und Verarbeitung gemäß DSGVO). Damit eine Einwilligung gültig ist, muss sie zudem informiert sein. Das bedeutet, dass die Rechtsgrundlage genannt werden muss, auf der der Zugriff erfolgt.
- Wenn auf der ersten Ebene des Banners die Option „Akzeptieren“ platziert ist, müssen auch alle Zwecke der Datenerhebung/-verarbeitung auf der ersten Ebene angegeben werden. Es ist jedoch nicht erforderlich, bereits in der ersten Ebene die Möglichkeit einer granularen Auswahl anzubieten.
- Eine gültige Einwilligung erfordert eine gleichermaßen auffällige und leicht zugängliche Möglichkeit, die Einwilligung ausdrücklich zu verweigern oder abzulehnen; eine Auswahl in den Browsereinstellungen reicht beispielsweise nicht aus. Wenn es eine „Akzeptieren“-Option gibt, muss es demnach auch eine „Ablehnen“-Option geben, die ebenso gut sichtbar und zugänglich ist (z. B. durch die gleiche Anzahl von Klicks). Nudging oder andere Arten der Nutzerbeeinflussung verhindern eine gültige Einwilligung.
- Cookie-Walls sind nicht ausdrücklich verboten. Sie sind erlaubt, solange die Anforderungen an die „Akzeptieren/Ablehnen“-Option erfüllt sind. Wenn sich der “Akzeptieren”-Button auf der ersten Ebene des Banners befindet, was in der Regel der Fall ist, dann müssen alle Zwecke auch auf der ersten Ebene angegeben werden.
- Ausnahmen vom TTDSG (Abschnitt 25 II TTDSG) müssen von Fall zu Fall entschieden werden. So müssen z. B. Dienste wie nutzerorientierte Zusatzfunktionen, der Einkaufskorb oder Betrugsprävention technisch notwendig und vom Nutzer gewünscht sein.
Was ändert sich für Unternehmen?
Für Unternehmen, die Einwilligungen bereits über eine Consent Management Platform (CMP) einholen und verwalten, ändert sich kaum etwas. Die Vorgaben zur Einholung der Einwilligung bleiben gleich und richten sich weiterhin nach den Vorgaben der DSGVO.
Sie möchten gesetzeskonform Nutzerdaten für Marketingzwecke sammeln und dabei gleichzeitig das Kundenvertrauen in Ihre Marke stärken? Sprechen Sie mit unseren Experten und lassen Sie sich die Usercentrics CMP in Aktion zeigen. Wir freuen uns auf Ihre Fragen!
Achtung: Der Anwendungsbereich der CMP vergrößert sich
Die Voraussetzungen für eine gültige Einwilligung
Damit eine Einwilligung gültig ist, muss der Nutzer sie informiert treffen können.
Die Anforderungen des TTDSG an die Einwilligung sind die gleichen wie die der DSGVO (Erwägungsgrund 32 DSGVO). Die Rechtsgrundlage für die Datenverarbeitung nach dem TTDSG muss den Websitenutzern zugänglich gemacht werden. Dies kann z. B. auf dem Banner oder in der Datenschutzerklärung geschehen.
Beachten Sie, dass ein Dienst in den meisten Fällen zwei Rechtsgrundlagen hat: eine für die DSGVO und eine für das TTDSG. In einigen Fällen, z. B. wenn keine personenbezogenen Daten verarbeitet werden, gilt die DSGVO nicht. In diesen Fällen ist jedoch weiterhin die Rechtsgrundlage des TTDSG erforderlich.
Mehr TECHNOLOGIEN benötigen nun die Einwilligung
Alle Technologien, die auf dem Gerät des Nutzers wirken, bedürfen nach dem TTDSG einer Einwilligung unabhängig davon, ob es sich um personenbezogene Daten handelt oder nicht.
Der Hintergrund: § 25 TTDSG regelt nicht nur den Schutz personenbezogener Daten.
Dadurch vergrößert sich der Anwendungsbereich der CMP, denn von nun an ist auch die Speicherung von oder der Zugriff auf Informationen, die nicht personenbezogen sind, einwilligungspflichtig.
⇨ Das bedeutet: Von 1. Dezember 2021 an müssen Unternehmen mit Sitz in Deutschland oder Unternehmen, die Waren/Dienstleistungen auf dem deutschen Markt anbieten, die Einwilligung für eine größere Anzahl von Technologien einholen als bisher – nämlich auch für solche, bei denen Informationen auf Endnutzergeräten bzw. Endeinrichtungen (genaue Erklärung: siehe weiter unten im Text) ausgelesen oder gespeichert werden.
Das Einholen der Nutzereinwilligung
Laut TTDSG muss die Einwilligung sowohl für den Zugriff auf das Gerät des Nutzers als auch für die Verarbeitung der von diesem Gerät erhaltenen Daten eingeholt werden. Es ist jedoch nicht erforderlich, den Nutzern zwei getrennte „Akzeptieren“-Optionen (zusammen mit „Verweigern/Ablehnen“-Optionen) anzubieten, um diese Einwilligungen einzuholen. Eine Option ist ausreichend, solange der Nutzer in der ersten Ebene des Banners darüber informiert wird, dass die Einwilligung sowohl für den Zugriff auf sein Gerät als auch für die Datenverarbeitung gilt.
Es muss jedoch auch die Möglichkeit bestehen, sowohl den Gerätezugriff als auch die Datenverarbeitung zu verweigern. Die Option „Verweigern/Ablehnen“ sollte das gleiche Design und die gleiche Funktion haben wie die Option „Akzeptieren“.
Die eine Option sollte hierbei nicht auffälliger oder leichter zugänglich sein, als die andere, da sonst die Einwilligung nicht als frei gegeben angesehen werden kann, so wie es die gesetzlichen Anforderungen an die Einwilligung vorsehen. Beide Optionen sollten die gleiche Anzahl von Klicks erfordern und in der gleichen Ebene verfügbar sein. Ist z. B. die Option „Akzeptieren“ auf der ersten Ebene platziert, sollte die Option „Verweigern/Ablehnen“ nicht erst auf der zweiten Ebene erscheinen.
„Nudging“, d. h. das Hervorheben einer Option gegenüber einer anderen, wird von den Behörden zunehmend als manipulative Benutzererfahrung und deshalb als illegal angesehen.
Das müssen Sie als Usercentrics Kunde nun tun:
1. Bitte prüfen Sie intern, welche datenverarbeitenden Technologien Sie auf Ihrer Website nutzen. Unser DPS Scanner kann Ihnen dabei helfen.
2. Fügen Sie diejenigen Technologien zur CMP hinzu, die auf Endgeräte des Nutzers zugreifen. Hierzu können Sie den Add-Button in den Ergebnissen nutzen und bei unbekannten Technologien gezielt intern evaluieren, welcher Kategorie Sie diese hinzufügen möchten.
3. Überprüfen Sie die aktuelle Kategorisierung all Ihrer Services, die Technologien wie Cookies, den Local Storage oder andere Speicherorte auf dem Endgerät nutzen. Denn für diese muss im Rahmen des TTDSG nun die Einwilligung eingeholt werden. Das heißt: Eventuell müssen Technologien aus der “Essential”-Kategorie in die “Marketing-” oder “Functional”- Kategorie verschoben werden.
4. § 25 Absatz 2 TTDSG besagt, dass die Voraussetzungen für die Gültigkeit der Einwilligung die gleichen sind wie in der DSGVO (Art. 13, DSGVO). Eine der wichtigsten Anforderungen in diesem Artikel ist die Rechtsgrundlage. Es wird daher empfohlen, den Nutzern Informationen über die Rechtsgrundlage des TTDSG zur Verfügung zu stellen.
Wann benötigt man keine Einwilligung?
Websitebetreiber benötigen laut § 25 TTDSG für den Einsatz von Cookies und Tracking-Diensten die ausdrückliche Nutzereinwilligung.
Laut § 25 Absatz 2 TTDSG sind folgende Tatbestände von der Einwilligungspflicht ausgenommen:
- technisch unbedingt erforderliche Cookies und Informationen
- Cookies und Informationen, die ausschließlich der Übertragung von Nachrichten über ein öffentliches Telekommunikationsnetz dienen
Achtung: Ob einer der datenverarbeitenden Services nun unter einen Ausnahmetatbestand fällt, bei dem keine Einwilligung benötigt wird, weil der Service “erforderlich”, “technisch notwendig” oder “essentiell” ist, müssen Sie im Rahmen Ihrer Datenschutzprozesse eigenverantwortlich prüfen – eine detaillierte, rechtssichere Beratung kann Usercentrics Ihnen nicht geben.
Zusätzliche “ENDEINRICHTUNGEN” sind betroffen
Durch das TTDSG erweitert sich der Anwendungsbereich des Datenschutzes, denn die Vorgaben des TTDSG beziehen sich auf sämtliche „Endeinrichtungen“.
Was versteht man unter “Endeinrichtung”?
Als Endeinrichtung gilt “jede direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Einrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten. Dies umfasst z.B. Laptops, Tablets, Smartphones, Smart TVs, Sprachassistenten, Connected Devices des Internet of Things (IoT), die i.R.d. Maschine-Maschine-Kommunikation (M2M) automatisch oder nur mit geringfügiger menschlicher Beteiligung Informationen austauschen, wie z.B. Connected Cars.”
Das bedeutet: Alle Technologien, die auf dem Gerät eines Nutzers wirken, bedürfen einer Einwilligung – und zwar unabhängig davon, ob es sich um personenbezogene Daten handelt oder nicht.
⇨ Wer also Cookies oder anderen Tracking-Technologien einsetzt, braucht künftig in Deutschland eine explizite Einwilligung (und damit zwingend ein funktionales Cookie Banner bzw. eine CMP).
Egal ob Datenschutz, Recht oder Tech – wir wissen, was die Branche bewegt. Schalten Sie rein und lassen Sie sich in unserer zweiwöchentlichen Experten-Runde auf den neuesten Stand bringen.
Was ist sonst noch neu?
PIMs und Single Sign On-Lösungen zukünftig möglich
PIMS („Personal Information Management Systems“) sind Dienste, die es Nutzern ermöglichen sollen, einmalig die Voraussetzungen für die Einwilligung oder die Ablehnung einer Datenerhebung festzulegen. Diese Informationen leitet der PIMS-Anbieter automatisch an alle Websites weiter. Das Ziel? Nutzer sollen generell mehr Kontrolle über ihre personenbezogenen Daten und den Zugriff Dritter auf Informationen erhalten.
Obwohl PIMS im TTDSG nicht ausdrücklich genannt werden, liefert der Gesetzgeber hier bereits einen Rechtsrahmen für mögliche Innovationen. Aus den Begründungen zu den Entwürfen geht zudem hervor, dass hierzu neben PIMS u.a. auch Single Sign On-Lösungen zählen.
§ 26 TTDSG soll einen verlässlichen und glaubwürdigen Rahmen für die Anerkennung solcher Dienste schaffen damit Endnutzer diesen ihre Einwilligung auch anvertrauen. Im ersten Schritt müssten diese Dienste allerdings zunächst offiziell anerkannt werden, wofür wiederum bestimmte Voraussetzungen vorliegen müssten (kein wirtschaftliches Eigeninteresse der Anbieter, Sicherheitskonzept des Anbieters, etc.). Und auch das Verfahren zur Anerkennung der Dienste müsste die Bundesregierung noch in Form einer Rechtsverordnung festlegen.
Ob in Zukunft der Browser-Anbieter selbst oder etwa neue Anbieter ein PIMS bereitstellen werden und wie die Zusammenarbeit der Akteure aussehen wird, ist noch offen. Weiterhin gilt aber, dass die unmittelbare Beziehung zwischen Verantwortlichem und dem Nutzer Vorrang hat. Das heißt, Cookie Banner können auch im Zeitalter der PIMS für die Einholung der Einwilligung hilfreich sein.
DISCLAIMER: Diese Ausführungen stellen keine Rechtsberatung dar. Bei rechtlichen Fragen, sollten Sie sich an einen Fachanwalt wenden. Die Umsetzung einer datenschutzkonformen Implementierung einer CMP liegt letztlich im Ermessen des jeweiligen Datenschutzbeauftragten bzw. der Rechtsabteilung.
Für Unternehmen in Italien läuft beim Thema Datenschutz der Countdown: Am 10. Juli 2021 gab die italienische Datenschutzbehörde („Il Garante“) ihre endgültigen Leitlinien zu Cookies und anderen Tracking-Technologien bekannt. Innerhalb von sechs Monaten müssen Unternehmen nun diese Leitlinien einhalten – wobei inzwischen bereits zwei Monate verstrichen sind.
Die Leitlinien beziehen sich auf die Umsetzung der Anforderungen der ePrivacy-Richtlinie in italienisches Recht (Artikel 122 des Datenschutzgesetzes) – und sind eine Aktualisierung der Leitlinien aus dem Jahr 2014.
Wer ist von den Änderungen betroffen?
Jedes Unternehmen, das seinen Sitz in Italien hat oder sich an italienische Verbraucher wendet, muss sicherstellen, dass sein Cookie-Banner vor Ablauf der Frist mit den Cookie-Richtlinien der italienischen Datenschutzbehörde übereinstimmt.
Dieser angepasste Leitfaden folgt den Aktualisierungen der Leitlinien anderer wichtiger Datenschutzbehörden der EU. Zum Beispiel: Frankreichs CNIL, Irlands DPC, Spaniens AEPD und Dänemarks Datatilsynet. Obwohl es einige Gemeinsamkeiten zwischen diesen Leitlinien gibt, ist der wichtigste Punkt, dass diese Änderungen nicht nur das Land betreffen, in dem sie festgelegt wurden, sondern auch Organisationen, die personenbezogene Daten von Betroffenen in diesen Ländern verarbeiten. Diese Leitlinien geben den Ton an, wie eine DSGVO-konforme Einwilligung eingeholt werden muss.
Usercentrics unterstützt die neuen Richtlinien der italienischen Datenschutzbehörde und hat die Consent Management Platform (CMP) entsprechend aktualisiert. Schließt ein Nutzer die CMP auf der ersten Ebene durch Klicken auf das „X“, werden nur notwendige Cookies geladen. Die entsprechende Konfigurationsmöglichkeit wird mit dem nächsten Admin-Interface Release zur Verfügung stehen.
Mit der weltweiten Gesetzgebung Schritt zu halten, ist nicht gerade einfach. Genau deshalb haben wir “Tech That Talks” ins Leben gerufen. Schauen Sie doch mal vorbei und nehmen Sie an unserer zweiwöchentlichen Podiumsdiskussion teil.
Folgende Liste mit den wichtigsten Informationen hilft Ihnen beim rechtskonformen Umgang mit Cookies und Tracking-Technologien in Italien und im Ausland.
Auf diese sieben Dinge, sollten Sie achten:
1. Scrolling
Das Thema “Scrollen als Einwilligung” wurde erneut überarbeitet. Die Datenschutzbehörde folgt hier der bereits früher festgelegten Position des EDPB und erklärt, dass Scrollen keine gültige Zustimmung darstellt.
2. Notwendige Cookies und berechtigtes Interesse
Wie in der ePrivacy Richtlinie bereits festgelegt, unterscheiden die neuen Leitlinien ebenfalls zwischen unbedingt notwendigen technischen Cookies und Trackern und sogenannten „Profiling“-Trackern – wobei letztere für Zwecke verwendet werden, die für den Betrieb der Website oder App nicht unbedingt erforderlich sind. Dies bedeutet, dass berechtigtes Interesse nicht als rechtmäßiger Grund für die Verwendung von nicht notwendigen Cookies und anderen ähnlichen Tracking-Technologien angesehen werden kann.
3. Die Einwilligung ist unbedingt erforderlich
Laut dem “International Network of Privacy Law Professionals” (INPLP) , „darf der Inhaber einer Website im Gegensatz zur geltenden Verordnung nur technische Cookies verwenden, wenn die Nutzer nicht vorher ihre Zustimmung gegeben haben“. Dies gilt nicht im gleichen Umfang für Analyse-Cookies, bei denen die Zustimmung nur eingeholt werden muss, wenn sie mit anderen Verarbeitungen kombiniert werden oder die Daten an Dritte weitergegeben werden.
4. Erneute Wahlmöglichkeit
Die italienische Datenschutzbehörde betont die “Pflicht zur Aufnahme“ von bestimmten Links und Icons in die Fußzeile der Website. Webseitenbetreiber müssen dort beispielsweise einen Link bereitstellen, über den die Nutzer ihre Cookie-Präferenzen bei Bedarf jederzeit ändern können.
5. Information und Transparenz
Klare und einfache Kommunikation ist entscheidend: In der Datenschutzrichtlinie muss auf leicht verständliche Weise angegeben werden, welche Cookies für welche Zwecke verwendet werden.
6. Cookie Banner
Der Einsatz eines Cookie-Banners wird empfohlen.
Laut der INPLP muss der Bannertext folgende Informationen bzw. Hinweise enthalten:
- eine Schaltfläche (in der Regel ein „X“ in der rechten oberen Ecke), die es dem Nutzer ermöglicht, das Banner unter Beibehaltung der Standardeinstellungen zu schließen und so die Installation anderer als technischer Cookies zu verhindern
- eine Warnung, dass das Schließen des Banners (z. B. durch Anklicken des X in der rechten oberen Ecke) dazu führt, dass die Standardeinstellungen beibehalten werden und somit das Surfen nur mit technischen Cookies fortgesetzt werden kann
- eine kurze Information, die den Nutzer darauf hinweist, dass die Website Cookies zur Profilerstellung oder andere Tracking-Technologien verwendet, vorausgesetzt die Nutzereinwilligung wurde erteilt
- einen Link zur erweiterten Datenschutzerklärung, der über die Fußzeile jeder Seite der Website aus zugänglich ist
- eine Schaltfläche, die es dem Nutzer ermöglicht, die Implementierung aller Cookies (oder anderer Tracking-Technologien) zu akzeptieren
- einen Link zu einem Bereich, in dem es möglich ist, nur die Funktionen, Third-Party Technologien und Cookies auszuwählen, für die der Nutzer seine Zustimmung gegeben hat, und in dem es auch möglich ist, zuvor getroffene Entscheidungen zu ändern
7. Das Recht seine Einwilligung zurückzuziehen
Nutzer müssen die Möglichkeit haben, ihre Zustimmung jederzeit zu widerrufen.
Wenn Sie mehr über die DSGVO oder andere globale Datenschutzgesetze erfahren möchten, sollten Sie unbedingt einen Blick in unsere umfangreiche Wissensdatenbank werfen, in der unser Expertenteam das Neueste zum Thema Datenschutz zusammengestellt hat.
Wie kann Ihr Business konform werden?
Wir wollen Sie dabei unterstützen, sich den Überblick zu verschaffen, welche Arten von Daten Ihr Unternehmen sammelt. Unser kostenloses Webseiten-Audit zeigt Ihnen im Detail, welche Technologien Ihre Website einsetzt. So haben Sie den genauen Überblick ob und welche Analyse-, Tracking- oder Marketing-Cookies im Einsatz sind. Sobald Sie das wissen, kann Ihnen eine Consent Management Platform (CMP) dabei helfen, die Einwilligungen zur Verwendung von Cookies und anderen Tracking-Technologien zu sammeln, zu verwalten und zu speichern – und diese gesetzeskonform zu nutzen.
Was passiert, wenn eine Website nicht Datenschutz-konform ist?
Nach Ablauf des Compliance-Zeitraums kann die italienische Datenschutzbehörde die neuen Cookie-Richtlinien mit Verwarnungen oder Geldbußen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes durchsetzen.
Kontaktieren Sie noch heute einen unserer Experten um zu erfahren, wie einfach die Usercentrics Consent Management Platform Sie dabei unterstützen kann, Ihre Website konform zu gestalten.
DISCLAIMER: Diese Ausführungen stellen keine Rechtsberatung dar. Bei rechtlichen Fragen, sollten Sie sich an einen Fachanwalt wenden.
Unser Partner
In diesem Webinar diskutieren wir mit den Experten von PIA UDG, welche Gründe für eine SaaS-Lösung und welche Gründe für eine eigene Lösung sprechen.
Die Vorgaben der DSGVO korrekt umzusetzen, kann schon ziemlich komplex sein. Consent Managemement Plattformen unterstützen bei der technischen Umsetzung. Und obwohl es bereits einige SaaS-Lösungen auf dem Markt gibt, ist die Versuchung bei einigen Unternehmen groß ein eigenes Tool zu bauen. In diesem Webinar diskutieren wir mit den Experten von PIA UDG, welche Gründe für eine SaaS-Lösung und welche Gründe für eine eigene Lösung sprechen.
Agenda
- Consent Management und DSGVO
- Diskussion: Consent Management Platform (CMP) – Build or Buy?
- Q&A
¹der Webinar-Partner ist PIA UDG
Unser Partner
Das Ende der Third-Party-Cookies naht. Auch wenn Google jüngst verkündete erst ab 2023 die Verwendung von Third Party-Cookies nicht mehr zu unterstützen, sollten Sie jetzt keine Zeit verlieren, um Ihr Marketing zukunftssicher zu gestalten. So blockieren beispielsweise große Internet-Browser bereits jetzt standardmäßig Third-Party-Cookies. Was bedeutet das für Ihre Advertising, Web-Analyse und Storage Tools? Und was müssen Sie jetzt tun, um Ihr Marketing zukunftssicher zu gestalten? Sehen Sie sich jetzt unser Webinar an und erfahren Sie, was Sie jetzt tun können, um Ihr Webtracking DSGVO-konform und zukunftssicher zu gestalten.
¹der Webinar-Partner ist JENTIS
Mit dem Launch von iOS 14.5 hat Apple – knapp ein Jahr nach der Ankündigung – nun seine Pläne zur App Tracking Transparency (ATT) in die Tat umgesetzt. Seit Ende April 2021 müssen App-Betreiber nun in iOS-Umgebungen vorab die Einwilligung der User einholen, um Zugriff auf den Identifier for Advertising (IDFA) zu erhalten.
iOS-User machen in Deutschland einen Marktanteil von etwa 30 Prozent aus – und sind damit also keinesfalls unbedeutend für Advertiser und App-Publisher.
Der IDFA wird unter anderem dazu genutzt, um Nutzerdaten mit iPads und iPhones in Verbindung zu bringen und letztlich Werbung zu personalisieren. Der Konzern hat mit ATT also eine technische Hürde vor das User-Tracking zur Datenerfassung und auch das Schalten maßgeschneiderter Anzeigen errichtet.
Das zugehörige Dialogfenster zur Einholung des Consents liefert Apple in Form des ATT-Frameworks gleich mit, sodass wenig Spielraum für Publisher gelassen wird. Apple will damit laut eigener Aussage die Privatsphäre seiner Nutzer schützen und nimmt dafür Verärgerung seitens der Advertiser und App-Publisher in Kauf. Die Maßnahme hat nicht nur Auswirkungen auf die Werbewirtschaft, sondern auf das gesamte App-Ökosystem. Denn Tracking dient App-Entwicklern oftmals als finanzielles Standbein, damit sie ihre Anwendung kostenlos anbieten können. Wenn der Deal “User-Daten gegen kostenfreie Nutzung” nicht mehr funktioniert, gerät das Apple-Universum aus dem Gleichgewicht.
Welche Auswirkungen zu erwarten sind, erklären wir in den folgenden sechs Szenarien, die Marketers unbedingt in Zukunft im Blick haben sollten:
Szenario 1: Zustimmungsraten fallen niedrig aus
Diese These bildet die Grundlage für alle übrigen und man wagt sich mit ihr auch nicht allzu sehr aus dem Fenster. Experten sind bereits im Vorfeld davon ausgegangen, dass die Consent-Raten im Vergleich zu vorher sinken werden, außerdem deuten erste Zahlen klar in diese Richtung.
So beträgt laut dem Analyse-Dienstleister Appsflyer der Anteil der deutschen User, für die ein Opt-in via ATT vorliegt, aktuell 30 Prozent. Branchenkollege Singular beziffert die Opt-in-Rate mit 14 bzw. 17 Prozent je nachdem, ob ein direkter Kontakt mit dem Dialogfenster zustande gekommen ist. Der Grund für diese offensichtlichen Abweichungen der beiden Anbieter liegt darin begründet, dass Appsflyer nicht nur iOS 14.5, sondern auch andere 14er-Versionen für iPads und iPhones mit einbezieht, die eine ATT-Abfrage ermöglichen. Die Wahrheit liegt also irgendwo in der Mitte. Global stehen wir Deutschen nicht schlecht da, denn das Analytics-Tool Flurry kommt weltweit auf 15 Prozent Einwilligungen.
Die Zahlen sind allerdings mit Vorsicht zu genießen, denn iOS 14.5 ist noch nicht weit verbreitet. Appsflyer nennt hierzulande eine Adaptions-Rate von 23 Prozent, während Singular 26 Prozent misst – etwa ein Viertel der deutschen iOS-User haben also bereits auf das neue System upgedatet, das ATT strikt vorschreibt. Trotz allem: Die User mit Opt-in für Advertiser werden im Apple-Universum definitiv rarer.
Wie Sie ihre App mit der Usercentrics CMP datenschutzkonform (DSGVO, CCPA, LGPD) monetarisieren und dabei möglichst hohe Consent Raten erzielen, erklären wir ihnen gerne in einem persönlichen Gespräch – kostenfrei und unverbindlich.
Szenario 2: (Personalisierte) Werbung wird teurer
Wenn in Apps weniger Werbeinventar verfügbar ist, das mit einer IDFA verknüpft ist (siehe 1.), dann herrscht mehr Wettbewerb um weniger Fläche. Denn Advertiser wollen möglichst personalisiert werben und ihre Botschaften nicht mit der Gießkanne streuen. Dies wiederum führt zu höheren Preisen.
Aber: Der Gesamtumsatz mit Werbung auf iOS-Geräten wird sinken, denn die übrige, nicht mit einer IDFA verknüpfte Werbefläche, überwiegt. Sie wird günstiger, worüber sich Advertiser freuen dürften, die möglichst viel Reichweite generieren möchten. Doch Publisher, die mit ihrem Inventar Geld verdienen möchten, dürfte das weniger amüsieren.
Szenario 3: Apps werden zunehmend kostenpflichtig
Punkt 2.) hat zwei direkte Auswirkungen. App-Betreibern bricht ein finanzielles Standbein weg, wenn sie nicht tracken bzw. keine gezielte Werbung ausliefern können. Dadurch könnten die Anwendungen zunehmend kostenpflichtig werden, um diesen Ausfall zu kompensieren.
Szenario 4: User bekommen schlechtere Werbung
Außerdem sind die Anzeigen nicht mehr zielgenau, im Klartext: unpassend für die User. Ohne Personalisierung bleibt eben nur Standard-Werbung übrig, womit mehr Konsumenten den allgemein verträglichen Rohrreiniger zu sehen bekommen anstatt Produkte, die sie vielleicht wirklich gebrauchen könnten. Weitaus problematischer ist dabei jedoch die fehlende Erfolgsmessung. Wenn der Advertiser nicht weiß, wer seine Anzeige schon gesehen hat, geschweige denn, ob jemand daraufhin etwas gekauft hat, kommt es des Öfteren zum altbekannten “Dauerfeuer”. Zumal sinnvolles Retargeting ohne ID unmöglich ist.
Szenario 5: Budgets wandern zu Android
Aus diesen Gründen könnten Marken ihre Budgets zur Konkurrenz verschieben, was wiederum Punkt 3) weiter eskalieren lässt. Android-Umgebungen ermöglichen (noch) den Einsatz der MAID, also Googles Identifier, und somit Werben wie gewohnt.
Szenario 6: Google zieht nach
Nachdem Google bereits angedeutet hatte, intern ähnliche Maßnahmen wie Apple zu diskutieren, verkündete der Konzern nun ebenfalls Änderungen beim Zugriff auf seine Werbe-ID. Doch während es sich bei Apple um ein Opt-in-Verfahren zum Tracking handelt, setzt Google auf ein Opt-out in den Systemeinstellungen. Die Ablehnungsraten dürften also bei weitem nicht so hoch ausfallen wie in iOS-Umgebungen. Google geht auch nicht so weit wie seine GAFA-Schwester aus Cupertino und lässt Werbetreibende ohne “Ersatzstoff” sitzen. Alternativen für Analyse und Attribution stehen bereits in den Startlöchern und sollen im Juli kommen.
Ob die Maßnahmen noch restriktiver gestaltet werden, ist derzeit unklar, aber nicht unwahrscheinlich. Denn Experten gehen davon aus, dass die Mobile-ID ähnlich wie das Third-Party-Cookie ein Auslaufmodell für Werbung ist.
Szenario 7: Es gibt neue Attributionsmodelle
Mit der Veröffentlichung von iOS 15 im September 2021 können Werbetreibende in Zukunft Daten über Postbacks oder Mobile-App-Installationsvalidierungen direkt von Apples SKAdNetwork erhalten, anstatt über ein registriertes Werbenetzwerk gehen zu müssen.
SKAdNetwork ist Apples datenschutzfreundliche Attributions-API für mobile App-Downloads und die einzige Lösung im Apple-Ökosystem für Geräte, die sich nicht für den Identifier for Advertisers (IDFA) entschieden haben. Sie ordnet die Installationen mobiler Apps einer Werbekampagne zu, gibt aber im Gegensatz zum IDFA keine Daten auf Nutzer- oder Geräteebene preis. Interessant: Als Apples AppTrackingTransparency (ATT) Framework Ende April 2021 in Kraft trat, waren Werbegiganten wie Facebook und Google letztlich gezwungen, SKAdNetwork zu unterstützen.
Bislang war SKAdNetwork aufgrund der begrenzten Menge an zugänglichen Informationen für Vermarkter keine nützliche Alternative zur IDFA. Die bevorstehenden iOS 15-Änderungen bringen zwar immer noch mehr Einschränkungen als im Vor-ATT-Zustand mit sich, trotzdem sind sie eine willkommene Möglichkeit für Werbetreibende, die ihre Messung und Attribution im Apple-Kosmos so gut es geht optimieren wollen.
Bonus-Szenario: Alles bleibt, wie es ist
Diese These ist sehr unwahrscheinlich, wenn man den ersten Zahlen Glauben schenkt. Aber zumindest auf Seiten der Targeting-Anbieter entstehen aktuell bereits neue, kontextbasierte Lösungen, die eigener Aussage zufolge sogar besser als die “klassischen” funktionieren sollen. Von daher: Das Werbeökosystem wird sich schon etwas einfallen lassen.
Apples Abfrage zum Tracking hat nichts mit der Einwilligung zur personenbezogenen Datenverarbeitung zu tun, welche die DSGVO vorschreibt. Dafür ist ein zweites Dialogfenster notwendig, das den Rahmenbedingungen der DSGVO folgt. D.h. um User-Daten DSGVO-konform erheben und verarbeiten zu dürfen, ist zusätzlich eine weitere Abfrage Voraussetzung, die Einwilligungen rechtssicher einholt. Diesen Job übernimmt idealerweise eine Consent Management Platform (CMP), die dann die entsprechenden Dialogfelder in der optimale Abfolge triggert.
Wie das im Detail geht und wie Sie als App Betreiber Ihre App trotz Apples neuer Privacy Features datenschutzkonform monetarisieren, erfahren Sie in in unserem Knowledge Hub.
Wer sich mit dem Thema Consent Management noch nicht auseinandergesetzt hat, sollte das spätestens jetzt tun. Datenschutz bleibt auch künftig ein Thema und ist keinesfalls auf die App-Welt beschränkt. Apple zeigt mit ATT lediglich, dass die Entscheidung darüber, was mit User-Daten geschieht, in die Hände der User selbst gehört.
Datenschutz, Recht oder Tech? Wir wissen, was die Branche bewegt. Schalten Sie ein und lassen Sie sich in unserer wöchentlichen Experten-Runde auf den neuesten Stand bringen.
Jetzt wird’s ernst: Ab Mitte Juni 2021 macht Google die Page Experience, also die “Nutzerfreudlichkeit von Seiten” zu einem neuen Rankingfaktor. Das Projekt, das bereits im Mai 2020 in den Startlöchern stand und wegen Covid-19 verschoben wurde, steht nun kurz vor dem Rollout.
Was sind eigentlich Rankingfaktoren?
Unter Rankingfaktoren versteht man verschiedene Kriterien, die beeinflussen, wie sich die Suchergebnisseiten von Google zusammensetzen. Sie bestimmen also letztlich, welche Seiten vom Google-Algorithmus bei einer Suche weit vorne platziert werden oder eben nicht.
Wichtig zu wissen: Googles neues Bewertungsschema wirkt sich nur auf die mobilen Suchergebnisse aus. Die Page Experience hat demnach keinen Einfluss auf die Desktop-Suche. Außerdem können im Zuge des Updates auch URLs, die nicht auf Googles AMP-Framework basieren, in den Top-Stories der mobilen Suche erscheinen. Zuvor war dies zwingende Voraussetzung.
Google möchte also scheinbar sein AMP-Projekt, das es Website-Betreibern leicht machen soll, ihren Nutzern besonders schnelle Seiten zur Verfügung zu stellen, nach und nach überflüssig machen. Mit der Page Experience als Rankingfaktor zwingt Google die Seitenbetreiber gewissermaßen zu nutzerfreundlichen Angeboten, wenn diese vorne auf den Ergebnisseiten mitspielen wollen.
Einflussfaktoren auf die Page Experience
Im Rahmen der Page Experience bündelt Google im Grunde genommen nur einige Signale, die der Algorithmus ohnehin bereits berücksichtigt, und fasst sie unter einem neuen Namen zusammen – mit einer Ausnahme: die sogenannten Core Web Vitals.
Page Experience wird neuer Rankingfaktor für Google | Quelle: Google
Die bekannten Signale, welche letztlich die Page Experience beeinflussen, sind die Optimierung für Mobilgeräte, Sicherheit der Website (sicheres Browsen sowie HTTPS-Verschlüsselung) und Verzicht auf Interstitials (Pop-Ups etc.). Hinzu kommt nun das Herz der Page Experience, die Core Web Vitals.
Auch wenn der Name neu ist, sind die ersten beiden Komponenten Suchmaschinenoptimierern ebenfalls geläufig: Largest Contentful Paint (LCP) und First Input Delay (FID). Der LCP beschreibt die Ladezeit der Website, genauer gesagt, bis wann das größte Element im sichtbaren Bereich erscheint. Der FID meint die Interaktivität des Browsers bei einer Aktion des Nutzers, also beispielsweise wie lange der Browser benötigt, um auf einen Klick auf der entsprechenden Seite zu reagieren.
Das Novum ist der Dritte im Bunde: der Cumulative Layout Shift (CLS), den Google unter den Punkt “visuelle Stabilität” gliedert. Der CLS bewertet die Content-Stabilität einer Website, also ob sich die Inhalte nach dem finalen Laden am selben Ort befinden wie zuvor, oder im Layout springen. Dies betrifft zum Beispiel Buttons oder Textpassagen, die sich aufgrund von Bildern oder Werbeanzeigen nach oben oder unten verschieben und so Irritationen beim User verursachen. Dieser verliert dann etwa im redaktionellen Bereich den Überblick, an welcher Stelle des Textes er gerade gelesen hat. Im Falle eines Buttons, der nachträglich springt, können sogar Klicks auf die falschen Elemente erfolgen. Eigentlich ist das Nachladen von einzelnen Elementen nicht per se schlecht, um die Geschwindigkeit von Websites insgesamt zu verbessern, doch deren Layout sollte entsprechend im Voraus feststehen.
Diese drei Metriken – Ladezeit, Interaktivität und visuelle Stabilität – sind nun auf den Namen Core Web Vitals getauft und sollen zu einem einheitlichen Bewertungsstandard für die Performance einer Website werden. Aber wie werden sie gemessen?
Messen der Page Experience
Die Core Web Vitals kann man mithilfe eines Berichts messen, den die Search Console bereitstellt. Dabei handelt es sich um reale Zahlen von Nutzern, die sich aus dem Chrome User Experience Report speisen. Google liefert uns darüber hinaus sogar eine komplette Übersicht der Werkzeuge, die dabei helfen, die Page Experience zu analysieren.
Wichtig zu wissen sind die Grenzwerte der drei Werte:
- Ein guter Wert für den CLS ist kleiner als 0,1, mehr als 0,25 ist kritisch.
- Der LCP sollte unter 2,5 Sekunden liegen, über 4 Sekunden sind Grund zur Sorge.
- Der FID beträgt bestenfalls weniger als 100 Millisekunden, ab 300 Millisekunden besteht Handlungsbedarf.
Zusätzliche Faktoren mit Einfluss auf die Page Experience
Natürlich versucht Google bei den Erklärungen der Rankingfaktoren in der Regel möglichst schwammig zu bleiben, um Manipulationen vorzubeugen. Doch lässt sich erahnen, dass auch Consent-Management-Plattformen (CMP) auf die Page Experience einzahlen, denn sie müssen ebenfalls vor dem Konsum des Contents geladen werden. Inwiefern sie genau eine Rolle spielen, lässt Google leider im Dunkeln. Dennoch kann es sicherlich nicht schaden, sich für eine schnell ladende, mobiloptimierte und leicht zu bedienende Plattform zu entscheiden – mal abgesehen davon, dass der User sich darüber freut, was der Sinn und Zweck der ganzen Rankingfaktoren ist.
Zur Einschätzung der Bedeutung der Page Experience im Gesamtkonzept des Google-Algorithmus äußerte sich der Konzern wie folgt: Auch Seiten mit schlechter Page Experience können hoch ranken, wenn deren Inhalte gut sind. Content behält also am meisten Gewicht. Dennoch scheint der Faktor alles andere als unbedeutend zu sein, sonst würde ihn Google nicht so groß ankündigen. Die Investition könnte sich ohnehin auf lange Sicht lohnen, denn Google plant Seiten mit besonders guter Page Experience künftig in den Suchergebnisseiten hervorzuheben.
5 Quick Wins für eine bessere Page Experience
Website-Betreiber, die sich jetzt auf das Update vorbereiten wollen, sollten folgende Punkte für sich klären:
- LCP-, FID- sowie CLS-Werte in der Search Console messen, um die Core Web Vitals zu prüfen.
- Optimierung für Mobilgeräte testen, um Vorschläge für Mobile Friendlyness zu erhalten und daraufhin nachzubessern.
- Sicherheitsprobleme in der Search Console checken, um Safe Browsing sicherzustellen.
- Website mit HTTPS sichern,denn Google bevorzugt dieses Kommunikationsprotokoll. Ansonsten zeigt der Chrome-Browser die Seite auch als “nicht sicher” an.
- Website mit HTTPS sichern, denn Google bevorzugt dieses Kommunikationsprotokoll. Ansonsten zeigt der Chrome-Browser die Seite auch als „nicht sicher“ an.
- Interstitials aussortieren, denn dieses Werbeformat wird vom Algorithmus ebenfalls abgestraft.
Im Grunde genommen ändert sich durch die Einführung der Page Experience als Rankingfaktor also nicht viel. Denn viele Signale, die in dem Faktor gebündelt werden, hat Google schon vorher bei der Erstellung der Ergebnisseiten berücksichtigt. Trotzdem ist es ein erneutes Zeichen an Website-Betreiber, dass Geschwindigkeit, Layout und Sicherheit für gute Positionen in den Suchergebnisseiten entscheidende Kriterien sind. Wer diese Punkte bislang vernachlässigt hat, sollte nun vor dem Inkrafttreten der Änderungen nachbessern. Dabei hilft der Blick auf die Tools, die Google zur Verfügung stellt. Im Endeffekt sollten sich Seitenbetreiber immer fragen: Wie schaffe ich die bestmögliche Erfahrung für Nutzer auf meiner Seite? Denn das ist es, was Google letztlich dann mit einem guten Ranking belohnt.
Teil 1: LEGAL UPDATE
DSGVO-konform Consent einholen im Mobile/App Bereich: das müssen Sie beachten
Apple führt mit dem kommenden iOS14-Update die Datenschutzfunktion „App Tracking Transparency“ ein. Für App Entwickler bedeutet das: Sie müssen von nun an ihre Nutzer um Zustimmung zur Weitergabe der persönlichen Apple Advertising ID (IDFA – “Identifier for Advertisers”) bitten. Was das im Detail mit sich bringt und wie App Betreiber sich auf die Änderungen am besten vorbereiten können, erfahren Sie in unserer 3-teiligen Serie zum iOS14 Update.
In Teil 1 erfahren Sie:
- Alles über die aktuelle Rechtslage im Mobile/App Bereich
- Warum Sie trotz Apple IDFA-Consent Abfrage noch eine CMP benötigen
- Was diese Veränderung für App Betreiber bedeutet
Unser Partner
Die DSGVO schreibt vor: Möchten Webseitenbetreiber Cookies, Pixels oder andere Webtechnologien für Marketing- oder Werbezwecke einsetzen, so benötigen sie dafür die explizite Einwilligung des Nutzers. Eine Consent Management Platform (CMP) hilft Ihnen dabei Nutzereinwilligungen technisch einzuholen, zu dokumentieren und zu verwalten. Doch CMP ist nicht gleich CMP – denn selbst bei Usercentrics gibt es große Unterschiede zwischen Version 1 und 2. Doch was sind die Unterschiede zwischen Version 1 und Version 2? Ist ein Umstieg für Bestandskunden bereits jetzt sinnvoll? Und ist der Umstieg auf das neue Browser UI mit viel Aufwand verbunden? In unserem Webinar erhalten Sie eine kurze Einführung in das Consent Management und die Kriterien, welche die DSGVO an eine gültige Einwilligung stellt. Zudem skizzieren wir Ihnen die wesentlichen Unterschiede zwischen der Usercentrics CMP v1 und v2 und die Neuerungen rund um das neue Browser UI (CMP v2). Zum Schluss zeigt Ihnen ein Experte unseres Implementation-Partners comspace in einer Live-Demo, wie Sie ihre CMP einfach über den Google Tag Manager implementieren können.
Das erwartet Sie:
- Einführung in die aktuelle Rechtslage und die Anforderungen an Consent Management Lösungen
- Was ist neu an der Usercentrics CMP V2 (Browser UI)?
- Einführung und Integration von Consent Management Platforms über den Google Tag Manager
¹der Webinar-Partner ist die comspace GmbH & Co. KG
Our partner
DSGVO ist überall gleich DSGVO, oder? Nicht ganz, denn trotz EU-weiter Gültigkeit unterscheidet sich die Auslegung der DSGVO von Land zu Land. Nationale Datenschutzbehörden geben teilweise sehr tiefgehende Empfehlungen und Guidelines vor.
Dementsprechend können deutsche Unternehmen ihre Datenschutzrichtlinien nicht 1:1 auf andere europäische Märkte umsetzen. In unserem gemeinsamen Webinar mit den Experten von den KlickPiloten, geben Ihnen Hanna Waldenmaier und Stephan Sigloch Einblicke in ausgewählte länderspezifische Auslegungen der DSGVO sowie Best Practices für das internationalen Setup ihrer CMP.
Was erwartet Sie:
- Allgemeines zur DSGVO und die Unterschiede in der nationalen Auslegung
- Tipps & konkrete Beispiele für das Setup einer Consent Management Platform (CMP) im internationalen Kontext
An wen richtet sich das Webinar?
Marketing- und IT-Verantwortliche, Betreiber von Online-Shops und alle anderen Website-Betreiber, sowie Agenturen und Dienstleister im Bereich Marketing und Webseiten, Unternehmen mit mehrsprachigen Websites und Shops außerhalb von Deutschland.
¹der Webinar-Partner ist die KlickPiloten GmbH
Our partner
Für die Nutzung von Cookies und anderen Webtechnologien für Marketingzwecke benötigen Shopbetreiber die Einwilligung (engl. “Consent”) der Webseitenbesucher. Spätestens seit der Einführung der DSGVO ist der Einsatz einer Consent Management Platform (CMP) daher unabdingbar, um diesen Consent sauber einzuholen, zu verwalten und dokumentieren zu können. Ist die CMP einmal implementiert, steht als neues Thema die Optimierung dieser Consent- bzw. Opt-in Raten auf der Agenda – Herausforderung und Chance zugleich! Aber wie sieht das in der Praxis aus? Durch Personalisierung des Opt-In-Prozesses ist eine Optimierung ganz klar möglich – und zwar DSGVO-konform. Welche Möglichkeiten es gibt, die Consent-Raten durch Personalisierung rechtskonform zu erhöhen, erklären Anna-Katharina Knarr, VP Account Management bei trbo und Hanna Waldenmaier, Head of Strategic Partnerships bei Usercentrics.
Was Sie erwartet:
- Die aktuelle Rechtslage und Anforderungen an eine konforme Einwilligung
- Einführung in die Begrifflichkeiten
- Die Hebel zur Consent-Optimierung
- Tipps & konkrete Beispiele für den rechtssicheren Einsatz von Personalisierung zur Optimierung der Consent-Rate
An wen richtet sich das Webinar?
Marketing- und IT-Verantwortliche, Betreiber von Online-Shops und alle anderen Website-Betreiber, sowie Agenturen und Dienstleister im Bereich Marketing und Webseiten.
¹der Webinar-Partner ist trbo. Die Datenschutzerklärung von trbo finden Sie hier.