Sie verwenden Google Analytics (GA4), den Google Tag Manager (GTM) oder Google Ads und fragen sich, ob Sie DSGVO-konform sind? Hier klären wir alle Fragen rund um den Consent Mode und seine erweiterten Funktionen.

Die Google Skripte werden im Normalfall direkt beim Aufrufen einer Webseite, auf der sie installiert sind, mitgeladen. Der Google Consent Mode ermöglicht es Webseitenbetreibern, das Verhalten ihrer Google Tags und Skripte basierend auf dem Einwilligungsstatus ihrer Nutzer anzupassen. Im „Basic Consent Mode” werden Tags vor einer Einwilligung gar nicht geladen. Sie warten erst auf ein Signal z. B. von einer Consent Management Platform, ob sie Daten sammeln dürfen oder nicht. Im „Advanced Consent Mode” wird das Google Tag auf Webseiten geladen, bevor der Einwilligungsdialog erscheint, sodass das Tag-Verhalten dynamisch angepasst wird, je nachdem, welche Cookie-Einwilligung bzw. Privatsphäre-Einstellungen der Nutzer gewählt hat. Analytics Tools werden nur dann für speziell festgelegte Zwecke eingesetzt, wenn der Nutzer seine Einwilligung dafür gegeben hat. Was eigentlich wie ein Bruch der gültigen Rechtsnormen wirkt, hat in Wahrheit einen nützlichen und legalen Zweck.

Der Einwilligungsstatus des Nutzers wird von der Consent Management Platform (CMP) erfasst und dann von der Consent Mode API zur weiteren Verarbeitung an Google übermittelt. Es werden keine personenbezogenen Daten von Google gespeichert, sondern nur ein sogenannter „Cookieless Ping”, der je nach Tool verschiedene Informationen anonymisiert sendet. Informationen über die Einwilligungsentscheidungen der einzelnen Websitebesucher, z. B. die Erlaubnis zur Nutzung bestimmter Marketing-Tools werden dann nach einer entsprechenden Entscheidung der Nutzer an Google gesendet. Die Datenschutzeinstellungen der Nutzer werden bei jedem Schritt beibehalten.

DSGVO-Konformität zu gewährleisten ist kein Wettbewerbsvorteil, sondern eher eine Notwendigkeit zum Schutz von Benutzerdaten. E Die Medienberichterstattung fokussiert sich daher eher darauf, welche Folgen bei einer Nichteinhaltung gesetzlicher Auflagen wie der DSGVO im Netz zu erwarten sind. Allerdings führt DSGVO-Konformität, gerade bei Google, nicht immer zum gleichen Ergebnis. Je nach Einpflege der Google Tags ergibt sich ein Spielraum. Datenschutzkonformität kann zu einem Wettbewerbsvorteil führen. Daher wollen wir uns darauf konzentrieren, Ihnen zu erklären, wie Sie sich die Einschränkungen am Besten zu Nutze machen können.

Der Google Consent Mode ermöglicht mithilfe seiner Einbindung nicht nur datengesteuertes Marketing, sondern auch eine zukunftssichere und rechtssichere Lösung. Er verschafft Ihnen Vorteile gegenüber Konkurrenten, die ganz auf DSGVO-konformes Tracking verzichten, aber sogar darüber hinaus gegenüber denen, die das System Google Consent Mode nicht gänzlich richtig verstanden haben.

Das Wichtigste ist, dass Sie weiterhin maximal viele Daten über Ihre Nutzer sammeln können, um bessere Marketingentscheidungen treffen zu können und Ihre Werbeeinnahmen zu sichern. Gleichzeitig müssen Sie aber auch Datenschutzgesetze einhalten und sich auch an deren teils unüberschaubare und schnelle Entwicklung anpassen können. 

Der Google Consent Mode ermöglicht es Ihnen, 70% mehr Daten für Ihre Werbemaßnahmen zurückzugewinnen, die Sie eigentlich über „klassische” Einwilligungsprüfungen verlieren würden. Es können also Einblicke in das Nutzerverhalten und die Conversions auf Ihrer Seite erfasst werden, ohne dass der Nutzer seine Einwilligung gegeben hat. Dadurch sehen Sie deutlich akkuratere Ergebnisse in Ihrem Google Ads Konto oder Ihrer Analytics Property. Die Opt-In Rate und auch alle anderen KPIs können dadurch viel besser optimiert werden.

Dies scheint ein Bruch von Nutzervertrauen zu sein, weil persönliche Daten verwendet werden. Vertrauen zu Nutzern aufzubauen und zu erhalten, wird immer wichtiger für den Erfolg von Unternehmen. Dieses Vertrauen wird über Transparenz aufgebaut, für welche Zwecke Nutzerdaten verwendet werden sollen und gleichzeitig welche Daten auf welche Weise gesammelt werden. Wenn der Google Consent Mode richtig verwendet wird, kann die Datenqualität verbessert werden, während die Nutzerdaten bestmöglich geschützt sind. 

Der Google Tag Consent Mode hilft Website-Betreibern ihre Datenstrategie neu aufzustellen: weg von der massenhaften Erfassung von persönlichen Nutzerdaten hin zu einem dynamischen, einwilligungsbasierten System. Der Clou: Das Geschäftsmodell bleibt intakt, während gleichzeitig die Privatsphäre der Nutzer respektiert wird. 

Die Implementierung des Google Consent Mode mithilfe der Usercentrics CMP ist ganz einfach umzusetzen. Hier können Sie sich detailliert über die Implementierung informieren.  Bestandskunden und solche mit benutzerdefinierten Datenverarbeitungsdiensten sollten allerdings folgende Zusatzinformationen beachten:

✔ Passen Sie den bestehenden Google Tag Manager-Code an, indem Sie ein paar Zeilen Code oberhalb Ihres Google Tag Manager-Tags hinzufügen.

 ✔ Wenn Sie bereits Kunde sind, stellen Sie sicher, dass die Option „Google Consent Mode“ im Admin Interface der Usercentrics CMP aktiviert ist. 

✔ Für Neukunden ist der Google Consent Mode standardmäßig aktiviert.

✔ Wenn Sie kundenspezifische Datenverarbeitungsdienste (Customer Data Processing Services) im Einsatz haben, verwenden Sie die Usercentrics CMP-Events, um den Einwilligungsstatus über die Consent Mode API zu signalisieren.

Wir haben eine praktische neue Funktion entwickelt, um den Prozess der Aktivierung des Google Consent Mode in der Usercentrics CMP v2 zu automatisieren. Sie können ihn in zwei einfachen Schritten aktivieren. 

Die vollständige Dokumentation zur Implementierung der Google Consent Mode-Funktion finden Sie in diesem Dokument.

Ihre Website ist Ihre Visitenkarte. Wie eine Consent-Management-Plattform (CMP) helfen kann, das Kundenvertrauen zu stärken, erfahren Sie in unserem Whitepaper „Cookie-Einwilligungsmanagement gemäß der DSGVO für Unternehmen“.

Jetzt herunterladen

Die folgenden Google-Dienste unterstützen derzeit den Google Consent Mode:

Die Usercentrics CMP unterstützt den Google Consent Mode und damit auch dessen Verbindung zu den aufgelisteten Diensten. 

Für alle Unternehmen, die ein Google Produkt nutzen, das Cookies verwendet, ist der Consent Mode verpflichtend. Seit dem Digital Markets Act von 2023 kann Google dafür belangt werden, wenn in deren Servern unrechtmäßig gesammelte Daten zu finden sind. Das bedeutet, dass Google nun dafür verantwortlich ist, bei seinen Kunden die Einhaltung der DSGVO und ePrivacy Verordnung zu prüfen. 

Neben anderen Themen ist dieser Umstand einer der Hauptgründe für die Entwicklung des Consent Modes. Der Consent Mode gibt Google Informationen darüber, ob die jeweilige Seite Daten nur nach expliziter Einwilligung sammelt. Dabei ist es egal, ob man das Marketing- Cookie von Google Ads verwendet oder nur Statistiken mithilfe von Google Analytics 4 sammelt. Die Einwilligungspflicht für Cookies muss auch von Google überprüft werden. Seit Juli 2024 hat Google begonnen, bei ungenügender Implementierung des Consent Modes mit Kontosperrung bei Google Ads zu drohen.

Der Google Consent Mode ist keine eigene Consent Management Platform (CMP), sondern ergänzt nur deren Funktionalität.

Die Einholung der Einwilligung für die Verwendung der Google Technologien liegt in der Verantwortung der Website-Betreibern. Die Verwendung des Google Consent Mode setzt voraus, dass alle Websites eine voll funktionsfähige CMP-Software implementiert haben, um sicherzustellen, dass die Einwilligung der Nutzer auf granularer Ebene für jede Technologie erfasst wird. Die Google Analytics Einwilligung muss also über die CMP eingeholt werden. Wie diese Einwilligung verarbeitet wird, wird dann vom Google Consent Mode geregelt.

Durch die Verknüpfung der Consent Mode API mit der Usercentrics Consent Management Platform (CMP) können Advertiser anzeigen, ob der Nutzer seine Einwilligung zur Cookie-Nutzung für Anzeigen und/oder personalisierte Werbung gegeben hat. Die unterstützten Google-Tags respektieren dieses Signal und passen ihr Verhalten entsprechend an, indem die Verwendung von Cookies nur dann erfolgt, wenn die Einwilligung für die spezifischen Zwecke erteilt wurde. Der Google Consent Mode wird folglich über die CMP aktiviert. 

Webseitenbetreiber können den Advanced Google Consent Mode anstelle eines vorherigen Blockierens der Google-Tags verwenden. Dies hat den Vorteil, dass die Tags nicht komplett geblockt werden, wenn die Einwilligung nicht erteilt wurde. Stattdessen nutzt Google im Advanced Consent Mode ein Signal, um das Tag-Verhalten basierend auf den Einwilligungspräferenzen des Nutzers in der Usercentrics CMP anzupassen. Auf diese Weise können auch anonymisierte Daten gesammelt werden, die nicht unter die DSGVO fallen, für die aber das Laden des Google Tags notwendig ist. Beim Basic Consent Mode werden Daten nur nach vollständiger Einwilligung übermittelt.

Entscheidet sich der Nutzer beispielsweise dafür, den Einsatz bestimmter Marketing-Technologien abzulehnen, reagiert der Google Consent Mode auf Basis dieses Einwilligungsstatus und zeigt nur noch rein kontextbezogene Werbung auf der Website an, ohne personenbezogene Daten zu verwenden.

Datenschutz-Konformität ist mehr als eine gesetzliche Anforderung. Sie kann auch ein deutlicher Wettbewerbsvorteil sein. Um herauszufinden, wie Sie Ihre Opt-in-Rate mit der Usercentrics CMP erfolgreich steigern können, laden Sie sich unser kostenloses Whitepaper zur Opt-in-Optimierung herunter.

Jetzt herunterladen

Warum benötigen Website-Betreiber überhaupt die Einwilligung, um personenbezogene Daten zu verarbeiten?

Website-Betreiber, die Cookies oder andere Tracking-Technologien für Marketingzwecke auf ihrer Website verwenden möchten, um personenbezogene Daten von Website-Besuchern aus der EU zu verarbeiten, benötigen hierfür laut Datenschutz-Grundverordnung (DSGVO) die Einwilligung ihrer Nutzer. 

Wie genau diese Einwilligung aussehen muss, erfahren Sie in unserem Artikel  „7 Kriterien einer DSGVO-konformen Einwilligung”. Dieser Artikel enthält auch Tipps zur konkreten Umsetzung, um DSGVO-Konformität zu erreichen.


Online-Konsumenten werden sich immer bewusster, dass ihre Daten im Netz erfasst werden. Selbst wenn die Daten datenschutzkonform und rechtlich sauber verarbeitet werden, sollte die Kommunikation darüber, wann welche Daten gesammelt oder verwendet werden, immer transparent kommuniziert werden. Nur so kann das Vertrauen der Nutzer aufgebaut und vor allem auch gehalten werden.  

Mit dem proaktiven Einsatz eines Systems, das auf Einwilligung basiert, haben Unternehmen einen Wettbewerbsvorteil. Eine Consent Management Platform, die sich dem Google Consent Mode bedient, erfüllt diese Bedingung. Denn sie können ihre Marketingstrategie aufgrund von intelligenten, datengesteuerten Entscheidungen weiterentwickeln, anstatt sich in dem Versuch zu verzetteln, das Thema Compliance zu umgehen und Abmahnungen zu riskieren.

Der Google Consent Mode wurde speziell für Website-Betreiber entwickelt, die die Nutzereinwilligung NICHT im Rahmen des IAB Transparency and Consent Framework (TCF) mit ihrer Consent Management Platform (CMP) einholen.
Bei Unternehmen, die das TCF 2.0 aktiv nutzen, respektieren und lesen die Google Tools weiterhin den IAB TC String aus.

Erteilt ein Nutzer keine Einwilligung zum Tracking über Google Analytics 4, werden laut Google alle Daten anonymisiert. Das bedeutet, die Daten werden ohne Zuordnung zu einer Client-ID und nur auf aggregierter Ebene erfasst. Die Zahlen, die aus einer Sitzung auf einer Webseite hervorgehen, sind somit nicht mehr einer Person zuzuordnen. Es handelt sich also theoretisch nicht mehr um personenbezogene Daten, die unter der DSGVO geschützt werden müssen. 

Genauso verhält es sich mit Werbe-Cookies. Wenn im Consent Mode Google Ads Daten anonymisiert werden, dann sind auch diese nicht mehr personenbezogen. Die Theorie der „Datenrettung” über den Consent Mode liegt folglich darin, dass Google die Daten von Ihrer Personenzuordnung lösen kann und sie somit auch dem rechtlichen Schutz entzieht. 

Ob der Einsatz dieser Technologien allerdings wirklich ohne Nutzereinwilligung erfolgen sollte, darüber sind Juristen geteilter Meinung.

Laut der Orientierungshilfe für Anbieter von Telemedien, der DSK, kann Reichweitenmessung durchaus ein berechtigtes Interesse des Websitebetreibers darstellen. Hier gilt allerdings immer das Gebot der Interessenabwägung (Websitebetreiber vs. Websitenutzer). Wenn beispielsweise keine personenbezogenen Daten an Dritte, wie z. B. Google, insbesondere nicht zur Verwendung für eigene Zwecke, weitergegeben werden, könnte berechtigtes Interesse vorliegen.

Da bei den meisten Interaktionen mit Websitebesuchern allerdings die IP-Adresse übermittelt wird, die laut BGH unter personenbezogene Daten fällt, ist eine vollkommen anonyme Interaktion im Regelfall nicht möglich.

⇨ Um völlig auf die Nutzereinwilligung verzichten zu können, muss ein Websitebetreiber also technisch sicherstellen, dass eine anonyme Interaktion möglich ist. 

Warum sich eine explizite Nutzereinwilligung positiv auf die Beziehung von Datenschutz und Marketing auswirkt

Advertiser können mit dieser Funktion von Google also weiterhin Conversions messen und mittels Google Analytics wichtige Analyseeinblicke erhalten. Die Verarbeitung durch Google Analytics  kann dazu DSGVO-konform sein, wenn dies auf Basis der Nutzereinwilligung geschieht. Mit dem Google Consent Mode schlägt Google also eine Brücke zwischen dem Schutz der Datenhoheit der Nutzer im Internet und den Interessen der Werbewirtschaft.

Datengetriebene Geschäftsmodelle können so auch in Zukunft noch funktionieren – und zwar nicht auf Kosten der Privatsphäre der Nutzer, sondern mit deren ausdrücklicher Einwilligung.

Der einfachste Weg, eine granulare, DSGVO-konforme Nutzereinwilligung für den Einsatz von Cookies und andere Tracking-Technologien einzuholen, ist eine Consent Management Platform – kurz CMP. Mit einem Cookie Banner (auch Consent Banner genannt) zur Einwilligung wird dem Nutzer hier die Möglichkeit gegeben, seine Präferenzen in Bezug auf die Privatsphäre wie Anbieter, Zweck, Dauer und mehr detailliert festzulegen und so dem Einsatz bestimmter Technologien per Opt-in zuzustimmen.

Durch die vollständige Anpassbarkeit der Usercentrics CMP kann zudem das Cookie Banner zur Einwilligung kontinuierlich optimiert werden, um die Opt-in Rate zu steigern. Gleichzeitig wird das Vertrauen der Nutzer aufgrund der transparenten Datenschutzstrategie gesteigert.

Je höher die Opt-in Rate, desto mehr Daten stehen für Marketingzwecke zur Verfügung – was sich wiederum positiv auf Ihre Werbeeinnahmen auswirkt. Werbestrategien und Werbemaßnahmen können viel besser ausgewertet und damit auch optimiert werden.

In einer Zeit, in der durch die neuen Regelungen „wahre” Daten immer schwerer zu erfassen sind, bietet das Zusammenspiel aus einer Consent Management Platform und dem Google Consent Mode einen wirklichen Wettbewerbsvorteil. Es muss allerdings darauf geachtet werden, dass dieses Zusammenspiel richtig umgesetzt wird, denn nur dadurch wird das Tracking auch datenschutzkonform.

Google Consent Mode
Google Consent Mode

Mit dem Consent Mode hat Google eine Lösung für Advertiser bereitgestellt, um das Verhalten von Google-Tags auf ihrer Website basierend auf dem Einwilligungsstatus der Nutzer anzupassen.

Usercentrics ermöglicht eine schnelle und einfache Umsetzung dieser Technologie. Durch die Kopplung der Consent Mode API mit der Usercentrics Consent Management Platform (CMP) und dem damit eingebundenen Consent Banner, können Advertiser schnell und effizient erfassen, ob ein Nutzer sein Einverständnis für eine bestimmte Google Technologie geben möchte. Die unterstützten Google-Tags erkennen die Informationen zum Einwilligungsstatus. Sie respektieren dieses Signal und passen ihr Verhalten entsprechend an, indem sie Cookies nur dann verwenden, wenn die Einwilligung für diese spezifischen Zwecke erteilt wurde.

Die Implementierung des Google Consent Mode mit der CMP-Lösung von Usercentrics erfolgt in einem einzigen Schritt und ist dabei, wie schon erwähnt, denkbar einfach.

⇨ Mit der Kombination aus der Usercentrics CMP und dem Google Consent Mode sind sie allen rechtlichen und technologischen Anforderungen immer einen Schritt voraus – und können sich so ganz entspannt auf Ihr Kerngeschäft konzentrieren.

Wie Sie ihre Website mit der Usercentrics CMP datenschutzkonform (DSGVO, CCPA, LGPD) gestalten und dabei möglichst hohe Consent-Raten erzielen, erklären wir Ihnen gerne in einem persönlichen Gespräch – kostenfrei und unverbindlich.

JETZT GESPRÄCH VEREINBAREN

Alle aktuellen Infos zum Google Consent Mode finden Sie hier in der Google Analytics-Hilfe.

Bis spätestens 6. März 2024 müssen die im Rahmen des Digital Markets Act bzw. des Gesetzes über digitale Märkte (DMA) benannten „Gatekeeper“ die Anforderungen des DMA-Gesetzes für ihre bestimmten zentralen Plattformdienste erfüllen. Ansonsten riskieren sie hohe Geldstrafen.

Doch das Datum ist nicht nur für diese großen Tech-Unternehmen von Bedeutung. Auch Unternehmen, die auf den digitalen Märkten der Europäischen Union (EU) und/oder des Europäischen Wirtschaftsraums (EWR) tätig sind, müssen sich auf das Gesetz über digitale Märkte (DMA) vorbereiten. Nur so können sie die zentralen Plattformdienste ohne Unterbrechung weiterhin nutzen.

Erfahren Sie hier mehr zum EU Digital Markets Act (DMA)

In diesem Artikel untersuchen wir, für wen der Digital Markets Act (DMA) gilt, welche rechtlichen Verpflichtungen dadurch auferlegt werden und wie betroffene Unternehmen sich auf das DMA-Gesetz vorbereiten können.

Rechtliche Verpflichtungen gemäß dem Gesetz über digitale Märkte (DMA)

Es muss beachtet werden, dass sich das Gesetz über digitale Märkte (DMA) direkt an Gatekeeper richtet, die aktiv daran arbeiten müssen, die von der Europäischen Kommission beschlossenen Anforderungen zu erfüllen. Das bedeutet jedoch nicht, dass gewerbliche Nutzer fein raus sind. Das DMA-Gesetz betrifft auch Unternehmen, die Plattformen und Dienste von Gatekeepern nutzen, um Daten von Nutzern aus der EU und/oder dem EWR zu erheben und zu verarbeiten.

Die DMA-Vorschriften zum Datenschutz haben eine große Reichweite und betreffen somit nicht nur die Plattformen, sondern auch alle auf den Plattformen erfassten personenbezogenen Daten. Außerdem haben Gatekeeper oftmals ihre eigenen Nutzungs- oder Vertragsbedingungen, die die Unternehmen einhalten müssen, wenn sie deren Plattformen nutzen. Diese Bedingungen können ebenfalls auf die DMA-Anforderungen bezüglich Transparenz und Datenschutz ausgerichtet sein. Zudem haben die Europäische Union und ihre Mitgliedstaaten andere Datenschutzgesetze, die ebenfalls beachtet werden müssen, wie die Datenschutz-Grundverordnung (DSGVO).

Das bedeutet, dass Unternehmen, die zentrale Plattformdienste nutzen, es sich nicht leisten können, nur als passive Zuschauer am Rande zu stehen. Vielmehr müssen sie ihre eigenen Verfahren und Richtlinien mit dem Gesetz über digitale Märkte (DMA) in Einklang bringen. Dies ist ein notwendiger Schritt für alle Unternehmen, die diese Dienste ohne rechtliche Schwierigkeiten oder den Verlust des Plattformzugriffs weiterhin nutzen möchten.

Zwar gibt es verschiedene Pflichten, die den Gatekeepern im Rahmen des DMA-Gesetzes auferlegt wurden. Jedoch könnten die folgenden direkte Auswirkungen auf Unternehmen haben, die die zentralen Plattformdienste nutzen, und ihnen vorschreiben, wie sie im Rahmen des Gesetzes über digitale Märkte (DMA) vorgehen müssen.

Partner finden

Ausdrückliche Nutzereinwilligungen zur Erfassung von personenbezogenen Daten

Das Gesetz über digitale Märkte (DMA) erlegt den Gatekeepern für die Erfassung personenbezogener Daten strenge Kontrollen auf und schreibt dafür die Einholung der entsprechenden Einwilligung der Nutzer vor. Artikel 2 Absatz 32 des Gesetzes liefert die Definition von Nutzereinwilligung im Einklang mit der Definition nach der DSGVO:

„Einwilligung der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.“

Die Einwilligung im Rahmen des Gesetzes über digitale Märkte (DMA) muss deshalb vier Schlüsselkriterien erfüllen: Sie muss freiwillig für einen bestimmten Zweck, in informierter Weise und unmissverständlich erteilt werden.

Freiwillig erteilt: Die Einwilligung wird freiwillig erteilt, wenn die jeweilige Person die freie Wahl dazu hat, nicht unter Druck gesetzt wird, nicht gezwungen wird und nicht manipuliert wird, um die Einwilligung zu erteilen; außerdem darf die Person nicht bestraft oder benachteiligt werden, wenn sie die Einwilligung nicht gibt. Die Einwilligung darf keine Voraussetzung für den Zugriff auf einen Dienst oder ein Produkt sein, es sei denn, die Verarbeitung personenbezogener Daten ist erforderlich, damit dieser Dienst oder dieses Produkt funktionieren. Das Verfahren zum Widerruf der Einwilligung muss genauso einfach sein wie die Erteilung der Einwilligung, sodass sich die Person ganz einfach wieder umentschieden kann.

Für einen bestimmten Zweck: Es liegt kein bestimmter Zweck vor, wenn eine Person einer vagen oder zu breiten Datenerfassung zustimmt. Eine für einen bestimmten Zweck erteilte Einwilligung bedeutet, dass die Nutzer jedem einzelnen Zweck zustimmen müssen, für den ihre personenbezogenen Daten erhoben und verarbeitet werden. Außerdem müssen sie Zugriff auf die Informationen zu jedem einzelnen Zweck haben, um diese Entscheidung zu treffen. Wenn beispielsweise ein Unternehmen die Daten einer Einzelperson für Werbe- und Analytics-Zwecke verarbeiten möchte, so muss eine gesonderte Einwilligung für jeden dieser Zwecke eingeholt werden. Wenn ein Unternehmen die Daten später für einen anderen Zweck nutzen möchte, muss eine neue, gesonderte Einwilligung eingeholt werden, die sich genau auf diese neue Verwendung bezieht.

In informierter Weise: Eine Einwilligung wird dann in informierter Weise eingeholt, wenn die Nutzer vor einer Entscheidung über alle relevanten Informationen verfügen. Dies umfasst das Wissen, welche Daten erfasst werden, für welche Zwecke die Daten verwendet werden und wer Zugriff auf diese Daten haben wird. Die Nutzer müssen ebenfalls über ihr Recht zum jederzeitigen Widerruf ihrer Einwilligung und die Folgen eines solchen Widerrufs informiert werden.

Unmissverständlich: Es sollte keinen Spielraum für Interpretationen geben: Die Einwilligung ist unmissverständlich, wenn der Nutzer der Datenverarbeitung klar zugestimmt hat. Üblicherweise ist dies der Fall, wenn der Nutzer eine Handlung vornimmt, wie das Aktivieren einer Checkbox oder das Anklicken eines Buttons mit der Bezeichnung „Ich stimme den Bedingungen zu“. Schweigen, Inaktivität, Scrollen oder vorausgewählte Felder stellen keine unmissverständliche Einwilligung dar.

Wenn die Einwilligung die vorstehenden Bedingungen erfüllt, ist sie eine eindeutige bestätigende Handlung gemäß dem Gesetz über digitale Märkte (DMA) und der DSGVO.

Inwiefern betrifft die Einholung einer ausdrücklichen Einwilligung die Unternehmen, die zentrale Plattformdienste nutzen?

Unternehmen, die personenbezogene Daten von Nutzern in der EU und/oder im EWR erheben und verarbeiten, müssen eine gültige und ausdrückliche Einwilligung der Nutzer einholen. Wenngleich sich die Verpflichtungen und Strafen nach dem DMA-Gesetz an Gatekeeper richten, dürfen die Unternehmen ihre eigenen Methoden der Datenerfassung nicht außer Acht lassen. Wird keine gültige Einwilligung eingeholt, so besteht nicht nur das Risiko, den Zugriff auf die zentralen Plattformdienste zu verlieren. Auch drohen in solch einem Fall Geldstrafen nach der DSGVO und anderen Gesetzen.

Beschränkungen bei der Zusammenführung von Daten für Profiling-Zwecke

Der Digital Markets Act (DMA) hat strenge Anforderungen, wenn es darum geht, Nutzerdaten zwischen den verschiedenen von Gatekeepern betriebenen Plattformen sowie zwischen den Gatekeeper-eigenen Plattformen und Plattformen Dritter zusammenzuführen.

Artikel 5 Absatz 2 des Digital Markets Act (DMA besagt ausdrücklich, dass es Gatekeepern untersagt ist:

außer wenn dem Endnutzer die spezifische Wahl gegeben wurde und er gemäß der DSGVO eingewilligt hat.

Das Ziel hier ist es, zu verhindern, dass die Gatekeeper einen unfairen Vorteil erlangen, indem sie Nutzerdaten aus verschiedenen Quellen zusammenführen. Ein weiteres Ziel besteht darin, die Privatsphäre der Nutzer zu schützen.

Diese Bestimmung beschränkt die Fähigkeit der Gatekeeper und dritter Unternehmen, die Daten auf verschiedenen Plattformen zu nutzen, um Kundenprofile für gezielte Werbung zu erstellen. Bei Minderjährigen ist das Profiling gemäß der DSGVO bereits verboten.

Allerdings verbietet der Digital Markets Act (DMA) nicht das Profiling insgesamt, und die Gatekeeper müssen offen darlegen, wie sie das Nutzer-Profiling vornehmen. Sie müssen geprüfte Informationen darüber bereitstellen, welche Daten sie für das Profiling erheben, wie sie sie verarbeiten, wofür sie verwendet werden, wie lange sie gespeichert werden sowie welche Auswirkungen das Profiling auf die Dienste der Gatekeeper hat.

Wichtig anzumerken ist dabei, dass die Gatekeeper ebenfalls aufzeigen müssen, wie sie die Nutzer auf das Profiling aufmerksam machen und wie sie die Einwilligung von den Nutzern einholen. Außerdem müssen sie den Nutzern die Möglichkeit bieten, die Einwilligung in die Datenerfassung und -verwendung für Profiling-Zwecke zu verweigern oder zu widerrufen. Personenbezogene Daten von Nutzern, die die Einwilligung verweigern oder widerrufen, dürfen nicht für Profiling-Zwecke verwendet werden.

Inwiefern betreffen Beschränkungen bei der Zusammenführung von Daten für Profiling-Zwecke Unternehmen, die zentrale Plattformdienste nutzen?

Unternehmen dürfen Nutzerdaten von verschiedenen Plattformen ohne die ausdrückliche Einwilligung des jeweiligen Nutzers für die konkrete Art der Datenweitergabe nicht zu Profiling-Zwecken zusammenführen – auch nicht, wenn es sich bei diesen Plattformen um Dienste Dritter handelt.

Das bedeutet, dass die Unternehmen über geeignete Systeme verfügen müssen, damit die von verschiedenen Plattformen erfassten Daten getrennt bleiben. Im Wesentlichen schreibt das Gesetz über digitale Märkte (DMA) einen transparenteren und getrennten Datenmanagement-Ansatz für alle Beteiligten vor.

Der letztgenannte Punkt ist vor allem angesichts der DMA-Anforderungen zur Interoperabilität wichtig. Gatekeeper müssen es den Nutzern ermöglichen, zwischen verschiedenen Diensten zu wechseln, einfach auf ihre Daten zuzugreifen und sie zu übertragen und die Kompatibilität und Integration mit anderen Plattformen oder Diensten zu gewährleisten. Unternehmen und Advertiser mit Zugriff auf Nutzerdaten von verschiedenen Plattformen dürfen diese Daten nicht ohne eine gültige Einwilligung der Nutzer für Profiling-Zwecke verwenden.

Risiken bei Verstößen gegen das Gesetz über digitale Märkte (DMA)

Das Gesetz über digitale Märkte (DMA) reguliert die Gatekeeper, und es sind keine Geldstrafen für andere Unternehmen vorgesehen, die die Anforderungen des Gesetzes nicht erfüllen. Allerdings drohen den Unternehmen Konsequenzen, die die Nutzerdaten nicht in Übereinstimmung mit den Anforderungen verarbeiten.

Eine Nichteinhaltung kann dazu führen, dass der Zugriff auf die zentralen Plattformdienste eingeschränkt oder komplett entzogen wird. Wobei zu beachten ist, dass diese zentralen Plattformdienste oftmals wichtige Kanäle für Unternehmen sind, um mit potenziellen Kunden in Kontakt zu bleiben und um den Umsatz und die Werbeeinnahmen zu steigern. Unternehmen können ihren Zugriff auf die Daten und den Zugang zu ihrer Zielgruppe verlieren, was zu Umsatzeinbußen führen würde.

Eine weitere, aber gleichermaßen dringende Sorge ist die Rufschädigung. Wenn die Datenschutzregeln des DMA-Gesetzes nicht eingehalten werden, kann dies das Kundenvertrauen untergraben. Die Folgen können geringere Conversion Rates, Kundenabwanderung und Umsatzeinbußen sein.

So können sich Unternehmen auf das Gesetz über digitale Märkte (DMA) vorbereiten

Wenn Unternehmen den Digital Markets Act (DMA) verstehen und wissen, wie er sich auf den Betrieb und die angebotenen Dienstleistungen auswirkt, können sie ihre personellen und finanziellen Ressourcen entsprechend zur Einhaltung der Vorschriften einsetzen. Dadurch können die Unternehmen sowohl die Rechtssicherheit als auch ein möglichst großes Kundenvertrauen sicherstellen.

Bei der Vorbereitung auf den Digital Markets Act (DMA) müssen Unternehmen sicherstellen, dass die Einwilligung der Nutzer gemäß der DSGVO und der ePrivacy-Richtlinie erhoben wird und dass die Präferenzen der Nutzer an Websites oder Apps signalisiert werden.

Einholung einer gültigen Nutzereinwilligung mit einer Consent Management Platform

Voraussetzung für eine gültige Nutzereinwilligung ist eine eindeutige, einfach abrufbare Datenschutzrichtlinie, in der erläutert wird, welche Daten erfasst werden, wie die Daten verwendet werden und wer auf sie zugreifen kann.

Consent-Banner müssen zudem einen leicht verständlichen Wortlaut haben und Auskunft darüber geben, welche Daten für welchen Zweck erfasst werden. Diese Banner müssen auf eine freiwillige Einwilligung (Opt-in) ausgerichtet sein, die nicht durch Manipulation oder irreführende Formulierungen zustande kommt.

Unternehmen, die einen optimierten Ansatz für die Verwaltung dieser Einwilligungsanforderungen suchen, können auf eine Consent Management Platform (CMP) wie die Usercentrics CMP zurückgreifen. Usercentrics ist ein Google Consent Mode zertifizierter CMP-Partner, und die CMP unterstützt Unternehmen dabei, gültige Nutzereinwilligungen einzuholen und zu dokumentieren, um die gesetzlichen Anforderungen zu erfüllen. Dadurch können Unternehmen die Gesetze besser einhalten, Geldstrafen vermeiden und das Kundenvertrauen aufrechterhalten. Die Usercentrics CMP lässt sich in viele gängige Content Management-Systeme integrieren und vereinfacht so das Setup.

Möchten Sie eine CMP nutzen, um sich auf den Digital Markets Act (DMA) vorzubereiten? Starten Sie Ihre kostenlose 30-tägige Testversion für die Usercentrics CMP.

Durchführung regelmäßiger Datenschutz-Audits und Compliance-Kontrollen

Ein systematischer Zeitplan für interne Audits hilft bei der Einhaltung der sich weiterentwickelnden DMA- und anderer einschlägiger Vorschriften. Der Schwerpunkt dieser Audits sollte auf den Datenschutz-Folgenabschätzungen liegen, um genau bewerten zu können, wie die Nutzerdaten im Rahmen des Gesetzes über digitale Märkte (DMA) verarbeitet, gespeichert und weitergegeben werden.

Gleichermaßen wichtig ist die Bewertung der Datenpraktiken externer Partner und Lieferanten. Wenn diese mit Daten aus einer Plattform des Unternehmens arbeiten, müssen deren Verarbeitungsrichtlinien ebenfalls auf die Gesetze abgestimmt sein. Ein Versäumnis seitens der Unternehmen kann Auswirkungen auf die Geschäftsbeziehung sowie mögliche rechtliche Konsequenzen haben. Viele Datenschutzgesetze schreiben vor, dass Verträge mit Dritten, die Daten verarbeiten, Pflichten zur Datenauskunft, zum Datenschutz und zur Datenverwendung enthalten müssen.

Unser kostenloses Tool zeigt Ihnen, welche Cookies und Tracking-Technologien Nutzerdaten erheben.

Jetzt Website scannen

Umstellung auf Permission Marketing

Unternehmen müssen ihre bestehenden Marketingstrategien aufgrund der strengen Anforderungen des Digital Markets Act (DMA) zum Nutzer-Profiling und zu Beschränkungen beim Retargeting erneut überprüfen. Anstatt auf das Targeting basierend auf zusammengeführten Nutzerdaten zu setzen, sollten Unternehmen auf Permission Marketing setzen und andere Strategien erkunden, wie zum Beispiel Contextual Advertising.

Diese Umstellung vom nutzerspezifischen Targeting auf Kontext entspricht mehr der DMA-Anforderung zur Einholung einer ausdrücklichen Nutzereinwilligung für die Datennutzung. Außerdem bietet es Unternehmen eine Möglichkeit, um wirksame Werbestrategien ohne Gefährdung des Nutzervertrauens aufrechtzuerhalten. Permission Marketing schützt die Privatsphäre der Nutzer und ermöglicht eine transparentere Interaktion zwischen dem Unternehmen und dem Verbraucher. Dies wiederum kann zu soliden und vertrauensvollen Markenbeziehungen führen.

Aufbau eines soliden Datenmanagement-Ansatzes

Unternehmen, die Nutzerdaten auf verschiedenen Plattformen erfassen, sollten Datenmanagement-Strategien priorisieren, die die Privatsphäre der Nutzer schützen und die verschiedenen Gesetze einhalten. Jeder Schritt des Datenlebenszyklus – Erfassung, Speicherung, Verwendung und Löschung – muss geprüft werden, um sicherzustellen, dass die personenbezogenen Daten geschützt sind und nicht unnötigerweise an Dritte oder andere unbefugte Personen oder Unternehmen weitergegeben werden. Unternehmen müssen ebenfalls sicherstellen, dass Daten von verschiedenen Plattformen nicht zu Profiling-Zwecken oder für gezielte Werbung zusammengeführt werden.

Vorteile, die sich durch die Ausrichtung auf das Gesetz über digitale Märkte (DMA) innerhalb des Unternehmens ergeben

Das Einvernehmen im Unternehmen über die Vorbereitung auf das Gesetz über digitale Märkte (DMA) ist ein kraftvolles Instrument, um das DMA-Gesetz zu einem Teil des geschäftlichen Alltags zu machen und das Risiko von Verstößen gegen seine Anforderungen zu verringern.

Abteilungen mit Kontakt zur Öffentlichkeit, wie Marketing, Sales und Customer Success, die eine einheitliche Botschaft hinsichtlich der Ausrichtung mit dem Gesetz über digitale Märkte (DMA) vermitteln, stärken die Verpflichtung des Unternehmens zur Wahrung der Privatsphäre der Nutzer, zu ethischen Praktiken und zur Einhaltung der Vorschriften.

Um dies zu erreichen, benötigen die internen Teams ein umfassendes Training. Nur so können sie verstehen, wie die DMA-Vorschriften eingehalten werden können, und haben DMA-spezifische Argumente für Treffen mit Kunden und Verkaufspräsentationen parat.

Registrieren Sie sich und erhalten Sie eine kostenlose 30-tägige Testversion der Usercentrics CMP

Testversion starten

Google-Checkliste: Ihr Compliance-Toolkit für die neuen Einwilligungsanforderungen in der Schweiz

Da Google seine Richtlinie zur EU-Nutzereinwilligung auf die Schweiz ausweitet, ist es für Schweizer Unternehmen unerlässlich, informiert zu bleiben, um erstmalig bzw. dauerhaft die Vorschriften einzuhalten. Unsere exklusive Checkliste bietet klare Anleitungen und Tipps, die Ihnen dabei helfen, die neuen Anforderungen zu verstehen. Außerdem bietet sie umsetzbare Schritte, damit Sie noch vor der Frist am 31. Juli 2024 die Erfüllung der Anforderungen gewährleisten können.

Für wen diese Checkliste gedacht ist:

Warum Sie unsere Google-Checkliste herunterladen sollten

❓Welche Frist hat Google gesetzt?

✅ Die Anforderungen treten am 31. Juli 2024 in Kraft.

❓Für welche Regionen gelten die Anforderungen?

✅ Für in der Schweiz wohnhafte Online-Nutzer, an die Unternehmen Werbung richten.

❓Was sind die neuen Anforderungen?

✅ Unternehmen, die Anzeigen- und/oder Monetarisierungsprodukte von Google nutzen, sind verpflichtet, von Schweizer Nutzern die Einwilligung für die Nutzung von Cookies oder anderem lokalen Speicher einzuholen, sofern dies gesetzlich vorgeschrieben ist, außerdem für die Erfassung, Weitergabe und Nutzung personenbezogener Daten zur Anzeigenpersonalisierung.

❓Gelten die neuen Anforderungen für alle Publisher und Advertiser, die sich an den Datenverkehr in der Schweiz richten?

✅ Nein. Die neuen Google-Einwilligungsanforderungen in der Schweiz umfassen die verpflichtende Nutzung einer Google-zertifizierten CMP, die das Transparency and Consent Framework (TCF) für Publisher voll unterstützt.

✅ Für Advertiser, die ihre Plattform nicht mit digitalen Anzeigen monetarisieren, besteht die einzige Anforderung darin, eine Einwilligung von Schweizer Nutzern einzuholen, sofern rechtlich erforderlich.

❓Welche Anforderungen gelten gemäß der Google-Richtlinie zur EU-Nutzereinwilligung für verifizierbare Einwilligungen?

✅ Die Richtlinie basiert auf bestehenden Anforderungen aus Verordnungen wie dem Schweizer Bundesgesetz über den Datenschutz (DSG) und ist vereinbar mit der Datenschutz-Grundverordnung (DSGVO).

Die wichtigsten Anforderungen für Dritte, die Google-Dienste nutzen, lauten wie folgt:

❓Für welche Google-Dienste gelten die Anforderungen?

✅ Für die Werbeplattformen oder -dienste von Google wie etwa AdSense, AdMob, Ad Manager, Google Ads, Google Analytics oder die Google Marketing Platform.

✅ Funktionen zur Anzeigenpersonalisierung auf diesen Plattformen.

❓Ich bin ein Publisher. Was muss ich tun, um die Anforderungen zu erfüllen?

✅ Implementieren Sie eine Google-zertifizierte Consent Management Platform (CMP) für das TCF, wie etwa die Usercentrics CMP.

✅ Aktivieren Sie das Transparency and Consent Framework (TCF) (V2.2) in Ihrer CMP.

✅ Verwenden Sie Ihre CMP, um von den Nutzern die vorherige Einwilligung einzuholen, um ihre personenbezogenen Daten für Werbezwecke erfassen zu können.

✅ Denken Sie über die Implementierung der neuesten Version von Google Consent Mode nach, um von weiteren Marketingvorteilen zu profitieren.

❓Ich bin ein Advertiser. Was muss ich tun, um die Anforderungen zu erfüllen?

✅ Die Einwilligung von Nutzern in der Schweiz einholen, sofern rechtlich erforderlich.

💡 Noch müssen Sie kein verifiziertes Einwilligungssignal für Schweizer Datenverkehr über den Google Consent Mode senden – eine Anforderung, die für EU-/EWR-Zielgruppen gilt – aber dies kann sich in Zukunft ändern.

❓Wie hole ich gültige Einwilligungen mithilfe der Usercentrics CMP ein?

✅ Beginnen Sie mit einer der benutzerfreundlichen Vorlagen der Usercentrics CMP, oder passen Sie Ihr Bannerdesign und Ihre Inhalte vollständig an.

✅ Richten Sie die CMP für alle Verordnungen ein, die für Ihr Unternehmen relevant sind.

✅ Das Consent-Banner der Usercentrics CMP ermöglicht es Nutzern von Websites, ihre Einwilligungspräferenzen für die Verwendung ihrer personenbezogenen Daten mit nur einem Klick festzulegen.

✅ Website-Nutzer können ihre Einwilligung auch jederzeit widerrufen oder ihre Präferenzen aktualisieren.

✅ Die Einwilligungsinformationen werden für den Fall eines Audits oder einer DSAR-Anfrage sicher gespeichert.

❓Wie ist die Usercentrics CMP in IAB TCF 2.2 integriert?

Die Usercentrics CMP ist durch ein zusätzliches Feld im Consent-Banner der bei IAB registrierten Websites in das IAB Transparency and Consent Framework 2.2 integriert. In den Anzeigeneinstellungen können die Endnutzer zwischen IAB-Zwecken und Anbietern auswählen, bevor sie zustimmen.

Wie richten Sie die Usercentrics CMP mit Google Consent Mode ein?

  1. Erstellen Sie ein Konto und fügen Sie Ihre Domain hinzu.
  2. Wählen Sie Ihr Banner aus und passen Sie es an.
  3. Implementieren Sie den Code in Ihre Website. Fertig!

Detaillierte Anweisungen zum Einrichten und Implementieren des Usercentrics Consent-Banners mit integriertem und aktiviertem IAB TCF 2.2 erhalten Sie in unserer Dokumentation.

❓Beinhalten die neuen Anforderungen die Implementierung des Google Consent Mode V2?

✅ Aktuell nicht.

✅ Sie sollten die Implementierung von Consent Mode V2 zwecks weiterer Marketingvorteile in Erwägung ziehen, wie etwa Analytics und Conversion-Modellierung. Dies hilft Ihnen auch, den Verlust von Marketingdaten wegen abgelehnter Nutzereinwilligungen zu vermeiden.

Holen Sie sich die Usercentrics CMP, um die neuen CMP-Anforderungen von Google in der Schweiz zu erfüllen

Durch die Nutzung der Usercentrics CMP IAB Framework Integration (TCF V2.2) als Ihre Consent Management Platform können Sie dafür sorgen, dass Sie die neuen Einwilligungsanforderungen von Google für den Datenverkehr in der Schweiz erfüllen.

Mit der Usercentrics CMP können Advertiser und Publisher durchgehend eine datenschutzkonforme Datenerfassung und Datenverarbeitung sicherstellen.

Auf Ihrer Website oder App, mit unserem Mobile App CMP SDK

Starten Sie jetzt Ihre kostenlose 30-tägige Testversion

Wie definiert die DSGVO personenbezogene Daten?

Gleich zwei Gesetzesverordnungen regeln in Deutschland den Umgang mit personenbezogenen Daten. Das ist zum einen das Bundesdatenschutzgesetz (BDSG) und zum anderen die europaweit geltende DSGVO. Beide Verordnungen definieren den Begriff der personenbezogenen Daten gleichermaßen: Personenbezogene Daten sind „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“ (Art. 4 Abs.1 DSGVO oder Art. 46 Abs. 1 BDSG). Dazu gehören zum Beispiel Name, Adresse, Telefonnummer oder E-Mail-Adresse. Die Daten müssen also einen Personenbezug haben. Genauer schreibt der Gesetzgeber, dass eine Person identifizierbar ist, wenn diese „direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.”

Aber auch weniger offensichtliche Informationen wie IP-Adressen, Kundennummern oder Cookies können personenbezogene Daten sein. Unternehmen müssen daher darauf achten, dass sie alle von ihren Kunden und Nutzern erhobenen personenbezogenen Daten im Einklang mit der DSGVO schützen. Jegliche Daten mit Personenbezug sind daher mit besonderer Vorsicht zu verarbeiten.

Auch andere Länder haben eigene Gesetze zum Datenschutz, etwa die Schweiz mit dem Bundesgesetz über den Datenschutz (DSG) oder Brasilien mit dem LGPD.

Was sind Beispiele für personenbezogene Daten?

Fast alle Informationen, die eine Person direkt betreffen, können personenbezogene Daten sein. Wenn sie dazu genutzt werden, eine Person zu identifizieren, werden sie durch diesen Personenbezug automatisch zu personenbezogenen Daten. Auch hier gibt uns die DSGVO eine genaue Definition, wobei eine abschließende Zusammenfassung aufgrund der Vielzahl an unterschiedlichen Daten nur schwer möglich ist. Nachfolgend eine Liste samt Beispielen, die einen ersten Eindruck geben soll, was unter personenbezogene Daten fällt.

Allgemeine Kategorien für personenbezogene Daten können zum Beispiel die folgenden sein:

Allgemeine Personendaten: Name, Geburtsdatum, Alter, Geburtsort, Anschrift, E-Mail-Adresse, Telefonnummer, Bilder, Ausbildung, Beruf, Familienstand, Staatsangehörigkeit, religiöse und politische Einstellungen, Sexualität, Gesundheitsdaten, Vorstrafen usw.

Physische Merkmale: Geschlecht, Hautfarbe, Haarfarbe, Statur, Kleidergröße, Schuhgröße, Fingerabdruck usw.

Besitzmerkmale: Fahrzeugnummer, KFZ-Kennzeichen, Zulassungsdaten, Grundbucheinträge usw.

Kennnummern: Sozialversicherungsnummer, Steuer-Id, Krankenversicherungsnummer, Personalausweisnummer, Matrikelnummer usw.

Bankdaten: Kontonummer, Kreditinformationen, IBAN usw.

Online Daten: IP-Adresse, Standortdaten, Unique Identifier (z.B. Cookies) usw.

Kundendaten: Bestellungen, Kontodaten, Adressen usw.

Werturteile: Schulzeugnisse, Arbeitszeugnisse usw.

Sachliche Verhältnisse: Einkommen, Kapitalvermögen, Schulden, Eigentum usw.

Warum sind personenbezogene Daten wertvoll für Unternehmen?

Der Datenwert kann sich für verschiedene Webseiten oder Apps stark unterscheiden. Für einen Werbetreibenden kann der Datenwert darin liegen, dass durch bestimmte personenbezogene Daten personalisierte Werbung geschaltet werden kann. Das kann die richtige Werbesprache sein, weil die Person dadurch die Werbung versteht, es kann aber auch Werbung für ein bestimmtes Hobby sein, was aus den Daten hervorgeht. Zudem kann der Datenwert auch davon abhängen, wie viel Werbung an einen App-Nutzer ausgespielt werden kann. Daher bieten viele Apps eine Version ohne Werbung an. Dieser Wert entspricht meist sehr genau dem Datenwert, der sonst durch Werbung erzielt werden würde.

Was sind besondere personenbezogene Daten?

Zusätzlich nennt der Gesetzgeber eine weitere Kategorie personenbezogener Daten, die besondere Kategorie personenbezogener Daten oder auch „sensiblen Daten“.

Diese Daten unterliegen einem noch höheren Schutz, da deren Verarbeitung rechtlich verboten ist. Zu den sensiblen Daten gehören Angaben über die ethnische Herkunft, politische Meinungen, philosophische, religiöse und weltanschauliche Überzeugungen, Zugehörigkeit zu Gewerkschaften, genetische und biometrische Daten, gesundheitsbezogene Daten und Daten zur Sexualität und sexueller Orientierung. Des Weiteren gehören Daten zur wirtschaftlichen, kulturellen oder sozialen Identität dazu.

Für die Verarbeitung besonderer personenbezogener Daten ist eine gesonderte Rechtsgrundlage nach Art. 9 DSGVO notwendig, da diese Daten einer höheren Schutzwürdigkeit bedürfen. Falls die Daten beispielsweise in einem Datenleck an Kriminelle geraten, ist hier die Gefahr für Identitätsdiebstahl sehr groß.

Die Verarbeitung solcher Daten ist ausnahmsweise nur erlaubt, wenn eine der folgenden Bedingungen erfüllt ist:

Personal data infographic

Was bedeutet der besondere Schutz personenbezogener Daten für Unternehmen?

Für Website-Betreiber bedeutet der Schutz personenbezogener Daten laut der DSGVO: Sie benötigen gemäß Erwägungsgrund 30 DSGVO für die Verwendung bestimmter Web-Technologien wie Cookies, Pixel usw. eine Rechtsgrundlage.

Mit dem Digital Markets Act (DMA) und weiteren Neuerungen im europäischen Recht ist es umso wichtiger, besonders auf personenbezogene Daten zu achten. Jegliche Daten dürfen erst nach expliziter und informierter Einwilligung von Nutzern gesammelt und verarbeitet werden. Daher finden sich auf fast allen Webseiten inzwischen sogenannte Cookie Banner, um eben diese Einwilligung für die Datenverarbeitung einzuholen. Eine Einwilligungserklärung ist Pflicht für jede Webseite oder App, die personenbezogene Daten verarbeiten möchte.

Finden Sie in nur wenigen Momenten heraus, ob Ihre Website datenschutzkonform ist und ob Sie Ihre Nutzerdaten ausreichend schützen.

Jetzt scannen

Welche Grundsätze gelten für die Verarbeitung personenbezogener Daten?

Wie und in welcher Form personenbezogene Daten generell verarbeitet werden dürfen, regelt im Allgemeinen Art. 5 DSGVO. Dieser beinhaltet folgende Grundsätze:

1. Rechtmäßigkeit

Diese Grundlage der DSGVO besagt, dass die Verarbeitung personenbezogener Daten rechtmäßig ist, wenn eine Rechtsgrundlage, insbesondere in Form einer Einwilligung, vorliegt.

2. Transparenz

Art. 5 Abs. 1a DSGVO soll gewährleisten, dass Personen ihre Betroffenenrechte und generell ihr Recht auf informationelle Selbstbestimmung wahrnehmen können. Der Grundsatz der Transparenz wird in Art. 12 ff. DSGVO sowohl die Informationspflichten bei der Erhebung von personenbezogenen Daten als auch durch das Auskunftsrecht der betroffenen Person präzisiert.

Grundsätzlich bedeutet das für Unternehmen, dass sie bei der Sammlung und Verarbeitung von Daten möglichst deutlich kommunizieren müssen, DASS sie Daten sammeln und WARUM sie dies tun wollen. Zusätzlich müssen die Nutzer diesem Vorschlag einer Seite auch zustimmen.

3. Zweckbindung

Der Zweck einer Datenerhebung von personenbezogenen Daten muss drei Voraussetzungen erfüllen. Der Zweck der Verarbeitung muss:

Zusätzlich ist eine Weiterverarbeitung von personenbezogenen Daten möglich, sofern die Zwecke der Weiterverarbeitung mit den ursprünglichen Zwecken der Erhebung vereinbar sind (Art. 5 Abs. 1b DSGVO). Das bedeutet einfach nur, dass die Daten eigentlich nur für den ursprünglichen Zweck eingesetzt werden, der den Nutzern erklärt wurde. Eine Seite kann also nicht eine E-Mail Adresse für einen Newsletter sammeln und dann diese für das Ausspielen gezielter Werbung nutzen.

4. Datenminimierung

Diese Vorschrift ist an die bisher bestehenden Gesetze der Datensparsamkeit und Datenvermeidung (Art. 3a BDSG) angelehnt. Demnach dürfen nur für den verwendeten Zweck notwendige und angemessene personenbezogene Daten verarbeitet werden.

Es sollten nur so viele Daten gesammelt werden, wie für den angedachten Zweck unbedingt nötig. „Auf Verdacht” Daten zu sammeln darf also keine Seite!

5. Richtigkeit

Personenbezogene Daten, die im „Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, müssen unverzüglich gelöscht oder berichtigt werden” (Art. 5 Abs. 1d DSGVO).

Alle personenbezogenen Daten müssen also richtig sein. Sind sie das nicht, müssen sie gelöscht werden.

6. Speicherbegrenzung

Die Speicherbegrenzung verlangt, dass personenbezogene Daten nur so lange gespeichert werden dürfen, wie es für den Zweck notwendig ist, Personen identifizieren zu müssen (Art. 5 Abs. 1e DSGVO). Zum Datenschutz müssen die personenbezogenen Daten also gelöscht werden, sobald die Speicherung der Daten für den Verarbeitungszweck nicht mehr erforderlich ist, oder die betroffene Person ihre Einwilligung widerruft (Art. 17 Abs. 1b DSGVO).

7. Integrität und Vertraulichkeit

Personenbezogene Daten müssen so verarbeitet werden, dass eine angemessene Sicherheit dieser Daten gewährleistet ist. Mit inbegriffen ist hier auch der Schutz vor unbefugter und unrechtmäßiger Verarbeitung (z.B. durch ein Account- / Rechtemanagement) sowie unbeabsichtigter Zerstörung oder Schädigung der personenbezogenen Daten (Art. 5 Abs. 1f DSGVO).

Um diese Datensicherheit und einen lückenlosen Datenschutz zu gewährleisten, sind geeignete technische und organisatorische Maßnahmen zu treffen. Darunter fallen beispielsweise die Pseudonymisierung und Verschlüsselung der personenbezogenen Daten, die Verfügbarkeit und die rasche Wiederherstellung des Zugangs zu diesen Daten bei einem physischen oder technischen Zwischenfall. Eine Möglichkeit hierfür ist die Verwendung einer geeigneten Consent Management Platform.

Wann ist die Verwendung von persönlichen Daten rechtmäßig?

Nach Art. 6 DSGVO ist die Verarbeitung von personenbezogenen Daten ausnahmsweise erlaubt, wenn eine der folgenden Bedingungen erfüllt ist:

Welche Regeln gelten für die Weitergabe von personenbezogenen Daten an Dritte?

Die Weitergabe von personenbezogenen Daten an Dritte wird nicht zwangsläufig durch das Existieren einer Rechtsgrundlage erlaubt. Insbesondere innerhalb eines Konzerns würde das Existieren einer Rechtsgrundlage, die die Weitergabe von personenbezogenen Daten erlaubt („Konzernprivileg“), relevant sein.

Diese Regelung, welche die gemeinsame Verarbeitung der Daten durch die Teilung der Ressourcen verschiedener Unternehmen beinhalten würde, wäre zwar praktisch, wurde aber in die DSGVO nicht aufgenommen. Deshalb ist die Weitergabe der Daten innerhalb eines Konzerns nach der DSGVO nicht ohne Weiteres erlaubt.

Ein überwiegend berechtigtes Interesse bzgl. der Übermittlung von Kunden- und Beschäftigtendaten zu internen Verwaltungszwecken kann nach Erwägungsgrund 48 DSGVO angenommen werden. Sofern die Übermittlung allerdings nicht aufgrund eines überwiegenden berechtigten Interesses erforderlich ist, bedarf es einer anderen Rechtsgrundlage, um selbst die konzerninterne Übermittlung von Daten zu legitimieren.

Welche Rechte haben Betroffene, wenn Ihre personenbezogenen Daten verarbeitet werden?

Natürlich haben auch die betroffenen Personen, deren personenbezogene Daten erhoben wurden, gewisse Rechte, die sogenannten Betroffenenrechte. Denn im weiteren Sinne können personenbezogene Daten als Eigentum einer Person aufgefasst werden. Die wichtigsten Rechte sind:

1. Das Informationsrecht

Das Informationsrecht ist vielleicht die wichtigste Rechtsgrundlage für Betroffene. Sollten personenbezogene Daten einer Person erhoben werden, muss diese Person vor allem über den Namen und die Kontaktdaten des für die personenbezogenen Daten Verantwortlichen (und ggfs. seines Vertreters) informiert werden.

Ebenfalls müssen der betroffenen Person „der Zweck und die Dauer der Datenverarbeitung von personenbezogenen Daten sowie die Widerspruchsmöglichkeit, die Rechtsgrundlage der Datenverarbeitung und, falls erforderlich, das Ergebnis einer nachvollziehbaren Interessenabwägung“ mitgeteilt werden.

Das Informationsrecht regelt weiterhin die allgemeine Information aller Betroffenen über die Rechte der Auskunft, Berichtigung, Löschung, Einschränkung, des Widerspruchs und der Datenübertragbarkeit. Der betroffenen Person müssen alle Informationen vor oder zum Zeitpunkt der Datenerhebung bereitgestellt werden, d. h. in dem Moment, indem beispielsweise eine Website aufgerufen wird, müssen alle zuvor genannten Informationen unverzüglich mitgeteilt werden (Art. 13 DSGVO).

2. Das Auskunftsrecht

Sollten personenbezogene Daten verarbeitet werden, kann die betroffene Person zu jeder Zeit Auskunft über den Empfänger, den Zweck und darüber, welche Daten verarbeitet wurden und wie lange diese gespeichert werden, verlangen.

3. Das Berichtigungsrecht

Ändern sich personenbezogene Daten (zum Beispiel die E-Mail-Adresse), hat jede Person das Recht auf die Korrektur dieser Daten.

4. Das Recht auf Datenlöschung/ Das Recht auf Vergessenwerden

Betroffene haben das Recht, alle personenbezogenen Daten unter den folgenden Voraussetzungen unverzüglich löschen zu lassen:

5. Das Recht auf Einschränkung der Verarbeitung

Dieses Recht gibt Betroffenen die Möglichkeit, die Verarbeitung der eigenen personenbezogenen Daten einzuschränken, sofern:

6. Das Recht auf Datenübertragbarkeit

Das Recht auf Datenübertragbarkeit erlaubt Betroffenen gespeicherte Daten von einem Verantwortlichen auf einen weiteren Verantwortlichen übertragen zu lassen, sofern eine Einwilligung des Betroffenen vorliegt und die Verarbeitung der Daten mithilfe automatisierter Verfahren erfolgt.

7. Das Widerspruchsrecht

Die DSGVO ermöglicht es Betroffenen weiterhin, gegen die Verarbeitung ihrer Daten Widerspruch einzulegen. Damit ist es dem Verantwortlichen untersagt, personenbezogene Daten zu verarbeiten, es sei denn „er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen“ (Art. 21 DSGVO).

Für Websites und Online-Marketing ist besonders der Text aus Art. 21 Abs. 2 DSGVO interessant. Dieser behandelt das Thema Direktwerbung und besagt, dass Betroffene jederzeit das Recht besitzen, Widerspruch gegen die Verwendung ihrer personenbezogenen Daten zum Zweck der Direktwerbung einzulegen. Dies gilt sowohl für postalische und telefonische, als auch Werbung per E-Mail und folglich auch Newsletter.

Wichtig ist: Nutzer haben umfassende Rechte gegenüber Ihren personenbezogenen Daten. Seitenbetreiber müssen sich umfassend mit diesen Regeln beschäftigen, um verantwortungsvoll zu handeln und um Strafen aus dem Weg zu gehen.

Was droht bei Missachtung der DSGVO gegenüber personenbezogenen Daten?

Seit dem Inkrafttreten der DSGVO ist die Höhe der Bußgeldzahlungen im Gegensatz zum BDSG enorm angestiegen. Die DSGVO erhöht die Bußgeldzahlungen und Strafen bei Verstößen gegen den Datenschutz und verschärft somit das Bundesdatenschutzgesetz. Die DSGVO sieht Strafen in Höhe von bis zu 20 Millionen Euro oder 4 % des weltweiten Vorjahresumsatzes vor. Es handelt sich also um eine Straftat. Dadurch soll auf die Dringlichkeit des Datenschutzes hingewiesen und Unternehmen von der Missachtung abgeschreckt werden.

Seit dem Digital Markets Act (DMA) können nun nicht nur Seitenbetreiber für die unrechtmäßige Datensammlung belangt werden. Auch Riesen wie Google können direkt dafür belangt werden, wenn Ihre Produkte unrechtmäßig gesammelte Daten verarbeiten. Das hat dazu geführt, dass Google Ihre Produkte nur noch Seiten zur Verfügung stellen wird, die sich an alle Regeln der DSGVO und aller dazugehörigen Direktive halten.

Wer sich also nicht an die Regeln hält, riskiert nicht nur Bußgelder, sondern auch die Einschränkung beliebter Dienste wie Google Ads, Google Adsense, Google Analytics 4 und viele weitere.

Schutz von personenbezogenen Daten

Der Schutz von personenbezogenen Daten sollte für Unternehmen nicht nur eine lästige Zusatzbelastung sein, sondern in die Werbestrategie mit einbezogen werden. Es ist wichtig, sich darüber bewusst zu sein, welche Daten gesammelt werden und für was diese verwendet werden. Gerade bei Shopsystemen wie Shopify o.ä. werden schnell Analytics-Tools und Apps hinterlegt, die zwar gute Daten liefern, aber eventuell den Schutz der Nutzer vernachlässigen.

Wie können Unternehmen die Einwilligung zur Verarbeitung einholen?

Häufig findet man auf Webseiten ein sogenanntes Cookie Banner (auch als Consent Banner bekannt). Diese öffnen sich beim ersten Laden einer Webseite. Hier können Nutzer sich über die verschiedenen Technologien informieren, die ihre Daten verarbeiten wollen und diesen dann auch zustimmen. Es ist allerdings wichtig, ein hochwertiges Consent Banner zu nutzen. Zum einen sollen nach der Einwilligung die ausgewählten Technologien einwandfrei funktionieren und zum Anderen müssen die Nutzer auch jederzeit ihre Einwilligung widerrufen können. Es lohnt sich also, in ein hochwertiges Programm zu investieren.

Schutz von personenbezogenen Daten mit einer Usercentrics CMP

Eine CMP ist eine Consent Management Platform. Diese hat meistens ein Consent Banner integriert, die Leistungen gehen aber darüber hinaus. Bei Usercentrics werden die Daten beispielsweise auch so gespeichert, dass es die gesetzlichen Vorgaben übertrifft. Die CMP ist zudem von Google zertifiziert und garantiert damit auch die Funktionalität aller Google Produkte und Dienstleistungen.

Nutzer sind sich bewusst, dass viele Seiten ihre Daten erheben. Wenn Sie eine CMP wie die von Usercentrics verwenden, können Sie sicher sein, dass sie eine vertrauensvolle Beziehung zu Ihren Nutzern aufbauen. So sichern Sie sich langfristig Ihre Monetarisierungsstrategien und respektieren die Rechte und Wünsche Ihrer Nutzer.

Sie möchten die personenbezogenen Daten Ihrer Kunden nutzen, aber haben das Gefühl, den Überblick über die vielen Regelungen verloren zu haben? Sprechen Sie mit unseren Experten und erfahren Sie, wie Ihnen die Usercentrics CMP helfen kann!

Jetzt Demo buchen!

Die DSGVO möchte die Rechte der Betroffenen in den Vordergrund stellen und ihnen die Hoheit über ihre eigenen Daten geben. Um als Unternehmen personenbezogene Daten verarbeiten zu dürfen, muss in den meisten Fällen eine Einwilligung der betroffenen Person vorliegen, möchte man keine Risiken bezüglich Bußgeldern eingehen. Mit einer Einwilligung der bestimmten oder bestimmbaren natürlichen Person kann ein Unternehmen in jedem Fall sicher sein, dass die Verarbeitung dieser personenbezogenen Daten zu den angegebenen Zwecken im Einklang mit der DSGVO und somit dem Datenschutz steht.

Die DSGVO gibt für eine datenschutzkonforme Einwilligung einige Kriterien vor. Wie eine DSGVO-konforme Einwilligung aussieht und welche Kriterien diese genau erfüllen muss, haben wir Ihnen in unserem Artikel „Die 7 Kriterien einer DSGVO-konformen Einwilligung” für Sie festgehalten.

Die Einhaltung der Datenschutzvorschriften ist für die meisten Unternehmen mit Online-Präsenz relevant. Aber auch noch nach der Einführung der DSGVO im Jahre 2018 erfüllen 97% der Websites in der EU nicht die Datenschutzvorschriften der DSGVO.

Mit dem Digital Markets Act bzw. dem Gesetz über digitale Märkte (DMA), das im März 2024 in Kraft tritt, wird es sogar noch wichtiger, dass Ihre Website diese Vorschriften einhält, wenn Sie in der Europäischen Union oder im Europäischen Wirtschaftsraum unternehmerisch tätig sind oder dort ansässige Kunden haben.

In diesem Artikel geben wir Ihnen praktische Tipps und Schritt-für-Schritt-Anweisungen, wie Sie Ihre Website DMA-konform machen können, insbesondere in Bezug auf die Erfassung und Signalisierung von gültigen Einwilligungen.

Schritt 1: Implementieren Sie eine Consent Management Platform (CMP)

Eine der wichtigsten Anforderungen des Gesetzes über digitale Märkte (DMA) ist die Einholung und Verwaltung von Nutzereinwilligungen für die Verarbeitung von Daten. Um Datenschutzkonformität zu gewährleisten, müssen Sie eine zuverlässige und datenschutzkonforme Consent Management Platform (CMP) auf Ihrer Website verwenden.

Die Usercentrics Consent Management Platform (CMP) ist eine der marktführenden CMPs und bietet Ihnen eine nahtlose Integration in die gängigsten Content Management-Systeme (CMS) und in andere Website-Building-Plattformen.

Befolgen Sie diese Schritte, um die Usercentrics CMP auf Ihrer Website zu integrieren:

  1. Erstellen Sie ein Usercentrics-Konto und profitieren Sie von einer 30-tägigen kostenlosen Testversion.
  2. Generieren Sie das CMP-Skript und den Text für die auf Ihre Website zugeschnittene Datenschutzrichtlinie.
  3. Fügen Sie das Usercentrics CMP-Skript in den Quellcode Ihrer Website ein. Der dafür bestimmte Bereich hängt von dem von Ihnen verwendeten CMS ab.
  4. Speichern Sie die Änderungen und veröffentlichen Sie sie auf Ihrer Website.

Schritt 2: Passen Sie das Cookie-Consent-Banner an

Um die Nutzererfahrung zu verbessern und die Anforderungen des DMA-Gesetzes zu erfüllen, ist es wichtig, das Cookie-Consent-Banner auf Ihrer Website anzupassen.

Usercentrics bietet Ihnen umfassende Anpassungsoptionen, um das Design und das Branding Ihrer Website anzupassen sowie Ihr User Interface und Messaging zu optimieren. Zur Anpassung Ihres Cookie-Consent-Banners befolgen Sie einfach diese Schritte:

  1. Melden Sie sich bei Ihrem Usercentrics-Konto an und navigieren Sie zu den Anpassungseinstellungen.
  2. Passen Sie das Erscheinungsbild des Banners an, insbesondere die Farben, die Schriftarten und das Layout.
  3. Fügen Sie einen klaren und präzisen Text ein, der den Zweck der Cookies und der Datenverarbeitung erläutert.
  4. Erläutern Sie die verschiedenen Arten von Cookies, die auf Ihrer Website verwendet werden, und deren jeweilige Zwecke.
  5. Überprüfen Sie, ob der Google Consent Mode aktiviert ist, um die Einwilligungsraten zu erhöhen und Einblicke in die Conversion Rates von Google-Anzeigen zu erhalten. In der Usercentrics CMP ist dieser standardmäßig aktiviert.
  6. Aktivieren Sie die erforderlichen Buttons, damit die Nutzer ihre Einwilligungspräferenzen leicht verwalten können.

Mit einem benutzerfreundlichen und informativen Cookie-Consent-Banner können Sie Ihre Verpflichtung für den Schutz der Privatsphäre Ihrer Nutzer und die Einhaltung des Digital Markets Act (DMA) demonstrieren.

Schritt 3: Optimieren Sie die Nutzererfahrung für das Consent Management

Das Consent Management sollte für Ihre Website-Besucher ein nahtloser und intuitiver Prozess sein. Nachfolgend präsentieren wir Ihnen einige Tipps zur Optimierung der Nutzererfahrung für das Consent Managements:

Wenn Sie die Nutzererfahrung in Ihrem Consent Management in den Vordergrund stellen, können Sie das Vertrauen Ihrer Nutzer stärken und sie dazu ermutigen, Ihre Website zu nutzen, während Sie gleichzeitig die Vorschriften des Digital Markets Act (DMA) einhalten.

Schritt 4: DMA-Konformität überwachen und überprüfen

Das Gesetz über digitale Märkte (DMA) einzuhalten, ist ein laufender Prozess, für den ein kontinuierliches Monitoring und Auditing erforderlich ist. Nachfolgend finden Sie einige Best Practices, um Datenschutzkonformität laufend sicherzustellen:

Durch ein proaktives Monitoring und Auditing Ihrer Datenschutzmaßnahmen können Sie potenzielle Probleme schnell adressieren und Ihre Verpflichtung für den Datenschutz demonstrieren.

Erhalten Sie Ihr kostenloses Exemplar unserer kompletten DMA-Checkliste: Alles, was Sie zum Gesetz über digitale Märkte (DMA) wissen müssen

Abschließende Tipps für Website-Inhaber, um das Gesetz über digitale Märkte (DMA) einzuhalten

Die Einhaltung des DMA-Gesetzes sicherzustellen, ist für Website-Inhaber und für Website-Management- und Marketing-Teams und viele mehr, unabhängig von der Art der Website oder der verwendeten CMS-Plattform, von wesentlicher Bedeutung.

Wenn Sie die praktischen Tipps und Schritt-für-Schritt-Anweisungen dieses Artikels befolgen, können Sie sicherstellen, dass das Consent Management Ihrer Website DMA-konform ist.

Nutzen Sie die Usercentrics CMP, um für eine nahtlose Integration und ein effizientes Consent Management zu sorgen. Bleiben Sie proaktiv und stellen Sie die Privatsphäre der Nutzer in den Vordergrund, um das Vertrauen Ihres Publikums zu gewinnen, während Sie gleichzeitig das Gesetz über digitale Märkte (DMA) einhalten.

Wenn Sie intern über keine eigene Rechtsabteilung verfügen, die Sie dabei begleitet und unterstützt, DMA-Konformität zu erreichen, holen Sie sich rechtlichen Rat. Das globale Partnerverzeichnis von Usercentrics ist ein guter Anfang, um den richtigen Partner für juristische Dienstleistungen und Beratung zu finden.

Starten Sie Ihre 30-tägige kostenlose Testversion, um die Datenschutzvorschriften der DSGVO, der ePrivacy-Richtlinie und des Digital Markets Act (DMA) einzuhalten.

Jetzt starten

Usercentrics bietet keine Rechtsberatung. Sämtliche Angaben dienen nur zu Informationszwecken. Wir empfehlen immer, zu Fragen des Datenschutzes und der Datenverarbeitung einen qualifizierten Rechtsbeistand oder Datenschutzexperten hinzuzuziehen.

Google hat eine erhebliche Ausweitung seiner Richtlinie zur EU-Nutzereinwilligung ab 31. Juli 2024 angekündigt. Demnach werden auch Websites und Apps mit Datenverkehr/Nutzern in der Schweiz betroffen sein. Diese Neuerung hat bedeutende Auswirkungen für Publisher und Advertiser, die im Europäischen Wirtschaftsraum (EWR), im Vereinigten Königreich und nun auch in der Schweiz tätig sind.

Dieser Artikel befasst sich mit den Details dieser Ausweitung des Geltungsbereichs, ihren Auswirkungen auf Unternehmen und den Compliance-Anforderungen.

Google-Richtlinie zur EU-Nutzereinwilligung: Nächster Halt, die Schweiz!

Die Ausweitung der Google-Richtlinie zur EU-Einwilligung stellt eine umfassendere Anwendung der Einwilligungsanforderungen dar, um die Daten der Nutzer zu schützen. Dafür sind bestimmte Angaben und Einwilligungen der Endnutzer im EWR, im Vereinigten Königreich und in der Schweiz erforderlich. Dies gilt für Websites und Apps, die Google-Produkte und -Services nutzen, beispielsweise AdSense oder Google Analytics. Dabei geht es um die Verantwortlichkeiten von Publishern und Advertisern in Bezug auf Nutzereinwilligungen für Folgendes:

Die Nichteinhaltung dieser Richtlinie kann dazu führen, dass die Nutzung von Google-Produkten eingeschränkt oder ausgesetzt wird oder dass der Vertrag sogar gekündigt wird.

Google-Richtlinie zur EU-Nutzereinwilligung – welche Änderungen gab es und was bedeuten diese für Advertiser? (Video mit Erklärungen in englischer Sprache anschauen)

We need your consent to load the YouTube Video service!

We use a third party service to embed video content that may collect data about your activity. Please review the details and accept the service to watch this video.

powered by Usercentrics Consent Management Platform

Anforderungen der Google-Richtlinie für Publisher und Advertiser

Publisher und Advertiser, die Marketingmaßnahmen für Zielgruppen im EWR, im Vereinigten Königreich und nun auch in der Schweiz durchführen und dabei Google-Produkte nutzen, unterliegen jetzt besonderen Verpflichtungen zur Gewährleistung von Datenschutzkonformität:

Einholung einer gültigen Nutzereinwilligung

Publisher und Advertiser sind verpflichtet, rechtlich wirksame Nutzereinwilligungen für die Nutzung von Cookies oder lokalem Speicher einzuholen, sofern dies gesetzlich vorgeschrieben ist, sowie für die Erfassung, Weitergabe und Nutzung personenbezogener Daten zur Anzeigenpersonalisierung.

Transparenz und Kontrolle für Nutzer

Neben der Aufforderung zur Einwilligung sollten klare Anweisungen gegeben werden, wie die Nutzer ihre Einwilligung widerrufen können. Außerdem müssen erteilte Einwilligungen dokumentiert und gepflegt werden, um die Einhaltung der Richtlinie nachzuweisen.

Angabe der Partner, an die Daten weitergegeben werden

Publisher und Advertiser müssen transparent darlegen, welche Dritten aufgrund ihrer Nutzung von Google-Produkten Nutzerdaten erfassen, erhalten oder nutzen dürfen. Dazu gehört unter anderem, dass den Nutzern leicht zugängliche Informationen darüber verfügbar gemacht werden, wie diese Dritten die Daten nutzen.

Neue Szenarien

In der Richtlinie geht es auch um Szenarien, bei denen Nutzerdaten, die aus einer externen Quelle stammen (Website oder App, die der Publisher oder Advertiser nicht kontrolliert), an Google weitergegeben werden, weil Google-Produkte genutzt werden. In diesen Fällen sind Publisher und Advertiser verpflichtet, geschäftlich angemessene Maßnahmen zu ergreifen, um sicherzustellen, dass der Betreiber dieser externen Quelle die Pflichten im Zusammenhang mit der Nutzereinwilligung aus der Richtlinie erfüllt.

Implementieren Sie die Usercentrics CMP, um noch vor dem 31. Juli 2024 die Richtlinie einzuhalten

Starten Sie jetzt Ihre kostenlose 30-tägige Testversion

Google-Anforderungen für Publisher-Marketing für die Schweiz

Seit dem letzten Jahr verlangt Google, dass Publisher-Partner für das Schalten von Anzeigen an Nutzer in der EU/im EWR und im Vereinigten Königreich eine von Google zertifizierte Consent Management Platform (CMP) nutzen müssen, wie die Usercentrics CMP, die in das Transparency and Consent Framework (TCF) der IAB Europe integriert ist. Ab dem 31. Juli müssen Schweizer Publisher, die Monetarisierungsprodukte von Google verwenden, welche sich an den Datenverkehr in der Schweiz richten, Folgendes erfüllen:

Die Anweisung von Google für Schweizer Publisher zur Anwendung einer CMP aus seinem Partnerprogramm stellt einen beträchtlichen Wandel der Schweizer Vorgehensweisen im digitalen Bereich dar. Diese Entscheidung, die hauptsächlich dafür sorgen soll, dass TCF auch für Schweizer Datenverkehr angewendet werden soll, spiegelt den proaktiven Ansatz von Google wider, sich an die dynamische Gesetzgebung anzupassen, und zwar an das Schweizer Bundesgesetz über den Datenschutz (DSG), welches 2023 in Kraft trat.

Auch wenn die DSGVO nicht direkt in der Schweiz Anwendung findet, so scheint die TCF-Umsetzung durch Google in der Schweiz eine Bestätigung zu sein, das DSG mit der DSGVO in Einklang zu bringen.

Auch das könnte hilfreich für Sie sein:

DSG-Checkliste: Ihr Compliance-Toolkit

Erfahren Sie alles, was Sie wissen müssen, um das Schweizer Datenschutzgesetz (DSG) einzuhalten.

Google-Anforderungen für Advertiser, die Zielgruppen in der Schweiz ansprechen

Unternehmen, die Adtech-Produkte von Google nutzen, müssen von Schweizer Nutzern eine Einwilligung einholen, sofern gesetzlich vorgeschrieben. Noch müssen Advertiser kein verifiziertes Einwilligungssignal für Schweizer Datenverkehr über Google Consent Mode V2 senden – eine Anforderung, die für EU-/EWR-Zielgruppen gilt – aber auch dies kann sich zukünftig ändern.

In unserem Video mit Erklärungen in englischer Sprache erfahren Sie mehr über den Google Consent Mode:

We need your consent to load the YouTube Video service!

We use a third party service to embed video content that may collect data about your activity. Please review the details and accept the service to watch this video.

powered by Usercentrics Consent Management Platform

Auch wenn der Consent Mode noch nicht vorgeschrieben ist, gilt Folgendes: wenn Sie mithilfe von Google-Produkten Werbung schalten, so ist der effizienteste Weg, Nutzereinwilligungen datenschutzkonform zu erfassen und zu verwalten, die Implementierung einer Consent Management Platform (CMP) wie die Usercentrics CMPs für Websites und mobile Apps.

Die Usercentrics CMPs sind von Google zertifiziert und unterstützen das Transparency and Consent Framework (TCF) sowie Google Consent Mode V2.

Auch wenn bis jetzt die Aktivierung des Consent Mode noch nicht erforderlich ist, wird dieser standardmäßig in den Tools aktiviert. Somit sind Sie bereits einen Schritt voraus, sollten die Anforderungen in der Schweiz mit denen im restlichen Europa in Einklang gebracht werden. Darüber hinaus können Sie durch die Implementierung des Consent Mode V2 vom Analytics-Tool und von der Conversion-Modellierung profitieren und den Verlust von Marketingdaten wegen der Ablehnung von Consent-Bannern verhindern.

Update der Google-Richtlinie: Auswirkung auf Marketingstrategien

Die aktualisierte Google-Richtlinie fordert Marketers auf, den Fokus auf die Einholung einer gültigen Nutzereinwilligung für die Datenerfassung und Personalisierung von Anzeigen zu legen. Dies schafft Vertrauen und zeigt den Respekt vor der Privatsphäre der Nutzer. Dazu gehört die Implementierung von transparenten und benutzerfreundlichen Einwilligungsmethoden, um die Vorgaben der Richtlinie einzuhalten.

Im Folgenden sind die wichtigsten Punkte aufgeführt, die Advertiser hinsichtlich der aktualisierten Richtlinie beachten müssen:

Priorisierung der Nutzereinwilligung

Machen Sie die Einholung einer gültigen Nutzereinwilligung für die Datenerfassung und Anzeigenpersonalisierung zu einem zentralen Element Ihrer Marketingstrategie in diesen Regionen.

Gemäß der Empfehlung von Google wurden seine zertifizierten CMP-Partner, wie die Usercentrics Web & App CMP und Cookiebot CMP, gründlich überprüft. Darüber hinaus erfüllen sie bestimmte technische Anforderungen, um den Advertisern das bestmögliche Erlebnis zu bieten.

Transparenz ist wichtig

Den Nutzern eindeutig mitzuteilen, wie ihre Daten erfasst, verwendet und weitergegeben werden, ist äußerst wichtig. Ebenso wichtig ist die Bereitstellung leicht zugänglicher Informationen und Optionen für Nutzer, damit sie ihre Einwilligungspräferenzen verwalten können.

Partner-Compliance

Wenn Sie für Ihre Tätigkeiten Plattformen Dritter nutzen, die in Google-Produkte integriert sind, ist es von großer Bedeutung, dass diese die Anforderungen im Zusammenhang mit der Nutzereinwilligung einhalten.

Durch Anpassung an die Richtlinie zur EU-Nutzereinwilligung können Advertiser zeigen, dass sie sich zur Achtung der Privatsphäre der Nutzer bekennen und Vertrauen zu Zielgruppen im EWR, im Vereinigten Königreich und in der Schweiz aufbauen wollen. Dies kann letztendlich zu einer stärkeren Verbindung von Marken und Zielgruppen, gesteigerter Nutzerinteraktion und erfolgreicheren Marketingkampagnen führen.

Bevor es losgeht: die Bedeutung von Datenschutzkonformität

Die Ausweitung der Google-Richtlinie zur EU-Nutzereinwilligung auf Nutzer in der Schweiz unterstreicht die stärkere Betonung von Datenschutz und Consent Management. Publisher und Advertiser müssen sich unter Einhaltung der aktualisierten Richtlinie proaktiv an diese Änderungen anpassen, um eine positive Beziehung zu Google aufrechtzuerhalten und die Privatsphäre der Nutzer zu wahren.

Zusammenfassung:

Das könnte für Sie nützlich sein:

Beachten Sie, dass einige Artikel nur in englischer Sprache zur Verfügung stehen.

Die Implementierung der Usercentrics CMP ist der einfachste Weg, um Datenschutzkonformität zu erreichen

Starten Sie jetzt Ihre kostenlose 30-tägige Testversion

Mit dem Consent Mode bietet Google eine Lösung für Unternehmen, mit der das Verhalten von Google-Tags auf ihren Websites in Bezug auf Anzeigen und Analytics-Cookies auf Grundlage des Einwilligungsstatus der Nutzer angepasst werden kann.

Wie funktioniert der Google Consent Mode?

Durch die Kopplung der Consent Mode API mit der Usercentrics Consent Management Platform (CMP) können Advertiser angeben, ob Nutzer der Verwendung von Cookies für Anzeigen- und/oder Werbezwecke zugestimmt haben.

Die unterstützten Google-Tags berücksichtigen dieses Signal und passen ihr Verhalten entsprechend an, indem sie nur dann Cookies verwenden, wenn die Einwilligung für die spezifischen Zwecke erteilt wurde.

Erfahren Sie mehr in unserem Artikel: Google Consent Mode: Das Wichtigste für Sie zusammengefasst

Erfahren Sie mehr in unserem Artikel: Das Wichtigste für Sie zusammengefasst

Google Consent Mode

Tag-Verhalten basierend auf der Einwilligung des Nutzers (Quelle: Google)

Welche Google-Dienste unterstützen den Consent Mode?

Der Consent Mode wird derzeit von folgenden Tools und Diensten unterstützt. Da sich diese Liste im Laufe der Zeit ändern wird, ist es wichtig, die Website-Infrastruktur, Marketing-Tools und Datenverarbeitungsvorgänge regelmäßig zu überprüfen. Nur so wird sichergestellt, dass alle Funktionen und Datenschutzaktivitäten auf dem neuesten Stand sind.

✔ Google Analytics
✔ Google Analytics 4
✔ Google Ads (Google Ads Conversion Tracking und Remarketing)
✔ Floodlight
✔ Conversion Linker

Die Support-Dokumentation von Google enthält weitere Informationen zum Consent Mode für Websites und Apps.

Google unterstützt mit seinen Anzeigensystemen auch das IAB TCF 2.2 Framework. Der Consent Mode ist für Advertiser vorgesehen, die keine Consent Management Platform verwenden, die über eine Integration mit dem TCF 2.2 verfügt und diesen unterstützt. Die Usercentrics CMP ist eine von Google zertifizierte CMP – eine Voraussetzung dafür, Anzeigen mit Google-Diensten in der EU, dem EWR und im Vereinigten Königreich zu schalten.

Google Consent Mode mit der Usercentrics CMP: ein Implementierungsbeispiel

Die Implementierung des Google Consent Mode mit der Usercentrics CMP dient als Alternative zur vorherigen Blockierung und erfordert nur zwei Schritte:

Weitere Informationen finden Sie in der vollständigen Dokumentation zum Google Consent Mode von Usercentrics.

Fazit und Ausblick auf die Entwicklung des Google Consent Mode

Weltweit werden immer mehr Datenschutzgesetze verabschiedet und Verbraucher werden sich ihrer Rechte und der Nutzung ihrer Daten immer mehr bewusst. Daher werden auch intelligente Consent Management-Lösungen immer wichtiger.

Google arbeitet kontinuierlich an der Erstellung, Entwicklung und Integration von Produkten und Diensten, die die Einhaltung der Datenschutzrichtlinien und das Consent Management ermöglichen. Unternehmen, die Google-Produkte für Werbung, Analytics und andere Zwecke verwenden, sollten ihre Prozesse regelmäßig überprüfen und sicherstellen, dass ihre Implementierungen auf dem neuesten Stand sind. Dies trägt dazu bei, Datenschutzvorschriften dauerhaft einzuhalten und liefert Unternehmen darüber hinaus die wertvollen Daten, die sie für ihre Marketingprozesse benötigen. Außerdem steigert es das Vertrauen der Nutzer und verbessert die Interaktion mit ihnen. Weltweit werden immer mehr Datenschutzgesetze verabschiedet und Verbraucher werden sich ihrer Rechte und der Nutzung ihrer Daten immer mehr bewusst. Daher werden auch intelligente Consent Management-Lösungen immer wichtiger.

Vereinbaren Sie einen Termin für eine Demo mit unserem Team und erfahren Sie, wie wir den Consent Mode integriert haben

Demo buchen

Was sind CAPTCHAs?

CAPTCHA ist ein Akronym für den Ausdruck „Completely Automated Public Turing test to tell Computers and Humans Apart”. Trotz des eigenartigen Namens trifft der Name den Zweck des Tools sehr gut. Es geht darum zu erkennen, ob hinter einem Nutzer ein echter Mensch steckt, oder ob es sich lediglich um einen Bot oder automatisierten Nutzer handelt. Manche Aufgaben sind für Menschen sehr einfach, für Computer und Maschinen aber nur sehr schwer lösbar. Falls eine Seite erkennen möchte, ob ein Nutzer ein echter Mensch ist, muss dieser zum Beweis eine solche Aufgabe lösen.

Es gibt viele Beispiele dieser Aufgaben, die wir alle kennen. Zum Beispiel müssen aus 9 Bildern diejenigen erkannt werden, die einen Zebrastreifen, ein Auto oder einen Kran beinhalten. Die Bilder sind dabei nicht besonders klar und es kann auch für Menschen durchaus schwer erkennbar sein, welche Bilder die richtigen sind. Beliebt sind auch Buchstaben und Zahlen-Abfolgen, die gestreckt und gestaucht sind und vom Nutzer abgetippt werden müssen. Diese Variante wird allerdings immer seltener. Manchmal muss ein Nutzer auch einfach nur einen bestimmten Teil eines Bildes anklicken.

reCAPTCHA2014 ging das Tool reCAPTCHA v2 von Google live und das Kästchen „Ich bin kein Roboter“ erschien auf unseren Bildschirmen.

Wovor schützen CAPTCHAs?

CAPTCHAs schützen Nutzer und Webseiten vor vielen Risiken. Die größte Bedrohung für Webseiten geht häufig von sogenannten Bots aus. Das sind spezialisierte Programme, die von Servern Daten anfordern können und bei entsprechender Frequenz von Anfragen auch zu einem Absturz führen. Wenn diese Bots sich einem CAPTCHA stellen müssen, ist die Gefahr eines erfolgreichen Bot Angriffs deutlich geringer.

Auch sogenannte Account Takeover Attacks (ATO) werden immer häufiger. Hierbei versuchen Hacker, in einen Account „einzubrechen”. Zum Beispiel durch wiederholte Eingabe von Login Daten. Deswegen werden CAPTCHAs häufig getriggert, wenn man ein Passwort mehrere Male falsch eingegeben hat. So kann das „Durchprobieren” von Zugangsdaten verhindert werden, um den Zugang zu erraten. Auf die gleiche Weise können CAPTCHAs auch verhindern, dass Fake Accounts erstellt werden. Auch hier müssen sich neue Nutzer häufig als „menschlich” ausweisen.

Sie möchten Nutzerdaten für Marketingzwecke datenschutzkonform sammeln und dabei gleichzeitig das Vertrauen Ihrer Nutzer in Ihre Marke stärken? Sprechen Sie mit unseren Experten und erleben Sie die Usercentrics CMP in Aktion. Wir freuen uns auf Ihre Fragen!

Jetzt Demo buchen
icon Talk

Was ist Google reCAPTCHA?

Google reCAPTCHA war schon immer für den oben genannten Dienst gedacht, aber hatte auch immer einen Nebenzweck. Die erste Version wurde auch entwickelt, um zu erkennen, ob automatisierte eingescannte Bücher richtig erkannt wurden. Deswegen gab es früher auch mehr der CAPTCHAS, in denen mehrere Wörter verschwommen dargestellt wurden und von Nutzern erkannt werden mussten. Seitenbetreiber können das Programm bei Google kaufen und auf der eigenen Seite einpflegen. So kann das CAPTCHA relativ einfach installiert werden und sehr zuverlässig ungewollte automatisierte Besucher filtern.

Es muss allerdings erwähnt werden, dass das Programm nicht unfehlbar ist. Google ermittelt nicht genau, ob jemand ein Bot ist, oder nicht, sondern nur, wie wahrscheinlich es ist, dass es sich bei dem Besucher um einen Bot handelt.

Die modernste Version: Google reCAPTCHA v3 API lässt Abfragen komplett entfallen

Ende 2018 hat Google die neueste Version von seinem CAPTCHA Dienst veröffentlicht. In dieser müssen Nutzer keine Aufgabe mehr erfüllen. Das System erkennt selbstständig, ob es sich um einen Menschen handelt. Jedem Besucher wird eine Zahl zwischen 0 und 1 zugewiesen, je nachdem wie menschlich das Verhalten eingestuft wird. Je nach Grenzwert werden dann Maßnahmen eingeleitet, um den Nutzer auszuschließen. Ein Wert von 0 entspricht dabei einem sehr sicheren Bot, während ein Wert von 1 für einen sehr eindeutigen Menschen steht.

Google reCAPTCHA v3 kann Verhalten auf einer Webseite so gut modellieren, dass es ganz ohne Kästchen anklicken oder Bilder erkennen auskommt. Das soll den Nutzer von dieser teilweise sehr lästigen Aufgabe befreien und Frust vermeiden. Menschen sollten also recht einfach durch „normales” Verhalten auf einer Webseite einen Score von 1 erreichen können. Wie genau dieser Score zustande kommt, gibt Google nicht preis. Auf der einen Seite ist das verständlich, da sonst Hacker diese Bedingungen maschinell erfüllen könnten, auf der anderen Seite kann so auch nur sehr schwer die Qualität des Programms eingeschätzt werden.

In dieser Technologie gibt es allerdings ein Problem: Alle Aktionen des Nutzers müssen überwacht werden. Der Nutzer und seine Bewegungen auf der Seite müssen genau nachvollzogen werden, um einen möglichst genauen Wert zu ermitteln. Das Problem liegt darin, dass der Nutzer rechtlich dazu seine Einwilligung geben MUSS.

Google reCAPTCHA v3Google reCAPTCHA v3 und Enterprise erkennt Menschen – ohne Fragen zu stellen

Website Besucher bekommen nichts von reCAPTCHA v3 mit. Für Nutzer ist, im Gegensatz zu früheren Iterationen, nicht mehr erkennbar, ob sie einem solchen Test unterzogen werden. Nur ein auf der Seite dargestelltes Logo weist auf die Nutzung von Google reCAPTCHA hin.

Wenn Google den Wert eines Nutzers auf unter 0,7 ermittelt, kann die Webseite den Zugriff des Nutzers einschränken oder komplett verhindern. Dann muss der Nutzer beispielsweise per Zwei-Faktor-Authentifizierung beweisen, dass es sich um einen Menschen handelt. Dies lässt sich umsetzen, indem ein „Action”-Tag auf einer Seite verbaut wird, auf der eine solche Abfrage stattfinden soll.

Die Vorteile von Google reCAPTCHA v3 und Enterprise

Wie schon erwähnt, liegt der größte Vorteil von Google reCAPTCHA v3 darin, dass Nutzer nicht mehr zu einem ausdrücklichen Test „gezwungen” werden müssen. Zusätzlich gibt es für Website Betreiber noch mehr Vorteile bei der Feinabstimmung der Google API.

Die Zugriffsrichtlinie kann für verschiedene Teile der Webseite unterschiedlich definiert werden. Eine Zugriffsrichtlinie ist dabei die Definition der Schwellenwerte und Prüfungsrichtlinien für eine bestimmte Seite oder einen Webseitenbereich. So kann für eine Anmeldung zu einem bestimmten Dienst ein Score von >0,9 nötig sein, um die oben erwähnten ATO Attacken zu verhindern, während ein Wert von 0,7 für die „normale” Seitennutzung völlig ausreicht. Diese Zugriffsrichtlinien können aber auch Transaktionsverläufe und Nutzungsprofile aus Nicht-Google-Daten beinhalten.

Google reCAPTCHA und die DSGVO

Das Ziel der DSGVO ist es, die personenbezogenen Daten von Nutzern möglichst umfassend zu schützen. Für diesen Schutz sind die Website-Betreiber selbst verantwortlich. Das bedeutet, dass jegliche Sammlung und Verarbeitung von personenbezogenen Daten für Analytics Tools oder Remarketing nur unter bestimmten Umständen passieren darf. Betreiber müssen also vorsichtig sein und grundsätzlich den Schutz der Nutzerdaten an oberster Stelle setzen.

Wie bereits erwähnt, läuft die Verwendung von CAPTCHAs mit Version 3 und Enterprise für die Nutzer quasi „unsichtbar“ ab. Es besteht als eine Art „Einwillingungspflicht”. So praktisch dies auf den ersten Blick erscheint, so intransparent ist es aber aus Datenschutzsicht. Denn das Nutzerverhalten wird verdeckt analysiert, ohne dass die Nutzer ihre ausdrückliche Einwilligung erteilen. Sie werden nicht darüber informiert, dass bei der Analyse durch das System u. a. folgende Daten an Google weitergeleitet werden:

Gerade die IP-Adresse und Informationen zu den Geräten und Geräteeinstellungen in Verbindung mit den anderen Informationen sind eventuell personenbezogene Daten und fallen damit unter die DSGVO. Problematisch ist auch, dass nicht genau bekannt ist, welche Daten Google in welchem Umfang verarbeitet hat, um reCAPTCHA v3 anzubieten. Speicherdauer der Daten und Verarbeitungsprozesse sind nicht transparent. Daher müssen Website Betreiber besonders vorsichtig sein. Auch die bayerische Aufsichtsbehörde weist darauf hin, dass reCAPTCHA Risiken für Webseiten-Betreiber birgt. Klar ist: Die Einwilligungspflicht für reCAPTCHA ist nicht DSGVO konform.

Google reCAPTCHA DSGVO konform einbinden

reCAPTCHA kann, das geht aus den beschriebenen Problemen hervor, nicht problemlos in eine Seite eingebunden werden. Es gibt aber Maßnahmen, die eine DSGVO-konforme Einbindung von reCAPTCHA zulassen:

1. reCAPTCHA Hinweis in die Datenschutzerklärung

Die Funktionsweise von CAPTCHAs und besonders reCAPTCHA sollte möglichst transparent in die Datenschutzerklärung einer Webseite eingebunden sein. Das bedeutet auch, dass nicht nur das Nötigste beschrieben wird, sondern spezifisch beschrieben wird, für was diese Tools gedacht sind. Es ist wichtig, dass Nutzer verstehen, welche Vorteile das Tool hat und welche Daten dafür nötig sind. Dadurch stärken Sie auch Ihre Beziehung zu Ihren Nutzern und erhöhen Ihre Vertrauenswürdigkeit.

2. reCAPTCHA in Cookie Banner einbinden

Mit der Einbindung in die Datenschutzerklärung ist es leider noch nicht getan. Es ist wichtig, dass Nutzer explizit der Sammlung ihrer Daten für reCAPTCHA zustimmen. Das bedeutet, dass reCAPTCHA in Ihr Cookie Banner und Ihre Consent Management Platform eingebunden werden sollte. Hier können Sie die Einwilligung einholen und diese dann datenschutzkonform für die Zukunft ablegen.

Mit diesen beiden Maßnahmen können Sie reCAPTCHA möglichst DSGVO-konform verwenden. Es ist allerdings wichtig, dass Sie mit Ihrem Datenschutzbeauftragten und Ihrer Rechtsabteilung Rücksprache halten, ob die Maßnahmen für Sie ausreichen.

reCAPTCHA integrierenSchritt-für-Schritt-Integration

Egal ob Datenschutz, Recht oder Tech – wir wissen, was die Branche bewegt. Schalten Sie rein und lassen Sie sich in unserer zweiwöchentlichen Expertenrunde auf den neuesten Stand bringen.

Jetzt anmelden
Icon Headphone

Google reCAPTCHA integrieren – eine Schritt-für-Schritt Anleitung

1. Website registrieren und Secret Key erhalten

  1. Sie müssen zunächst Ihre Website bei Google registrieren.
  2. Melden Sie sich in Ihrem Google-Konto an und füllen Sie das entsprechende Formular aus.
  3. Wählen Sie reCAPTCHA v3 oder Enterprise aus und aktivieren Sie darin die Option „Ich bin kein Roboter“.
  4. Nach dem Absenden erhalten Sie von Google den Website Schlüssel und den Secret Key. Diese werden benötigt, um das Formular zu konfigurieren.

2. Google reCAPTCHA in die Website integrieren

  1. Um reCAPTCHA in Ihre Website zu integrieren, müssen Sie es sowohl auf der Client-Seite als auch auf der Server-Seite einfügen.
  2. reCAPTCHA v3 ist unsichtbar. Sie werden deshalb kein CAPTCHA-Formular auf Ihrer Website sehen und müssen die CAPTCHA-Antwort in Ihrem JavaScript-Code (Quellcode) erfassen.
  3. Wenn Sie alle erforderlichen Aktionen getätigt haben, sehen Sie das reCAPTCHA-Symbol auf Ihrer Website. Damit können Sie den Dienst auf der Client-Seite zum Laufen bringen.
  4. Das System analysiert nun die einzelnen Nutzer, erstellt dann einen Token und ordnet es einer versteckten Eingabe zu.

3. Serverseitige Einbindung

  1. Da es kein CAPTCHA im Stil eines Kontrollkästchens gibt, muss die reCAPTCHA-Antwort erfasst und zur Validierung an das Backend gesendet werden.
  2. Verwenden Sie eine PHP-Datei (Skriptsprache), um die Nutzer durch gewisse definierte Konstanten mit Daten zu überprüfen.
  3. Der Code erstellt eine Anfrage, sendet sie an Google und gibt einen Wert zurück. Abhängig von der erhaltenen Punktzahl können Sie Aktionen durchführen, die für Ihre Anwendungen relevant sind.

Wichtig: Dies ist ein sehr simples Beispiel für eine serverseitige Einbindung und die Auswertung der Antwort. Wenn Sie es für Ihre Produkte anwenden, stellen Sie sicher, dass eine starke Client- und serverseitige Validierung verwendet wird, wie bei jedem Formular. Wenn Sie eine komplexere Validierung benötigen, lohnt sich ein Blick in die PHP-Bibliothek.

Zusammenfassung

Die Google reCAPTCHA Version 3 API-Lösung ist mit Ihrer Lösung ohne direkte Interaktionen mit den Nutzern besonders praktisch. So sind Bilder- und Worträtsel auf Webseiten eine Anekdote, die in einigen Jahren wahrscheinlich belächelt wird. Es ist vermutlich die Zukunft der „menschlichen” Prüfung. Allerdings bringt die Funktionsweise einige Probleme mit sich.

Es ist wichtig, dass ein funktionierendes Cookie Banner und eine gut funktionierende Consent Management Platform verwendet werden, wie sie von Usercentrics angeboten werden. So kann das Opt-In transparent und einfach eingeholt werden. Es ist dann auch nicht mehr nötig, eine Alternative zu verwenden. Die meisten Menschen sind dem Datenschutz von Drittanbietern wie Google gegenüber eher skeptisch. Deswegen müssen Websiten Betreiber besonderen Fokus darauf legen, Vertrauen zu schaffen. Dies funktioniert am Besten mit einem hochwertigen Cookie Banner und einer zuverlässigen CMP. Letztlich sind reCAPTCHA v3 und Enterprise für die meisten Website Besucher aber eine willkommene Neuerung.

Als Erfinderin des Teddybären weiß die Margarete Steiff GmbH, allgemein unter dem Namen Steiff bekannt, wie man Kunden glücklich macht. Seit der Herstellung der ersten Filztierspielzeuge im Jahr 1880 bis zu ihrer heutigen Online-Präsenz lag ihnen stets am Herzen, ihren Kunden das bestmögliche Einkaufserlebnis zu bieten.

Heutzutage stellt das Unternehmen Plüschtiere sowie Baby- und Kinderkleidung her. Mit seinem Hauptsitz in Deutschland und einer Tätigkeit in ganz Europa ist die Einhaltung der DSGVO für das Unternehmen von großer Bedeutung. Außerdem muss es für die sich fortlaufend weiterentwickelnden Datenschutzgesetze gewappnet sein.

Die kontinuierliche Optimierung des Online-Kundenerlebnisses erfordert Daten – und um diese Daten zu erfassen, müssen Nutzereinwilligungen eingeholt werden. Daher ist es jeden Tag aufs Neue wichtig, den Kunden ein großartiges Consent Management mit eindeutigen Informationen und Optionen bereitzustellen.

Das Steiff-Team nutzt die Usercentrics CMP bereits seit 2020. Im Hinblick auf seinen Fokus auf das Nutzererlebnis hat das Unternehmen insbesondere visuelle und interaktive Elemente angepasst, um sicherzustellen, dass die CMP sich nahtlos in seine CI einfügt und so benutzerfreundlich wie möglich ist. Außerdem stützt sich das Team stark auf die detaillierten Analytics-Insights.

Unsere Ansprechpartner bei Steiff ziehen ein tolles Fazit aus unserer Zusammenarbeit: „Usercentrics ist eine vertrauenswürdige Marke für Consent Management-Lösungen, sodass Kunden mehr Vertrauen in den Datenschutz auf unserer Website setzen.“

Jetzt herunterladen!

Als Anbieter medizinischer Fortbildungen ist die Mission des AMBOSS-Teams entscheidend: Ärzte und Medizinstudenten weltweit zu unterstützen, die bestmögliche Patientenversorgung zu bieten. Dazu gehören kontinuierliche Fortbildungen, um die Patientenversorgung, die ärztliche Entscheidungsfindung und vieles mehr zu verbessern. Die derzeit größten Märkte des Unternehmens sind Europa und die USA.

Mit Millionen von Nutzern in über 170 Ländern sind Nutzerdaten für AMBOSS zur Innovation und Verbesserung der Betriebsabläufe von entscheidender Bedeutung. Der Schutz dieser Daten ist jedoch noch wichtiger als die daraus gewonnen Einblicke, denn AMBOSS muss die Einhaltung der sich kontinuierlich weiterentwickelnden Tech- und Datenschutzvorschriften sicherstellen. Die Einhaltung der DSGVO der EU ist nicht nur erforderlich für die Geschäftstätigkeit, sondern schafft auch eine solide Grundlage für die Einhaltung anderer bestehender und zukünftiger Datenschutzgesetze weltweit, je mehr das Unternehmen wächst.

AMBOSS nutzt die Usercentrics CMP bereits seit 2021 und setzt sie nun auf fünf Domains und in allen acht mobilen Apps ein. Die Erstimplementierung dauerte weniger als eine Woche, sodass sich das Team auf sein Kerngeschäft konzentrieren konnte.

Ekaterina Kolbasova, Leiterin der IT-Abteilung bei AMBOSS, erklärt: „Wir konnten so Zeit und Energie bei der Auseinandersetzung mit Compliance-Problemen einsparen und uns mehr auf das Produkt selbst konzentrieren. Wir sind uns sicher, dass die Informationen in der CMP aktuell und relevant sind.“

Jetzt herunterladen!