LoginWerbenRegistrierung

Consent DSGVO-konform einsammeln

Mit rechtmäßigem Einwilligungsmanagement Bußgelder und Imageverlust vermeiden

Consent DSGVO-konform einsammeln

Ein geeigneter Datenschatz für die gezielte Ausspielung von Onlinewerbung und Marketingmaßnahmen ist für Firmen heutzutage essenziell. Wichtig ist jedoch, dass sie für die Nutzung personenbezogener Daten die Zustimmung der Nutzer einholen – und zwar DSGVO-konform. Andernfalls drohen Abmahnungen, Bußgelder und Imageverlust.

Keine echte Wahlfreiheit für den Nutzer und unbewusste Beeinflussung: Verbraucherschützer und Gerichte beschäftigen sich immer häufiger mit den sogenannten Cookie-Bannern, mit denen Firmen die Zustimmung der Nutzer zur Verwendung ihrer personenbezogenen Daten einholen. Der Grund: Viele Unternehmen verstoßen dabei gegen die Datenschutz-Grundverordnung (DSGVO). Diese gibt vor, dass die Zustimmung freiwillig, informiert, explizit, granular, vorab, dokumentiert und widerrufbar gegeben werden muss. Doch was genau bedeuten diese Vorgaben für die eingesetzten Cookie-Banner? Und was sind die häufigsten Verstöße?

Zunächst einmal zu den Vorgaben der DSGVO: „Freiwillig“ bedeutet, dass der User sich frei entscheiden kann und eine echte Wahlfreiheit hat. Konkret heißt das zum Beispiel: Er muss auf dem Banner einen „Annehmen“- und einen „Ablehnen“-Button vorfinden. Und gibt er seine Zustimmung nicht, muss er den Service bzw. die Website trotzdem uneingeschränkt nutzen können. Gerade diese Freiwilligkeit wird von Rechtsprechung und den Behörden sehr eng ausgelegt. Das Kriterium „informiert“ ist erfüllt, wenn die betroffene Person detailliert über die Datennutzung informiert wird und dieser wissentlich zustimmt. Zu den Informationen, die User direkt einsehen können sollten, zählen: Welche Daten werden erhoben? Wer bekommt meine Daten? Zu welchem Zweck werden sie erhoben? Dass der User „explizit“ der Verwendung von Technologien zustimmen muss, bedeutet, dass eine implizite Einwilligung etwa durch Weiterscrollen oder die Nutzung von Diensten nicht rechtmäßig ist. „Granular“ wiederum meint, dass der User im Detail darüber informiert werden muss, für welchen Datensatz und auch für welchen Drittanbieter er seine Einwilligung gibt. Pauschale Einwilligungen und allgemeine Hinweise erfüllen dieses Informationsprinzip nicht.

Das Kriterium „vorab“ meint, dass die Daten auch wirklich erst dann erfasst werden dürfen, wenn die Einwilligung des Users vorliegt. Sichergestellt sein muss demnach auch, dass keine Daten erhoben und weitergeben werden, wenn der User nicht zugestimmt hat. Zudem müssen sämtliche Einwilligungen „dokumentiert“ erfolgen. In diesem Punkt unterliegen Website-Betreiber nach der Datenschutzverordnung einer Beweispflicht und müssen im Falle einer Abmahnung oder eines Audits der Datenschutzbehörde nachweisen, dass keine Cookies eingesetzt wurden, bevor die Einwilligung vorlag. „Wiederrufbar“ schließlich bedeutet: Der User hat das Recht, seine Zustimmung jederzeit und ohne Begründung zu widerrufen. Dabei muss der Widerruf genauso einfach wie die Erteilung der Einwilligung sein.


Diese Vorgehensweisen werden geahndet

Dass diese Kriterien längst nicht immer erfüllt werden, zeigen nicht nur die Abmahnungen und Klagen der Verbraucherschützer. Auch eine Analyse häufig genutzter Banner-Lösungen kommt zu dem Ergebnis, dass viele der dort genutzten Tricks und Kniffe nicht erlaubt sind. Darunter fallen:


1. Opt-out ist auf der ersten Ebene nicht möglich

Der Cookie-Banner bietet auf der ersten Ebene keine Opt-Out-Möglichkeit. Diese häufig genutzte Variante ist nicht DSGVO-konform. Denn laut der Datenschutzverordnung muss der Ablehnen- Button genauso schnell, z. B. durch die gleiche Anzahl von Klicks, erreichbar sein wie der Annehmen-Button.


2. Inhalte werden hinter der Cookie-Wall versteckt

Auf der Webseite erscheint ein Banner, der den Zugang zu den Inhalten der Webseite versperrt. Der User muss erst der Datennutzung zustimmen, um weiterzukommen. Diese sogenannten Cookie-Walls entsprechen ebenfalls nicht den Vorgaben der Datenschutzrichtlinie. Denn: Kann der Besucher nur auf die Inhalte der Website zugreifen, wenn er der Nutzung seiner Daten zustimmt, verstößt dies gegen das Kriterium der Freiwilligkeit.


3. Weiterscrollen gilt als Zustimmung

Der Cookie-Banner informiert den User darüber, dass er der Datenverarbeitung zustimmt, wenn er das Angebot weiterhin nutzt. Dies gilt nicht als explizite Zustimmung im Sinne der DSGVO und ist damit nicht rechtskonform. Denn Weiterscrollen oder eine anderweitige Nutzung der Website gelten in keinem Fall als Einwilligung zur Datenerhebung bzw. Verarbeitung. Die Nutzer-Einwilligung muss immer in Form einer eindeutig bestätigenden Handlung erfolgen.


4. Kästchen sind im Vorfeld angekreuzt

Geht es um die Einwilligung des Users zur Verwendung bestimmter Technologien, nutzen die meisten Webseitenbetreiber Checkboxen oder Regler. Der Webseitenbesucher gibt die Einwilligung zum Einsatz bestimmter Technologien, wie zum Beispiel Tracking Tools, indem er das Kästchen anklickt, um einen Haken zu setzen oder den Regler aktiv verschiebt. Bereits im Voraus gesetzte Häkchen oder aktivierte Regler jedoch sind nur bei technisch notwendigen Cookies rechtskonform. Bei allen anderen Cookies, zum Beispiel solchen für Marketing-Zwecke, muss das Kästchen zunächst leer bzw. der Regler nicht aktiviert sein. Dies wurde bereits durch ein Gerichtsurteil des EuGH – das Urteil gegen den Glücksspielanbieter Planet49 – bestätigt.


5. Der Nutzer wird durch das Banner-Design beeinflusst

Webseiten-Besuchern wird durch sogenanntes Nudging, also die gezielte Beeinflussung durch ein bestimmtes Banner-Design, die Zustimmung nahegelegt. Hierunter fällt unter anderem das farbliche Hinterlegen bestimmter Elemente, z. B. Grün für den Annehmen- Button, oder das optische Verstecken anderer Elemente, z. B. Grau für die Opt-out-Möglichkeit. Nudging widerspricht gleich in zweifacher Hinsicht den Vorgaben der DSGVO. Denn wird der Nutzer unbewusst in seiner Entscheidung beeinflusst, trifft er diese weder freiwillig noch informiert.

„Ein unkompliziertes und transparentes Einwilligungsmanagement lässt Verbraucher die Website als vertrauenswürdig empfinden. Das wiederum sorgt für einen klaren Wettbewerbsvorteil.“


Legale Marketing-Tricks nutzen

Um ihr Geschäft bzw. ihre gezielten Marketingaktivitäten fürchten müssen die Firmen jedoch auch bei einer strengen Auslegung der Datenschutzverordnung nicht. So zeigt die Erfahrung, dass die häufig genutzten Tricks gar nicht nötig sind. Denn es gibt Cookie-Banner, die DSGVO-konform sind und dennoch sehr gute Zustimmungsraten erreichen. So können sich die User durchaus vorstellen, die Nutzung ihrer Daten zu erlauben. Oftmals klicken sie die Cookie-Banner nur weg, weil diese kompliziert gestaltet, unübersichtlich und schwer verständlich sind. Ein ansprechendes Design hingegen und eine angenehme und sympathische sowie der Nutzergruppe angepasste Sprache führen in der Regel zu guten Consent-Raten. Auch eine günstige Platzierung des Banners erhöht die Zustimmung.
 

Die 7 Regeln DSGVO-konformen Consents
Symbolbild: Die sieben Regeln DSGVO-konformen Consents (Credit: Usercentrics)

Sieben Kriterien einer DSGVO-konformen Einwilligung
 

1. Freiwillig: 

Eine Einwilligung erfolgt freiwillig, wenn die Person bei ihrer Entscheidung eine echte Wahlfreiheit hat. Gerade die Freiwilligkeit wird von Rechtsprechung und Behörden zugunsten von Verbrauchern eng ausgelegt. Eine Zugangssperre der Webseite, nur weil der Nutzer die Einwilligung zu Marketing-Technologien nicht gegeben hat, dürfte in der Praxis kaum Bestand haben. Das bedeutet für den Cookie-Banner: Es muss einen „Annehmen“ und „Ablehnen“-Button geben.

2. Informiert:

Eine Einwilligung erfolgt informiert, wenn die betroffene Person alle Gegebenheiten im Zusammenhang mit der Datenverarbeitung kennt und diesen wissentlich zustimmt. Das bedeutet für den Cookie-Banner: Website-Besucher sollten eine Reihe von Informationen direkt einsehen können. Darunter fallen Empfänger, Zweck und Art der Daten, Dauer und Ort der Speicherung, Rechtsgrundlage, Dritte Parteien, sowie die Information über das Recht zum Widerruf der Einwilligung.

3. Explizit:

Der Nutzer muss aktiv für die Verwendung von Technologien zustimmen. Das bedeutet für den Cookie-Banner: Eine implizite Einwilligung “durch Weitersurfen”, von der oft die Rede ist, ist zumindest nicht konform, wenn Technologien sofort beim Besuch der Website geladen werden.

4. Granular:

Die Einwilligung muss Technologie- bzw. Cookie-spezifisch sein. Das bedeutet für den Cookie-Banner: Der User muss granular wissen, für welchen Datensatz und für welchen Drittanbieter er seine Einwilligung gibt oder entzieht. Pauschale Einwilligungen in allgemein gehaltene Hinweise genügen diesem Informationsprinzip nicht.

5. Vorab:

Daten sollten erst erfasst werden, wenn die Einwilligung vorliegt. Das bedeutet für den Cookie-Banner: Es muss eine technische Verknüpfung des “Cookie-Banners” und der Technologien auf der Seite bestehen. Sonst werden Daten ohne gültige Rechtsgrundlage verarbeitet, was einen Verstoß nach Art. 83 Abs. 5 lit. a) DSGVO darstellt. Willigt der Nutzer nicht ein, muss technisch sichergestellt werden, dass auch weiterhin keine Daten erhoben und weitergegeben werden.

6. Dokumentiert:

Website-Betreiber unterliegen nach der DSGVO einer Beweispflicht und müssen im Falle einer Abmahnung oder eines Audits der Datenschutzbehörde die Einwilligungshistorie vollständig vorlegen können. Das bedeutet für den Cookie-Banner: Damit die Einwilligung einer Prüfung standhält, sollten Datenpunkte wie Timestamp, User-Agent oder die Version der Einwilligungstexte mitgeschrieben werden. Auch abgesetzte URL-Calls sollten geloggt werden.

7. Widerrufbar:

Der User hat das Recht, die Einwilligung jederzeit und ohne Begründung zu widerrufen. Dabei muss der Widerruf genauso einfach wie die Erteilung der Einwilligung sein. Das bedeutet für den Cookie-Banner: Der User muss jederzeit seine Einwilligung zu einzelnen Technologien mit wenigen Klicks einsehen und widerrufen können. Dass er erst in den Datenschutzbestimmungen nach der jeweiligen Opt-Out Option suchen muss und hierzu ggf. auf eine Drittanbieter Seite geleitet wird, kann dem User hingegen nicht zugemutet werden. Ein Click-Out in der Datenschutzerklärung, welcher auf Drittseiten zum Opt-Out verlinkt, ist ohnehin technisch nicht ausreichend.


Zweite Chance für den Consent

Ebenfalls ermutigend ist die Erkenntnis: Selbst wenn Nutzer sich trotz aller Bemühungen gegen den Einsatz von Cookies entschieden haben, macht ein zweiter Versuch, sie zu überzeugen, durchaus Sinn. Allerdings sollten Firmen auch dabei nicht übertreiben, sondern lieber etwas zurückhaltender vorgehen, damit der Nutzer nicht genervt die Seite verlässt. Die Grundregel für die Rückgewinnung lautet: Timing, Anreize und Extras. So sorgen etwa Verkaufsaktionen wie der Singles Day oder der Black Friday nicht nur für mehr Traffic auf den Webseiten der Firmen. Bei den beliebten Events steigt die Bereitschaft zum Consent. Der User freut sich auf die Schnäppchen und stellt deshalb eventuelle Datenschutzbedenken hinten an. Auch ein Gutschein ist eine gute Möglichkeit, um die Besucher von der Zustimmung des Datentrackings zu überzeugen. Dieses Marketing-Instrument wird oft genutzt, um Kunden davon zu überzeugen, einen Newsletter zu abonnieren. Ebenso lässt es sich einsetzen, um die Cookie-Zustimmungsrate zu erhöhen. Unternehmen können Opt-out-User zum Beispiel fragen: Du willst wirklich ablehnen? Wie wäre es mit einem 5 Prozent Rabatt-Code für deinen nächsten Einkauf? Auch hier sollten die Firmen jedoch darauf achten, dass das Angebot nicht zu verlockend ist. Denn wer mit zu attraktiven Vergünstigungen lockt, gerät in Verdacht, den Nutzern die Zustimmung aufzuzwingen – weil das Angebot zu gut ist, um es abzulehnen. Auch hier gilt das Kriterium der Freiwilligkeit.

Eine gute Möglichkeit, um den Usern zu vermitteln, dass ihre Zustimmung zu einem Mehrwert führt, stellen auch einzelne eingebettete Inhalte dar. Möchte ein Opt-out-User mit diesen interagieren, wird erneut um die Einwilligung gebeten. Diese Option bietet sich zum Beispiel bei eingebetteten Social-Media-Beiträgen von Twitter oder Facebook an. Ebenfalls wichtig ist, dass sich der User auf einer Website sicher fühlt. In diesem Zusammenhang gilt es, mithilfe der Daten, die man von den Opt-in-Usern erhält, herauszufinden, welche Unterseiten und Landingpages von den Nutzern als besonders vertrauenswürdig erlebt werden, um dann gezielt auf diesen Seiten den Cookie-Consent erneut auszuspielen.

Grundsätzlich gilt: Je nutzerfreundlicher die Privatsphäre-Präferenzen der Webseiten- und App-Besucher abgefragt werden, desto höher ist die Akzeptanz. Zudem sollten Firmen nicht vergessen: Ihre Konkurrenten stehen ebenfalls vor der Herausforderung, Nutzerdaten gesetzeskonform zu erheben. Und: Insgesamt führt ein unkompliziertes und transparentes Einwilligungsmanagement dazu, dass Verbraucher die Website als vertrauenswürdig empfinden, was wiederum für einen klaren Wettbewerbsvorteil sorgt.

 

Hanna Waldenmaier

Autorin

Hanna Waldenmaier

Vice President Global Partnerships

Hanna Waldenmaier hat bereits für Unternehmen wie Google und Salesforce gearbeitet und zahlreiche Erfahrungen im Sales sowie Customer Success in der digitalen SaaS-Branche gesammelt. Als Vice President für Global Partnerships bei der Usercentrics GmbH ist Hanna verantwortlich für die Akquise und das Enablement der Partner. Neben ihrer täglichen Arbeit organisiert sie MeetUps im SaaSB2B- Startup-Sektor und nimmt gerne an ähnlichen Networking-Veranstaltungen teil.

https://usercentrics.com/de/
https://www.linkedin.com/in/hannawaldenmaier

Aktuelle Ausgabe

Frühlingsausgabe 2023

eStrategy Magazin letzte Ausgabe

Datensilos aufbrechen

Jetzt Registrieren
Aktuelle Ausgabe eStrategy Magazin letzte Ausgabe

Datensilos aufbrechen

Jetzt Registrieren

Aktuelle Artikel

Das könnte Sie auch interessieren

Geben Sie Ihren Benutzernamen und Ihr Passwort ein, um sich an der Website anzumelden:

Jetzt registrieren
Passwort vergessen?
Warum registrieren?
Facebook Twitter
Top