Warum Du um den Einsatz einer professionellen Consent-Management-Lösung nicht herumkommst, wenn Du rechtssicher Daten und Einwilligungen Deiner Nutzer verwalten möchtest, haben wir bereits in Teil 1 dieses Blogbeitrags gezeigt. Wie aber funktioniert das Ganze nun und welche Consent Management Platform (CMP) ist die richtige für Dich? Das wollen wir uns in diesem Beitrag genauer ansehen.
Um Daten von Webseitenbesuchern zu erheben – sei es zur Personalisierung oder nur zur Verbesserung der Funktionalitäten –, muss zwingend die Einwilligung, also der Consent, beim Nutzer eingeholt werden. Diese Einwilligung wird meist über ein Pop-up-Banner bzw. eine Cookie Wall eingesammelt. Nachdem die Einwilligung abgegeben wurde, kann das entsprechende Cookie, das die relevanten Daten sammelt, platziert werden. Den Trigger, der das Setzen eines Cookies anstößt, steuert die CMP. Wichtig: Erst wenn das Häkchen bestätigt und die Einwilligung abgegeben wurde, darf das Cookie gesetzt werden – vorher ist es laut Datenschutz-Grundverordnung (DSGVO) nicht erlaubt. Sobald die Checkbox aktiviert ist, können die Cookies – je nach Auswahl und Einschränkung des Nutzers – im Hintergrund geladen werden.
Pop-up-Banner erscheinen beim Besuch einer Website als abgegrenztes Feld im Vordergrund der Seite und ziehen so die Aufmerksamkeit des Nutzers auf sich. Sie unterbrechen ihn bei der Betrachtung der Website mit einem Opt-in-Formular.
Die Cookie Wall ist ähnlich einem Pop-up-Banner, fordert den Nutzer aber explizit auf, Cookies zu akzeptieren, um das Angebot weiter nutzen zu können.
So weit der technische Ablauf, aber der Teufel steckt auch hier im Detail. Dem Nutzer müssen die Informationen dazu, was im Hintergrund passiert und welche Daten zu welchen Zwecken erhoben werden, in einer verständlichen Form vorliegen. Dieser Informationstext oder Einwilligungstext sollte im besten Fall direkt der Einwilligung zugeordnet werden. Nur so kannst Du bei Aktualisierungen oder Änderungen nachsehen und nachweisen, welche Einwilligung zu welchem Kontext aktuell ihre Gültigkeit hat.
In vier Schritten zur rechtssicheren Datennutzung
Es empfiehlt sich hierbei, im ersten Schritt genau zu überlegen, welche Daten zwingend benötigt werden und welche Verarbeitungen vorgesehen sind. Denn jede Änderung, sei es durch neue Gesetze oder neue technische Möglichkeiten, verändert das Vorgehen beim Setzen von Cookies. Hier kann der Einsatz einer CMP, welche die Vorgaben des IAB Europe und seines Transparency and Consent Frameworks (TCF) einhält, bereits eine Erleichterung darstellen. Zu empfehlen ist es auf jeden Fall dann, wenn im Rahmen des Online-Marketings unterschiedliche Vendoren eingesetzt werden. Zuletzt sorgte Apple in diesem Kontext für Aufsehen: Das Unternehmen hatte eine Änderung am App Tracking Transparency angekündigt (IOS 14 ATT), die nicht nur vorsieht, dass bereits in den iPhone-Einstellungen das Tracking komplett unterbunden werden kann. Auch wurden relevante Identifier in Apps angepasst oder sogar ganz rausgenommen, wodurch es sein kann, dass die komplette Consent-Funktionalität überarbeitet werden muss.
Aus technischer und auch aus Datenschutzsicht gibt es sehr klare Anforderungen, die bei der Nutzung von persönlichen Daten erfüllt werden müssen. Hier eine Zusammenfassung der wichtigsten Punkte:
- Consent before Cookie: Das Ablehnen der Datennutzung muss auf oberster Ebene möglich sein. Wenn zu dem Zeitpunkt aber bereits Cookies gesetzt wurden, ist das nicht mehr möglich. Deshalb immer: Erst fragen, dann machen!
- Die Einwilligung muss freiwillig sein und explizit gegeben werden. Eine vorselektierte Checkbox ist wirklich nur im Fall technisch zwingend notwendiger Cookies erlaubt. Und hier gibt es keinen Interpretationsspielraum: Gemeint sind ausschließlich solche Cookies, die keine Daten zu anderen Zwecken erheben, als dass der User die Seite nutzen kann. Und nein, eine personalisierte Landingpage mit individuellen Angeboten gilt nicht als technisch notwendig.
- Der Widerruf von Einwilligungen muss jederzeit möglich sein. Wichtig dabei: Ändert ein Nutzer seine Einwilligung, muss das real-time in der CDP erfasst und immer aktuell dokumentiert sein.
- Die Gestaltung von Opt-in und Opt-out muss gleichwertig sein und es dürfen keine Stolpersteine für den Opt-out gelegt werden.
Welche CMP ist die richtige?
Bei der Auswahl und Implementierung einer CMP gibt es kein standardisiertes Vorgehen oder die eine CMP für alles und jeden Anwendungszweck. Vielmehr nehmen der individuelle Kunden-Touchpoint und die nachgelagerten Prozesse Einfluss auf die Entscheidung, ob eine standardisierte oder eine individuelle Lösung die richtige Wahl ist. An manchen Stellen reicht bereits eine einfache Lösung, die nur den Consent per se verwaltet. Bei einem Webshop oder einem Internetportal, auf dem auch Werbung Dritter platziert werden soll, sollte man auf die professionelle Unterstützung setzen und ggf. sogar eine Lösung mit bereits integriertem Transparency and Consent Framework (TCF) wählen. Die Vorteile liegen dabei klar auf der Hand: Es werden Standards eingehalten und die Marktveränderungen berücksichtigt, und regelmäßige Updates sorgen für eine stabile Funktionsweise. So kann die Compliance nachhaltig sichergestellt werden. Kommen weitere Kanäle dazu, in denen Opt-ins gesammelt werden bzw. durch die ebenfalls Opt-outs abgegeben werden können, erweitert sich die Auswahl um weitere Faktoren. Werden On- und Offline-Kanäle genutzt? Wie werden die Informationen eingeholt – werden Papier, Voice-Records und elektronische Eingaben kombiniert genutzt? In solchen Fällen setzt man häufig mehrere Lösungen ein, die miteinander kombiniert werden. Um hierbei nicht den Überblick zu verlieren und die Wartungs- und Betriebsaufwände nicht ausufern zu lassen, sollten vor der Entscheidung die maßgeblichen Anforderungen klar definiert werden. Die Frage lautet demnach: Welche CMP passt zu den Anforderungen und brauche ich eine CMP oder eventuell mehrere, die wiederum in einer zentralen Plattform zusammengeführt werden können?
Neben den offensichtlichen Anforderungen gilt es, sich mit Weitblick für eine nachhaltige Lösung zu entscheiden – und dabei geht es meist nicht nur um die eigentliche CMP-Lösung im Vordergrund, sondern auch um deren Einbindung in die vorhandene Infrastruktur und Prozesslandschaft. Bei b.telligent profitieren wir in dieser Hinsicht sehr von der Kombination unserer beiden Competence Center Customer Engagement & MarTech und Data Strategy & Governance. Gerne unterstützen wir so bei der Anforderungsanalyse und bei der Entscheidungsfindung oder direkt bei der Implementierung.
Mach den ersten Schritt zu rechtssicherer Datennutzung und nimm Kontakt auf!