Consent Layer: mehr Segen als Fluch?

Vier Jahre ist die Datenschutzgrundverordnung inzwischen alt und damit ist es Zeit für einen Rück- und Ausblick. Sowohl für Marketer als auch für Konsumenten begann 2018 eine neue Zeitrechnung. Die EU setzte mit der DSGVO ein deutliches Zeichen, welche Rechte der Bürger in Bezug auf seine eigenen Daten hat. Über Auskunft, Löschung sowie Korrektur sollten die Nutzer eigenständig entscheiden – und das nicht nur europaweit, auch große Internetkonzerne aus den USA haben sich daran zu halten.

Doch wie sieht es inzwischen mit der tatsächlichen Umsetzung aus? Wie sieht es mit der Akzeptanz bei den einzelnen Parteien aus? Welche Probleme treten noch auf? Wir haben anlässlich des vierten Geburtstages der DSGVO einen Rückblick gewagt.

Happy Birthday, DSGVO: der Status quo

Allgegenwärtig und bezeichnend für den erhöhten Schutz der eigenen Daten, ist der Consent Layer oder auch landläufig Cookie-Banner. Er taucht immer dann auf, wenn eine neue Seite betreten wird, und gilt als rechtlich verpflichtend. Der Einwilligungsbanner fragt den Nutzer, welche Daten er zu welchem Zweck preisgeben möchte. Für die Datenschutzbehörden ist der Cookie-Banner ein leicht verfügbarer Indikator über den Stand des Datenschutzes des jeweiligen Unternehmens. Weist er keine Rechtskonformität auf, drohen Nachprüfungen seitens der Behörden.

Doch die Akzeptanz bei den Nutzern ist gering. Eine Studie von consentmanager.de ergab, dass 14 % aller Internetuser den Cookie-Banner wahllos wegklicken, ohne auf die Speicherungsoptionen zu achten. Nur 12 % fühlen sich dadurch sicherer.

Gestraft mit Nichtbeachtung, werden durch einfaches Akzeptieren der Cookie-Setzung alle Informationen gespeichert, die es ermöglichen, ein Werbeprofil anzulegen. Standort, Anzahl der Logins, Inhalt der Warenkörbe – um nur einige Beispiele zu nennen, sind für Marketer hilfreich, personalisierte Angebote zu erstellen. Der Consent Layer im Rahmen der neuen DSGVO sollte das eigentlich unterbinden und den Schutz der sensiblen Daten erhöhen.

Mangelndes Beschwerdemanagement bei Nichteinhalten der Gesetzeslage

An der Umsetzung der geltenden DSGVO scheiden sich allerdings die Geister. Der Bundesdatenschutzbeauftragte Ulrich Kelber bezeichnet die Vorschriften zwar als weltweiten Maßstab, jedoch ist der Umgang mit den Konsequenzen noch ausbaufähig. Amazon, H&M und WhatsApp mussten in den letzten Jahren hohe Bußgelder zahlen; bei einigen Internetriesen wie Google lässt das Gesetz seine Härte allerdings vermissen.

Eine weitere Begründung dafür, dass die Schutzmaßnahmen noch ausbaufähig sind, zeigt sich daran, dass den Nutzern generelle Informationen über Folgen bei Missbrauch fehlen. Dabei stellen sich vor allem folgende Fragen:

• Wie sehen die Informationspflichten für Unternehmen aus?
• Was passiert bei einer mangelhaften Datenverarbeitung oder unerlaubten Datenweitergaben?
• Welche Daten dürfen nicht abgefragt werden?
• Wo ist der Beschwerdeführer zu finden?
• Welche Folgen sind bei Nichtbeachtung oder falscher Ausführung zu erwarten?

Die Existenz der DSGVO ist allen Unternehmen und Usern klar, die Interpretation muss präziser definiert werden.

DSGVO: Geschäftsgrundlage gefährdet?

Vor allem datengetriebene Geschäftsmodelle – wie sie im Online-Marketing keine Seltenheit sind – kämpfen mit den Abfragemechanismen. Cookies sind die Grundlage dafür, über ein aussagekräftiges Tracking relevante Informationen zu erhalten und anhand der Zahlen das eigene Business gewinnbringend zu optimieren. Setzen Nutzer das Häkchen im Cookie-Banner willkürlich, werden die Daten verfälscht. Dennoch muss jedem Nutzer die Ablehnung aller Datenspeicherungen zugestanden werden. Auch auf die Gefahr hin, dass es für Unternehmen nicht mehr nachvollziehbar ist, wer sich auf der Website in welchem Umfang bewegt. Zudem muss in der Umsetzung unter anderem darauf geachtet werden, dass die Speicherungsoptionen gleich dargestellt sind, um den User nicht zu beeinflussen.

Solange allerdings die Datenverarbeitung nicht verantwortungsbewusst vollzogen wird, bleibt auch die Skepsis in den Köpfen bestehen. Der Bundesgerichtshof hat 2020 entschieden – und damit dem Europäischen Gerichtshof zugestimmt: Marketingrelevante Daten mit personellem Bezug dürfen nur noch mit einer ausdrücklichen Opt-in-Einwilligung genutzt werden. Ein einfaches Opt-out hat keine Gültigkeit. Dazu zählen neben dem Cookie-Banner auch weitere Technologien wie die Verwendung von Pixeln oder Fingerprints.

Je nach Brand Awareness entstanden dabei unterschiedliche Akzeptanzquoten, die unserer eigenen Erfahrung nach zwischen 20 und 80 % variieren. Die rechtssichere Zustimmung – aktuell reichen dafür die essenziellen Cookies aus – findet bei etwa 40 % der User Anklang. Bei sensibleren Themen gehen die Zahlen nach unten, allgemeingültigere Infos haben eine höhere Zustimmungsrate.

Fehlende Cookiesetzung: Herausforderung für das Marketing

Alle bisher genutzten Technologien im Marketing basieren auf der Cookie-Setzung oder der Nutzung von Tracking-Pixeln. Um das Vertrauen der Nutzer zu gewinnen – und damit die Chance auf ein passgenaues Retargeting zu steigern, müssen nun andere Maßnahmen in Betracht gezogen werden.

• proaktive Leadgenerierung für Kontaktinformationen
• Marketing auf Plattformen mit Retargeting-Option

Datenschutz als neue Business Unit

Mit den veränderten Optionen auf Kundendaten sollte keinesfalls das Interesse an einer rechtskonformen Lösung für den Consent Layer verloren gehen. Die Akzeptanz des Cookie-Banners muss weiterhin gefördert werden, eine Nichtimplementierung ist nicht im Sinne der Datenschutzbehörden. Dafür kommen folgende Lösungen in Betracht:

Anhand der aktuell gültigen Rechtsvorschriften muss das Consent-Management so ausgestaltet werden, dass der Nutzer zu keiner Zeit einen Zwang fühlt, die entsprechenden Cookies zu erlauben. Ein Ablehnen muss ihm zugestanden werden, die Daten für einen möglichen Widerspruch der Einwilligung sollten klar ersichtlich sein. Muss der Nutzer erst nach der Löschoption suchen, wird er nicht zustimmen – der Consent Layer ist in diesem Fall nicht rechtskonform.

Auch hinsichtlich der optischen Darstellung muss der Cookie-Banner optimiert werden. Im Rahmen der Privacy UX darf nicht der Eindruck entstehen, der User wird mit unlauteren Mitteln zu einer Zustimmung überredet. Der Hinweis muss sofort bei Betreten der Seite erscheinen und die Informationen müssen detailliert übermittelt werden. Zudem ist eine neutrale und gleiche Darstellung aller Buttons verpflichtend, ebenso sollen die Folgen des Anklickens erläutert werden.

Unternehmensseitig muss überlegt werden, ob Cookies überhaupt benötigt werden und wenn doch, in welchem Rahmen sie notwendig sind. Datensparsamkeit hat hierbei oberste Priorität. Zugleich muss auch die Möglichkeit des schlichten Wegklickens des Cookie-Banners verhindert werden. Idealerweise bekommt der User bei einem schlichten Banner bereits einen Einblick in die Website, was ihn schneller zu einer tatsächlichen Interaktion bewegt. Auch die tatsächliche Platzierung spielt dabei eine wichtige Rolle.

Eines ist allerdings existenziell: Der Nutzer muss alle Informationen, die er für die Datengewinnung und -speicherung benötigt, auch auf den ersten Blick bekommen. Nur so kann er sich bewusst für die Cookie-Setzung entscheiden.

Warum wir dafür brennen

Rechtssicherer Datenschutz im Sinne der DSGVO ist ein weites Feld mit vielen Stolperfallen. Für die konforme Implementierung werden nicht nur juristische Informationen gebraucht, auch Wissen im UX-Design ist dabei hilfreich. Wir haben als Full-Service-Agentur jeden Tag mit dem Thema Datenschutz und Einwilligungsmanagement zu tun und dabei erkannt, dass nahezu jedes Unternehmen eine individuelle Lösung benötigt.

Die DSGVO ist für Marketer definitiv kein Grund zur Panik – im Gegenteil – sie kann ein bedeutsamer Wettbewerbsvorteil sein, wenn sie richtig angewendet wird. Für welches Geschäftsmodell welche Lösung geeignet ist, lässt sich von Experten analysieren. Dank unserer Erfahrung im B2B und B2C können wir schnell die richtigen Rückschlüsse ziehen. Für uns ist es wichtig, dass die DSGVO rechtskonform umgesetzt wird und für unsere Kunden daraus ein Wettbewerbsvorteil entsteht. Wir bekennen uns offen für den Datenschutz, setzen auf Datensparsamkeit und verlieren dabei die wirtschaftlichen Ziele unserer Kunden nicht aus den Augen.