Datenschutz wird in der digitalen Welt großgeschrieben. Während für Marketer und Analysten zählt so viele nützliche Daten wie möglich zu erheben und auszuwerten, hat es für Datenschützer Priorität den Richtlinien für eine rechtskonforme Nutzung der Daten zu folgen. Sogenannte Cookie-Consent-Management-Plattformen helfen euch dabei, den aktuellen Datenschutzbedingungen gerecht zu werden und dabei trotzdem möglichst viele Daten zu sammeln. Hier erfahrt ihr, was die Tools leisten und worauf ihr bei der Einrichtung achten solltet.
Inhaltsverzeichnis
Hintergrund: DSGVO & ePrivacy
Die DSGVO und die ePrivacy Verordnung haben das letzte Jahr für Online Marketing Verantwortliche und Webanalysten nicht gerade leicht gemacht. Die Vorschriften zur Erfassung personalisierter Daten waren bisher relativ uneindeutig und konnten auf unterschiedliche Weisen ausgelegt werden.
Nach und nach wurde nun durch verschiedene Gerichtsurteile der Rahmen enger gesteckt: Damit ist es nicht länger ausreichend nur einen Cookie-Hinweis auf der Website anzuzeigen, der Nutzer darüber informiert, dass Daten erhoben werden. Wer Daten seiner Nutzer erfassen möchte, der muss vorher deren Zustimmung einholen. Der User muss aktiv dem Setzen der dafür benötigten Cookies zustimmen. Welche Auswirkungen dies auf Online Marketing Kampagnen hat, haben wir bereits im Artikel zu Consent Strategien erklärt.
Um nun trotzdem noch möglichst viele Daten zu sammeln, ist es sinnvoll euren Nutzern die Möglichkeit zu geben, genau auszuwählen, welche Cookies gesetzt werden dürfen und welche nicht. Dies macht die Einrichtung einer Cookie-Leiste aber auch gleich viel komplizierter. Schließlich soll nicht einfach das komplette Tracking deaktiviert werden, sondern nur einzelne Cookies. Hier kommen die Cookie-Consent-Management-Plattformen ins Spiel.
Exkurs: Wann ist eine Einwilligung durch eure Nutzer notwendig?
Tatsächlich ist es nicht notwendig für jeden Cookie die Einwilligung eurer Nutzer einzuholen. Doch wann seid ihr dazu verpflichtet? Das ist konkret dann der Fall, wenn Cookies nicht erforderlich für die Funktionen eurer Website sind. Zu notwendigen Cookies gehören beispielsweise Warenkorb-Cookies, der Login-Status und die Sprachauswahl.
Cookies für Marketing-Zwecke oder statistische Auswertungen werden als nicht unbedingt erforderlich betrachtet. Hierbei muss sichergestellt werden, dass nur Daten erhoben werden, für die der User seinen Consent (Zustimmung) erteilt hat.
Nutzer müssen zusätzlich darüber informiert werden, für welche Zwecke ihre Daten erhoben und von wem sie verarbeitet werden. Leider sind die die Formulierungen aus der ePrivacy Verordnung nicht ganz eindeutig, sodass wir uns hier nur auf das stützen können, was generell von der Mehrheit angenommen wird.
Was ist eine Consent Management Plattform?
Bei einer Content Management Plattform handelt es sich um ein Tool, das euch dabei hilft, den Consent eurer Website-Nutzer einzuholen. Sie ermittelt, ob ein Nutzer seinen Consent (Zustimmung) zur Datenerhebung erteilt hat sowie für welche Zwecke und welche Vendoren (Drittanbieter). Über ein Banner-Pop-Up (Cookie-Leiste) wird der User über die Datenerhebung informiert. Dort kann er seine Einstellungen entsprechend treffen. Diese Informationen werden dann in einem Cookie gespeichert.
Damit wir im Weiteren zumindest ein Bild von einer Cookie-Bar im Kopf haben, hier einmal ein Beispiel:
Cookie-Banner von usercentrics (Quelle: https://usercentrics.com/)
CMPs basieren in der Regel auf dem IAB Europe Framework. Das Framework dient unter anderem als Schnittstelle zwischen Nutzer, Publisher und Vendor, mit deren Hilfe Informationen über die Consent-Einstellungen des Nutzers ausgetauscht werden können. Nur so können Drittanbieter-Technologien und Publisher wissen, ob sie die erhobenen Daten verarbeiten dürfen.
CMPs übernehmen zusätzlich die Dokumentation der Einwilligungs-Einstellungen jedes Nutzers bis hin zur Kategorisierung der Cookies, die sich auf der Website befinden. Da das alles sehr überwältigend sein kann, helfen CMPs bei der datenschutzkonformen Einrichtung eurer Cookie-Leiste. Außerdem habt ihr ein organisiertes Tool zur Verfügung, über das ihr das Thema Cookie Consent managen könnt. CMPs scannen eure Websites übrigens auch im Vorfeld und kategorisieren bekannte Cookies automatisch.
Die Tools bieten vorgefertigte Layouts, die sich teilweise in Farbgestaltung, Logo aber auch mit CSS-Aufwand anpassen lassen. Ihr könnt unter anderem auch mehrere Websites über das Tool managen (z.B. verschiedene Sprach-URLs). Subdomains werden automatisch erfasst.
Funktionsweise von Consent Management Plattformen
Woher wissen jetzt aber die Tags/Pixel im Google Tag Manager (GTM) beispielsweise, wann sie auslösen dürfen? Die CMPs übergeben die Einstellungen des Nutzers an den sog. dataLayer und/oder speichern diese Informationen zusätzlich in einem Cookie. Der GTM kann auf diese Informationen zugreifen und entsprechendes Tracking entweder zulassen oder blockieren. So ist garantiert, dass die Einstellungen des Nutzers respektiert werden.
Dafür muss ein Script auf der Seite eingebunden werden, entweder nativ oder direkt via GTM. Wir empfehlen allerdings das Script nativ einzubauen, weil es sein kann, dass der GTM beim Gebrauch eines entsprechenden Blockers in manchen Browsern blockiert wird. Dies hat zur Folge, dass die Cookie-Leiste gar nicht ausgespielt wird.
Falls ihr keinen technischen Background habt, solltet ihr an dieser Stelle jemanden dazu holen, der technisch versiert ist und/oder sich im besten Fall mit Tag-Management-Systemen auskennt.
Anbieter von CMPs
Zu den beliebtesten Anbietern am Markt gehören unter anderem die Tools UserCentrics und OneTrust. Wir haben bereits beide Tools auf den Websites mehrerer Kunden eingebunden und sind damit bisher sehr zufrieden.
Ein technischer Background ist für die Einbindung und Konfiguration beider Tools ein Muss. Spätestens beim Aufbauen eines Regelwerkes zur Auslösung des Trackings (nativ oder via GTM) wird es komplexer.
OneTrust selbst bietet zwar ein Auto-Blocking Script (UserCentrics auch), durch welches das gesamte Tracking blockiert wird, jedoch gehen euch dadurch wertvolle Daten verloren. Für das Auto-Blocking muss lediglich ein Script auf der Website implementiert werden. In dem Fall wird aber entweder der gesamte GTM blockiert oder zugelassen. Deshalb empfehlen wir auch hier, sofern ein Tag-Management-System im Einsatz ist, die detailliertere Konfiguration über den Tag Manager.
Sowohl OneTrust als auch UserCentrics eignen sich sehr gut zur Umsetzung einer datenschutzkonformen Cookie-Bar. Während OneTrust mehr direkte Möglichkeiten in der Anpassung des Layouts bietet, scheint die User-Oberfläche in UserCentrics für einige übersichtlicher zu sein.
Die Preise der Tools findet ihr jeweils hier:
https://usercentrics.com/de/preise/
https://www.onetrust.com/pricing/
Beide Tools bieten Auswertungen (mittlerweile sogar A/B Testing) an, anhand derer ihr eure Opt-In Raten optimieren könnt. Da sich das Verhalten gegenüber Cookie-Bannern von Zielgruppe zu Zielgruppe unterscheidet, solltet ihr für euch selbst testen, welche Bannervariante am besten auf der eigenen Website performt. Dennoch haben wir hier einige Best Practices für euch.
Ein weiteres Tool, mit dem wir bereits gute Erfahrungen gesammelt haben, ist Cookiebot. Außerdem kommt bei einigen unserer Kunden auch ConsentManager zum Einsatz, allerdings haben wir dieses Tool selbst noch nicht konfiguriert oder eingebaut.
Best Practices für eure Cookie-Leiste
Was unbedingt in eurer Cookie-Leiste enthalten sein muss:
- Ein Button zu den Cookie-Einstellungen
- Ein direkter Link zu eurer Datenschutzerklärung
- Ein direkter Link zu eurem Impressum
Wenn ihr einen auffälligen Ablehn-Button integriert, könnt ihr mit einer hohen Ablehn-Rate und damit einem sehr hohen Datenverlust (bis zu 90%) rechnen. Bisher scheint ein reiner Ablehn-Button nicht verpflichtend zu sein. Das muss aber euer Datenschutzbeauftragter für euch entscheiden.
Cookie-Bar von HDI (Quelle: https://www.hdi.de/privatkunden)
Mit einem Klick auf „Cookie-Einstellungen“ gelangt der User zu den Einwilligungspräferenzen:
Cookie-Einstellungen (Quelle: https://www.hdi.de/privatkunden)
In euren Cookie-Einstellungen dürfen die Kategorien nicht per Default angehakt sein. Der User muss die Kästchen aktiv anhaken.
Generell performen mittige Banner besser. Cookie-Leisten, die am unteren Rand der Website eingebunden sind, fallen häufig gar nicht auf und werden entsprechend ignoriert.
Die Seite sollte im Hintergrund ausgegraut und nicht nutzbar sein, bis der User seine Einstellungen getroffen hat.
Bei der Buttonfarbe gibt es bisher zwei Annahmen:
- Grüne Buttons vermitteln Vertrauen und Sicherheit.
- Buttons im Corporate Design der Website vermitteln die Sicherheit, dass das Pop-Up zur Website gehört und keine Werbung darstellt.
Im Durchschnitt bewegen sich die Zustimmungs-Raten bei unseren Implementierungen zwischen 65-80%.
So prüft ihr, ob eure Cookie-Leiste funktioniert
Nachdem das CMP-Script entweder nativ oder über ein Tag-Management-System eingebunden (das Script erhaltet ihr im Tool selbst) und der Tag Manager entsprechend mit Regeln versehen wurde, könnt ihr auf der Seite prüfen, ob Netzwerk-Aufrufe an Drittanbieter (z.B. Google Analytics, Facebook etc.) rausgehen, bevor ihr mit der Cookie-Leiste interagiert oder die Cookies abgelehnt habt. In dem Fall dürften keine Aufrufe in den Netzwerk-Aufrufen zu finden sein.
Fazit
Eine CMP nimmt euch sehr viel Arbeit ab, wenn ihr mit eurer Website datenschutzkonform im World Wide Web unterwegs sein wollt. Sie nimmt sie aber nicht komplett ab. So ein Tool lässt sich nicht in 5 Minuten einbinden und bedarf zusätzlich zumindest technischer Affinität. Da aber aktuell kein Weg daran vorbeiführt, solltet ihr euch, wenn nicht bereits getan, mit dem Thema vertraut machen. Wir empfehlen folgende CMPs zur Umsetzung: OneTrust, UserCentrics, Cookiebot.
