Cookie Wars

Consent-Management – Die dunkle Bedrohung für Analytics und Marketing?

Alexander Gulentz
Alexander Gulentz

Alexander Gulentz verantwortet als Managing Director bei Piwik PRO, einem europäischen Analytics-Anbieter, den DACH-Markt. Gestartet hat er seine Karriere als Webentwickler. Im Laufe der Zeit hat er sich auf das Thema Webanalyse spezialisiert. Als Analytics-Experte hat er sich im deutschsprachigen Raum etabliert und wird von Branchenkollegen geschätzt. Sein Wissen teilt er regelmäßig als Autor und Speaker auf Konferenzen.

Mehr von diesem AutorArtikel als PDF laden
Tatjana Hein
Tatjana Hein

Tatjana Hein ist sowohl im Content-Marketing als auch im Analytics-Kosmos zu Hause. Als Content- und PR-Managerin hat sie im Online-Marketing immer die neuesten Trends und Entwicklungen im Blick. Für den europäischen Analytics-Anbieter Piwik PRO schafft sie mit ihrer Expertise den Spagat zwischen beiden Bereichen, indem Sie Themen gekonnt und passend verknüpft und wertvollen Content dazu liefert.

Mehr von diesem AutorArtikel als PDF laden

Das EuGH-Urteil zum Handling von Tracking- und Werbe-Cookies hat in den letzten Wochen hohe Wellen geschlagen. Zukünftig müssen Einwilligungen (Consent) eingeholt werden. Die klassischen Cookie-Info-Banner sind Geschichte. Die Autoren zeigen Ihnen in diesem Beitrag, welche Auswirkungen das Urteil auf Analytics und Marketing tatsächlich hat und wie man mit einem optimierten Consent-Management die Zukunft des digitalen Marketings nicht schwarzmalen muss.

Aktuell vergeht kaum ein Tag ohne Nachrichten zu Cookies, Tracking und Consent-Managern, die wieder Ängste und Zweifel vieler Webseitenbetreiber schüren. Welche Funktionen muss ein Consent-Manager haben? Wie muss ein Consent-Banner jetzt gestaltet sein? Was ist noch ohne Einwilligung erlaubt? Werden meine Analytics- und Marketing-Aktivitäten nicht massiv darunter leiden? Offene Fragen, die aktuell für Kopfzerbrechen sorgen und die es zu klären gilt.

Entfacht wurde die neue Diskussion durch die zwei richtungsweisenden Urteile des Europäischen Gerichtshofs (EuGH), dass Websitebetreiber in der Pflicht sind, die Einwilligung zur Datenverarbeitung von jedem User vorab einzuholen. Genauer: Betroffen ist das Setzen von Cookies für Werbe-, Tracking- und Retargeting-Zwecke, die personenbezogene Daten der User speichern und weiterverarbeiten. Notwendige Cookies zur Darstellung der Website und essenzielle Daten für z. B. die Speicherung von Warenkörben während einer Session sind ausgeschlossen. 

Die bereits seit der DSGVO gültige Informations- und Einwilligungspflicht für Tracking-Cookies ist ebenfalls jetzt anzuwenden, wenn Daten an Dritte wie z. B. Werbepartner weitergegeben werden. Cookie-Banner, die nur über Tracking informieren, sind durch die EuGH-Urteile in jedem Fall rechtswidrig.

Doch auch vor den EuGH-Urteilen bewegten Sie sich auf dünnem Eis, wenn Sie ein solches Cookie-Info-Banner als einzige Maßnahme zur DSGVO-Compliance auf Ihrer Website implementiert hatten. Denn wirklich DSGVO-konform waren diese Cookie-Banner nie. Ihre hohe Verbreitung stützte sich vor allem auf § 15 Absatz 3 des Telemediengesetzes (TMG). Dort wird die Erstellung von Userprofilen zu Werbezwecken erlaubt, „sofern der Nutzer dem nicht widerspricht“. Womit eine Opt-out-Lösung legitimiert war und auch so eingesetzt wurde. Das TMG ist diesbezüglich seit dem EuGH-Urteil nicht mehr anwendbar.

Ab wann müssen Consent-Banner umgesetzt werden?

Die Entscheidungen des EuGH sind in Deutschland sofort bindend. Somit müssen keine weiteren Urteile der deutschen Gerichte abgewartet werden (siehe Interview Dr. Karolin Nelles). Die Datenschutzbehörden werden dieser Auffassung laut einiger Stellungnahmen folgen. Somit ist die Umsetzung einer Consent-Management-Lösung akut. Sie sollten nicht allzu lang warten, einen geeigneten Consent-Manager einzusetzen, da das Urteil des EuGH dazu feststeht.

Datenverlust durch Consent-Management?

Neben einer generellen Unsicherheit, was nun umzusetzen ist, um weiterhin datenschutzkonform zu agieren, grassiert bei Websitebetreibern und Werbetreibenden auch die Angst vorm Verlust wertvoller Daten. Aus Sicht der Websitebetreiber und Marketer wird befürchtet, durch den Einsatz eines Consent-Management-Systems auf wertvolle Webanalyse- und Advertising-Daten verzichten zu müssen. 

Prinzipiell sind diese Ängste auf den ersten Blick nachvollziehbar und zum Teil auch berechtigt. Es besteht Handlungsbedarf. Allerdings lassen sich diese Ängste größtenteils entkräften. Anhand von drei Beispielen zeigt dieser Artikel, dass Tracking auch weiterhin mit wenigen Einschränkungen möglich ist. Wertvolle Analytics-Daten können Sie auch ohne Consent ihrer User erfassen. Hier sind Methoden zum anonymen Tracking der Schlüssel. Zusätzlich erfahren Sie, wie Sie ein Consent-Banner optimal gestalten, um eine hohe Consent-Quote zu erhalten. 

Es ist wichtig, das Thema Datenschutz unternehmensübergreifend als Chance zu betrachten und Ihren Usern und Kunden transparent gegenüberzutreten und neues Vertrauen zu schaffen. Erfassen und nutzen Sie Daten zielgerichtet und nicht willkürlich. 

Die Situation schärft den Umgang mit Daten und schafft ein neues Datenbewusstsein. Jeder sollte hinterfragen, welche Daten er speichert und welche davon tatsächlich benötigt werden.

Die Cookie-Banner-Varianten

Derzeit schwirren unzählig viele Varianten von Cookie-Bannern durchs Netz. Sie erfahren, welche Variante nach den jüngsten Urteilen nun auf Ihrer Website zum Einsatz kommen sollte. Zudem erhalten Sie Tipps, welche Funktionen Sie erfüllen müssen, um datenschutzkonforme Webanalyse und Marketing betreiben zu können. Die meisten Websites agieren nach aktuellem Stand nicht mehr rechtskonform und verwenden immer noch die klassischen Cookie-Hinweis-Banner. Wie kam es dazu?

Szenario 1: Das klassische Cookie-Info-Banner

Schon vor Inkrafttreten der DSGVO wurde aufgrund des Telemediengesetzes und der ePrivacy-Richtlinie die Informationspflicht über den Einsatz von Cookies geregelt. 

Die Folge war der massenhafte Einsatz sogenannter Cookie-Info- oder Cookie-Hinweis-Banner. Diese Banner wurden dezent in die Seite eingebaut, um User nebenbei darüber zu informieren, dass Tracking-Cookies gesetzt werden.

Die Cookie-Info-Banner haben nur eine rein informierende Funktion. Sie enthalten oft nur Text und einen obligatorischen OK-Button und verweisen auf die Datenschutzerklärung. Dort können Sie sich mehr oder weniger über die Datennutzung und Speicherung genauer informieren. Die bis dato geltende Regel, den Besuchern eine Opt-out-Funktion fürs Tracking anzubieten, sollte dort sinnvoll platziert werden. So kann sich ein Besucher nachträglich vom Webanalyse- und Werbe-Tracking wieder „abmelden”. 

Tracking-Daten der Besucher werden in diesem Szenario von Anfang an erfasst und sämtliche Cookies werden automatisch beim Aufruf der Website gesetzt. Die Entscheidung dazu wird nicht freiwillig vom User getroffen und kann erst nachträglich rückgängig gemacht werden.   

Seit der DSGVO im Mai 2018 und dem Stärken der Verbraucherrechte hinsichtlich der Speicherung und Nutzung personenbezogener Daten befand sich diese Art von Bannern bereits in einer dunklen Grauzone. Denn sobald personenbezogene Daten von einem Besucher erfasst werden, egal ob für Tracking, Werbung oder andere Anwendungsfälle, ist eine Einwilligung einzuholen. 

Auch aufgrund der Tatsache, dass Websitebetreiber eine Nachweis- und Auskunftspflicht besitzen, welche Art von Daten von einem Besucher abgefragt, gespeichert, weiterverarbeitet und mit Dritten geteilt wird, waren Unternehmen in der Bringschuld. Ab diesem Zeitpunkt war der Einsatz eines Consent-Managers für das Daten-Handling absolut sinnvoll, vor allem in Bezug auf die Datenweitergabe an Third Parties (Drittanbieter) wie Facebook, Google & Co. 

Consent-Banner-Typen seit DSGVO Mai 2018

Von da an war es also notwendig, von reinen Cookie-Info-Bannern auf sogenannte Consent-Banner oder Consent-Pop-ups zu wechseln, sodass der Besucher eine freiwillige Entscheidung über die Nutzung seiner Daten treffen kann. Folglich werden erst nach der Consent-Entscheidung sämtliche Tracking-Cookies und Pixel aktiviert und das Tracking beginnt individuell nach der Auswahl. 

Doch durch die Überforderung bei der unternehmerischen Umsetzung und Panikmache bezüglich der DSGVO verzichteten viele auf eine Consent-Lösung. Sie wurde als Gefahr und nicht als Chance wahrgenommen.

Szenario 2: Zwei-Klick-Consent-Banner

Aufgrund der verbreiteten Skepsis sind zwei Varianten von Consent-Bannern im Umlauf, um die Anforderungen der DSGVO zu erfüllen und umzusetzen: Zwei-Klick-Consent-Banner und Consent-Banner mit direkter Entscheidung.

Die meisten Unternehmen haben sich zunächst für ein Zwei-Klick-Consent-Banner entschieden. Dieses dominiert das Erscheinungsbild von Websites mit Consent-Managern, bedingt durch den Vorbehalt, die User-Daten nicht zu verlieren.

Ein Zwei-Klick-Consent-Banner zeichnet sich dadurch aus, dass der User über die Speicherung von Cookies zur weiteren Datennutzung informiert wird und die Einwilligung für alle Tracking-Möglichkeiten sofort auf einer Schaltfläche bestätigen kann. Die Ablehnung und somit die Entscheidung gegen die Datennutzung ist nicht sofort möglich. Der Besucher muss stattdessen über einen Text-Link oder eine Schaltfläche die einzelnen Tracking-Kategorien aufrufen und kann erst dann seine Entscheidung gegen das Tracking treffen oder individuell anpassen.

Alle Informationen stehen dort zur Verfügung. Die einzelnen Tracking-Kategorien werden aufgelistet. Ähnlich wie beim Newsletter-Opt-in dürfen im Formular die Checkboxen der Kategorien nicht (!) vorausgefüllt sein. Dies wäre ein Verstoß gegen die freiwillige Entscheidung des Users. 

Szenario 3: Consent-Banner mit direkter Entscheidung

Die rechtlich sauberste und Privatsphäre-freundlichste Variante ist das Consent-Banner oder Pop-up mit direkter Entscheidungsmöglichkeit. Auch die Ablehnung sämtlicher Tracking-Verfahren ist hier mit einem Klick ohne Umwege möglich. 

Diese Variante ist laut dem EuGH-Urteil die einzig verbleibende rechtskonforme Variante. Sie unterscheidet sich von der Zwei-Klick-Variante ganz einfach: Die Ablehnung des gesamten Trackings ist mit einem Klick sofort möglich. Wie prominent Sie dies hervorheben, bleibt Ihnen überlassen. Sorgen Sie aber auf jeden Fall dafür, dass ein grundsätzliches Nein zur Wahl steht.

Ein Test diverser Unternehmen aus unterschiedlichen Branchen ergab drei Wochen nach dem EuGH-Urteil, dass bisher noch wenig von der bisherigen Praxis abgewichen wurde. Die Mehrheit nutzt Cookie-Info-Banner oder das Zwei-Klick-Consent-Banner.  
https://piwikpro.de/blog/der-grosse-cookie-banner-check/

Die Pflichtangaben und Anforderungen eines Consent-Banners im Überblick:

✅  Information, dass es sich um die Einwilligung für Datennutzung handelt
✅  Klickbare(r) Schaltfläche/Link für Ja
✅  Klickbare(r) Schaltfläche/Link für Nein
✅  Klickbare(r) Schaltfläche/Link für individuelle Auswahl der Tracking-Kategorien
✅  Auflistung der einzelnen Tracking-Kategorien mit Erklärung, für welchen Zweck diese eingesetzt werden
✅  Alle Checkboxen der Tracking-Kategorien dürfen vorab nicht markiert sein
✅  Link auf die Datenschutzerklärung
 

Die Platzierung und Größe von Consent-Bannern

Da ab sofort die Einwilligung eingeholt werden sollte, bevor Sie aktiv Tracking- und Werbe-Cookies auf dem Gerät des Besuchers platzieren, bietet sich eine prominente Position an. Ob Sie zuvor das Banner über die Seite legen und keine Navigation zulassen und sie ausgrauen oder ob Sie das Banner oberhalb oder unterhalb einblenden, bleibt Ihnen überlassen. Durch die nun notwendige Entscheidung ist es ratsam, dass die Interaktion schnell erfolgt und die Cookies gesetzt werden können. So kann die User Journey genau ab der Einstiegsseite nachvollzogen werden.

Design & Branding nutzen

Sie können das Consent-Banner nach Ihren Vorstellungen gestalten. Wichtig ist, dass alle notwendigen Elemente und Funktionen enthalten sind. Es wird keine Größe vorgegeben oder ob es ein Textlink oder eine Schaltfläche zur Ablehnung sein muss. Achten Sie darauf, dass das Consent-Banner und seine Elemente sowohl per Desktop als auch auf mobilen Geräten klickbar und nicht zu klein sind. Nehmen Sie unbedingt das Consent-Banner in ihr A/B-Testing-Set-up auf. Nur so entdecken Sie die Varianten, die zur stärksten Conversion führen. 

Es bietet sich an, dass sich das Consent-Banner an Ihr Corporate-Design anlehnt und nicht wie ein Fremdkörper auftaucht. Marken haben den Vorteil, dass Ihnen vertraut wird. Nutzen Sie diesen Vertrauensvorsprung und lassen Sie auch den Consent in gewisser Weise zu einem Erlebnis mit Ihrer Marke werden.

Begründete Zweifel gegen Consent-Manager

Doch bevor Sie sich mit den verschiedenen Möglichkeiten eines Cookie-Banners oder einer speziellen Consent-Management-Lösung auseinandersetzen, sollten Sie sich die Frage nach der Motivation stellen, warum bisher keine Consent-Lösung eingesetzt wurde. Hierfür gibt es verschiedenen Gründe, die vermutlich mit der Angst vor massiven Datenverlusten zusammenhängt. Diese Angst und die aktuell eher undurchsichtige Gesetzeslage führen zu einer generellen Defensiv-Haltung gegenüber einem Consent-Manager. Die folgenden Beispielszenarien bilden diese Gründe treffend ab.

Beispiel 1: Advertising

Angenommen, Sie betreiben Lead-Generierung über Anzeigen und geben monatlich 5.000 € aus. Mit ihrem Analytics-System können Sie exakt die Conversions messen, die über die Anzeigenkampagne akquiriert werden. Sie wissen genau, wie viele Leads Sie z. B. über Ihr Kontaktformular oder eine spezielle Landingpage gewinnen. Durch das Tracking aller User erzielen Sie 100 Leads und können akkurate Aussagen über den Zusammenhang ihrer Werbeausgaben und der generierten Leads treffen. Sie wissen, der Cost per Lead beläuft sich auf 50 €.  

Wenn Sie nun aber einen Consent einführen, kann es durchaus passieren, dass Sie nur noch 30 % Ihrer Daten erhalten, da die Einwilligungsbereitschaft Ihrer User gering ist. Das bedeutet, dass Sie befürchten, auch nur 30 % der Conversions nachvollziehen zu können. Somit erhalten Sie in Ihren Analysedaten kein vollständiges Bild mehr und können keine unmittelbare Aussage über Ihren Cost per Lead treffen. Zusätzliche Hochrechnungen und Kombination aus anderen Datenquellen sind notwendig.

Beispiel 2: E-Commerce

Sie betreiben einen Online-Shop, über den Sie Ihre Produkte oder Services vertreiben. Im E-Commerce wird der Erfolg eines Unternehmens an seinen Umsätzen gemessen. Die Zahlen zu den Umsätzen lassen sich grundsätzlich über das interne Shopsystem ermitteln, allerdings gibt es viele Informationen, die wertvolle Insights zum Kundenverhalten liefern, die Sie über Ihr Analytics-Tool generieren. 

Gerade für die kontinuierliche Optimierung Ihres Shops und die Umsatzsteigerung ist es wichtig, zu wissen, was in den Warenkörben landet, an welcher Stelle Käufe abgebrochen werden, ob es Fehler im Bestellprozess gibt u. v. m. Diese exakten und relevanten Statistiken, befürchten viele, werden durch den Einsatz eines Consent-Management-Systems deutlich geringer und ungenauer ausfallen. Angenommen, Sie erhalten von 30-40 % Ihrer Kunden den Consent, verfälscht das natürlich Ihre Statistiken erheblich. Fakt ist dann, Sie haben keine qualitativen Daten und können keine zuverlässigen Aussagen über die User Journey treffen.

Beispiel 3: Serviceportal

Sie betreiben ein kostenpflichtiges Serviceportal, über das Ihre Kunden verschiedene Dienste und Services in Anspruch nehmen können. Um den Kunden langfristig über das Abo-Modell an das Unternehmen zu binden, ist es wichtig, ihnen die bestmögliche User Experience zu bieten und die Angebote stetig zu optimieren. Das Ziel ist, den Customer Lifetime Value zu erhöhen und die Kündigungsrate so niedrig wie möglich zu halten. Über Ihr Analytics erfahren Sie, was innerhalb des Portals gut funktioniert und was nicht, aber auch, welche Dienste am häufigsten oder gar nicht genutzt werden. Gerade in Bezug auf die Gewinnung neuer Kunden sind dies wichtige Faktoren. Diese können bei Werbemaßnahmen in den Mittelpunkt gestellt und eine passende Story entwickelt werden.

Auch hier gilt, wenn sie nur von 30 % der User Consent erhalten, haben Sie nur noch 30 % der Daten und somit nur ein Fragment, mit dem sie arbeiten können. Somit fielen qualitative Aussagen hier ebenfalls weg und Sie hätten keine Möglichkeit, entsprechende Handlungsanweisungen zur Optimierung für Ihre Produktteams abzuleiten.

Wie die Beispiele zeigen, wären dies alles plausible Gründe, auf die Einholung von Consent zu verzichten und den Einsatz so lang wie möglich hinauszuzögern. Doch die Angst, durch einen Consent-Manager Daten zu verlieren, ist in vielen Fällen unbegründet. Wichtig zu wissen ist, dass auch ohne Consent viele wertvolle Analytics-Daten weiterhin zur Verfügung stehen. Gleichzeitig gilt es, mit Einführung eines Consent-Management-Systems Maßnahmen zu ergreifen, die die Consent-Quote nach oben optimieren.

Anonymes Tracking ist der Schlüssel

Sollten Sie also keinen Consent Ihrer User erhalten, können Sie auf anonymes Tracking zurückgreifen. Wenn eine Einwilligung Ihrer User vorliegt, werden Mechanismen wie Fingerprinting und IP-Adressen verwendet, um Ihre User wiederzuerkennen. Liegt aber kein Consent vor, kann weder Fingerprinting noch die IP verwendet werden. Hier greift dann das anonyme Tracking und Sie können weiterhin 100 % Ihres Traffics messen. Denn es wird ein Session-Cookie für die Dauer von 30 Minuten gesetzt. Es handelt sich um einen notwendigen Cookie und eine Identifizierung des Users ist nicht möglich – Sie agieren datenschutzkonform. Alle Daten zu Seitenaufrufen, Klickpfade, Conversions, Events u. v. m. stehen zur Verfügung. 

Was bedeutet das konkret für die drei Szenarien?

In allen drei Fällen erhalten Sie auch ohne Consent die relevanten und benötigten Daten. Sie können also problemlos den Cost per Lead ermitteln. Sie erhalten Statistiken über die Performance und User Journey Ihres Online-Shops. Und Sie können Entscheidungen für die Optimierung der User Experience treffen.

Einschränkungen beim anonymen Tracking

Sie sollten bedenken, dass anonymes Tracking eine gute Alternative ist, um essenzielle Daten zu sammeln, aber durchaus auch mit Einschränkungen einhergeht. Konkret sind hier drei Punkte, die es zu beachten gilt. Ihr Standort-Report wird nicht mehr exakt sein und nur noch die User beinhalten, die Consent erteilt haben, denn mit anonymem Tracking können die User durch die fehlende IP-Zuordnung nicht mehr lokalisiert werden.

Zudem wird der Report zu wiederkehrenden Besuchern vs. neue Besucher abweichen, da die User ohne Consent nicht mehr als wiederkehrend identifiziert werden können. Dadurch werden die Zahlen in diesem Bereich zurückgehen und die Anzahl neuer User entsprechend steigen. Die Conversion bei Erstbesuchern steigt an. Diese beiden Analyse-Reports sind die einzigen, die beeinträchtigt sind. Alle anderen werden wie gewohnt funktionieren.

Der dritte einschränkende Punkt ist das Advertising und vor allem das Retargeting, denn das darf ohne Consent der User so nicht mehr stattfinden. Allerdings haben Sie die Möglichkeit, Ihr Consent-Banner so zu gestalten, dass 70-80 % ihrer User Ihnen ihre Einwilligung geben. Nutzen Sie diese Chance und setzen Sie Consent-Management datenschutzkonform und effizient um.

Fazit

Handeln Sie jetzt und implementieren Sie einen Consent-Manager, um weiterhin rechtskonform zu agieren. Sie brauchen keine Panik vor großen Datenverlusten haben, denn durch anonyme Tracking-Methoden erhalten Sie weiterhin wertvolle Daten und können die User Journey komplett analysieren. Durch gezielte Gestaltung und Optimierung des Consent-Banners erzielen Sie hohe Einwilligungsquoten und können diese Daten für Advertising einsetzen.