Skip to content

Q&A – Datenschutz und Consent Management

    Passgenaue Ansprache der Zielgruppe, Optimierung laufender Kampagnen und im besten Fall noch Dynamisierung von Werbemitteln – all das kann Programmatic Advertising leisten. Grundlage für all das: Daten. Und spätestens seit der Einführung der DSGVO/GDPR kommen weder Advertiser, noch Publisher oder AdTech-Anbieter an den Themen Datenschutz und Consent Management vorbei. 

    In unserer alltäglichen Arbeit merken wir allerdings oft, dass es bei den Themen Datenschutz und Consent Management immer wieder größeren Redebedarf gibt. Kein Wunder, denn das Feld ist mit verschiedensten Vorgaben und Regulierungen sowie Fachbegriffen wie DSGVO, GDPR, TCF 2.0, Privacy Shield oder CMP unübersichtlich und extrem komplex. 

    Aus diesem Grund beantwortet Viktor Eichmann, CEO & Co-Founder von adlicious, in diesem Q&A einige der Fragen, die uns in letzter Zeit erreicht haben. 

    Frage: DSGVO, was ist das eigentlich?
    Antwort: Die DSGVO ist die Datenschutz-Grundverordnung, im englischen General Data Protection Regulation oder GDPR, der Europäischen Union. Diese Verordnung regelt, wie private Unternehmen mit personenbezogenen Daten umgehen müssen. Die Verordnung ist seit dem 24.05.2016 in Kraft und seit dem 25.05.2018 verpflichtend für alle Unternehmen in der EU. 

    Wichtigste Punkte der Verordnung: Unternehmen müssen die Einwilligung (engl. Consent) der User zur Datennutzung einholen. Zusätzlich ist der Umgang mit Daten, die in Länder außerhalb der EU, sogenannte Drittländer, übertragen werden, ein wichtiger inhaltlicher Punkt. 

    Frage: Was genau sind personenbezogene Daten?
    Antwort: Personenbezogene Daten sind alle Informationen, die einen direkten Bezug zu einer Person haben und eine Identifikation der Person ermöglichen. Dazu gehören Daten wie Name, Anschrift, Telefonnummer, aber auch E-Mail-Adressen, Bestellnummern oder IP-Adressen. 

    Alle anderen Daten, wie z.B. Alter, Geschlecht, Interessen etc. sind immer dann personenbezogen, wenn sie sich mit den vorher genannten Daten kombinieren lassen.

    Frage: Wo findet die DSGVO/GDPR Anwendung?
    Antwort: DSGVO bzw. GDPR sind bei Onlinewerbung immer anzuwenden, wenn einer der folgenden Fälle zutrifft: 

    • der Publisher ist in der EU ansässig 
    • der Advertiser ist in der EU ansässig 
    • der Empfänger der Werbung/Besucher der Website kommt aus der EU 
    • eine dritte involvierte Partei, beispielsweise Adserver Anbieter, ist in der EU ansässig

    Die DSGVO/GDPR muss also auch von Unternehmen beachtet werden, die ihren Sitz nicht in der EU haben, wenn sie bei EU-Bürgern werben wollen.

    Frage: Dürfen laut DSGVO/GDPR Daten in Länder außerhalb der EU übertragen werden?
    Antwort: In einer globalen Welt ist Datenübertragung oft unerlässlich, daher ist auch die Übertragung in Länder außerhalb der EU nicht per se verboten. 

    Grundvoraussetzung ist immer, dass Datenerfassung und Übermittlung DSGVO-konform sind. Ist dies der Fall, unterscheidet EU-Recht im nächsten Schritt zwischen “sicheren” Drittländern, also Staaten mit einem Datenschutz auf EU-Niveau wie z.B. Israel, Schweiz oder Japan,  sowie “unsicheren” Drittländern.

    Aber auch in unsichere Drittländer ist die Datenübermittlung grundsätzlich nicht ausgeschlossen – Standarddatenschutzklauseln können hier eine Lösung sein.

    Frage: Welche Möglichkeiten zur Consent Einholung gibt es?
    Antwort: Damit eine Einwilligung DSGVO-konform und damit gültig ist, muss sie folgende Parameter erfüllen:

    • freiwillig gegeben
    • spezifisch
    • informiert
    • eindeutig
    • begrenzt

    Am einfachsten lässt sich das über ein Consent-Banner lösen. 

    Frage: Wie kann man eingeholten Consent verwalten?
    Antwort: Um eingeholten Consent zu verwalten, empfehlen sich Consent Management Plattformen. Doch Vorsicht: Nicht jede CMP ist wirklich datenschutzkonform, auch wenn damit geworben wird. Einige Hosten in den USA und übertragen Daten, bevor eine Erlaubnis der Nutzer vorliegt, andere verzichten komplett auf Nutzer Consent zur Datenübertragung in Drittländer.

    Bevor man sich also für eine CMP entscheidet, muss man diesen Punkt genau prüfen. Blindes Vertrauen in die CMP kann in diesem Fall teuer werden.

    Frage: CMP Hosting – Inhouse oder extern?
    Antwort: Grundsätzlich können Consent Management Plattformen sowohl inhouse als auch über spezialisierte CMP-Anbieter extern betrieben werden. Bei beiden Varianten ist zu beachten, dass das Hosting innerhalb der EU erfolgt. Nur so kann eine DSGVO-konforme Umsetzung sichergestellt werden. 

    Frage: Wie implementiert man eine Consent Management Plattform?
    Antwort: Es gibt zwei Möglichkeiten eine CMP in sein System zu implementieren: Entweder die direkte Integration in den Quellcode oder über Tag Management Systeme (TMS). Insbesondere bei der Verwendung von TMS muss darauf geachtet werden, dass das Consent Banner direkt beim Aufrufen der Seite geladen wird und erst nach expliziter Zustimmung der User Thirdparty-Cookies gesetzt und Daten übertragen werden dürfen.

    Frage: Sind gängige “Tricks” zur Einholung von Nutzer Einwilligungen wirklich legal?
    Antwort: Viele der “Tricks” bringen zwar schnell den gewünschten Nutzer Consent, verstoßen allerdings gegen geltende Verordnungen.

    Das gilt für folgende oft gesehene Consent “Tricks”:

    • “Implizierte” Einwilligung. Ein einfacher Hinweis, dass personenbezogene Daten genutzt werden, reicht nicht aus. Es muss eine aktive Zustimmung des Nutzers vorliegen. Auch einfaches Weitersurfen durch den Nutzer bedeutet keine wirksame Einwilligung durch den Nutzer.
    • Kein Opt-Out Button auf der ersten Ebene. Laut DSGVO muss der Widerruf genauso einfach sein, wie die Zustimmung. Ist der Opt-In also auf der ersten Banner Ebene, muss auch der Opt-Out dort zu finden sein
    • Content hinter “Cookie-Wall”. Werden Inhalte hinter einer “Cookie-Wall” versteckt und erst bei Zustimmung zugänglich, verstößt dies gegen die Freiwilligkeit der Zustimmung. Außerdem darf Nutzern kein Nachteil entstehen, wenn sie die Datennutzung ablehnen. 
    • “Nudging”. Als “Nudging” bezeichnet man die gezielte Beeinflussung des Nutzers, z.B. durch Designelemente wie einen grünen Annehmen-Button. Diese unterbewusste Art der Beeinflussung ist verboten.
    • Voreingestellter Opt-In. Einige Webseitenbetreiber setzen die Zustimmung der Nutzer zur Einwilligung der Datennutzung bereits voraus. Ein voreingestellter Opt-In ist jedoch nur für technisch notwendige Cookies erlaubt. Für alle anderen muss ein manueller Opt-In durch den Nutzer erfolgen.

    Frage: Wieso sollte man ein Tag-Management-System nutzen?
    Antwort: Für maximale Sicherheit in Sachen Consent Management ist es wichtig, sich einen Überblick zu verschaffen, welche Marketing-Tools auf der eigenen Website verbaut sind. Zum einen wird eine Website oft von verschiedenen Personen bearbeitet, sodass man nicht zu 100 Prozent weiß, welche Technologien sich im Laufe der Jahre angesammelt haben. Zum anderen betreiben einige Pixel sogenanntes “Piggybacking”, ziehen also andere Technologien nach sich, die dann ebenfalls auf der Seite zum Einsatz kommen und Daten nutzen. 

    Zur einfachen Verwaltung der Marketing-Technologie sollte dabei auf ein Tag-Management-System wie z.B. den Google Tag Manager gesetzt werden. Das Tag-Management-System wird einmalig per Code in die Website eingebunden. In den Manager können dann wiederum Pixel oder Marketing-Tools eingepflegt und direkt in die Website integriert werden, ohne jeden Pixel einzeln in den Quellcode der Website einzuarbeiten. 

    Frage: Ich habe jetzt einen Tag. Und nun?
    Antwort: Der Tag des Tag-Managers muss einmalig auf der Website integriert werden, damit dieser genutzt werden kann. 

    Über den Tag Manager könnten dann Pixel, Marketingtools etc. mit einem eigenen Tag versehen werden und ohne Programmieraufwand auf die Website integriert werden. 

    Frage: Wie kommuniziert der eingeholte Consent mit meinen Werbetechnologien?
    Antwort: Als gängige Methode hat sich das vom International Advertising Bureau initiierte “Transparency and Consent Framework” (TCF) etabliert. Es dient als Schnittstelle zwischen Publishern, AdTech-Anbietern, Mediaagenturen und Advertisern und ermöglicht DSGVO-konformen Austausch sowie die Verwertung von Nutzer Consent. 

    Die Nutzereinwilligungen werden in Form von Transparency & Consent Strings (TC Strings) übermittelt. Um diese zu generieren wird eine IAB-zertifizierte Consent Management Plattform benötigt. Das TCF wird von allen Big Playern der Branche genutzt und ist so nicht nur Branchenstandard, sondern auch absolut notwendig für Programmatic Advertising. 

    Am 15. August 2020 hat TCF 2.0 die bisher verwendete Vorgängerversion 1.1 abgelöst. Alle wichtigen Änderungen der neuen Version findet Ihr hier.

    Frage: Großbritannien verlässt ja die EU. Welche Auswirkungen hat das?
    Antwort: Großbritannien hat am 31. Januar 2020 die EU verlassen und gilt damit Datenschutzrechtlich als Drittstaat. Seit dem 1. Februar gilt eine Übergangsphase, in der die Datenübermittlung wie bisher gestattet ist. Die gewährte Übergangsphase endet allerdings mit dem Jahr 2020. Bis dahin müssen also alle Änderungen, welche die Einstufung von Großbritannien als Drittland nach sich zieht, umgesetzt werden.

    Frage: Das Privacy-Shield Abkommen wurde vom Europäischen Gerichtshof für nichtig erklärt. Was bedeutet das?
    Antwort: Das sogenannte “Privacy Shield” ist eine Vereinbarung zwischen der EU und den USA, die regelt, wie und unter welchen Bedingungen Unternehmen personenbezogene Daten aus EU-Ländern in die USA übermitteln dürfen. Mitte Juli erklärte der Europäische Gerichtshof die Vereinbarung aufgrund der umfangreichen Überwachungsbefugnisse amerikanischer Behörden für ungültig. 

    Diese Rechtsprechung muss jetzt von den nationalen Behörden berücksichtigt werden, dabei dürfte es auch entsprechende Übergangsfristen geben. 

    Es gibt aber auch jetzt schon Möglichkeiten, auf die Entscheidung zu reagieren:

    1: Einwilligung der Nutzer einholen.
    Die direkte Einwilligung der Nutzer einzuholen, dürfte die sicherste Methode sein. Dies lässt sich ebenfalls über eine Consent Management Plattform regeln.

    2: Verschlüsselung oder Anbieterwechsel.
    Um zu verhindern, dass US-Behörden Daten einfach auslesen können

    3: Prüfen, ob Standardvertragsklauseln bestehen.
    Standardvertragsklauseln sind vom EuGh nicht allgemein verboten worden. Haben Partner in den USA nicht nur auf das Privacy Shield Abkommen gesetzt, kann es sein, dass bereits bestehende Vertragsklauseln einen weiteren Datenaustausch erlauben. Diese Lösung kann aber allenfalls eine vorübergehende sein. 

    Frage: Welche Konsequenzen drohen bei Verstößen gegen DSGVO/GDPR?Antwort: Die Höchststrafe liegt bei 4 Prozent des Jahresumsatzes des jeweiligen Unternehmens oder 20 Millionen Euro – je nachdem was höher ist. Man kann zwar davon ausgehen, dass die maximalen Strafen nur bei wirklich krassen Verstößen verteilt werden, es kann trotzdem sehr schnell sehr teuer werden. 

    Seit Einführung von DSGVO/GDPR wurden bereits über 340 Verstöße geahndet und dabei Strafen von über 490 Millionen Euro verhängt. 

    Frage: Kann ich ohne Bedenken Google-Tools wie Optimize nutzen?
    Antwort: Dabei bewegt man sich in einem Graubereich. Durch Auftragsverarbeitungsvereinbarungen sind die Tools theoretisch konform und setzen alle Regeln um. Mit Google Optimize optimierte Websites werden allerdings über das Tool aufgebaut und das in der Regel bevor eine mögliche Consent Einwilligung vorliegt. 

    Frage: Können externe Berater bei dem Thema helfen?
    Antwort: Grundsätzlich sind Experten von außerhalb bei einem derart komplexen Thema eine gute Idee. Aber auch hier sollte man genau drauf gucken, welchen Partner man sich ins Haus holt. Insbesondere größere Consulting Unternehmen haben oft Probleme, Datenschutzkonform zu arbeiten. Ob sie dann die richtigen Ratgeber sind, muss jeder für sich selbst entscheiden. 

    Frage: Können mittelständische Unternehmen Consent Management und Datenschutz selbst stemmen?
    Antwort: Grundsätzlich kann jedes Unternehmen, egal welcher Größe, das Thema selbst und ohne externe Hilfe stemmen. Guckt man sich die Liste der Unternehmen an, die wegen Verstößen bestraft wurden, finden sich viele sehr große Unternehmen. Größe an sich ist also kein Kriterium. Im Gegenteil: Bei wachsender Unternehmensgröße gibt es oft Probleme mit den Zuständigkeiten und langwierigen Entscheidungsprozessen. 

    Gleichzeitig ist aber auch zu beachten, dass die Implementierung entsprechende Expertise erfordert – denn es muss eine ganze Menge beachtet werden.  

    Ihr habt noch mehr Fragen rund um das Thema Consent & Datenschutz bei Programmatic Advertising Kampagnen? Unser Team hilft gerne weiter: https://blog.adlicious.me/kontakt/

    Our blog has moved