Einwilligungsmanagement und DSGVO

Ohne die Zustimmung der Nutzer dürfen ihre Daten im Online-Marketing nicht genutzt werden und sind damit wertlos. Allerdings sollte der sogenannte Consent rechtmäßig, das heißt DSGVO-konform, erfolgen. Doch viele Cookie-Banner, die derzeit im Einsatz sind, erfüllen dieses Kriterium nicht. Zu den Do‘s und Don´ts beim Einwilligungsmanagement. 

Die Einwilligung der User in die Verarbeitung ihrer personenbezogenen Daten ist für Firmen ein hohes Gut. Zu Recht heißt es: Consent ist das neue Gold im Onlinemarketing. Schließlich ist die Zustimmung der Nutzer die Voraussetzung für den Einsatz von Webtechnologien zu Marketing- und Werbezwecken. Damit die Freude über die Zustimmung auch von Dauer ist, sollten Firmen beim Einholen DSGVO-konform vorgehen – um hohe Bußgelder oder einen Vertrauensverlust zu vermeiden. Konkret gilt: Die Zustimmung muss freiwillig, informiert, explizit, granular, vorab, dokumentiert und widerrufbar erfolgen. Doch was genau bedeuten diese Vorgaben für die eingesetzten Cookie-Banner?

Die Do’s im Consent Management

„Freiwillig“ erfolgt eine Einwilligung, wenn der User sich frei entscheiden kann und eine echte Wahlfreiheit hat. Das bedeutet unter anderem: Es muss auf dem Banner einen „Annehmen“- und einen „Ablehnen“-Button geben. Und auch, wenn der User seine Zustimmung nicht gibt, muss er den Service bzw. die Website uneingeschränkt nutzen können. Gerade diese Freiwilligkeit wird von Rechtsprechung und den Behörden sehr eng ausgelegt. Das Kriterium „informiert“ ist erfüllt, wenn die betroffene Person detailliert über die geplante Datennutzung informiert wird und dieser wissentlich zustimmt. Zu den Informationen, die User direkt einsehen können sollten, zählen unter anderem: Welche Daten werden erhoben? Zu welchem Zweck? Und wer bekommt sie? Dass der User „explizit“ der Verwendung von Technologien zustimmen muss, bedeutet, dass eine implizite Einwilligung, etwa durch Weitersurfen, unrechtmäßig ist. „Granular“ wiederum meint, dass der User im Detail wissen muss, für welchen Datensatz und für welchen Drittanbieter er seine Einwilligung gibt. Pauschale Einwilligungen und allgemeine Hinweise erfüllen dieses Informationsprinzip nicht.

„Vorab“ meint, dass für die Datenerfassung zuerst eine Einwilligung vorliegen muss. Das heißt im Umkehrschluss: Willigt der Nutzer nicht ein, darf auch keine Datenerhebung oder -weitergabe erfolgen. Zudem müssen sämtliche Einwilligungen „dokumentiert“ erfolgen. In diesem Punkt unterliegen Website-Betreiber laut DSGVO einer Beweispflicht und müssen im Falle einer Abmahnung oder eines Audits der Datenschutzbehörde nachweisen, dass keine Cookies zum Einsatz kamen, bevor die Einwilligung vorlag. „Wiederrufbar“ schließlich bedeutet: Der User hat das Recht, seine Zustimmung jederzeit und ohne Begründung zu widerrufen. Dabei muss der Widerruf genauso einfach wie die Erteilung der Einwilligung sein.

Die Don‘ts beim Consent Management

Dass diese sieben Kriterien längst nicht immer eingehalten werden, zeigt ein Blick auf häufig  genutzte Banner-Lösungen: Viele der dort genutzten Tricks sind nicht erlaubt. Darunter fallen: 

1. Die implizite Consent-Einholung: 

Auf der Website erscheint ein Banner, der den Besucher darüber informiert, dass er der Datenverarbeitung zustimmt, wenn er das Angebot weiterhin nutzt. Dies ist nicht DSGVO-konform. Denn Weiterscrollen oder eine anderweitige Nutzung der Website gelten in keinem Fall als Einwilligung zur Datenerhebung bzw. -verarbeitung. Die Nutzer-Einwilligung muss immer in Form einer eindeutig bestätigenden Handlung erfolgen. Dies wurde auch bereits durch Gerichtsurteile bestätigt.

2. Das Aussparen eines Opt-out Buttons auf der ersten Ebene: 

Auch die häufig genutzte Variante, dem Nutzer auf der ersten Ebene des Cookie-Banners keine Möglichkeit zum Opt-out zu geben, ist nicht DSGVO-konform. Denn laut der Datenschutzverordnung muss der Ablehnen-Button genauso schnell (z.B. durch die gleiche Anzahl von Klicks) erreichbar sein wie der Annehmen-Button.

3. Inhalte hinter der Cookie-Wall verstecken:

Webseiten-Inhalte hinter sogenannten Cookie-Walls zu verstecken und erst freizugeben, wenn der Nutzer seine Einwilligung zur Datennutzung gegeben hat, entspricht ebenfalls nicht den Vorgaben der Datenschutzrichtlinie. Denn: Kann der Besucher nur auf die Inhalte der Website zugreifen, wenn er der Nutzung seiner Daten zustimmt, verstößt dies gegen das Kriterium der Freiwilligkeit.

4. Nutzer durch das Banner-Design beeinflussen:

Webseiten-Besucher durch sogenanntes Nudging, also die gezielte Beeinflussung durch ein bestimmtes Banner-Design zur Zustimmung zu bewegen, ist ebenfalls nicht erlaubt. Hierunter fällt unter anderem das farbliche Hinterlegen bestimmter Elemente (zum Beispiel Grün für den Annehmen-Button) oder das optische Verstecken anderer Elemente (z.B. Grau für die Opt-out-Möglichkeit). Nudging widerspricht gleich in zweifacher Hinsicht den Vorgaben der DSGVO. Denn wird der Nutzer unbewusst in seiner Entscheidung beeinflusst, trifft er diese weder freiwillig noch informiert.

5. Kästchen im Voraus ankreuzen:

Um die Einwilligung zur Verwendung bestimmter Technologien einzuholen, nutzen die meisten Webseitenbetreiber Checkboxen oder Regler. Der Webseitenbesucher kann so die Einwilligung zum Einsatz bestimmter Technologien wie zum Beispiel Tracking Tools geben, indem er das Kästchen anklickt, um einen Haken zu setzen oder den Regler aktiv verschiebt. Bereits im Voraus gesetzte Häkchen oder aktivierte Regler jedoch sind nur bei technisch notwendigen Cookies rechtskonform. Bei allen anderen Cookies, zum Beispiel für Marketing-Zwecke, muss das Kästchen zunächst leer bzw. der Regler nicht aktiviert sein. 

Auf legale Lösungen setzen

Das Gute: Die Erfahrung zeigt, dass diese Tricks gar nicht nötig sind, um hohe Zustimmungsraten zu erzielen. Denn es gibt durchaus Consent-Banner, die DSGVO-konform sind und dennoch zu guten Ergebnissen führen. So sind die User nicht grundsätzlich abgeneigt, die Nutzung ihrer Daten zu erlauben. Oftmals klicken sie die Cookie-Banner nur weg, weil diese kompliziert gestaltet, unübersichtlich und schwer verständlich sind. Ein ansprechendes Design hingegen und eine angenehme und sympathische sowie der Nutzergruppe angepasste Sprache führen in der Regel zu guten Opt-in-Raten. Auch eine günstige Platzierung des Banners erhöht die Zustimmung. Grundsätzlich gilt: Je nutzerfreundlicher die Privatsphäre-Präferenzen der Webseiten- und App-Besucher abgefragt werden, desto höher ist die Akzeptanz. Zudem sollten Firmen nicht vergessen: Alle Marktteilnehmer stehen vor derselben Herausforderung, Nutzerdaten gesetzeskonform zu erheben. Und: Insgesamt führt ein unkompliziertes und transparentes Einwilligungsmanagement dazu, dass Verbraucher die Website als vertrauenswürdig empfinden, was wiederum für einen klaren Wettbewerbsvorteil sorgt.  

Die zweite Chance nutzen

Und eine weitere gute Nachricht: Selbst wenn der Nutzer sich trotz aller Bemühungen gegen den Einsatz von Cookies entschieden hat, ist ein zweiter Versuch, seine Einwilligung einzuholen, durchaus sinnvoll. Allerdings sollten Firmen auch dabei nicht übertreiben, sondern lieber feinfühlig vorgehen, um den Nutzer nicht zu bedrängen. Die Grundzutaten für die Rückgewinnung lauten: Timing, Anreize und Extras. So muss, um einen Nutzer für den Opt-in zu gewinnen, der Mehrwert für ihn klar ersichtlich sein. Eine gute Möglichkeit, diesen zu verdeutlichen, stellen einzelne eingebettete Inhalte dar. Möchte ein Opt-out-User mit diesen interagieren, wird erneut um die Einwilligung gebeten. Diese Option bietet sich z.B. bei eingebetteten Social Media-Beiträgen von Twitter oder Facebook an. Ebenfalls wichtig ist, dass sich der User sicher fühlt. So gilt es, mithilfe der Daten, die man von den Opt-in-Usern erhält, herauszufinden, welche Unterseiten und Landingpages von den Nutzern als besonders vertrauenswürdig erlebt werden, um dann gezielt auf diesen Seiten erneut den Cookie Consent auszuspielen. Allerdings sollte das erneute Ausspielen des Banners nicht allzu häufig erfolgen, um nicht zu riskieren, dass Nutzer sich bedrängt fühlen und die Seite verlassen.

Zudem locken groß angekündigte Verkaufsaktionen wie der Singles Day oder der Black Friday nicht nur mehr Besucher auf die Website von Händlern. Bei diesen Events steigt auch die Opt-in-Bereitschaft. Der Grund dafür liegt auf der Hand: Der User freut sich auf die Schnäppchen und stellt deshalb eventuelle Datenschutzbedenken hinten an. Schließlich ist auch ein Gutschein eine gute Möglichkeit, um die Besucher vom Opt-in zu überzeugen. Dieser Marketing-Kniff wird oft genutzt, um Kunden dazu zu animieren, einen Newsletter zu abonnieren. Er lässt sich jedoch auch einsetzen, um die Cookie-Zustimmungsrate zu erhöhen. Unternehmen können Opt-out-User zum Beispiel fragen: Du willst wirklich ablehnen? Wie wäre es mit einem fünf Prozent Rabatt-Code für deinen nächsten Einkauf? Auch wenn Incentivierungen rechtlich diskutabel sind, bewegen sich Website-Betreiber mit dieser Form des Kaufanreizes im Bereich der Rechtmäßigkeit der erteilten Einwilligung.

Generell aber gilt: Transparenz und Nutzerfreundlichkeit schaffen langfristig mehr Vertrauen als Incentives. Und um dieses Vertrauen zwischen Kunde und Marke geht es doch am Ende. 

Die Autorin

Hanna Waldenmaier hat bereits für Unternehmen wie Google und Salesforce gearbeitet und zahlreiche Erfahrungen im Sales sowie Customer Success in der digitalen SaaS-Branche gesammelt. Als Vice President für Global Partnerships bei der Usercentrics GmbH ist Hanna verantwortlich für die Akquise und das Enablement der Partner. Neben ihrer täglichen Arbeit organisiert sie MeetUps im SaaS-B2B-Startup-Sektor und nimmt gerne an ähnlichen Networking-Veranstaltungen teil.