Datenstrategie
Datenschutz beim Opt-in
von
Timo
von Focht - 12.03.2020
Foto: Georgejmclittle / shutterstock.com
Seit der Einführung der DSGVO sind viele Nutzer verunsichert, was mit ihren Daten geschieht. Nun liegt es an den Marketing-Mitarbeitern, die Vorteile von Opt-ins und dergleichen herauszustellen.
Dieser Beitrag wurde erstellt von Timo von Focht. Er ist Country Manager DACH beim Technologie-Dienstleister Commanders Act.
Das neueste Gerichtsurteil des Europäischen Gerichtshofs (EuGH) vom 1. Oktober 2019 spricht eine deutliche Sprache: Vor dem Setzen von Cookies oder dem Erheben sonstiger auf Personen beziehbarer Daten ist ein aktives, explizites und informiertes Opt-in nötig. Die heute noch beliebte Formulierung „Wenn Sie jetzt weitersurfen, stimmen Sie der Verarbeitung Ihrer Daten zu“ ist nicht mehr zulässig.
Bisher haben viele Akteure im Online-Marketing in Wildwestmanier von dem Fehlen einer eindeutigen Regelung profitiert. Im Bestreben, den Webseitenbesucher immer genauer zu kennen, wurden große Datenmengen erfasst. Das löste eine Vermüllung der digitalen Kanäle mit Ads, Spam, Bots und Cookies aus. 2016 verordnete die Europäische Union daher die DSGVO als Versuch, diesem Treiben Grenzen zu setzen. Nach der Datenschutz-Grundverordnung haben Unternehmen alle Dateien mit personenbezogenen Daten aufzulisten.
Vielerorts herrscht nun Katerstimmung, denn Abmahnungen sind jetzt nach Ansicht einiger Gerichte wohl möglich und werden infolge des klaren Urteils zunehmen. Darum sollte sich jeder Website-Betreiber umgehend mit diesem Thema auseinandersetzen und sich als ersten Schritt eine für ihn passende Consent-Management-Plattform (CMP) anschaffen, die das Setzen von Cookies vor einer Nutzereinwilligung unterbindet und Opt-ins sauber dokumentiert.
Bisher gab es in der Praxis drei Methoden, um die Zustimmung von Webseitenbesuchern einzuholen:
Direkte, explizite Zustimmung: Diese Methode beinhaltet eine ausdrückliche Zustimmung durch den Nutzer - normalerweise durch den Klick auf einen „Einverstanden“-Button.
Implizite Zustimmung: Als Zustimmung gilt hier, wenn der Benutzer auf der Landing-Page weiter nach unten scrollt oder einen anderen Button auf der Landing-Page anklickt.
Indirekte Zustimmung: Hier wird die Zustimmung in dem Moment als erteilt betrachtet, wenn der Nutzer eine weitere Seite auf derselben Website aufruft.
Die unterschiedlichen Methoden haben einen großen Einfluss auf die jeweiligen Opt-in-Raten. Seit der Bekanntmachung der DSGVO hatten die Website-Betreiber genügend Zeit, die Methoden auszuprobieren. Die Jahre seit 2016 sind jedoch weitgehend ungenutzt verstrichen. In den meisten Fällen hat man sich hinter zweifelhaften Rechtsmeinungen versteckt, Lücken im Gesetz gesucht und den Nutzern nur eine sehr eingeschränkte Wahlmöglichkeit gelassen.
Das juristische Versteckspiel geht bei vielen Unternehmen in die nächste Runde, lässt doch das EuGH-Urteil noch einige Fragen ungeklärt:
- Könnte das Setzen von Cookies durch andere Rechtsgrundlagen gerechtfertigt sein, zum Beispiel durch berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)?
- Wer ist für das Setzen von Third-Party-Cookies datenschutzrechtlich verantwortlich?
- Wann liegen sogenannte erforderliche Cookies vor, die keine gesonderte Einwilligung benötigen (Art. 5 Abs. 3 ePrivacy-Richtlinie)?
- Müssen Nutzer einzelnen Online-Marketing-Dienstleistern oder zumindest Dienstleistergruppen (etwa Unternehmen, die Analysen vornehmen) aktiv zustimmen?