Website-Betreiber müssen die Einwilligung ihrer Besucher einholen, wenn sie deren personenbezogene Daten verarbeiten wollen. So sieht es die Datenschutz-Grundverordnung (DSGVO) vor. Bereits mehrere Urteile zum User Tracking sowie zur Personalisierung von Angeboten und Werbung sind gefallen, welche die Gesetzeslage schärfen und Unternehmen Orientierung bieten sollten. Dennoch wiederholen sich einige Fehler bei der Einholung der Nutzereinwilligung, des sogenannten Consent, immer wieder. Dabei handelt es sich nicht einmal um besonders neue.
Das Consent-Banner, das ausgespielt wird, um die Einwilligung abzufragen, muss einigen Regeln folgen. Consent-Management-Plattformen (CMP) sind dazu konzipiert, die Einwilligungen mithilfe dieser Banner einzuholen, sie zu verarbeiten und zu verwalten. Usercentrics, Anbieter einer solchen CMP, registriert regelmäßig die Fehler, die dabei begangen werden. Das Münchner Technologieunternehmen hat nun die häufigsten Schnitzer aufgelistet und erklärt, wie sie vermieden werden.
1. “Alles ablehnen”-Button fehlt
Da der Benutzer seinen Consent im Sinne der DSGVO freiwillig geben muss, darf nicht die Option fehlen, mit der er sämtlicher Verarbeitung seiner Daten widersprechen kann. Ergo muss ein solches pauschales Feld auf dem Cookie-Banner zu finden sein. Dieser “Opt-out” muss genauso einfach und schnell zu erreichen sein wie der “Opt-in”. Sollte sich ein User für den Opt-out entscheiden, dürfen für ihn dadurch keine Nachteile entstehen, wie beispielsweise gesperrte Website-Bereiche.
2. Häkchen sind schon gesetzt
Bei der Einwilligung in die verschiedenen Datenverarbeitungszwecke dürfen die Felder noch nicht im Voraus mit einem Haken versehen sein. Der Opt-in muss aktiv erfolgen, d.h. ein User wählt eine Option aus und bestätigt sie. Vorausgewählte Felder sind nicht DSGVO-konform.
3. Informationen zum Opt-in und Opt-out fehlen
User haben das Recht, ihre Einwilligung oder ihren Widerspruch “informiert und im Detail zu treffen”, sagt Usercentrics. Daher müssen Website-Betreiber ihre verwendeten Cookies und Technologien aufzeigen, sie erklären und zumindest pro Kategorie an- oder abwählbar gestalten. Das ist kein einfacher Job. Daher übernehmen ihn in der Regel die CMPs, die extra dafür entwickelt wurden.
4. Einwilligung durch Nutzung
Lediglich darüber zu informieren, dass Cookies gesetzt werden, ist nicht DSGVO-konform. Vor der Einführung der Verordnung war es unter Website-Betreibern gängig, ein kleines Infobanner für die User zu schalten, das mit “OK” bestätigt wurde. Einen Unterschied hat dies jedoch nicht gemacht, weil die Cookies in jedem Fall gesetzt wurden. Diese Praktik ist nicht mehr legitim, wie bereits die Regeln der vorangegangenen Punkte verdeutlicht haben sollten. Usercentrics nennt dies eine “Pseudo-Einwilligungsabfrage”.
5. Impressum und zur Datenschutzerklärung sind nicht erreichbar
Die Links zum Datenschutzhinweis und Impressum müssen jederzeit sichtbar sein und dürfen auch nicht durch das Cookie-Banner verdeckt werden. Selbst wenn der Besucher also vor die Entscheidung gestellt wird, welchen Verarbeitungszwecken er zustimmen möchte, muss er beide erreichen können. Dies wird am besten mithilfe von Links direkt im Cookie-Banner gelöst.
“Grundsätzlich sind Nutzer gar nicht abgeneigt, ihre Daten zu teilen – sofern die Daten zu ihrem Vorteil genutzt werden”, meint Tilman Harmeling, Entrepreneur in Residence von Usercentrics. “Marketer sollten dabei allerdings sicherstellen, dass Nutzer ihren Datenaustausch verstehen und kontrollieren. Ganz besonders, wenn es sich um sensible Daten handelt. Eine datenschutzkonforme Cookie-Banner-Strategie ist hierbei ein wesentlicher Baustein.”
Tech Finder Unternehmen im Artikel
EVENT-TIPP ADZINE Live - ADZINE CONNECT Video Advertising (fka PLAY Video Advertising Summit) 2024 am 21. November 2024
ADZINE CONNECT Video Advertising (ehemals PLAY Video Advertising Summit) ist die hochkarätige Fachkonferenz für Videowerbung, Technologie, Daten, Kreation und Medien, auf der sich Marketing-Entscheider:innen, digitale Medien und Branchenexpert:innen connecten. (Seit 2016) Jetzt anmelden!