Überblick
Seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) 2018 in Europa folgen immer mehr Länder diesem Beispiel. Ganz gleich, ob es sich um CCPA, LGPD, POPI oder andere handelt.
Nach Angaben von DLA Piper sind die folgenden Verordnungen bereits in Kraft oder werden in Kürze in Kraft treten:
Dennoch wird früher oder später weltweit jedes Unternehmen gezwungen sein, sich an Datenschutzbestimmungen zu halten und ist somit auch beim Betrieb einer Website davon betroffen.
Ich möchte hier nicht über den Sinn oder Unsinn der Datenschutzregularien diskutieren, sondern vielmehr die Auswirkungen auf die Analyse hinsichtlich der Datenerhebung auf Websites eingehen.
Wie Daten vor Einführung der DSGVO erhoben wurden
Wie Sie sich sicherlich noch erinnern, war die Datenerhebung vor der Einführung der GDPR völlig problemlos und ohne Zustimmung durch den Nutzer möglich.
Der Nutzer öffnete eine Webseite in einem Browser auf seinem Gerät und sobald die Website heruntergeladen wurde, sendeten diverse Skripte (sogenannte Tags) bereits Daten an die entsprechenden Systeme – ganz gleich, ob es sich hierbei um ein Webanalyse-System handelte oder eine Marketing-Automation-Platform. Auch das bloße Einbinden von Technologien sorgte bereits für die Datenerhebung durch Dritte (z. B. Google Maps oder YouTube).
(Einige) Anforderungen zur Erfüllung der DSGVO
Werfen wir einen Blick auf einige der Anforderungen zur Erfüllung der DSGVO in Bezug auf die Datenerhebung in Websites.
 | Zustimmung auf der Basis des freien Willens Der Nutzer muss in der Lage sein, seine Zustimmung frei zu erteilen, und es muss möglich sein, auf die Website-Inhalte auch ohn ohne Zustimmung zuzugreifen (auf Dienste, die für die Erbringung des Dienstes technisch nicht erforderlich sind). |
 | Treffen einer informierten Entscheidung Alle relevanten Informationen (z. B. Zweck der Verarbeitung, Datenverarbeiter usw.) müssen zum Zeitpunkt der Erteilung der Einwilligung verfügbar sein. |
 | Granularität Der Zweck der Datenerhebung muss genau erklärt werden; eine allgemeine Einwilligung ist nicht gültig. |
 | Ausdrücklichkeit Die Zustimmung muss explizit erteilt werden, z. B. durch aktives Anklicken oder Antippen einer Zustimmungerklärung; eine implizite Zustimmung ist nicht gültig. |
 | Zustimmung vor Datenerhebung Technologien, die nicht unter das berechtigte Interesse fallen, sollten nur geladen werden, wenn eine Zustimmung erteilt wurde. |
 | (Einfaches) Opt-out Die Verweigerung der Einwilligung oder der Widerruf einer erteilten Einwilligung muss so einfach sein wie die Erteilung der Einwilligung. |
 | Dokumentierte Zustimmung Der Website-Betreiber muss nachweisen können, dass die Zustimmung des Nutzers erteilt wurde und dass die Zustimmung den Anforderungen an eine gültige Zustimmung entspricht. |
Fazit:
Somit dürfen Daten zum Nutzerverhalten auf Websites, welche letztendlich auch der Profilierung dienen, ausschließlich nach explizierter Zustimmung durch den Nutzer erhoben werden. Diese Zustimmung muss freiwillig erfolgen, auf einer informierten Basis beruhen und je verwendete Technologie möglich sein.
Um nun all dies sicherzustellen, war die Notwendigkeit des Consent Managements gegeben, denn schließlich muss zu jedem Nutzer auch akribisch genau vermerkt werden, zu welcher Technologie die Zustimmung gegeben wurde. Somit war auch gleich die Idee der „Consent Management Platform“ geboren, kurz CMP genannt, die sich genau diesen Aufgaben widmet.
Wie Daten seit Inkrafttreten der DSGVO erfasst werden müssen
Nachdem DSGVO in Kraft trat, änderte sich auch die Art und Weise, wie Daten hinsichtlich des Nutzerverhaltens auf Webseiten erhoben werden dürfen.
Somit sollte dem Nutzer neben der Webseite ebenfalls die Möglichkeit gegeben werden, der Datenerhebung explizit zuzustimmen. Dies geschah und geschieht überwiegend unter Zuhilfenahme sogenannter Consent-Banner, die bei erstmaligem Besuch auf der Website von der Consent-Management-Platform (CMP) angezeigt werden.
Erst nachdem der Nutzer seine Zustimmung zur Datenerhebung gibt, werden Daten entsprechend erhoben und an die jeweilige Plattform weitergeben.
Datenschutzregularien verursachen Datenlücken
Durch das Erfordernis der expliziten Zustimmung ergeben sich bereits die ersten Probleme, wenn es um die Neukundenakquise mittels Kampagnen geht. Da per se Daten erst nach der Zustimmung durch den Nutzer erhoben werden dürfen, gehen die Informationen hinsichtlich der Kampagnen ggf. verloren, wenn der Nutzer zum ersten Mal auf die Landeseite verwiesen wird und dort zunächst seine Zustimmung zur Datenerhebung geben muss.
Je nach Kampagne, Kanal und eingesetzter Technologie hinsichtlich Consent Management, werden dann Daten zu diesem Nutzer erst ab der zweiten Interaktion auf der Landeseite bzw. mit der Website erhoben.
Zudem hat jeder Nutzer das Recht, der Datenerhebung und Profilierung auf Websites zu widersprechen. Auch gilt der Grundsatz, dass der Nutzer sehr granular bestimmen können soll, welche Technologien Daten erheben dürfen und welche nicht. Das trifft übrigens auch auf andere existente und künftige Regularien zu.
Somit wird deutlich, dass grundsätzlich an vielen Stellen eine Datenlücke entstehen kann und wird.
Nun, der Rest sind die neuen 100%…!
Nach der Einführung und dem Inkrafttreten der GDPR in Europa machten die Website-Betreiber hinsichtlich der Datenerhebung mit Google Analytics (sowie anderen Technologien) unterschiedliche Erfahrungen. So konnten Rückgänge in der Datenerhebung von 10% bis sogar 90% beobachtet werden – je nach Website und Branche.
Damit tauchten immer wieder Fragen nach der Validität der verbleibenden Daten auf. Auch wurde immer wieder gemutmaßt, dass ganz bestimmte „Kundengruppen“ ggf. das Tracking vermeiden wollen. Eine der abstrusesten Behauptungen jedoch war, dass es bestimmte Nutzer gäbe, welche in der Vergangenheit für hohe Verkaufszahlen im Bereich E-Commerce gesorgt haben, nun absichtlich die Datenerhebung mit Google Analytics vermeiden würden, um die Umsatzzahlen zu verfälschen.
Natürlich stellt eine Datenschutzverordnung dieses Ausmaßes eine Herausforderung and die Marketers und Website-Betreiber dar. Letztendlich können beide nur hoffen, dass möglichst viele Websitenutzer ihre Zustimmung zur Datenerhebung geben. Dennoch ist nun ein Umdenken nötig, um die verbleibenden Zahlen weiterhin mit Zuversicht bewerten und interpretieren zu können.
Daher gilt: die Daten und Zahlen, welche ab Einführung einer CMP erhoben werden, sind ab diesem Moment die neuen 100%. Daraus ergibt sich dann auch die Erkenntnis, dass es wenig sinnvoll ist, die erhobenen Daten mit den historischen Daten zu vergleichen.
Demnächst
Im nächsten Beitrag geht es um die Funktionsweise einer CMP…
