Die Hoffnung stirbt zuletzt – der Versuch eines Fazits (7/7)

Mit etwa 6-monatiger “Corona-Verspätung” möchte ich meine Artikelreihe “Im Blindflug durch die Online-Attribution” zum Abschluss bringen. Als ich Anfang des Jahres die ersten Artikel veröffentlichte, konnte keiner absehen wie sich das ganze Thema entwickeln wird. Die unfreiwillige Pause hat aber auch etwas Gutes – es hat sich sehr viel getan und man kann eine gewisse Entwicklung erkennen.

Vorweg möchte ich mich auch für die vielen Anfragen und daraus resultierenden Diskussionen bedanken. Ich finde es richtig und auch wichtig, dass sich die Branche hier intensiv austauscht und Erfahrungen (positive wie negative) in Umlauf gebracht werden.

Wie der Wegfall des “Privacy-Shields” eine neue Front eröffnet

Im Juli diesen Jahres hat der EuGH erneut ein wegweisendes Urteil gefällt: Das Privacy-Shield-Abkommen mit den USA wurde gekippt (siehe  eRecht24). Das Urteil ist deshalb so weitreichend, da es für die Online-Attribution quasi eine 4. Baustelle eröffnet. Bisher gliederten sich diese nämlich in:

  • Technik (z.B. AdBlocker)
  • Juristisch (DSGVO) 
  • Usability (Cross-Device/-Browser)

Nun kommt also ein 4. Problem hinzu: Organisatorisch. Zugegeben es geht eng einher mit dem juristischen Problem, unterscheidet sich aber in einem Punkt wesentlich: Es trifft nun nicht nur Marketing- oder Tracking-Lösungen, sondern quasi jeden Service, jedes Tool, jedes SaaS oder sonstige cloudbasierte Lösung, die von Anbietern aus den USA stammen. Eine schöne Zusammenfassung der Konsequenzen liefert Dr. Ronald Kandelhard in seinem Beitrag “Deine Website ist illegal: Privacy Shield verstößt gegen DSGVO”.

Dies bedeutet, dass quasi ab sofort jegliche Datenübermittlung zu oder über einen Anbieter aus den USA, bei dem auch personenbezogene Daten übermittelt werden, illegal ist. Es spielt keine Rolle, ob der Dienstleister die Daten als Auftragsdatenverarbeiter erhält – ein Transfer in die USA ist wegen des dortigen fehlenden Datenschutzniveaus nicht möglich. In diesem Zusammenhang wird oft auf die Standardvertragsklauseln verwiesen. Das EuGH hat aber direkt klargestellt, dass man bei diesem Weg weitere Sicherheiten einholen muss, die die Einhaltung des Datenschutzes nach europäischem Recht sicherstellen. In der Praxis ist dies aber m.E. unrealistisch.

Die Folge: Eine Vielzahl von populären Services sind von jetzt auf nachher quasi nicht mehr nutzbar – und diesmal trifft es nicht reine Marketing- oder Tracking-Tools. Es trifft viele cloudbasierte Dienste, die im Hintergrund genutzt werden – und zwar aus allen Branchen und Bereichen:

  • Office/Kollaboration: G-Suite, Microsoft 365, …
  • Projektmanagement: Asana, Trello,
  • Messenger: Slack, MS Team,…
  • E-Mail: Mailchimp, Sendgrid,…
  • CRM: Salesforce, Zoho,…
  • Data-Migration: Funnel.io, Segment, Stitch,…
  • Monitoring: Sentry, Datadog,…
  • u.v.a.

Ob und wann wieder für Rechtssicherheit gesorgt wird, ist aktuell nicht absehbar. Man kann nun entweder versuchen seinen IT-Stack beizubehalten und zu hoffen nicht “erwischt” zu werden, weitere Garantien von den US-Unternehmen einfordern oder man beginnt nach (europäischen) Alternativen zu suchen. In jedem Fall riskiert man entweder einen Verstoß gegen die DSGVO oder es entsteht ein hoher organisatorischer Aufwand.

Um auf das eigentliche Thema dieser Artikelreihe zurückzukommen – der Wegfall des Privacy-Shields hat nur indirekt etwas mit der Attribution zu tun. Es verkompliziert jedoch die Problemstellung und zeigt, dass sich das Datenschutz-Thema nicht von selbst lösen wird! Die technische Entwicklung, die politischen Entscheidungen und auch gerichtliche Urteile zeigen: Datenschutz ist meiner Meinung nach “the next big thing” – und dabei spielt es keine Rolle wie man persönlich dazu steht.

Was also tun?

Im Grunde gibt es 3 Möglichkeiten:

  1. Die “Kopf in den Sand Stecken”-Methode
    Einfach weitermachen wie bisher. Google Analytics via GTM einbinden, Facebook- und ein paar sonstige Retargeting-Pixel laden. Die veralteten Datenschutzbestimmungen, vielleicht noch aus Pre-DSGVO-Zeiten stehen lassen. Etliche Tools, Services und Plugins verwenden, die die gesammelten Daten quer über das Internet über diverse SaaS- und Cloud-Dienste verteilen. Maximal einen einfachen Cookie-Hinweis (natürlich kein Consent) einbinden und jeden Tag beten, dass das “Problem” von selbst verschwindet.

    Ausblick: Es wird nur eine Frage der Zeit sein, bis einem diese Methode um die Ohren fliegt. Die Risiken steigen, die zu erwarteten Kosten ebenso. Entweder weil man “erwischt” wird und hohe Strafen winken oder weil man irgendwann doch gezwungen wird tätig zu werden (Rüge vom Landesdatenschutz-beauftragten, Abmahnung von Wettbewerbern oder Verbraucherschützern, etc.). Tritt der Fall ein, muss übereilt gehandelt werden. Alles wird erst einmal ad-hoc “ausgebaut”, um weiteren Schaden zu vermeiden. Folge: Es tritt ein temporärer Blindflug ein – dann muss plötzlich alles was man eben nicht tun wollte, ganz schnell umgesetzt werden. Das kostet Zeit und Geld und verursacht garantiert Probleme und Fehler. Höchstwahrscheinlich weichen die Reports anschließend von den alten Reports ab und man kann sich die Abweichung nicht erklären. Es existieren ja keine  Vergleichskennzahlen aus einem A/B-Test.

    Diese Methode ist aller Wahrscheinlichkeit nach die ineffizienteste Methode.

  2. Die “Minimum-Maximum”-Methode
    Bei dieser Methode geht es darum mit minimalem Aufwand das Maximale herauszuholen. Man lässt im Grunde alles wie es ist und baut lediglich einen Consent-Layer vor seine Seite. Der Cookie-Layer ist natürlich auf maximale Consent-Rate optimiert und verwendet jeden Trick den es gibt, um dies zu erreichen. Man orientiert sich an allen anderen und setzt maximal das Minimum um, um nicht aufzufallen und den Ist-Zustand möglichst lange beizubehalten. Alles bleibt wie es ist – naja, gut da ist dieser nervige Cookie-Layer – aber den haben ja auch alle anderen. Der User ist sowieso schon genervt und wird automatisch “Akzeptieren” klicken. Danach läuft ja alles wie gehabt – man wird schon nicht der erste sein, den es erwischt.

    Ausblick: Hört sich doch eigentlich super an? Tatsächlich gibt es diese Methode nicht. Man erreicht weder das eine noch das andere. Es ist der berühmte Kampf gegen die Windmühlen. Letztendlich löst man keines der Probleme. Privacy-Blocker (ITP/ETP) blockieren immer mehr Cookies und die Conversion-Raten nehmen gefühlt von Tag zu Tag ab. Gleichzeitig steigt das Risiko – nicht unbedingt, dass man als Erster “erwischt” wird, aber dass die eine große Änderung kommt, vor der alle Angst haben. Es spielt keine Rolle welche es ist – sei es ITP Version X, Cookie-Layer die gleichwertige Buttons haben müssen oder ein Update des Chrome-Browsers der irgendetwas Unvorhersehbares mit sich bringt. Wenn das Update angekündigt ist, rinnt einem die Zeit davon. Auf einmal hat dieses Thema die allerhöchste Priorität und alle anderen Projekte stehen still.

    Diese Methode kann funktionieren, wenn die Veränderung ausbleibt oder nur lang genug hinausgezögert wird. Letztendlich schiebt sie das Unvermeidbare aber nur auf. Experten dieser Methode die einem “garantiert” weiterhelfen können, findet man in vielen anderen Branchen: Finanzinstitute, Automobil, (klassischer) Einzelhandel.

  3. Die “Ärmel hochkrempeln”-Methode
    Bei dieser Methode wird das Thema ganzheitlich angegangen. Es wird analysiert welche Daten wo, wie und mit welchen Tools erfasst werden. Anschließend findet ein Audit jedes Tools statt. Gibt es europäische Alternativen (wg. Privacy-Shield)? Können die Daten anonymisiert oder zumindest pseudonymisiert werden, bevor sie übertragen werden? Ist ein Consent nötig für den Einsatz und falls ja wie ist der Kosten-/Nutzen des Tools auch unter Berücksichtigung der Daten und des Risikos des Attributions-Verlustes? Gibt es technische Möglichkeiten das Tracking auch ohne Standard-Implementierung umzusetzen (Stichwort: Server-Side-Tracking)? Ziel des Audits ist es:

    a) die Risiken zu minimieren (Juristisch & Organisatorisch)
    b) die Attribution zu verbessern (Technisch & Usability)

    Ausblick: Bei dieser Methode entsteht ein sehr hoher Initialaufwand. Das Zusammensuchen und Dokumentieren aller Tools ist mühselig. Auch auf die Entwickler kommt ein hoher Implementierungsaufwand zu – Datenflüsse müssen analysiert, APIs überarbeitet, Cronjobs erweitert oder angepasst werden. Daher ist es am Besten diese Tasks direkt in die Entwickler-Sprints miteinfließen zu lassen, sie Step-by-Step umzusetzen.

    Sollte sich meine Hypothese bewahrheiten und Datenschutz tatsächlich “The next big thing” werden, wird man froh darüber sein, das frühzeitig und parallel zum aktuellen Tracking-Setup umgesetzt zu haben. So kann man die Zahlen sehr gut mit den Ist-Zahlen vergleichen und Abweichungen erkennen und verstehen. Liege ich mit meiner Annahme dagegen falsch und die Datenschutz-Diskussion flacht ab bzw. wird entschärft, hat man zugegebenermaßen vermutlich nur Karma-Punkte gesammelt und hätte sich diesen Mehraufwand sparen können.

Wo anfangen?

Bei everysize haben wir bereits vor über einem Jahr mit der Umstellung begonnen und haben verschiedenste Lösungen in A/B- oder gar A/B/C-Tests laufen. Aufgrund der Learnings aus dieser Zeit, möchte ich folgende Handlungsempfehlungen geben:

  • UTM-Parameter prüfen und sicherstellen, dass diese überall verwendet werden.
    Der Punkt ist eigentlich allgemein bekannt, wird aber nachwievor leider zu oft unterschätzt. Viel wichtiger und neu ist jedoch, dass die UTM-Parameter auch stringent in die eigene Systemlandschaft integriert werden sollten – also nicht nur einfach via Google Analytics verarbeiten lassen. Dazu zählt, die UTM-Parameter auch selbst abzurufen und in eine eigene Session/Cookie zu speichern und bei Abschluss des Funnel (z.B. Anmeldung, Bestellung, etc.) diese auch entsprechend mit zu speichern. Dies kann später für Offline-Tracking-Implementierungen praktisch sein.

  • Auf Tracking- und Cookie-Weichen verzichten ODER diese korrekt implementieren.
    Wie bereits in “Wie der Google Tag-Manager und Cookie-Weichen das Tracking verfälschen” erwähnt, gibt es viele gute Tracking-Anbieter auf dem Markt. Probleme entstehen aber zumeist, wenn der Kunde die notwendigen Anpassungen nicht oder zu spät umsetzt. Daher unbedingt das aktuelle Setup prüfen und, sofern mit einem Drittanbieter gearbeitet wird, nach aktuellen Updates fragen.

  • Web-Analyse neu aufstellen.
    Die Zeiten in denen einfach nur ein JavaScript von GTM und GA integriert werden und alles läuft, sind vorbei. AdBlocker, ITP & ETP sorgen dafür, dass diese einfach blockiert oder zumindest die Cookies beschnitten werden. Die Anforderungen der DSGVO und die Auswirkungen von Cookie-Layern sind hier noch nicht mal berücksichtigt. Besser: Alternative Tracking-System aufbauen. Entweder mit On-Promise-Lösungen wie Matomo oder durch serverseitiges Tracking via Google Analytics Measurement Protocol.

  • Mehr serverseitig tracken.
    Aktuell ist serverseitiges Tracking in aller Munde – oft wird das Interesse daran damit begründet, dass man nicht mehr von AdBlockern geblockt wird. Ich denke aber serverseitiges Tracking hat noch einen wesentlich größeren Vorteil: Man erhält die Kontrolle über seine Daten zurück! Dass der Trend in diese Richtung geht, hat selbst Google erkannt – nicht umsonst gibt es seit kurzem die Möglichkeit GTM serverseitig zu implementieren. Eine Anleitung dazu liefert Markus Baersch in seinem Artikel “Serverseitiges Tagging mit Google Tag Manager: Erste Eindrücke” (P.S. in seinem Blog gibt es sehr viele gut und detailierte Beiträge – wer sich dafür interessiert – unbedingt lesen!). Serverseitiges Tracking funktioniert übrigens auch bei Google Ads Conversion-Tracking und vielen weiteren Diensten. Daher mein Tipp: einfach mal prüfen welcher der genutzten Dienste auch APIs anbietet, die ggf. anstelle der Standard-JavaScript-Lösung genutzt werden können.

  • Marketing-Kanäle neu aufstellen und Kampagnen-KPIs neu interpretieren.
    Durch immer weiter steigende Tracking-Verluste (siehe Artikel 2-6 dieser Artikelreihe) ist es nicht mehr zeitgemäß den erfassten Zahlen 1:1 blind zu vertrauen. Es ist wichtig die Kanäle einzeln zu analysieren und auch einer Risikobewertung zu unterziehen. Dazu zählt beispielsweise die Wahrscheinlichkeit, dass der Kanal wegbricht oder aber die Abweichung überdurchschnittlich stark von der Attributions-Problematik betroffen ist oder sein wird. Nehmen wir als Beispiel das Retargeting, das von der Abschaffung von Third-Party-Cookies bekannterweise extrem stark betroffen. Bereits heute werden diese Cookies überproportional häufig geblockt – darüber hinaus ist auf der Webseite ein Consent notwendig. Jede Blockierung des Cookies führt somit zu einem Attributions-Verlust. Natürlich gibt es Attributions-Verluste auch bei anderen Kanälen – diese sind in der Regel aber niedriger als die des Retargetings. Es macht also keinen Sinn pauschal bei jedem Kanal 50% hinzuzurechnen. Vielmehr muss jeder Kanal einzeln bewertet werden und seinen eigenen “Messverlust-Aufschlag” erhalten. Erst dann ist ein Vergleich der einzelnen Kampagnen-Erfolge und somit die Skalierungs-Entscheidung möglich.

  • Hinterfragt euren Direct-Traffic.
    Eigentlich ein alter Schuh, aber aufgrund der Wichtigkeit und der vielen Fragen nach “Wie hoch ist denn nun normal?” nochmals explizit: Ein Direct-Traffic-Anteil von >50% heißt nicht zwangsläufig, dass man eine “extrem starke Brand” hat. Es bedeutet, dass man entweder ein extrem schwaches Marketing hat oder viel wahrscheinlicher, ein extrem starkes Tracking-Problem. Dies wiederum bedeutet, dass die Conversions, die in Direct auftauchen zu einem großen Teil anderen Kanälen zugerechnet werden müssen – die Frage ist nur zu welchen.

Der frühe Vogel fängt den Wurm

Alle in meinem Beitrag aufgeführten Empfehlungen sind selbstverständlich nicht abschließend. Vielmehr geht es mir darum aufzuzeigen, dass die Herausforderungen an ein gutes Tracking bedingt durch die Datenschutz-Thematik steigen. Es gibt aktuell sehr viele Baustellen, die sich aus verschiedensten Anforderungen ergeben, die sich zudem regelmäßig ändern. Gute Planung ist das A und O um unnötige Mehrarbeit zu vermeiden. Aus eigener Erfahrung weiss ich, wie aufwendig das alles sein kann. Im laufenden Betrieb und das ohne “Best-Practices” oder “HowTo’s” ist es aufwendig sich das Wissen anzueignen. Man muss viel ausprobieren und testen und sich eine Lernkurve aufbauen. Natürlich kann man auch einfach warten bis der große Big-Bang kommt und dann aktiv werden in der Hoffnung, dass man dann Tutorials und fertige Lösungen findet, die man schnell per Copy&Paste umsetzen kann. Bei diesem Thema ist es aber etwas anders – die Datenschutz-Diskussion schreitet tatsächlich schneller voran als der technische Fortschritt.  Daher ist es meiner Meinung nach wichtig, vorbereitet an die Sache ranzugehen und das Attributions-Thema überhaupt mal auf die Agenda zu nehmen, anstatt es ewig vor sich herzuschieben.

Ich hoffe die Artikelreihe “Im Blindflug durch die Online-Attribution” konnte dem einen oder anderen weiterhelfen und das Attributions-Thema ein wenig in den Fokus bringen. Ich freue mich jederzeit über Rückmeldungen, Diskussionen und Erfahrungsaustausch sowie konstruktive Kritik.

Autor: Eugen

CTO & Co-Founder of everysize.com