In den vorherigen Artikeln zum Thema “Im Blindflug durch die Online-Attribution” bin ich primär auf die technische Ursachen eingegangen. In diesem Artikel möchte ich das Thema nun aus der rechtlichen Sicht betrachten.
Der 1. Oktober 2019 ist der Tag der vielen Online-Marketer in Erinnerung bleiben wird. Es war der Tag an dem der EUGH ein wegweisendes Urteil fällte – das sogenannte “Cookie-Urteil”. Zwar ging es in dem Verfahren gar nicht direkt um Cookies, sondern darum wie die beklagte Partei (Planet49) den Consent eingeholt hat, trotzdem sorgt das Urteil seitdem für einige Kopfschmerzen in der Online-Marketing-Welt. Das Gericht stellte nämlich klar, dass die Einwilligung für das Setzen von Cookies freiwillig und aktiv erfolgen muss (Opt-In).
Im Anschluss gab es zahlreiche Artikel wie eine solche Umsetzung erfolgen könne und was nun erlaubt ist und was nicht. Diese Diskussion ist nachwievor am laufen und wird sich sicherlich noch einige Monate, wenn nicht Jahre hinziehen. Was sich allerdings herauskristallisiert: Die Verwendung von Drittanbieter-Tools wie z.B. Google Analytics oder Facebook ist ohne die Zustimmung des Nutzers nicht mehr erlaubt (siehe “Datenschutzbehörden positionieren sich: Einsatz von Google Analytics nur mit Einwilligung“).
Wie könnte die Zustimmung aussehen?
Disclaimer: Ich bin kein Jurist und tätige hier weder eine Rechtsberatung noch gebe ich konkrete Handlungsanweisungen. Vielmehr stellt der Artikel meine persönliche Interpretation der Gesetzeslage dar.
Die große Frage die sich nun jeder stellt: Wie muss die Zustimmung genau aussehen? Die meisten Anbieter versuchen nun die Zustimmung über sogenannte Consent-Banner einzuholen. Die Consent Layer von Usercentrics, Cookiebot, Borlabs und anderen sieht man nun gefühlt überall – egal welche Seite man aufruft, man wirds stets mit der Meldung “Diese Seite verwendet Cookies – bitte bestätige…” begrüßt.
Doch eigentlich müsste die Frage anders lauten: Wie kann ich möglichst viele Zustimmungen einholen ohne den User zu nerven und gleichzeitig nicht Gefahr zu laufen gegen die Bestimmungen der DSGVO zu verstoßen. Den eines ist klar: Es ist ein schmaler Grat zwischen Online-Tracking und Haftungsrisiko (wegen fehlender oder fehlerhaftem Consent) entbrannt.
Je rechtssicherer man den Consent-Banner erstellt, desto geringer ist die Wahrscheinlichkeit, dass der User zustimmt. Im Umkehrschluss heisst das, dass man zwangsläufig einen Teil seiner Web-Analyse und Attribution verliert. Denn ohne Zustimmung darf man keine Dritt-Dienste wie Google Analytics, Retargeting & Co. verwenden – ergo wirkt sich jeder Ablehnung direkt auf das Reporting aus.
Wie kann zukünftig dann noch getrackt werden?
Aktuell lösen die meisten das Problem dahingehend, dass sie ihr aktuelles Tracking- und Marketing-Setup beibehalten und einfach einen Cookie-Consent-Banner vorschalten. Die Hoffnung dahinter: Der User wird “Consent-müde” und schlicht immer zustimmen.
Das ist meiner Meinung nach allerdings zu kurz gedacht. Es besteht weiterhin das Risiko, dass die User schlicht ablehnen – mit dem Ergebnis, dass das Tracking und somit die Attribution der Conversions verfälscht wird (kein Consent = kein Tracking = kein Reporting). Zum anderen besteht die Gefahr, dass irgendwann auch die AdBlocker oder andere Browser-Extensions darauf reagieren. Schließlich stellt der Consent-Layer einen ausgezeichneten Single-Point-of-Failure dar. Je nachdem wie der Consent-Layer konfiguriert ist, müsste ein AdBlocker nur den Consent-Layer blockieren und keine weitere Tracking-Tools würden mehr geladen werden. Korrekt implementiert dürfen die Dritt-Scripte nämlich erst ausgelöst werden, wenn der User dies mit Ok bestätigt. Ist dieser jedoch blockiert, kann es das Ok nie geben.
Ich hab dies bei ein paar größerer Online-Anbieter getestet – darunter z.B. auch telekom.de. Blockiert man das Script von Tealium werden die Tracker die eigentlich bei einem Klick auf “Akzeptieren” geladen werden sollten, nicht geladen.
Die Folgen
Lag der Messverlust bei den vorangegangen Herausforderungen jeweils bei 5-20% ist es bei dem Thema DSGVO/ePrivacy ungleich höher. Welcher User stimmt denn schon gerne und freiwillig dem Tracking zu? Aus Gesprächen mit Kollegen und Kolleginnen erfuhr ich von Zustimmungsraten von 20-70% – heißt im Umkehrschluss, dass 30-80% der User ablehnen! Und die hohen Zustimmungsraten kamen nur durch “grenzwertige” Cookie-Layer zustande.
Bei einem Messverlust von 20% kann man noch mit statistischen Hochrechnungen kalkulieren. Bei 80% ist das aber kaum mehr seriös möglich, zumal die Gefahr eines “Consent Bias” besteht (eine statistische Verzerrung aufgrund nicht repräsentativer Daten). Automatisierte Marketing-Lösungen wie RTB, Custom-Audience, Conversion-Tracking etc. wären zudem direkt betroffen, womit die Performance der Kampagnen quasi automatisch herunterskaliert werden.
Keine Zeit für Pessimismus
Es mag sein, dass mein Artikel hier zu pessimistisch wirkt – das ist er aber gar nicht. Ich sehe die aktuelle Situation als Herausforderung – und ich liebe Herausforderungen! In der Informatik spricht man immer von Problemen; und Probleme müssen gelöst werden. Mal sind sie einfach, mal schwierig. Ohne Zweifel – das Thema Attribution, also die korrekte Zuweisung von Conversions zu den Kanälen, zählt zu den schwierigeren. Die Zeiten in denen man bequem einfach alle möglichen Dritt-Scripte integrierte und alles via Cookies getrackt wurde sind jedoch vorbei.
Heute sind die Anstrengungen größer – aber sie sind lösbar, wenn auch sicherlich mit ein paar Einschränkungen. In meinem letzten Beitrag zu dieser Serie werde ich ein Fazit ziehen und ein paar Handlungsempfehlungen geben.