In den vorherigen Artikeln zum Thema „Im Blindflug durch die Online-Attribution“ bin ich primär auf die technische Ursachen eingegangen. In diesem Artikel möchte ich das Thema nun aus der rechtlichen Sicht betrachten.
Der 1. Oktober 2019 ist der Tag der vielen Online-Marketer in Erinnerung bleiben wird. Es war der Tag an dem der EUGH ein wegweisendes Urteil fällte – das sogenannte “Cookie-Urteil”. Zwar ging es in dem Verfahren gar nicht direkt um Cookies, sondern darum wie die beklagte Partei (Planet49) den Consent eingeholt hat, trotzdem sorgt das Urteil seitdem für einige Kopfschmerzen in der Online-Marketing-Welt. Das Gericht stellte nämlich klar, dass die Einwilligung für das Setzen von Cookies freiwillig und aktiv erfolgen muss (Opt-In).
Im Anschluss gab es zahlreiche Artikel wie eine solche Umsetzung erfolgen könne und was nun erlaubt ist und was nicht. Diese Diskussion ist nachwievor am laufen und wird sich sicherlich noch einige Monate, wenn nicht Jahre hinziehen. Was sich allerdings herauskristallisiert: Die Verwendung von Drittanbieter-Tools wie z.B. Google Analytics oder Facebook ist ohne die Zustimmung des Nutzers nicht mehr erlaubt (siehe „Datenschutzbehörden positionieren sich: Einsatz von Google Analytics nur mit Einwilligung„).
Wie könnte die Zustimmung aussehen?
Disclaimer: Ich bin kein Jurist und tätige hier weder eine Rechtsberatung noch gebe ich konkrete Handlungsanweisungen. Vielmehr stellt der Artikel meine persönliche Interpretation der Gesetzeslage dar.
Die große Frage die sich nun jeder stellt: Wie muss die Zustimmung genau aussehen? Die meisten Anbieter versuchen nun die Zustimmung über sogenannte Consent-Banner einzuholen. Die Consent Layer von Usercentrics, Cookiebot, Borlabs und anderen sieht man nun gefühlt überall – egal welche Seite man aufruft, man wirds stets mit der Meldung “Diese Seite verwendet Cookies – bitte bestätige…” begrüßt.
Doch eigentlich müsste die Frage anders lauten: Wie kann ich möglichst viele Zustimmungen einholen ohne den User zu nerven und gleichzeitig nicht Gefahr zu laufen gegen die Bestimmungen der DSGVO zu verstoßen. Den eines ist klar: Es ist ein schmaler Grat zwischen Online-Tracking und Haftungsrisiko (wegen fehlender oder fehlerhaftem Consent) entbrannt.
Je rechtssicherer man den Consent-Banner erstellt, desto geringer ist die Wahrscheinlichkeit, dass der User zustimmt. Im Umkehrschluss heisst das, dass man zwangsläufig einen Teil seiner Web-Analyse und Attribution verliert. Denn ohne Zustimmung darf man keine Dritt-Dienste wie Google Analytics, Retargeting & Co. verwenden – ergo wirkt sich jeder Ablehnung direkt auf das Reporting aus.
Wie kann zukünftig dann noch getrackt werden?
Aktuell lösen die meisten das Problem dahingehend, dass sie ihr aktuelles Tracking- und Marketing-Setup beibehalten und einfach einen Cookie-Consent-Banner vorschalten. Die Hoffnung dahinter: Der User wird “Consent-müde” und schlicht immer zustimmen.
Das ist meiner Meinung nach allerdings zu kurz gedacht. Es besteht weiterhin das Risiko, dass die User schlicht ablehnen – mit dem Ergebnis, dass das Tracking und somit die Attribution der Conversions verfälscht wird (kein Consent = kein Tracking = kein Reporting). Zum anderen besteht die Gefahr, dass irgendwann auch die AdBlocker oder andere Browser-Extensions darauf reagieren. Schließlich stellt der Consent-Layer einen ausgezeichneten Single-Point-of-Failure dar. Je nachdem wie der Consent-Layer konfiguriert ist, müsste ein AdBlocker nur den Consent-Layer blockieren und keine weitere Tracking-Tools würden mehr geladen werden. Korrekt implementiert dürfen die Dritt-Scripte nämlich erst ausgelöst werden, wenn der User dies mit Ok bestätigt. Ist dieser jedoch blockiert, kann es das Ok nie geben.
Ich hab dies bei ein paar größerer Online-Anbieter getestet – darunter z.B. auch telekom.de. Blockiert man das Script von Tealium werden die Tracker die eigentlich bei einem Klick auf “Akzeptieren” geladen werden sollten, nicht geladen.
Die Folgen
Lag der Messverlust bei den vorangegangen Herausforderungen jeweils bei 5-20% ist es bei dem Thema DSGVO/ePrivacy ungleich höher. Welcher User stimmt denn schon gerne und freiwillig dem Tracking zu? Aus Gesprächen mit Kollegen und Kolleginnen erfuhr ich von Zustimmungsraten von 20-70% – heißt im Umkehrschluss, dass 30-80% der User ablehnen! Und die hohen Zustimmungsraten kamen nur durch “grenzwertige” Cookie-Layer zustande.
Bei einem Messverlust von 20% kann man noch mit statistischen Hochrechnungen kalkulieren. Bei 80% ist das aber kaum mehr seriös möglich, zumal die Gefahr eines „Consent Bias“ besteht (eine statistische Verzerrung aufgrund nicht repräsentativer Daten). Automatisierte Marketing-Lösungen wie RTB, Custom-Audience, Conversion-Tracking etc. wären zudem direkt betroffen, womit die Performance der Kampagnen quasi automatisch herunterskaliert werden.
Keine Zeit für Pessimismus
Es mag sein, dass mein Artikel hier zu pessimistisch wirkt – das ist er aber gar nicht. Ich sehe die aktuelle Situation als Herausforderung – und ich liebe Herausforderungen! In der Informatik spricht man immer von Problemen; und Probleme müssen gelöst werden. Mal sind sie einfach, mal schwierig. Ohne Zweifel – das Thema Attribution, also die korrekte Zuweisung von Conversions zu den Kanälen, zählt zu den schwierigeren. Die Zeiten in denen man bequem einfach alle möglichen Dritt-Scripte integrierte und alles via Cookies getrackt wurde sind jedoch vorbei.
Heute sind die Anstrengungen größer – aber sie sind lösbar, wenn auch sicherlich mit ein paar Einschränkungen. In meinem letzten Beitrag zu dieser Serie werde ich ein Fazit ziehen und ein paar Handlungsempfehlungen geben.
In the previous articles on the subject of „Flying blind through online attribution„, I primarily dealt with the technical causes. In this article, I would now like to look at the topic from a legal perspective.
October 1, 2019 is the day that many online marketers will remember. It was the day on which the EUGH made a groundbreaking ruling – the so-called „cookie ruling“. Although the proceedings did not directly deal with cookies, but rather with how the defendant (Planet49) obtained the consensus, the ruling has since caused some headaches in the online marketing world. The court made it clear that consent for the setting of cookies must be voluntary and active (opt-in).
Subsequently, there were numerous articles on how such an implementation could take place and what is now permitted and what is not. This discussion is still going on and will certainly drag on for several months, if not years. What is becoming clear, however: The use of third-party tools such as Google Analytics or Facebook is no longer permitted without the user’s consent – see „Data protection authorities position themselves: Use of Google Analytics only with consent“ (German).
What might the approval look like?
Disclaimer: I am not a lawyer and do not provide legal advice or give specific instructions. Rather, the article represents my personal interpretation of the legal situation.
The big question everyone is now asking: What exactly does approval have to look like? Most providers are now trying to obtain consent via so-called content banners. The layers of Usercentrics, Cookiebot, Borlabs and others can now be seen everywhere – no matter which page you visit, you will always be greeted with the message „This page uses cookies – please confirm…“.
But actually the question should be different: How can I obtain as many consents as possible without annoying the user and at the same time not run the risk of violating the provisions of the GDPR. One thing is clear: There is a fine line between online tracking and liability risk (due to missing or incorrect content).
The more legally compliant you create the content banner, the lower the probability that the user will agree. Conversely, this means that you inevitably lose part of your web analysis and attribution. Because without consent, you cannot use third-party services such as Google Analytics, Retargeting & Co. – ergo any rejection has a direct impact on reporting.
How can tracking be done in the future?
Currently, most people solve the problem by keeping their current tracking and marketing setup and simply adding a cookie content banner. What they hope is that the user will be „consent-tired“ and simply agrees.
In my opinion, however, this is too short a view. There is still the risk that the users simply refuse – with the result that the tracking and thus the attribution of conversions is distorted (no consensus = no tracking = no reporting). On the other hand, there is also the risk that at some point AdBlockers or other browser extensions will react. Finally, the content layer represents an excellent single point of failure. Depending on how the content layer is configured, an AdBlocker would only have to block the content layer and no further tracking tools would be loaded. Correctly implemented, the third-party scripts may only be triggered when the user confirms this with Ok. However, if this is blocked, the Ok can never be given.
I have tested this with a couple of bigger online providers – including e.g. telekom.de. If you block Tealium’s script, the trackers that should be loaded when you click „Accept“ will not be loaded.
The consequences
While the measurement loss in the previous challenges was 5-20% in each case, it is much higher for the topic GDPR/ePrivacy. Which user would willingly and voluntarily agree to the tracking? From conversations with colleagues, I found out that the approval rates are between 20-70% – which means that 30-80% of users reject the tracking! And the high approval rates were only achieved by „borderline“ cookie layers.
With a measurement loss of 20%, one can still calculate with statistical extrapolations. At 80%, however, this is hardly possible in a serious manner, especially since there is a risk of „consensus bias“ (a statistical distortion due to non-representative data). Automated marketing solutions such as RTB, custom audiences, conversion tracking, etc. would also be directly affected, with which the performance of the campaigns downscaled automatically.
No time for pessimism
It may be that my article here seems too pessimistic – but it is not. I see the current situation as a challenge – and I love challenges! In computer science, people always talk about problems; and problems have to be solved. Sometimes they are simple, sometimes difficult. No doubt – the topic of attribution, i.e. the correct assignment of conversions to channels, is one of the more difficult ones. But the times when you could easily integrate all kinds of third-party scripts and track everything via cookies are over.
Today the efforts are greater – but they are solvable, although certainly with a few limitations. In my last contribution to this series I will draw a conclusion and give some recommendations for action.
{:}