Am 25. Mai 2018 tritt die EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Alle Unternehmen sind betroffen und müssen die neuen Datenschutzanforderungen umsetzen. Auch besonders das digitale Marketing und die damit verbundene Webanalyse mit ihren diversen Tools sind betroffen. Hier gilt es für Unternehmen entsprechende Vorkehrungen zu treffen, dass Tracking und Data Driven Marketing datenschutzkonform durchgeführt werden.
Einwilligung notwendig beim Tracking und bei der Verwendung von personenbezogenen Daten
Die DSGVO legt fest, dass personenbezogene Daten oder sogenannte Personal Identifiable Information (PII) nur mit Einwilligung der betroffenen Person gespeichert und verarbeitet werden dürfen. Diese Einwilligung muss explizit für einen fest definierten Zweck eingeholt werden. Es darf nicht mehr eine unbestimmte Kollektiv-Einwilligung eingeholt werden.
Unternehmen müssen den Nutzungszweck transparent kommunizieren. Demnach dürfen Analytics- und Marketing-Tags, die auf personenbezogene Daten zurückgreifen, diese speichern und verarbeiten wollen, erst ausgeführt werden, wenn die Einwilligung des Users vorliegt.
Personenbezogene Daten nach der DSGVO sind zum Beispiel:
- Name
- E-Mail-Adresse
- Anschrift
- Geburtsdatum
- IP-Adresse
- Geolocation
- Device ID
- Cookies
- Pseudonymisierte Daten
- u.v.m.
Das Setzen von Cookies und der Einsatz von Tags für eine bessere User Experience und technisch saubere Ausführung einer Website sind weiterhin ohne Einwilligung des Users zulässig. Ebenfalls dürfen die Daten anonymisiert erhoben und gespeichert werden.
Allerdings muss dabei unbedingt gewährleistet sein, dass eine eindeutige Identifizierung des Nutzers, beim Versuch diese anonymisierten Daten wieder zu rekonstruieren, nicht möglich ist. Wenn ihr also ausschließlich anonymisierte, aggregierte Daten in eurem Webanalyse-Tool erfasst und hieraus ausschließlich euren Erkenntnisgewinn zieht, seid ihr safe. Die Realität sieht aber meist anders aus.
Bisher werden User aufgrund der ePrivacy-Richtlinie durch eine Einblendung einer Cookie-Bar darüber informiert, dass Cookies auf dem Rechner bzw. dem Gerät gespeichert werden. Hier spielt es allerdings keine Rolle, ob der User diese Information aktiv bestätigt und sein Einverständnis gibt, indem er klassisch auf einen Button klickt, der mit “OK” oder “Einverstanden” gelabelt ist. Selbst wenn er die Cookie-Bar über den Schließen Button “X” ausblendet oder auf andere Art verlässt, werden die Cookies automatisch gesetzt und ausgeführt.
Dieser Cookie-Hinweis dient derzeit lediglich der Information. Die neue ePrivacy-Verordnung ist noch nicht verabschiedet und gibt die Richtung vor, wie Cookies zukünftig gespeichert werden dürfen. Sie tritt nicht parallel mit der DSGVO in Kraft. Sie ist eine Ergänzung. Die Einwilligung zur Nutzung von personenbezogenen Daten ist eine eigene “Baustelle” und wird innerhalb der DSGVO geregelt.
Ähnlich wie bereits vom E-Mail-Marketing bekannt, muss ab dem DSGVO-Stichtag im Mai beim Tracking und der Nutzung von personenbezogenen Daten des Besuchers eine eindeutige Einwilligung erfolgen. Diese Einwilligung muss nachweisbar gespeichert werden, falls Behörden oder die Verbraucher selbst nachfragen. In Bezug auf Webtracking und Marketing-Tags genügt jedoch ein einfaches Opt-In. Immerhin ein kleiner Lichtblick.
Bevor die gewünschten Tracking- und Marketing-Methoden von Euch auf den User losgelassen werden dürfen, müsst ihr die Einwilligung für einzelne Marketing-Zwecke durch eine Abfrage einholen und speichern.
Wieso verzichte ich nicht einfach auf personenbezogene Daten in der Webanalyse?
Web Analytics ist nur die Spitze des Eisberges. Data Driven Marketing besteht nicht allein aus dem Einsatz und der Interpretation von anonymisierten Webanalyse-Daten. Heutzutage sind wir es gewohnt, im Marketing eine ganze Armada an Marketing-Tools und -Tags einzusetzen, um nicht nur die Customer Journey der User zu speichern und zu analysieren, sondern um sie vor allem positiv zu unseren Gunsten zu beeinflussen.
Der Vorteil von Data Driven Marketing bei der Nutzung von personenbezogenen Daten liegt darin, Kundenerlebnisse hochgradig zu individualisieren und gleichzeitig die Automation der im Hintergrund ablaufenden Marketing-Prozesse voranzutreiben.
Neben der klassischen Webanalyse umfasst das digitale Marketing meist:
- Remarketing / Retargeting
- Onsite/Offsite Personalisierung
- A/B Testing für Conversion- oder UX-Optimierung
- Performance Marketing / PPC Kampagnen
- Social Media Advertising
- Marketing Automation
- Tag Management
- E-Mail Marketing
- u.v.m.
Für all diese Disziplinen benötigen wir meist einen Cookie, Tag oder Tracking-Pixel, damit die dazugehörigen Marketing-Tools ihre Dienste optimal ausführen können. Sie arbeiten meist Hand in Hand und sorgen für einen automatisieren Marketing-Prozess. Hierfür möchte man auf personenbezogene Daten als Unternehmen natürlich zurückgreifen.
Das Ziel ist klar: Individuelle Kundenerlebnisse schaffen. Neben dem Erkenntnisgewinn aus der Aggregierung und Segmentierung von anonymisierten Kundendaten kann mit Hilfe eines Single Customer View ein Profil eines Kunden angelegt werden, um ihm die bestmögliche Information oder das bestmögliche Angebot passend zu seinem aktuellen Bedarf zu liefern. Die Customer Journey wird individualisiert, man kreiert zusätzliche Touchpoints und tritt mit den richtigen Angeboten und Services im richtigen Moment in Erscheinung.
Piwik PRO Consent Manager automatisiert den Tracking-Workflow
Um die Einwilligungen für die jeweiligen Marketing-Methoden und -Tools abzufragen, zu speichern und die genehmigten Analytics- und Marketing-Tags und -Pixel auszuführen, benötigt ihr ein Tool, dass diese Datenschutzanforderungen automatisiert.
Mit dem Piwik PRO Consent Manager könnt ihr diesen Prozess effizient steuern. Er wird in das Marketing-Eco-System integriert und orchestriert alle eingesetzten Tools, um die DSGVO-Compliance für jeden einzelnen erfassten User zu gewährleisten. Mit ihm erstellt ihr auf Grundlage eurer Marketing-Methoden und -Tools passende Formulare für die Einwilligung. Mit ihm legt ihr fest, welche Tracking- und Marketing-Tags user-unabhängig ausgeführt werden und für welche Maßnahmen eine Einwilligung eingeholt werden muss.
So erfasst ihr sowohl allgemeine Analytics-Daten, die euch für all Deine User zur Verfügung stehen, als auch individuelle Analytics-Daten und Berechtigungen mit Personenbezug. Auf dieser Grundlage könnt ihr personalisierte Marketing-Kampagnen aufsetzen.
Neben dem datenschutzkonformen Ablauf aller relevanten Marketing-Aktionen organisiert der Consent Manager auch das Rechtemanagement bezüglich Anfragen von betroffenen Personen.
Rechte betroffener Personen managen
Die DSGVO stärkt die Rechte von Verbrauchern. Im Gesetzestext spricht man immer von den Rechten betroffener Personen (data subject rights). Ihr müsst dafür Sorge tragen, dass die folgenden Rechte von euren Website-Besuchern bzw. Kunden jederzeit ausgeübt werden können:
- Auskunftsrecht (Art. 15)
- Recht auf Berichtigung (Art. 16)
- Recht auf Löschung ( bekannt als das “Recht auf Vergessenwerden”) (Art. 17)
- Recht auf Einschränkung der Verarbeitung (Art. 18)
- Recht auf Datenübertragbarkeit (Art. 20)
- Widerspruchsrecht (Art. 21)
Jedes Unternehmen muss bei einer Anfrage eines Verbrauchers Rede und Antwort stehen und diese gewissenhaft prüfen und entsprechend der Anfrage handeln. Jede betroffene Person hat das Recht, die oben genannten Rechte auszuüben. Jede Kombination ist möglich.
Die DSGVO schreibt vor, dass ihr auf diese Anfragen innerhalb von 4 Wochen reagieren und diese beantworten müsst. In unserem Blog findet ihr eine vollständige Erklärung inklusive Infografik zu den einzelnen Rechten betroffener Personen und welche Ausnahmen es gibt.
Der Piwik PRO Consent Manager deckt das Management dieser Datenschutz-Anfragen ab und vereinfacht die Bearbeitung dieser datenschutzrechtlichen Fälle. Es wird auf der Website der Datenschutzrichtlinie ein Widget hinterlegt, mit dem die User ihre persönliche Anfrage stellen können.
Der Consent Manager erfasst die Anfragen und übermittelt den Status an die verantwortlichen Mitarbeiter, die diese im zulässigen Zeitraum bearbeiten können. Pro User steht eine vollständige Historie bezüglicher aller getätigten Einwilligungen sowie datenschutzrechtlichen Anfragen zur Verfügung.
So behsltet ihr den Überblick. Der Consent Manager wird zur DSGVO-Kommandozentrale für euer digitales Marketing.
Ist Google Analytics DSGVO-konform?
Viele von Euch setzen sicherlich Google Analytics ein. Und ihr wollt wissen, ob Google Analytics auch nach dem 25. Mai 2018 eingesetzt werden kann, ohne Gefahr zu laufen, eine Abmahnung zu kassieren. Die Frage lässt sich für Google Analytics allein kurz beantworten: Grundsätzlich ja. Aber ihr müsst entsprechend Vorkehrungen getroffen haben und Limitierungen in Kauf nehmen.
Google Analytics ist insoweit DSGVO-konform, dass Google die Speicherung von personenbezogenen Daten innerhalb des Analytics-Tools generell untersagt und ihr somit bei ausschließlicher Nutzung von Google Analytics keine Einwilligung von euren Website-Besuchern einholen müsst.
Wenn ihr wie bisher auch schon nach deutschem Datenschutzrecht notwendig, einen Auftragsdatenverarbeitungsvertrag mit Google vereinbart und unterschrieben aus der europäischen Zentrale aus Irland zurück erhalten habt, könnt ihr mit dem Web-Tracking starten.
Die DSGVO vereinfacht diesen Prozess zum Start sogar, da ab sofort keine schriftlichen Verträge mehr vorliegen müssen, sondern diese auch digital geschlossen werden können.
Durch die Implementierung des Google Analytics Standard-Trackingcodes mit gleichzeitiger Anonymsierung der IP-Adresse seid ihr in diesem Moment auf der sicheren Seite. Es werden keine personenbezogenen Daten oder PII erfasst.
Sobald ihr aber beginnt die Webanalyse sinnvoll mit weiteren Tracking-Methoden zu erweitern und ein Tracking-Konzept mit Goal-, Kampagnen, Content- und Event-Tracking sowie Custom Dimensions aufsetzt, wird die Sache schon komplizierter.
Custom Dimensions oder Kampagnen-Tracking können PII enthalten
Wenn ihr Custom Dimensions anlegt und in eurem Kampagnen- oder E-Commerce-Tracking Parameter verwendet, die personenbezogene Daten beinhalten oder einen Bezug dazu herstellen können, wird es kritisch.
Dies passiert sehr schnell, wenn Parameter die Kunden-ID oder die Email-Adresse enthalten und ans Analytics-System übertragen werden. Zum Beispiel bei E-Mail-Marketing-Tools kann das schnell passieren und geschieht manchmal auch durchaus unbewusst.
Gelangen diese Daten ins Analytics-Tool, benötigt ihr hierfür in Hinblick auf die DSGVO ab dem 25. Mai eine Einwilligung des Users.
Doch selbst wenn ihr die Einwilligung von dem User habt, verstößt man trotzdem gegen die Nutzungsbedingungen von Google Analytics. Bei solchen Verstößen behält sich Google vor, den Account zu sperren oder den Vertrag zu beenden. Inwieweit Google dies überwacht und tatsächlich eingreift, steht in den Sternen.
Enthält mein Google Analytics PII-Daten?
Ein Tipp: Markus Baersch, langjähriger Analytics-Experte und Co-Host vom Analytics Podcast Beyond Page Views, hat in einem kurzen Blogeintrag einen kleinen Test auf seiner Analytrix-Projektseite vorgestellt. Hier könnt ihr testen, ob sich auch in euren Analytics-Daten Hinweise auf personenbezogene Daten befinden.
Dies gibt einen ersten Anhaltspunkt, ob bisher alles sauber ohne PII (Personal Identifiable Information) getrackt wurde oder ob ihr tiefer in Euer Google Analytics reinschauen und Anpassungen vornehmen müsst.
Googles EU User Consent Policy veröffentlicht
Bei Google gilt ab dem 25. Mai 2018 eine spezielle EU User Consent Policy, die sich auf alle Google Produkte bezieht. Diese haben sie vor kurzem veröffentlicht, um alle Unternehmen, die Google Produkte einsetzen zu informieren.
If your agreement with Google incorporates this policy, or you otherwise use a Google product that incorporates this policy, you must ensure that certain disclosures are given to, and consents obtained from, end users in the European Economic Area. If you fail to comply with this policy, we may limit or suspend your use of the Google product and/or terminate your agreement.
Google nimmt euch in die Pflicht, die Einwilligung vom Endusern einzuholen und entsprechend nachzuweisen, bevor sie im Google Eco-System gespeichert und verarbeitet werden dürfen. Andernfalls behält man sich das Recht vor, den Google Account entsprechend zu suspendieren, zu sperren oder zu löschen.
Auf diese Weise sichert sich Google rechtlich ab und verlagert das Handling bezüglich der User-Einwilligungen komplett auf die Unternehmen. Ein Privacy-Workaround innerhalb der Google-Produkte ist ab dem 25. Mai somit nicht verfügbar. Ihr müsst eigenständig Vorkehrungen treffen.
Google Analytics nie isoliert betrachten
Da Google Analytics meist nur ein Baustein im Marketing-Tool-Set eines Unternehmens ist, werdet ihr am Einwilligungs-Management nicht vorbei kommen.
Spätestens wenn ihr Remarketing-Kampagnen und das Conversion-Tracking von Google AdWords und DoubleClick einsetzt oder den Google Tag Manager zur Implementierung von weiteren Tracking-Codes und Pixel für andere Marketing-Tools nutzt und darauf auch zukünftig nicht verzichten möchtet, benötigt ihr ein Datenschutz-Tool, dass diese Einwilligungen einsammelt und an die verbundenen Marketing-Systeme überträgt.
Der Consent Manager kann im Zusammenspiel mit dem Piwik PRO Tag Manager den kompletten Consent-Workaround steuern und an das Google-Eco-System übertragen.
PrivacyDay in Köln
Wenn ihr mehr in Sachen DSGVO & Analytics erfahren möchtet, empfehlen wir euch unseren Piwik PRO Blog. Auf unserer Website stellen wir weitere Whitepaper und Ressourcen zum Thema Analytics, Marketing und Datenschutz zur Verfügung.
Als kurzfristigen Event-Tipp zum Thema DSGVO empfehlen wir den Privacy Day – Road to DSGVO in Köln am 26. April. Diese Tageskonferenz wird die DSGVO aus allen Perspektiven beleuchten und 4 Wochen vor Inkrafttreten alle Teilnehmer auf den Endspurt einschwören.
Viel Erfolg bei der Umsetzung der DSGVO.
Über die Autorin: Britta Behrens ist Marketing Manager DACH bei Piwik PRO. Sie liebt und lebt digitales Marketing. Tagtäglich beschäftigt sie sich mit Web Analytics, SEO, SEA, Social Media und Content-Marketing. In Ihrer Freizeit findet man sie im Sommer auf den Golfplätzen rund um Köln. In den Wintermonaten vertreibt sie sich die Zeit mit Netflix & Co und guten Gesellschaftsspielen.
Piwik PRO wurde 2013 von AdTech- und Analytics-Experten gegründet. Piwik PRO bietet eine integrierte Marketing Suite, maßgeschneidert für die Bedürfnisse von Unternehmenskunden und Regierungsorganisationen. Was Piwik PRO einzigartig macht, ist unser Engagement für datenschutzkonforme Analytics und Data Driven Marketing. Unsere Produkte stellen wir sowohl als On-Premise als auch Cloud- Version zur Verfügung. Beide Varianten sind konform mit strikten Datenschutzgesetzen und Sicherheitsvorschriften – insbesondere der DSGVO. Unsere Kunden bleiben jederzeit im vollen Besitz Ihrer Daten.
Die IP-Anonymisierung von Google Analytics kann man gut mit diesem Tool hier testen: https://checkgoogleanalytics.psi.uni-bamberg.de/
Das ging sonst bisher oft nur umständlich über die Console. Das Web-Tool der Uni Bamberg ist da ein sehr guter erster Schritt um die Funktion zu prüfen.