Die Ansage der DSGVO ist klar: Nur wer eine Einwilligung seiner Seitenbesucher einholt, darf Cookies für Marketingzwecke einsetzen. Doch wie gelingt das Management von sogenannten Consents und wie lassen sich die Opt-In-Raten steigern? Diese Fragen beantworteten Hanna Waldenmaier (usercentrics) und Christoph Küpfer (ad agents) in einem Webinar.

Die Datenschutzgrundverordnung (DSGVO) revolutioniert den Umgang mit digitalen Daten und damit auch das Online und Performance Marketing. Remarketing ist zum Beispiel nur möglich, wenn wir unsere Seitenbesucher über entsprechenden Cookies markieren. Für die Nutzung solcher Cookies zu Marketingzwecken braucht es eine Einwilligung durch den User, einen sogenannten Consent. Das Argument des berechtigten Interesses greift für Marketing-Tags in der Regel nicht. Sie gelten neben IP-Adressen und Standortdaten als schützenswerte „personenbezogene Daten“.

Die sieben Kriterien der Einwilligung

Die DSGVO stellt sieben Kriterien, wie eine Einwilligung eingeholt werden muss. Erstens muss eine Website auch ohne Einwilligung besuchbar sein. Die Zustimmung darf also nicht erzwungen sein, sondern muss freiwillig erfolgen. Zudem müssen dem User bei seiner Entscheidung über die Zustimmung oder Ablehnung des Cookie-Einsatzes alle relevanten Informationen zur Verfügung stehen (informiert). Eine allgemeine Zustimmung ist nicht gültig, sie muss für einzelne Technologien bzw. Zwecke granular abgefragt werden. Was bisher von den meisten Seitenbetreibern missachtet wird: Der User muss seine Zustimmung explizit ausdrücken, zum Beispiel durch den Klick auf einen Button und zwar tatsächlich noch bevor ein Tracking erfolgt (vorab). Die Zustimmung muss einfach widerrufbar sein, der User kann seine Meinung jederzeit ändern. Und letztendlich ist der Seitenbetreiber verpflichtet, die Zustimmung durch den User zu dokumentieren (dokumentiert).

Bei Verstößen drohen drastische Konsequenzen

Bis zu vier Prozent des Jahresumsatzes müssen Unternehmen abdrücken, wenn sie Vorgaben der DSGVO missachten, zum Beispiel keine Einwilligung für die Cookie-Nutzung zu Marketingzwecken beim User einholen. Trotz dieser drakonischen Strafe nimmt die Bereitschaft, alle Anforderungen zu erfüllen, nur langsam an Fahrt auf. Eine Untersuchung vom Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) zeigte, dass von 40 bayrischen Top-Unternehmenswebseiten keine einzige der Prüfung standhielt. Untersucht wurden die drei Kriterien der Freiwilligkeit, Informiertheit und Zeitpunkt der Abfrage. Factum war keine einzige der eingeholten Einwilligungen rechtlich wirksam.

Bereits im Januar verhängte die französischen Datenschutzbehörde eine 50-Millionen-Euro-Strafe gegen Google. Der Generalanwalt des Europäischen Gerichtshof urteilte kürzlich, dass die die Opt-Out-Variante für die Cookie-Einwilligung keinesfalls ausreichend sei. Laut diverser Datenschutzbehörden laufen weitere Bußgeldverfahren, die theoretischen Konsequenzen der DSGVO werden zunehmend praktisch und schmerzhaft für Unternehmen, die das Thema Datenschutz nicht ernst nehmen.

Ohne Consent Management keine Ad Performance

Für wen die Einhaltung der Gesetzgebung nicht Motivation genug ist, Einwilligungen legal zu erheben, der könnte in Zukunft von Werbenetzwerken wie Google, Facebook & Co dazu gezwungen werden. Diese informieren bereits in ihren Richtlinien und Leitfäden, dass Einwilligungen rechtskonform eingeholt werden müssen. Über diesen Hinweis hinaus könnten bald praktische Konsequenzen folgen: Werbemittel werden womöglich nur noch ausgespielt, wenn Advertiser die Usereinwilligung nachweisen können. Davon einmal abgesehen droht Unternehmen, welche die DSGVO-Anforderungen missachten und dessen Verstöße in die Öffentlichkeit geraten, ein massiver Vertrauensverlust. Schließlich ist das Thema Datenschutz den Bürgern im digitalen Zeitalter überaus wichtig.

Was leistet eine Consent Management Platform?

Wie können Seitenbetreiber die genannten Anforderungen erfüllen? Das Management und insbesondere die Dokumentation von Consents sind komplex. Im Falle einer Prüfung muss nachgewiesen werden, wer wann zu was eine Einwilligung gegeben hat. Eine smarte Lösung bieten sogenannte Consent Management Plattformem (CMP). Es handelt sich um Softwarelösungen, mit der Sie die Einwilligungen Ihrer Webseitenbesucher einholen und die Daten Ihrer Nutzer DSGVO-konform verwenden können.

Professionelle Anbieter verfügen bereits über eine Datenbank mit mehreren hundert Technologien, in der rechtlich relevante Infos zu einzelnen Tools gesammelt sind. Über Rechtstexte für ihre verwendeten Technologien müssen sich Seitenbetreiber keine Gedanken mehr machen und können diese sogar bequem auf ihre Datenschutzseite migrieren. CMPs bieten Seitenbetreibern die volle Kontrolle über ihre Consent-Strategie, eine flexible Anpassung und Gestaltung, die bei Markt- und Rechtsänderungen eine schnelle Reaktion ermöglichen.

Wie implementiert man eine CMP?

Wissen Sie, welche Marketingtechnologien auf Ihrer Seite verbaut sind? Unsere Erfahrung zeigt, dass diese Frage gar nicht so trivial ist. Wenn sich Technologien über viele Jahre angesammelt haben oder verschiedene Personen eine Seite verwalten, geht die Übersichtlichkeit schnell den Bach runter. Eminent wichtig ist, alle verbauten Technologien zu dokumentieren und die Relevanz der einzelnen Tools zu beurteilen. Die dringende Empfehlung von Analytics-Experte Christoph Küpfer: Nutzen Sie ein Tag Management System! Helfer wie der Google Tag Manager ermöglichen eine flexible und einfache Verwaltung von Marketing-Technologien auf Ihrer Website. Zusätzliche können Tools helfen, die Seiten nach Marketing-Tags scannen und verbaute Technologien identifizieren. Wer seine Marketing-Technologien sauber dokumentiert und über einen Tag-Manager verwaltet, hat beim Setup einer Consent Management Platform wenig Probleme. Gute CMPs sind zu 100 Prozent individualisierbar und können nach Konfiguration des JavaScript Codes entweder über den Tag Manager oder direkt in die Website integriert werden.

Explizit vs. implizit: Welche Form der Zustimmung ist richtig?

Auch wenn eine rechtlich bindende Ansage noch auf sich warten lässt, ist die Tendenz eindeutig: Für die Nutzung von Cookies zu Marketingzwecken braucht es eine explizite Einwilligung durch den User. Die DSGVO führt in Erwägungsgrund 32 klipp und klar aus, dass konkludente Verhaltensweisen wie „Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person“ keine Einwilligungen darstellen. Da sich kaum ein Advertiser oder Publisher an die Anforderungen der expliziten Einwilligung hält, sah sich der IAB kürzlich gezwungen klarzustellen, dass nur eine explizite Einwilligung eine gültige Einwilligung im Rahmen des Transparency and Consent Frameworks (TCF) ist. Bei der expliziten Variante feuern die Marketingpixel erst, wenn der User aktiv auf den Accept-Button geklickt hat.

Trotzdem setzen viele Seitenbetreiber noch auf die implizite Einwilligung, die natürlich eine höhere Zustimmungsrate mit sich bringt. Bei einer impliziten Form der Einwilligung muss der User nicht zwingend auf einen Akzeptieren-Button klicken. Auch andere Signale wie die Interaktion auf der Website werden als Zustimmung gewertet. Gängig ist auch die automatische Einwilligung nach Ablauf eines Timers: Wenn der User bis zum Ablauf nicht widerspricht, wird die Zustimmung eingeloggt und das Consent Banner verschwindet.

Opt-In-Optimization wird immer wichtiger

Wer sich erst einmal damit abgefunden hat, dass er Einwilligungen beim User einholen muss, ist bereit für den nächsten Schritt: Die Opt-In-Optimization. Ansatzpunkte zur Steigerung der Zustimmungsrate gibt es einige. Das Bannerdesign kann zum Beispiel sehr unterschiedlich ausfallen. Gute Consent-Systeme bieten eine individuelle Anpassung, so dass das Cookie-Banner sich ganz natürlich in die Optik der Seite einfügt. Ziel ist es natürlich, den User auf den Akzeptieren-Button aufmerksam zu machen. Seitenbetreiber sollten mit Position und Farbe von Banner und Buttons experimentieren, um die Opt-In-Raten zu maximieren.

Auch im Wording liegt noch viel Potential. Seitenbetreiber müssen den User zwar gut informieren, jedoch muss dies nicht über einen verstaubten Gesetzestext passieren. Die meisten Seiten erklären nicht einmal, wofür Cookies gut sind und was sie dem Nutzer bringen. Die kreativen Potentiale zur Überzeugung der User, ihre Zustimmung abzugeben, sind vielfältig und werden von den meisten Seitenbetreibern nicht ausgereizt.

Advertiser sollten bereit sein, zu reagieren

Die DSGVO stellt Advertiser vor Herausforderungen stellt, das ist klar. Erste Urteile und Strafen sind da und erhöhen den Druck. Es bilden sich Industrie-Standards (IAB) und große Player fangen an, Einwilligungen aktiv bei Werbetreibenden einzufordern. Wer sich also bislang noch nicht mit dem Thema Consent Management befasst hat, sollte dies dringend nachholen. Nicht nur, um sich auf legalem Terrain zu bewegen, sondern auch, um die Ausspielung seiner Werbung auch in Zukunft zu garantieren und das Vertrauen der User zu verdienen.


Christoph Küpfer weiß als ehemaliger SEO-Teamleiter und Geschäftsführer eines Online-Händlers, welche Herausforderungen im E-Commerce zu bewältigen sind. Seit fast einem Jahrzehnt bewegt er sich bereits im Google Analytics Universum, seit vier Jahren ist Christoph Küpfer als Digital Analytics Consultant bei ad agents tätig.

Hanna Waldenmaier hat einen internationalen Background und konnte im Bereich Sales und Customer Success in der SaaS Industrie bei Google und Salesforce wertvolle Erfahrungen sammeln. Als Head of Customer and Partner Success bei der Usercentrics GmbH leitet sie ein eigenes Team und übernimmt zudem selbst die Steuerung wichtiger Accounts. Hanna arbeitet gerne mit ihren Kunden und bringt das Kundenfeedback in die Produktentwicklung bei Usercentrics mit ein. Neben ihrer täglichen Arbeit organisiert sie regelmäßig MeetUps im SaaS B2B Startup Bereich und besucht auch gerne selbst Networking Veranstaltungen.