Wenn Tracking und Kampagnen schon laufen, sollte dieser Artikel nicht zum ersten Mal gelesen werden. Maximal zur Versicherung, dass man eh hinter alle Anforderungen ein Hakerl setzen kann. Doch Datenschutz muss immer am Anfang stehen – technisch wie inhaltlich.
Warum ohne Datenschutz nichts läuft
Zurück an den Start: Die Datenschutz-Grundverordnung (DSGVO) gilt seit Mai 2018 in der gesamten Europäischen Union. Wir konnten beim Schreiben selbst nicht glauben, dass das schon so lang her ist. Denn viele Anfragen zeigen auch heute noch, dass die DSGVO nicht immer eingehalten wird. Damit wird der Schutz personenbezogener Daten nicht überall gleich ernst genommen. Und das, obwohl es rechtlich eindeutig ist. Selbst das beste Tracking-Setup bringt nichts, wenn die rechtliche Grundlage nicht eingehalten wurde.
Wichtig: Wir geben keine rechtliche Beratung und ersetzen keine juristische Prüfung. Wir setzen unsere Entwicklungen so auf, dass sie technisch und strukturell den geltenden datenschutzrechtlichen Anforderungen entsprechen.
Das bedeutet die DSGVO im Überblick
- Personenbezogene Daten müssen laut DSGVO geschützt werden
- Bevor personenbezogene Daten gesammelt werden, muss klar sein, ob diese Daten überhaupt gesammelt werden dürfen (Datensparsamkeit)
- Es muss transparent und eindeutig darüber informiert werden, zu welchem Zweck Unternehmen diese Daten sammeln und wofür sie diese nutzen (Information)
- User müssen der Sammlung von Daten aktiv zustimmen (Einwilligung)
- Daten dürfen nur zur angegebenen Zweckerfüllung gespeichert werden (Zweckbindung)
- User haben die Möglichkeit, sich mit einem DSGVO-Auskunftsbegehren über die Quelle und Verwendung ihrer gesammelten Daten zu informieren (Transparenz)
Das klingt abstrakt, betrifft aber jede Website und jeden digitalen Dienst innerhalb der EU. Sobald personenbezogene Daten verarbeitet werden – und dazu gehören im digitalen Kontext bereits IP-Adressen, Cookie-IDs oder gerätebezogene Kennungen – greift die DSGVO. Und damit auch klare Anforderungen an Information, Einwilligung, Zweckbindung und Datensparsamkeit.
Tracking und Werbetools sind nicht böse
Gleichzeitig müssen wir ganz klar sein: eine gute Website oder Applikation nutzt Tracking- und Analysetools. Und auch der Einsatz von Werbetools ist notwendig, um viele Services überhaupt anbieten zu können. Das ist keine Schande und gehört einfach zur digitalen Welt dazu.
Berücksichtigt man Datenschutz von Anfang an und sieht man ihn als Bestandteil der digitalen Infrastruktur, lassen sich all diese Services problemlos miteinander kombinieren. Ich darf also grundsätzlich jeden Klick in meinem Tool und auf meiner Website tracken, solange ich die korrekten Daten dazu sammle und sie richtig verarbeite. Ob es so sinnvoll ist, alles zu tracken, ist eine andere Frage.
Entscheidend für datenschutzkonforme Arbeit im Online-Bereich ist vor allem:
- welche Cookies geladen werden
- welche Tools aktiv sind
- welche Daten verarbeitet werden
- wie lange diese Daten gespeichert bleiben und zu welchem Zweck
- ob Auswertungen belastbar sind
Im Datenschutz ist alles vernetzt
Cookie Banner, Datenschutzerklärung, Tracking und Kampagnen hängen direkt zusammen. Wenn diese Bereiche nicht aufeinander abgestimmt sind, entstehen Lücken. Oder Widersprüche. Oder Zahlen, die nicht erklärbar sind. Und niemand möchte in einem Meeting sagen müssen: „Also theoretisch müsste das stimmen“, während im Hintergrund nichts matcht.
Deshalb denken wir Datenschutz nie isoliert, sondern als Teil des gesamten digitalen Setups. Wie wir Tracking strategisch aufsetzen, erklären wir hier im Detail.
Wer liest schon gern Datenschutzerklärungen?
Der Ort, an dem User über die Verarbeitung ihrer Daten informiert werden, ist die Datenschutzerklärung. Und die ist nicht nur ein rechtlicher Anhang im Footer. Es gibt eine Reihe von Texten, die jede und jeder mal lesen muss (oder solange scrollen muss, bis das digitale Gerät annimmt, man hätte nun tatsächlich alles gelesen). Neben AGBs, Widerrufsbelehrungen, Nutzungsbedingungen und Lizenzbedingungen gehört auch die Datenschutzerklärung dazu.
Eine saubere Datenschutzerklärung informiert transparent darüber:
- welche Tools eingesetzt werden
- welche Daten verarbeitet werden
- zu welchem Zweck
- auf welcher Rechtsgrundlage
- wie lange Daten gespeichert werden
Und leider geht es hier primär um eine rechtlich korrekte Information – was Datenschutzerklärungen dementsprechend schwer lesbar macht und oft am Thema einfache Sprache vorbei geht. Entscheidend ist also nicht, dass der Text gut klingt, sondern möglichst genau informiert. Eine Datenschutzerklärung erfüllt ihren Zweck nur dann, wenn sie das reale Setup widerspiegelt.
Und ganz wichtig: Mustertexte, die nicht zur technischen Umsetzung passen, schaffen weder Transparenz noch Sicherheit. Leider kommt das viel zu oft vor – und bedeutet, dass viele Websites nicht DSGVO-konform sind.
Niemand will trockene Kekse
Jeder kennt den Moment: Man besucht eine Website und plötzlich ploppt ein Overlay auf, das die ganze Seite verdeckt. Nun geht es darum, „Alle Cookies“ zu akzeptieren, oder selbst aktiv zu entscheiden, ob und in welchem Umfang Daten verarbeitet werden dürfen. Selbst, wenn die meisten Menschen aus Faulheit einfach alle Cookies akzeptieren werden (das ist nur eine böse Vermutung – wir haben hierzu keine Studien parat oder gar selbst durchgeführt, aber irgendwie scheint uns die Idee gar nicht so abwegig), ist die Logik hinter Cookie-Bannern und einem sauberen Set-Up extrem wichtig. Auf keinen Fall geht es nur um Farben oder Button-Größe – darum kümmern sich eher unsere UX/UI Designer.
Im Cookie-Banner wird klar über Kategorien und eingesetzte Tools informiert. User bekommen darüber eine echte Auswahl – keine Scheinentscheidung, wie das leider oft der Fall ist. Einwilligung wird korrekt gespeichert und auf dieser Basis technisch gesteuert, was geladen wird und was nicht. Und auch zu einem späteren Zeitpunkt soll möglich bleiben, die Einstellungen zu ändern.
Was im Banner steht, muss also technisch eingehalten werden. Dafür sorgt unser Team in der Entwicklung. Wenn du unsicher bist, ob deine eigene Website DSGVO-konform aufgesetzt ist, schauen wir uns auch gerne bestehende Seiten an, die wir nicht umgesetzt haben.
Technische Zustimmung durch Consent-Tools
Consent-Tools steuern die Zustimmung, Ablehnung oder individuelle Einstellungen der User. So wird sichergestellt, dass alle angebundenen Systeme auch nur die erlaubten Informationen sammeln und verarbeiten – von Analytics über Ads-Anbindungen bis hin zu CRMs und Analysetools. Die Koordination über ein zentrales Consent-Tool ist jedenfalls alternativlos. Möglich ist eine direkte Integration in WordPress mit Consent-Plugin, TYPO3 mit einer integrierten Lösung oder ein zentrales Consent-Tool mit Anbindung an mehrere Systeme. Wichtig ist:
- eine technisch stabile Integration ins CMS
- eindeutige Zuordnung der eingesetzten Tools
- eine zuverlässige Überhabe des Consent-Status an alle Tracking-Systeme
Bei der Wahl des richtigen Consent-Tools für die eigene Website kommt es immer darauf an, welche Technologie man nutzt. Wir nutzen andere Plugins für WordPress und TYPO3, gleichzeitig hängt es auch immer davon ab, ob man lieber Google Analytics oder Matomo verwendet.
Consent-Steuerung über den Google Tag Manager
Setzt man bewusst auf das Google-Ökosystem, bietet sich ein Consent-Management über den Google Tag Manager an. Mit einer klaren technischen Logik im Hintergrund wird über den Google Tag Manager festgelegt, welche Tags erst nach Einwilligung ausgelöst werden, wie unterschiedliche Zustimmungsstufen berücksichtigt werden und wie Analytics-, Ads- und andere Tracking-Tags gesteuert werden.
Zudem wird über den Google Consent Mode gesteuert, wie die Datenweitergabe innerhalb der Google-Dienste wie Analytics und Ads läuft. Das Einwilligungssignal aus dem Cookie Banner wird an den Tag Manager übergeben, von dort an Google-Tags weitergereicht und auf dieser Basis festgelegt, wie sich diese Tags auf der Website verhalten. Der Consent Mode funktioniert jedoch nur dann sauber, wenn er zur Logik des Cookie Banners passt und korrekt in das gesamte Tracking-Setup eingebunden ist.
Wie passen Datenschutz und Tracking zusammen?
Ziemlich gut, wenn alle Punkte erfüllt wurden. Datenschutz ist eine wesentliche Grundlage für erfolgreiches Tracking. Er zwingt dazu, sauber zu definieren, was und warum gemessen wird.
Durch ein datenschutzkonformes Setup wird sichergestellt, dass nur Daten erhoben werden, für die eine Einwilligung vorliegt, dass Conversions korrekt und nachvollziehbar gezählt werden und dass Kampagnen auf einer konsistenten Datengrundlage optimiert werden.
Die rechtskonforme Einhaltung hat einen weiteren Nebeneffekt: Unternehmen und User haben eine eindeutige Basis, auf der ihr Datenaustausch erfolgt. Es braucht zwar ein bisschen Anstrengung zu Beginn – doch am Ende steht ein Win-Win (sorry not sorry).
Was wir anbieten
Diese Services bekommst du von uns im Bereich Datenschutz und DSGVO. Wir prüfen kurz und knackig:
- passt die Datenschutzerklärung zum realen Setup?
- ist der Cookie Banner logisch aufgebaut?
- werden Einwilligungen technisch korrekt umgesetzt?
- ist der Consent sauber an Analytics und Ads angebunden?
- stimmen die gemessenen Conversions mit der Einwilligungslogik überein?
Du willst rechtssichere Banner und ein Setup, das technisch sauber, nachvollziehbar und konsistent ist? Dann schauen wir uns dein Consent- und Tracking-Setup gemeinsam an.
