Digitales Marketing im Zeitalter von DSGVO und ePrivacy
Bisher haben viele Akteure im Online-Marketing in Wildwest-Manier von dem Fehlen einer eindeutigen Regelung zum Setzten von Cookies oder dem Erheben personenbeziehbaren Daten profitiert. Im Bestreben, den Website-Besucher immer genauer zu kennen, wurden unglaubliche Datenmengen erfasst. Das löste eine Vermüllung der digitalen Kanäle mit Ads, Spam, Bots und Cookies aus. 2016 verordnete die Europäische Union deshalb die Datenschutz-Grundverordnung (DSGVO) als Versuch, diesem Treiben Grenzen zu setzen. Unternehmen haben demnach sämtliche Dateien mit personenbezogenen Daten aufzulisten. Aber erst Skandale haben einer breiteren Öffentlichkeit bewusstgemacht, wie sorglos oder sogar kriminell mit Daten oftmals umgegangen wird.
Inhaltsverzeichnis
Vielerorts herrschte nach dem Urteil Katerstimmung, denn Abmahnungen sind jetzt nach Ansicht einiger Gerichte wohl möglich und werden infolge des klaren Urteils zunehmen. Darum sollte sich jeder Website-Betreiber umgehend mit diesem Thema auseinandersetzen und sich als ersten Schritt eine für ihn passende Consent-Management-Plattform (CMP) anschaffen, die das Setzen von Cookies vor einer Nutzereinwilligung unterbindet und Opt-ins sauber dokumentiert.
Die Auswirkungen auf das Online Marketing
Die beliebte Formulierung „Wenn Sie jetzt weitersurfen, stimmen Sie der Verarbeitung Ihrer Daten zu“ (impliziter Consent) ist seit dem jüngsten EuGH-Urteil nicht mehr zulässig. Vor dem Setzen von Cookies ist ein aktives, explizites und informiertes Opt-in nötig.
Marketing mit herkömmlichen, auf Cookies basierenden Methoden wird dadurch stark erschwert. Wer das Urteil umsetzt, muss mehr Dinge als früher im Auge behalten. Einwilligungspflichtige Cookies dürfen vor der Einwilligung nicht mehr gesetzt werden. Die Einwilligung muss laut Gesetz aktiv, informiert, explizit, konkret, freiwillig sein und dokumentiert werden. Auch das Ändern und Löschen von gegebenem Consent muss für den Nutzer so einfach ablaufen wie das Einwilligen.
Commanders Act fand in einer Studie heraus, dass impliziter Consent bisher auf bis zu 95 Prozent Zustimmung kam, während expliziter Consent nur 37 Prozent erreicht. Das bedeutet: Wer auf Cookie Tracking angewiesen ist und jetzt erst auf expliziten Consent umstellt, kann – sofern dies nicht professionell unterstützt wird – einen nicht unerheblichen Teil seiner Onlinemarketing-Daten verlieren.
Die Folgen des EuGH-Urteils sind für Online Marketing Manager denkbar vielfältig:
Einschränkung für das Performance-Marketing
Besonders Performance-Marketing-Verantwortliche sind stark gefordert: Sie sind es, die mit personenbeziehbaren Daten in Echtzeit umgehen müssen. Sie sitzen auf einem riesigen Datenschatz, den sie in Zukunft so nicht mehr nutzen können, wenn sie jetzt nicht gegensteuern. Hinzu kommen die Performance-Algorithmen für beispielsweise das Real-Time-Bidding oder Adwords, die auf Cookies basieren. Damit entfällt bei einem Opt-Out der Nutzer die Datengrundlage für viele Targeting-Strategien oder ist zumindest stark eingeschränkt. Die Anreicherung von eigenen First-Party-Daten mit Third-Party-Informationen (wie Kaufverhalten auf anderen Seiten, oder Interaktionen mit bestimmten Inhalten) wird durch die Consent-Erfordernis im Voraus sehr erschwert. Im Performancemarketing beruhen die meisten Aktionen aber auf genau diesen Daten, was die Verknüpfung unterschiedlicher Datentöpfe erschwert. Alle Betroffenenrechte haben Auswirkung auf die IT-Architektur, wobei Opt-outs (und hier speziell Tracking-Opt-outs) und Löschanfragen zeitkritisch sind. Je kürzer dabei die Reaktionszeit, desto näher müssen die Daten toolseitig auch am Kunden und ich Echtzeit verfügbar und änderbar sein.
Langfristige Speicherung personenbezogener Daten
Es gibt Systeme, die langfristig mit Daten arbeiten, insbesondere in den Bereichen Business Intelligence, Data Warehouse und Machine-Learning. In vielen Fällen ermöglichen große Zeiträume bessere Vergleiche, Scorings und ähnliche Verfahren. Dabei werden historische Daten ausgewertet, um Ableitungen für die Zukunft treffen zu können. Im Marketing ist das zum Beispiel die Interaktion mit Kampagnen und Kanälen, Kaufhistorien, Nutzerinteressen, Kundenstatus oder Cross-Device-Informationen. All das benötigt die Speicherung von personenbeziehbaren Daten über einen längeren Zeitraum.
Besonders Online-Händler, Versicherungen oder Banken sind von solchen Daten in großem Maße abhängig. Firmen, die heute Nutzer-Consent nicht sauber erfassen, kann es passieren, dass sie alle Datensätze, die mit Nutzerdaten zusammenhängen und seit dem Inkrafttreten der DSGVO am 28.5.2018 ohne vorherige Einwilligung gespeichert wurden, zukünftig löschen müssen. Ist es also ratsam, den Nutzerconsent nachträglich für diese Daten einzuholen? Falls die Nutzer die Zustimmung dabei verweigern, kann das auch sehr negative Folgen für das Geschäft haben. Auf der anderen Seite steht das (noch gefühlt überschaubare) aber immer größer werdende Risiko einer DSGVO-Strafe (zwei bis vier Prozent vom gesamten Umsatz des Unternehmens oder 20 Millionen Euro).
Verlust der Datenbasis
Die explizite Consent-Erfordernis wird in vielen Fällen große Löcher in die Tracking-Daten reißen, da nur ein kleiner Prozentsatz der Nutzer bereit ist, ein aktives, explizites Opt-In zu geben. Im Einzelfall kann es sogar dazu kommen, dass mehr als 90 Prozent der Nutzer sich fürs Opt-Out entscheiden. Dann können eventuell nur noch Algorithmen bzw. Hochrechnungen dabei helfen, diese Löcher in den Datensätzen einigermaßen zu stopfen. Für den Marketingmanager bedeutet dies zusätzlichen Aufwand sowie sehr ungenaue Daten. Der Traum vom 360-Grad-Blick auf den Kunden für die personalisierte, individuelle Aussteuerung von Kampagnen und Inhalten sowie auf KI-basierter Kampagnensteuerung ist dann schnell ausgeträumt.
Ohne Consent keine kanalübergreifende Personalisierung
Für die personalisierte Nutzeransprache sind personenbezogene Daten wie Cookies und E-Mail-Adressen in den meisten Fällen essentiell. Das Marketing nutzt dabei unterschiedliche Kommunikationskanäle, um mit einem Kunden in Kontakt zu treten oder zu bleiben. Genau hier liegt ein weiteres Problem: Es geht nicht nur um die Erfassung der Daten, sondern auch um deren Austausch zwischen den verschiedenen Lösungen und entsprechende Abhängigkeiten der Daten und Datenbanken untereinander. Oft werden dabei personenbeziehbare Daten auch auf Servern von Dritten gespeichert. Auch hierfür muss der Marketingmitarbeiter die Zustimmung des Nutzers nachweisbar einholen und Prozesse für die Löschung einführen.
Anti-Tracking-Funktionen
DoNotTrack Funktionen im Browser sowie Adblocker machen den Online-Werbern das Leben zusätzlich schwer. Google will die neue Version seines Chrome-Browsers mit speziellen Funktionen zum Schutz vor Cookies und Trackern ausstatten. Der Browser verfügt bereits über eine Erweiterung, die es den Nutzern ermöglicht, ein Verfallsdatum für ihre personenbezogenen Daten festzulegen.
Apple hat mit der Intelligent Tracking Prevention (ITP) im Safari-Browser eine Anti-Cookie-Strategie umgesetzt, die zielgerichtete Werbung nahezu im Keim erstickt und die Laufzeit von Tracking-Cookies auf 24 Stunden begrenzt.
Viele CMP-Anbieter setzen auf Local Storage, also auf die Möglichkeit, Daten auf dem Rechner des Users zu speichern, aber mit ITP 2.4 wird dies wohl ebenfalls bald unterbunden.
Globales Digitalwerbebudget bei Google und Facebook
Laut einer aktuellen Studie des World Advertising Research Center (WARC) sollen 61,4 Prozent des globalen Digitalwerbebudgets alleine an Google und Facebook gehen. Das lässt Online Marketing Managern nur noch wenige Handlungsalternativen, um Reichweiten anderweitig zu nutzen. Gleichzeitig wendet sich gerade die jüngere Altersgruppe der zwölf- bis 17-Jährigen von Facebook ab, wie das Analyseunternehmen eMarketer bestätigt hat. Diese wird sich im Jahresvergleich um 9,1 Prozent verkleinern, was einen Verlust von rund 170.600 Nutzern bedeutet. Die Weigerung, Facebook zu nutzen, soll sich in dieser Altersgruppe in den kommenden Jahren fortsetzen. Bis zum Jahr 2023, so die Prognose, soll der Anteil dieser Nutzergruppe in Deutschland um mehr als ein Drittel schrumpfen.
Im Umkehrschluss bedeutet das, dass durch das verknappte Inventar bei Google und Facebook sowie durch mehr Bieter auf dieses Inventar bei gleichzeitig weniger Alternativen, die Kosten für das Reichweitenmarketing und Performancemarketing drastisch steigen werden.
Rüsten Sie sich für die Zukunft
- Sauberes Consent Management aufsetzen
Kümmern Sie sich darum, ein sauberes Consent Management aufzusetzen und in Ihre Datenschutzstrategie einzubinden. Eines der Ziele muss sein, die Opt-in-Raten der Nutzer in den Griff zu bekommen. Dies erreichen Sie mithilfe von A/B-Tests der Privacy Banner und verschiedenen Banner-Strategien. Hier geht es darum, die Banner an verschiedene Endgeräte oder Browser anzupassen und so zu optimieren, um möglichst viele Opt-ins auf legalem Weg zu erhalten. Denn nicht compliant zu sein, wird auf Dauer nicht funktionieren.
- Gesamtkonzept für die Datenstrategie entwickeln
Das Gesamtkonzept der Datenstrategie muss alle kundenrelevanten Daten – offline wie auch online – umfassen. Als Nächstes sollten Sie überlegen, wo diese Daten überall im Unternehmen eingesetzt werden. Dann geht es darum, die Information, dass ein Nutzer seine Einwilligung erteilt oder entzogen hat, zu teilen – am besten in Echtzeit über die verschiedenen Lösungen und Kanalgrenzen hinweg.
- Lead-System wählen
Eine der wichtigsten Entscheidungen, die der Marketingmanager treffen muss, um langfristig sicher aufgestellt zu sein, fehlt noch: Welches Lead-System wählt er? Hier verarbeitet er Online- und Offline-Consent in Echtzeit und teilt diesen mit anderen Lösungen.
Ein mögliches Szenario ist das Data Warehouse, wo alle Daten zusammenfließen. Das kann über lange Zeiträume riesige Datenmengen abspeichern und ist bereits mit internen Tools vernetzt. Einen Nachteil hat die Methode allerdings: Das Online-Marketing und der Echtzeitgedanke sind damit oft nicht kompatibel. In vielen Fällen ist eine solche Strategie sehr IT-lastig und erfordert große Budgets und Ressourcen.
Als zweite Option für die Speicherung von Consent kommt das CRM infrage. Hier werden traditionell die Daten von Bestandskunden und deren Consent für das Dialogmarketing gespeichert. Allerdings ist das CRM in der Regel nicht oder nur teilweise an das Performance Marketing angebunden. Vor allem fehlt in den meisten Fällen ein Echtzeit-Rückkopplungskanal mit allen Online-Lösungen. Ein CRM erweist sich oft auch als zu langsam oder schlicht nicht dafür geeignet, um in Echtzeit mit externen Online-Business-Anwendungen, Ad-Servern, Daten-Management- oder Demande-Side-Plattformen interagieren zu können. Es eignet sich daher gut für die Speicherung von Consent-Daten im Offline-Bereich, aber nicht als Hauptspeicher für Consent-Daten über alle Kanäle hinweg.
Eine weitere Option bieten die Customer-Data-Plattformen (CDP) als zentralen Dreh- und Angelpunkt für das Speichern von Consent-Daten und die Verknüpfung der verschiedenen Lösungen mit dieser Consent-Lösung. Im Idealfall beinhaltet die CDP eine integrierte Consent-Lösung, die die Verknüpfung von gegebenem oder entzogenem Consent mit anderen Tools, die der Markt bietet, ermöglicht. Am Ende sollte eine Echtzeit-Lösung stehen, die mit vielen Schnittstellen ausgestattet ist, um Consent in die verschiedenen Programme zu transferieren. Insbesondere sollte die CDP mit dem CRM, Datawarehouse und den Online-Lösungen so verbunden sein, dass es möglich wird, basierend auf gegebenem User Consent die Nutzerinteraktionen und Kanäle optimal zu orchestrieren. Das Ziel besteht darin, diese Prozesse zu automatisieren. CDPs verwalten die User-Einwilligungen als Flag pro Nutzer-Datensatz, sodass bei Anfragen zur Löschung der Daten oder Nutzer-Opt-outs die User aufgefunden und diese Informationen nahezu in Echtzeit an die anderen, angeschlossenen Systeme weitergegeben werden können. Dabei fungiert die CDP als Steuerzentrale. Über eine integrierte CMP kann Onsite-Consent zusätzlich erhoben und mit den anderen Consent-Arten in Echtzeit in Einklang gebracht werden.
- Die Nutzer aufklären
Der Gegensatz zwischen dem Recht auf Privatsphäre und den technologischen Möglichkeiten, den Nutzer auf seinen Wegen im Internet zu tracken, wurde im Laufe der Zeit immer stärker ausgereizt. Doch woher soll der durchschnittliche User, der sich nicht weiter mit digitalen Themen auseinandersetzt, wissen, welche Daten über ihn gesammelt werden und wie er damit umgehen soll? Hinzu kommt der Einsatz von „Gratis“-Lösungen im Tausch gegen Kundendaten und Informationen zum Kundenverhalten. Die EU schützt mit der DSGVO ihre Bürger besser als der einzelne Nationalstaat oder die Firmen. In Zukunft besteht die Aufgabe von Marketingmitarbeitern darin, die Vorteile eines Opt-ins für den Nutzer besser herauszustellen, indem ihm etwa konkrete Beispiele für personalisierte Angebote gezeigt werden. Eine Verknüpfung von Consent mit speziellen Gratifikationen (zum Beispiel ein Gewinnspiel) ist dabei aber gesetzlich nicht erlaubt.
- Agieren wie die Großen
Die Großen machen es vor: Viele Services bei Google & Co. sind nur über eine Registrierung nutzbar. Das heißt: Der Registrierung von Usern über Log-in-Lösungen kommt eine zentrale Bedeutung zu, um datenschutzrechtlich saubere Einwilligungen zu erhalten. Die großen Player wie Facebook, Apple, Google oder Amazon haben dies sehr früh realisiert – ohne Registrierung geht bei Ihnen nur wenig bis gar nichts. Einwilligungen zur Person werden hier durch die Registrierung gespeichert und dokumentiert. Auf dieser Basis gelingt es, detailreiche, datenschutzkonforme Nutzerprofile zu erstellen, die sich wirtschaftlich nutzen lassen.
Fazit: Wenn sich die Gesetzeslage weiter so entwickelt
Wenn sich die Entwicklung weiterhin so fortsetzt, verliert das Online-Marketing in seiner bisherigen Form an Bedeutung. Sollten sich Performancemarketer nicht mit Consent-Management beschäftigen und Nutzerdaten sauber sammeln, verlieren sie den digitalen Zugang zu ihren Kunden. Oder sie werden immer mehr auf die Daten von großen Anbietern wie Google und Facebook zurückgreifen müssen. Dadurch werden die Preise steigen, und zwar mit ungewisseren ROI und weniger Zielgenauigkeit. Unternehmen, die sich hier nicht rechtzeitig richtig aufstellen, werden von der DSGVO zurück in die digitale Steinzeit katapultiert.
Über den Autor: Timo von Focht, Commanders Act
Timo von Focht ist seit Anfang 2015 als Country Manager DACH bei Commanders Act für den Aufbau des Münchener Büros und die deutschsprachigen Kunden zuständig. Zuvor war er Senior Enterprise Account Manager für die strategischen Kunden von Adobe in Deutschland. Weitere Stationen lagen im Bereich Website Optimierung und Analytics. Er beschäftigt sich seit 15 Jahren mit den Themen Data Driven Marketing, Analyse und datenschutzkonforme Datenstrategien und ist Autor von Fachbuch- und Presseartikeln zu diesen Themen. Er steht regelmäßig als Konferenzsprecher oder -Moderator vor Fachpublikum und leitet Datenstrategie-Workshops.