Datensammlung maximieren
AdTech-Anbieter sammeln große Datenmengen. Sie bieten Werbetreibenden eine attraktive Möglichkeit, bestimmte Personengruppen anzusprechen. Das Maximieren dieser Datensammlung ohne Rücksicht auf die Rechte und Freiheiten betroffener Personen machte die aggressivsten AdTech-Player zu profitablen Konzernen.
Einige Analytics Plattformen, wie Google Analytics, sind Teil eines solchen AdTech Ökosystems. Ihre Tracker wurden erstellt, um die Datensammlung zu steigern, oft auf Kosten des Datenschutzes. Das heißt aber nicht, dass sie überhaupt nicht datenschutzkonform handeln können. Es heißt nur, dass es einige Hürden zu bewältigen gilt, bevor sich die Plattformen dem Datenschutz unterordnen.
Wir haben extensiv über solche Praktiken in unserem Blog berichtet:
Marketer und Analysten suchen vermehrt nach dem First-Party-Ansatz. Erst recht seitdem Gesetze eingeführt wurden, wie die Datenschutz-Grundverordnung (DSGVO) und die Blockade von Third-Party Identifikatoren, wie etwa der IDFA für iOS.
Also, was ist eigentlich der First-Party-Ansatz?
Beachten Sie, dass verschiedene Trackingmethoden Individuen oder Gruppen von Individuen erkennen können:
Artikel 5. Paragraf 3 der ePrivacy Richtlinie 2002/58/EC
[…] die Benutzung elektronischer Kommunikationsnetze für die Speicherung von Informationen oder den Zugriff auf Informationen, die im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur unter der Bedingung gestattet ist, dass der betreffende Teilnehmer oder Nutzer […] klare und umfassende Informationen insbesondere über die Zwecke der Verarbeitung erhält und durch den für diese Verarbeitung Verantwortlichen auf das Recht hingewiesen wird, diese Verarbeitung zu verweigern.
Bevor Sie die Verhaltensdaten betroffener Personen sammeln und auswerten, benötigen Sie fast immer eine Einwilligung. Nicht nur die DSGVO oder ePrivacy Richtlinie, sondern auch viele andere Regulierungen der ganzen Welt verlangen einen Consent, sobald personenbezogene Daten im Spiel sind. Daneben sollten Sie noch weitere Verpflichtungen beim datenschutzfreundlichen Sammeln von Daten berücksichtigen:
- Kontrollieren Sie Ihre Daten zu 100 %, vor allem wenn es sich um personenbezogene Daten handelt. Sie müssen in der Lage sein, betroffenen Personen zu sagen, welche Daten Sie sammeln und wo Sie sie speichern. Vermeiden Sie im Falle von Cloud-Lösungen Länder, in denen lokale Vorschriften nicht das gleiche Niveau an Datenschutz bieten wie die DSGVO. Daher prüfen Sie Cloud-Anbieter und deren Serverstandorte genau.
- Leiten Sie die Daten Ihrer Kunden nicht an Dritte weiter. Nutzen Sie die Daten ausschließlich für jene Zwecke, die Sie bei der Einwilligung angeben. Dies gilt auch für Ihren Datenverarbeiter.
- Versenden Sie die Daten nicht außerhalb der geografischen Gerichtsbarkeit, in denen Sie die Daten erheben. Sollte es sich nicht vermeiden lassen, stellen Sie sicher, dass Sie die Einwilligung der betroffenen Personen erhalten und der Zielort des Transfers ordnungsgemäße Datenschutzrichtlinien führt.
- Stellen Sie sicher, dass die Daten aus einer direkten Interaktion zwischen Ihrer Website oder Ihrem Produkt und der betroffenen Person stammen.
- Schränken Sie die Rechte und Freiheiten betroffener Personen nicht ein – Individuen sollten imstande sein, ihre Einwilligung spezifischen Zwecken zu geben und ihre Entscheidung jederzeit einfach ändern zu können.
- Sie als Datenverantwortlicher sollten betroffenen Personen eine transparente Datenschutzerklärung bieten, sodass sie immer auf dem Laufenden sind. Diese ist ein wichtiges Hilfsmittel, die Richtlinien der DSGVO, sowie anderer Regelungen einzuhalten.
Dem Management von Einwilligungen und Datenschutzanfragen fällt immer mehr Gewicht zu. Sie haben als Unternehmen zwei Möglichkeiten. Entweder verbinden Sie einen Standalone Consent Manager mit Ihrem MarTech-Stack, oder Sie nutzen eine Analytics Plattform mit integriertem Consent Manager.
Ein Blick auf die Anbieter
Die meisten Plattformen würden einen externen Consent Manager benötigen, um dem oben beschriebenen Prozess gerecht zu werden. Diese Art von Integration zieht einige Bürden mit sich. Um die Compliance sicherzustellen, ist eine Menge erforderlich.
Der Consent Manager leitet Informationen über die Einwilligung von betroffenen Personen an die Analytics Plattform und den Tag Manager weiter. Sollte hier der Informationsfluss unterbrochen werden, oder gar nicht erst stattfinden, könnte eines von zwei Situationen vorkommen. Daten werden ohne Einwilligung gesammelt oder die Einwilligung wird nachgetragen, aber personenbezogene, also wertvolle Daten werden nicht gesammelt.
Es empfiehlt sich, ein Analytics Stack und Consent Manager an Ihr Business Modell anzupassen. Dies könnte dazu führen, dass Sie sich für einen Standalone Consent Manager entscheiden. Folglich versichern Sie sich, dass Sie die Ressourcen und die Expertise haben, diesen richtig zu integrieren.
Einige Analytics Anbieter bieten einen einfachen Consent Banner an, der im Tag Manager als Zwischenlösung eingebunden ist. Beachten Sie, dass ein einfacher Consent Banner oft nicht ausreicht, um die meisten Datenschutzverordnungen zu erfüllen. Die rechtlichen Richtlinien erfüllen Sie erst, wenn Sie eine klare Auswahl des Consents anbieten und den betroffenen Personen das Ablehnen vereinfachen, daher keine Buttons im Menü verstecken.
|
Piwik PRO |
Google Analytics (3 & 4) |
Matomo |
Adobe Analytics |
Countly |
Benötigt keinen externen Consent Manager, um datenschutzkonform zu sein. |
|
|
|
|
|
Datenresidenz |
Spezifische Länder, Regionen oder Datencenter (der Private Cloud aus 60 Azure Regionen, 5 Standorten der Public Cloud) und On-Premises |
Keine spezifische Datenresidenz |
Spezifisches Land (limitiert auf Deutschland) oder On-Premises |
Spezifisches Land, Region oder Datencenter (limitiert auf 9 Regionen) |
Spezifisches Land (limitiert auf 10 Regionen) oder On-Premises |
Piwik PRO bietet einen integrierten Consent Manager an. Er arbeitet nahtlos mit den Modulen Analytics, Tag Manager und CDP zusammen. Des Weiteren automatisiert er das Sammeln von Consents und das Meiste des Consent Management Prozesses. Eine API teilt Ihre gesammelten Consents mit dem vorhandenen Analytics-Stack. Zusätzlich arbeitet der Consent Manager in einem Zero-Cookie-Load-Modus. Dieser verhindert, dass Tracking Tags und Pixel gelöst werden, bevor eine Einwilligung erhalten wurde.
Als Datenverarbeiter teilt Piwik Pro Ihre gesammelten Daten nicht. Ihre Organisation kontrolliert zu 100 % die Daten und was mit ihnen passiert. Sie wählen zwischen Serverstandorten der Cloud oder Private Cloud auf der ganzen Welt sowie dem On-Premises Hosting.
Beide Versionen von Google Analytics macht die Sache etwas schwieriger:
- Sie haben keine Kontrolle darüber, wo die Daten gespeichert oder wohin sie gesendet werden.
- Die Daten, die Sie sammeln, werden in anderen Google Produkten und Services genutzt, auf die jeder Zugriff hat.
- Die meisten gesammelten Daten enden auf amerikanischen Servern, auch wenn die Daten in der EU oder außerhalb der USA gesammelt worden sind. Das hinfällige Privacy Shield bedeutet in Europa, dass diese Transfers ein erhöhtes Risiko mit sich bringen.
Matomo, auf der anderen Seite, versendet die Daten europäischer User nicht nach Übersee und lässt Sie Ihre Daten auf Ihren eigenen Servern speichern. Trotzdem, der Consent Banner, der in Matomos Tag Manager eingebunden ist, reicht nicht aus, sobald Sie persönliche Daten sammeln möchten. Somit bleiben Ihnen zwei Möglichkeiten. Entweder deaktivieren Sie Cookies und riskieren nur pseudonymisierte Daten (Fingerprinting) in Ihrem Datencenter zu speichern, oder Sie binden einen Standalone Consent Manager ein, der die Einwilligungen sammelt und verwaltet. In einigen Fällen müssen Datenschutzanfragen manuell gehandhabt werden, was allein eine mühsame Aufgabe sein kann.
Aber schauen wir uns jetzt die Tracking-Methoden selbst an.