Jeder Webshop ist heutzutage abhängig von Retargeting, Tracking und Profiling und setzt hierfür Cookies und ähnliche Technologien ein. Hierfür ist laut Datenschutzbehörden und den AGB von Google, Facebook und Co. eine Einwilligung im Sinne der DSGVO nötig.

Die Herausforderung: die DSGVO stellt viele verschiedene Anforderungen an eine rechtskonforme Einwilligung. Das bedeutet, mit einem herkömmlichen “OK-Cookie-Banner” ist es nicht mehr getan. Um ein professionelles Consent Management Tool führt seit der DSGVO und den damit einhergehenden vertraglichen Anforderungen von Anbietern wie Google kein Weg mehr vorbei.

Allerdings ist die Auswahl eines solchen Tools für einen Webshopbetreiber nicht einfach. Viele rechtliche, technische und individuelle Anforderungen müssen langfristig von dem Tool erfüllt werden, um Konformität zu garantieren und gleichzeitig den Umsatz durch Performance Marketing zu sichern.

Die Lösung: eine Consent Management Platform (CMP)

Eine sogenannte Consent Management Platform, kurz CMP, hilft dem Webseitenbetreiber, die Einwilligung des Besuchers einzuholen, zu verwalten und zu dokumentieren. CMPs können außerdem die Einwilligung in programmatischer Form, etwa an Betreiber wie Google, Criteo, Adobe, etc. weitergeben. Gute CMPs, die sich für Shopbetreiber eignen, bieten außerdem Features, mit der sich die Einwilligungsquote langfristig optimieren lässt.

Mittlerweile gibt es mehrere spezielle CMP Anbieter, doch nicht jede CMP erfüllt auch alle rechtlichen und technischen Anforderungen, die für Webshopbetreiber relevant sind. Bei der Auswahl einer CMP Lösung sollten Sie daher als Shopbetreiber auf die folgenden 10 Kriterien besonders Wert legen:

1 Unterstützung von Plugins

Nach dem kürzlich erschienen Urteil gegen die Peek & Cloppenburg Tochter Fashion ID, ist klar, es fallen nicht nur Cookies im Rahmen der DSGVO unter die Einwilligungspflicht. Betroffen sind auch andere Web-Technologien wie Plugins und integrierte Inhalte z.B. eingebettete YouTube-Videos, Google Maps und Social Media Like oder Sharing Buttons.

Die CMP sollte daher in der Lage sein, auch diese Technologien geknüpft an die Einwilligung auszuspielen oder zu blocken. Die allermeisten CMPs sind ausschließlich für das Cookie Management entwickelt worden, sodass hier genau geprüft werden muss. Falls der CMP-Anbieter keine Informationen hierzu bereitstellt, heißt das wahrscheinlich, dass er dies nicht unterstützt, daher lieber nochmal explizit nachfragen, bevor man sich für ein Tool entscheidet.

2 Rechtliche Flexibilität: Einwilligung vs. berechtigtes Interesse und explizite vs. implizite Einwilligung

Es ist äußerst wichtig, die Regeln für das Laden von Cookies und Plugins über die CMP kontrollieren und ändern zu können. In einigen Fällen kann es sinnvoll sein, dass ein Webshop "softe" Einstellungen implementiert - z.B. um bestimmte Technologien wie reine Web-Analyse-Tags ohne Einwilligung zu laden oder auch implizite Einwilligungen durch Scrollen oder einen Countdown einzuholen.

Wenn zukünftig eine Datenschutzbehörde oder ein Gericht, das jedoch verbietet, muss ein schneller Wechsel zu einer Einstellung, bei der keinerlei Cookies vor der expliziten Einwilligung geladen werden, möglich sein.

Damit einhergeht, dass der Webseitenbetreiber bestimmen können muss, was die Rechtsgrundlage für einzelne Cookies ist, also Einwilligung oder berechtigtes Interesse. Es gibt zwar eindeutige rechtliche Vorgaben durch die Datenschutzbehörden, aber die Entscheidung, ob man sich der Meinung der Behörden anschließt, obliegt am Ende dem Shopbetreiber.

3 Keine Pauschaleinwilligung, sondern Granularität

Die Einwilligung muss konkret sein. Warum? Die DSGVO lässt eine Pauschaleinwilligung nicht gelten. Das bedeutet, ich kann nicht rechtswirksam mein generelles “OK zu Cookies” geben. → Ein weiterer Grund, warum der herkömmliche Cookie-Banner nicht mehr funktioniert.

Vielmehr stellt sich die DSGVO vor, dass der Nutzer die einzelnen Betreiber (z.B. Google, Facebook, Criteo, etc.) und Zwecke (z.B. Retargeting, Tracking, Profiling, etc.), die mit den Technologien verfolgt werden, angezeigt bekommen muss, um diesen granular und konkret zuzustimmen oder eben abzulehnen. Auf dem Webshop muss die Einwilligung also zu den jeweils einzelnen Technologien erfolgen.

Im Übrigen sollte die Einwilligung nur für Technologien eingeholt werden, die tatsächlich auf der Webseite verwendet werden.

4 Kompatibilität mit dem IAB TCF 2.0 Standard (u.a. Google Standard)

Das IAB Transparency and Consent Framework (TCF) ist der erste Industriestandard, der ein technisches Format vorschlägt, wie die Einwilligung programmatisch von Webseite zu Drittanbieter übertragen werden kann. Teil des Standards sind bereits alle großen AdTech Anbieter wie Criteo, Adobe und Outbrain. Google hat zugesichert, dem Standard bis März 2020 beizutreten und auch von allen Werbekunden einzufordern. Das bedeutet, wer Google Produkte weiterhin auf seinem Shop einsetzen will, sollte schleunigst eine IAB-zertifizierte CMP implementieren.

Die ausgewählte CMP muss daher unbedingt den IAB-Standard unterstützen und explizit IAB-zertifiziert sein. Seit August 2019 gibt es außerdem eine Aktualisierung des Standards, sog. TCF 2.0. Die Anforderungen für IAB-konforme CMPs haben sich damit drastisch erhöht, sodass nicht jedes Cookie-Tool, vor allem keine simplen WordPress Plugins hier mitziehen können. Falls keine Informationen hierzu zu finden sind, sollte unbedingt nochmal explizit beim CMP-Anbieter nachgefragt werden, ob TCF 2.0 unterstützt wird.

5 Individualisierung von Design und UI/UX

Besonders wichtig ist, dass die CMP es erlaubt, das Design des Frontends zu individualisieren. Denn: die Shop-Besucher sollen sich nicht durch Cookie-Nachrichten irritiert und verärgert fühlen. Das würde jegliche Bemühungen für eine schöne Corporate Identity und eine ansprechende Benutzeroberfläche zerstören.

Daher sollte es möglich sein, eigenes CSS zu hinterlegen, um etwa Schriften und Button-Rundungen auf den CMP Elementen einheitlich genau so darzustellen wie auch auf dem Rest des Webshops.

Außerdem sollte die CMP verschiedene User Journeys bieten. Manche Shopbetreiber entscheiden sich eventuell für eine sogenannte “Privacy Wall”, also ein Pop-up, was über den ganzen Bildschirm geht und den Nutzer zu einer Entscheidung treiben soll. Andere Shopbetreiber gehen weniger aggressiv vor und blenden eine etwas ausführlichere Bannerlösung oben oder unten am Bildschirm ein, die sich dann weiter aufklappen lässt.

Man kann vorab nicht sagen, welche Konfiguration beim einzelnen Webshop zu einer höheren Einwilligungsquote führt. Daher hilft nur ausprobieren, was durch die CMP im Idealfall mit wenigen Klicks möglich ist.

6 Dokumentation und Speicherung

Die DSGVO verlangt vom Webseitenbetreiber, die Einwilligung zu dokumentieren und nachweisen zu können. Daher sollten die Einwilligungen durch eine CMP unbedingt serverseitig und nicht nur auf dem Endgerät des Nutzers abgelegt werden wie es bei herkömmlichen Cookie-Bannern häufig der Fall ist.

CMPs sind in der Regel Clouddienste und wenn möglich, sollten die Einwilligungsdaten auf Servern in der EU gespeichert werden. Die CMP sollte auch in der Lage sein, das Hosting von on-premise, also auf Servern des Kunden anzubieten. Einige Webshopbetreiber wollen nämlich aufgrund ihrer Wichtigkeit die volle Kontrolle über die Einwilligungsdaten haben.

7 Ausführliche Rechtstexte und Integration in die Datenschutzerklärung

Der Shopbetreiber muss unabhängig von der Rechtsgrundlage (Einwilligung oder berechtigtes Interesse) seiner Informationspflicht nachkommen. Das bedeutet, er muss alle relevanten Informationen zur Datenerhebung und -verarbeitung durch Cookies und Plugins in seiner Datenschutzerklärung zur Verfügung stellen.

Wenn die Einwilligung nötig ist, müssen die Informationen dem Shop-Besucher außerdem zum Zeitpunkt der Einwilligung vorliegen, also quasi gleich wenn er zum ersten Mal die Webseite aufruft. Im Idealfall stellt die CMP eine Datenbank mit all diesen Texten und Informationen für sämtliche Cookies und Plugins, die auch über die CMP gesteuert werden. Der User kann sich dann über die Schaltfläche der CMP weiter informieren - ohne dabei bereits die Webseite zu benutzen.

Eine eigene Textdatenbank ist außerdem wichtig, da diese Informationen von der CMP auch für den Dokumentationsnachweis der Einwilligung versioniert und abgelegt werden sollten.

Diese Rechtstexte müssen sich sodann mit dem decken, was in der Datenschutzerklärung über eingesetzte Cookies und Plugins aufgeführt wird. Daher ist es sinnvoll, die Texte der CMP (automatisch) in die allgemeine Datenschutzerklärung integrieren zu können, z.B. durch einen iFrame oder Embed.

8 Features für Opt-in Reporting und Optimierung wie A/B Testing und Contextual Opt-in

Nicht jeder Nutzer wird seine Einwilligung geben, wenn er vor die freiwillige Entscheidung gestellt wird. Dadurch wird die Einwilligungsquote bzw. die Opt-in Rate zur neuen KPI für jeden Shopbetreiber.

Daher sollte die CMP unbedingt eine Dashboard Übersicht über die Opt-in Rate in Echtzeit bieten.

Um Die Opt-in Rate nach Einbau der CMP stetig zu optimieren, ist auch ein Feature wie “Contextual Opt-in” sehr hilfreich. Das heißt, dass man die Einwilligung des Nutzers nicht nur direkt am Anfang über den Banner abfragt, sondern auch an weiteren Stellen während er die Seite besucht.

Die Opt-in Rate kann auch für Rückschlüsse auf die eigene Wahrnehmung der Shop Brand in Bezug auf Transparenz und Trust beim Nutzer dienen. Denn: je höher das Vertrauen der Shop-Besucher in die Brand, desto höher die Opt-in Rate.

9 Einbindung in App und weitere Systemlandschaft

Apps: Auch durch Shopping Apps werden relevante Daten gesammelt und Technologien zur Analyse oder Personalisierung des Shopping-Erlebnisses eingesetzt. Da hierfür auch die Einwilligung nötig sein kann, ist es wichtig, dass die CMP sich auch in Apps einbinden lässt. Dies lässt sich zum Beispiel für Native Apps über ein sogenanntes Mobile SDK abwickeln, was nur wenige CMPs anbieten. Wenn also das mobile Shoppingerlebnis über die App besonders wichtig ist, sollte der Shopbetreiber speziell nach einer Mobile CMP Ausschau halten.

Newsletter, CRM, etc.: Die CMP sollte der Shopbetreiber auch für andere Tools, die mit der Einwilligung zusammenhängen, nutzen können. So kann vom eingeloggten Shop-Besucher auch die Einwilligung zu Newsletter eingeholt werden oder seine Einwilligung zu Personalisierung kann im CRM mit den Bestelldaten verheiratet werden. Daher sollte die CMP unbedingt eine vielseitige Schnittstelle (API) und eine technische Dokumentation hierzu bieten, damit die eigene IT-Abteilung die CMP mit den eigenen Systemen verknüpfen kann.

10 Consent Sharing mit anderen Domains

Die CMP sollte auch sogenanntes Consent Sharing anbieten, das heißt, dass sich mehrere Shopdomains eine Einwilligung desselben Shop-Besuchers teilen können. Wenn der Shop-Besucher auf Shop 1 bereits eingewilligt hat, wird er dann auf Shop 2 nicht erneut gefragt. Das macht vor allem Sinn, wenn die verschiedenen Shopdomains derselben Unternehmensgruppe angehören.

Theoretisch könnten sich auch Shops zu einem Consent Netzwerk zusammenschließen und sich die Einwilligungen über eine CMP teilen. Sofern die Shop-Besucher darüber hinreichend informiert werden, spricht rechtlich nichts dagegen und würde viele neue Möglichkeiten für alle beteiligten Shops bieten.

Fazit: Consent Management ist ein Wettbewerbsvorteil

Zukünftig wird die Einwilligung zur Nebenbedingung oder sogar Voraussetzung für Performance Marketing. Somit ist eine CMP ein Must-Have für jeden Shopbetreiber.

Wer sich frühzeitig um ein professionelles Consent Management kümmert, hat einen Wettbewerbsvorteil gegenüber allen Shops, die noch keine CMP eingebaut haben, spätestens sobald Google Ernst macht.

Doch mit dem Einbau ist es nicht getan. Die kontinuierliche Optimierung der Opt-in Rate entscheidet darüber, wie viele Daten ich als Shopbetreiber von meinen Besuchern bekomme.

Die Chance jetzt an Vorsprung zu gewinnen, ist da. Machen Sie Gebrauch davon und entscheiden Sie sich noch heute für eine CMP.