Die vier häufigsten Fallstricke bei meinen Audits zur Einhaltung des Datenschutzes

Einerseits sind laut einer Studie von KPMG 40 % der Verbraucher skeptisch, ob Unternehmen in der Lage sind, ihre persönlichen Daten und ihre Privatsphäre online zu schützen. Andererseits zeigen Umfragen von BCG, Google und IAB, dass 75 % der Befragten nur Werbung sehen wollen, die für ihre Präferenzen relevant ist. Aus diesem Grund ist es wichtig, dass Lösungen vorhanden sind, die diese beiden vorrangigen Bedürfnisse erfüllen: Datenschutz und relevante Inhalte.



Als leitender Experte für digitale Analysen und Teamleiter habe ich im Laufe der Jahre mehrere Datenschutz-Audits durchgeführt und dabei einige Fallstricke identifiziert, die meiner Meinung nach häufiger vorkommen als andere und den Datenschutz gefährden können. Keine Angst, dieser Artikel deckt diese tückischen Fallen auf! Bereiten Sie sich darauf vor, die vier wichtigsten Dinge zu erfahren, die Sie bei der Konfiguration von Datenschutzeinstellungen in Ihrer digitalen Analyseeinrichtung vermeiden sollten.

Die Versuchung, alles zu verfolgen

Ach ja, die Verlockung des "Tracking Everything", die uns unweigerlich in den Sinn kommt: "Es gibt keine Priorität und keinen Geschäftsgrund, wir wollen alles verfolgen" Aber halt, liebe Datenabenteurer, lassen Sie uns nicht das hehre Prinzip des "eingebauten Datenschutzes" aufgeben Die Abkehr von diesem Grundsatz birgt große Gefahren für unsere ethischen Datenpraktiken.



Der Versuchung, alles zu verfolgen, unterliegen häufig Teams mit großen Budgets, die mehrere Analysetools verwenden, um dieselben Datenpunkte zu verfolgen, und die meiste Zeit damit verbringen, sich darüber zu streiten, welches Tool die richtigen Zahlen erfasst. Sie wollen in der Lage sein, jede Frage zu beantworten, obwohl sie sich eigentlich darauf konzentrieren sollten, die richtigen Fragen zu stellen.

Der Grund dafür ist, dass der Tracking-Alles-Ansatz die Privatsphäre gefährdet: Tatsächlich steht diese Aussage im direkten Widerspruch zu den Grundsätzen des "Privacy by Design". Sie bringt die Marke in die Lage, Informationen zu sammeln, die sie nicht braucht, und verletzt damit die Privatsphäre des Endnutzers. Im Grunde würden Sie viel Geld ausgeben und riskieren, eine hohe Geldstrafe zu zahlen.

Abgesehen von den Datenschutzbedenken ist dieses Verhalten auch in anderer Hinsicht kostspielig. Es offenbart eine gewisse Unausgereiftheit der Daten, die zu Schwierigkeiten bei der Ordnung und Kosteneffizienz Ihrer Datensätze führen kann. Dies kann dazu führen, dass die Datenkonsumenten Ihrem Analyseprodukt gegenüber skeptisch werden.

Diese Prioritätensetzung kann durch eine gut definierte Messstrategie erreicht werden. Um diese Strategie festzulegen, sollten Sie sich überlegen, welche Signale Sie in Ihrem Datensatz am ehesten erwarten würden, wenn die Nutzer engagiert sind (oder auch nicht).



Als ersten Schritt empfehle ich, einen Workshop mit allen Beteiligten zu veranstalten, um Prioritäten und Nutzen zu definieren. Dann - und nur dann - sollten Sie mit der Datenerhebung beginnen. So können Sie eine zuverlässige und vertrauenswürdige Quelle der Wahrheit entwickeln, die alle relevanten Interessengruppen einschließt.

Sie können im Laufe Ihrer Analyse immer wieder neue Datenpunkte hinzufügen und neue intelligente Fragen stellen, aber Daten nur um ihrer selbst willen zu erfassen, ist falsch. Ihre Stakeholder werden Ihnen dankbar sein. Menschen, die Ameisen töten müssen, sollten keine Bazookas verkauft werden. Helfen Sie ihnen, in dem Tempo zu wachsen, für das sie bereit sind.

Implizite Zustimmung als Standard

Ich sehe häufig, dass die implizite Einwilligung als Standardeinstellung festgelegt ist und andere Vorschriften wie GDPR auf regionaler Basis angewendet werden. Wenn die Geolokalisierung Ihrer CMP aus irgendeinem Grund blockiert ist (ja, ich habe das schon erlebt), besteht die Gefahr, dass die implizite Zustimmung auf Länder angewendet wird, in denen stattdessen strengere Vorschriften gelten sollten.

Wenn das Unternehmen hauptsächlich in einer Region tätig ist, in der eine implizite Einwilligung zulässig ist, kann es für den DSB sinnvoll sein, das Risiko zu akzeptieren und es dabei zu belassen. Wenn Sie sich jedoch für den Schutz der Privatsphäre einsetzen wollen, sollte die Standardeinstellung die sicherste verfügbare Option sein, d. h. die strengeren Vorschriften sollten standardmäßig angewandt werden, während die milderen Vorschriften auf Länderbasis angewendet werden sollten. Bedenken Sie, dass die meisten Regionen, in denen es keine Vorschriften gibt, deren Durchsetzung prüfen, und dass es nie zu früh ist, Ihren Nutzern zu zeigen, dass sie Ihnen am Herzen liegen.

Die regionalen Tag-Auslöser

Ein weit verbreiteter Irrglaube ist, dass Marketing-Tags keine Blockierungsauslöser benötigen, wenn sie nur auf regionsspezifischen Abschnitten von Websites ausgelöst werden.

Da diese Art der Bereitstellung "tag-spezifisch" ist, erfordert sie einen hohen Wartungsaufwand und ist anfälliger für menschliche Fehler. Selbst wenn für eine bestimmte Region eine implizite Zustimmung vorausgesetzt wird, ist es außerdem wichtig, Datenschutzbestimmungen wie ePrivacy und GDPR zu befolgen, wenn Personen in anderen Regionen (z. B. der EU) auf eine App oder eine Website zugreifen.

Anstatt sich auf Tag-Management-System-Trigger zu verlassen, sollten Sie eine skalierbare und datenschutzkonforme Bereitstellung sicherstellen, indem Sie die Entscheidung über implizite oder explizite Zustimmung in Ihrer CMP zentralisieren. Stellen Sie sicher, dass alle Marketing-Tags die gleichen Zustimmungseinstellungen haben, unabhängig davon, wo sie ausgelöst werden sollen (z. B. nur ausgelöst werden, wenn ad_storage auf granted gesetzt ist). Wenn es sich um Marketing-Tags handelt, werden sie immer Marketing-Tags sein, egal wo sie ausgelöst werden!

In Google Tag Manager 360 kann die Verwendung eines zonenbasierten Ansatzes zur Gruppierung von Tags mit demselben Zweck sehr effektiv sein. Auf diese Weise können Sie die Einhaltung von Zustimmungen nur einmal für eine bestimmte Zone (z. B. "Marketing-Tags") konfigurieren und sie auf alle Tags anwenden, die zu dieser Zone gehören.

Missverständnis über den Umfang von Google Analytics-Tags

Es ist ein weit verbreiteter Irrglaube, dass GA-Tags nur Cookies für Analysezwecke setzen. Sowohl GA3 (Universal Analytics) als auch GA4 nutzen jedoch Funktionen wie Google Signals und Remarketing, die die Zustimmung der Nutzer zur Verwendung von Personalisierungs- und Remarketing-Identifikatoren erfordern.



Doch keine Angst, der Consent Mode kommt auf den Plan und sorgt für eine mühelose Einhaltung der Vorschriften. Wenn er richtig eingerichtet ist, kümmert sich der Consent Mode automatisch um zustimmungsbasierte Funktionen. Wenn er jedoch nicht in Sicht ist, müssen wir eine explizite Einrichtung vornehmen.

Wenn der Zustimmungsmodus nicht aktiviert ist, können Sie Google Signals und/oder die Remarketing-Funktionen programmatisch deaktivieren. Alle Personalisierungsfunktionen für Werbung können deaktiviert werden, indem der Parameter "google_signals" standardmäßig auf "false" und nur dann auf "true" gesetzt wird, wenn der Nutzer zustimmt, für Marketingzwecke identifiziert zu werden.



Kurz gesagt: Berücksichtigen Sie diese häufigen Fallstricke und Lösungsvorschläge, um die Einhaltung der Datenschutzbestimmungen zu gewährleisten, wenn Sie Datenschutzeinstellungen für die digitale Datenerfassung einrichten. Der Vorrang des Datenschutzes schützt nicht nur die persönlichen Daten des Einzelnen, sondern trägt auch zum Vertrauen in die Marke bei und verbessert letztendlich das Kundenerlebnis.

Bitte beachten Sie, dass es sich hierbei nicht um eine Rechtsberatung handelt, sondern vielmehr um meine ethische Position zu diesem Thema. Wenn Sie datenschutzbezogene Entscheidungen treffen, empfehlen wir Ihnen, sich mit Ihrem Datenschutzbeauftragten und Ihrem Rechtsteam zu beraten.