11. April 2022 von Dr. Christof Rieck und Manuel Trykar
Trustworthy Analytics
Eine schwierige Ausgangssituation durch steigende Komplexität und regulatorische Vorgaben
Es wird immer schwerer, qualitativ hochwertige Daten über die Nutzung von Websites und Apps zu erheben. Erst recht, wenn solche Daten für die Monetarisierung der Angebote, das Marketing oder als Treiber für neue Subscription-Modelle genutzt werden sollen. Solche Daten sind für eine Vielzahl von Geschäftsmodellen der perfekte Treibstoff. Dieser Umstand hat dazu geführt, dass unzählige Unternehmen Tools anbieten, die preisgünstige oder sogar kostenlose Angebote für Websitebetreiber und die Werbewirtschaft ermöglichen. Dabei erhalten diese Anbieter aber Zugriff auf Nutzer- und Nutzungsdaten der Digitalangebote. Der Einsatz solcher Tools ist für Websitebetreiber und Werbetreibende bewusst sehr einfach und damit vordergründig effizient gestaltet. Die notwendigen Skripte und Verfahren werden mit wenigen Klicks im Tag-Manager – im wahrsten Sinne des Wortes – containerweise auf die Websites und damit in die Browser oder verbaut in Apps in die Handys der Userinnen und User gebracht.
Die Komplexität steckt in den berühmten Blackboxes sowie in der nachgelagerten Datenweiterleitung und -verarbeitung. Die Kaskaden, über die solche Daten weitergereicht werden, sind selbst für Fachleute kaum nachverfolgbar. Mit der Datenschutz-Grundverordnung der Europäischen Union (DSGVO) und dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) gibt es die Notwendigkeit, die Zugriffe auf den Endgeräten, die Weitergabe von Daten und die Zwecke, zu denen dies geschieht, transparent darzustellen und – in den meisten Fällen – eine Einwilligung für dieses Vorgehen einzuholen. Aus diesem Grund haben sich seit einigen Jahren Anbieter von Consent-Management-Plattformen darauf spezialisiert, die Ausführung von Skripten und die Weitergabe von Daten zu kontrollieren und erst nach Zustimmung durch die Userin oder den User zuzulassen. Eine der wichtigsten Grundlagen für diese Plattformen ist das Transparency & Consent Framework (TCF) des IAB Europe. Im Rahmen dieses Zusammenschlusses verpflichten sich nahezu 800 Technologieanbieter und über 70 Consent-Management-Plattformen auf einen Standard zur Einholung, Darstellung und Weitergabe von Consent-Informationen.
Über die technisch und rechtlich notwendigen Funktionen dieser Plattformen hinaus bemühen sich deren Hersteller, es den Websitebetreibern wieder möglichst einfach zu machen, um möglichst hohe Einwilligungsquoten für alle denkbaren Zwecke zu erzielen.
Es liegt auf der Hand, dass die Komplexität, die bereits die Fachleute fordert oder überfordert, nicht wirklich transparent erläutert werden kann. Die geforderte informierte Einwilligung ist daher kaum zu erreichen. Die Bewertungen der europäischen Datenschutzbehörden zur Verwendung der meistgenutzten Technologien und des De-facto-Standards TCF 2.0 als nicht EU-DSGVO-konform sind daher nicht überraschend.
Welche Herausforderungen ergeben sich für Unternehmen?
Das Hauptproblem besteht darin, dass Unternehmen die Erhebung und Nutzung der Nutzer- und Nutzungsdaten nicht dem eigenen Kerngeschäft zuordnen, sondern sich gerne an den vielfältigen und oft sehr attraktiven Angeboten von Drittanbietern bedienen. Der Erhalt oder gar der Aufbau eigener Kompetenzen wurde vernachlässigt. Jetzt wird deutlich, dass hier ein Sinneswandel stattfinden muss, und dieser Prozess hat zum Glück auch schon begonnen.
Eine der wichtigsten Kompetenzen für Digitalpublisher ist der Umgang mit Technologie und Daten. Um eine langfristig gute Beziehung zu Kundinnen und Kunden aufzubauen, ist es existentiell wichtig Nutzer- und Nutzungsdaten zu erheben. Die Erlaubnis, solche Daten zu erheben und zu verarbeiten, muss jede Nutzerin oder jeder Nutzer geben. Dies tut sie oder er nur dann dauerhaft, wenn der Nutzen dieser Einwilligung erkannt wird und ein ausreichendes Vertrauen dem Anbieter gegenüber besteht. Den Datenschutzbehörden wird ein solches Vertrauen nicht genügen, sie werden die Kompetenz und die technisch-organisatorischen Maßnahmen überprüfen, Versäumnisse anmahnen und gegebenenfalls auch Strafen aussprechen. Der Auf- und Ausbau eigener Kompetenzen ist somit ein wichtiger Faktor für die Wachstumsstrategie, sowohl bei Publishern als auch bei Shop-Betreibern und natürlich den Werbetreibenden.
Die rechtlichen und wirtschaftlichen Risiken, die in der Weitergabe von Nutzungs- und Nutzerdaten liegen, sind neu zu bewerten. Die jüngsten Beispiele zeigen, dass sich viele Probleme eben nicht durch spitzfindige Klauseln in Auftragsverarbeitungsverträgen oder Haftungsausschlüssen lösen lassen. Die notwendige Kontrolle über die erzeugten Datenströme kann nur durch eigene technische und organisatorische Kompetenzen gewonnen werden. Dies gelingt aber nur den Unternehmen, die akzeptieren, dass die Userin bzw. der User die Kontrolle über ihr bzw. sein Endgerät und ihre bzw. seine Daten hat. Gleichzeitig sollte ein fairer Austausch von Content oder Produkt gegen Geld oder gegen Werbung und/oder Daten stattfinden.
Welche Lösung gibt es, um Kontrolle über die Datenflüsse zu bekommen?
Der notwendige Change in der Organisation sowie im Technologie-Stack wird Einfluss auf die verschiedenen Geschäftsmodelle haben. Daher ist es von entscheidender Bedeutung, jetzt nicht im Bewusstsein der Änderungsnotwendigkeit das Kind mit dem Bade auszuschütten, sondern mit den richtigen strategischen Entscheidungen den Wechsel einzuleiten und sich eine geeignete Roadmap für das Vorgehen zu erarbeiten.
Der beste Weg, um die Kontrolle über die Datenflüsse zu bekommen und einen vertrauenswürdigen Weg zur Userin oder zum User zu finden, ist, wenn der Zugriff auf das Endgerät und auf die Daten der Userin oder des Users minimiert wird. Das kann zum Beispiel mit Hilfe einer Server-Side-Tagging-(Analytics-)Lösung geschehen. Gleichzeitig muss sichergestellt werden, dass es im Falle einer Einwilligung möglich bleibt, Daten an ausgewählte Partner weiterzugeben. Der Einsatz einer Lösung im eigenen Kontext, also einer First-Party-Lösung, ist zwingend notwendig.
Wie vielfach beschrieben, ist die Einwilligung der Userin oder des Users die Grundvoraussetzung für die Erhebung, Verarbeitung und Weitergabe von Nutzer- und Nutzungsdaten. Damit ist auch ein geeignetes „Werkzeug“ für das Einholen von Einwilligungen notwendig. Mit der Kombination dieser beiden Lösungsbausteine ist es möglich, sich rechtskonform und zukunftssicher aufzustellen. Die Daten der Userinnen und User sowie die Nutzung des Digitalangebots werden im eigenen Verantwortungsbereich erhoben und stehen nur hier vollständig zur Verfügung. Eine Anreicherung der Daten und im Falle der Einwilligung die Weitergabe an Dritte geschieht in der eigenen Hoheit und bleibt kontrollierbar. Zudem kann dieses Vorgehen auch gegenüber den eigenen Userinnen und Usern sowie Daten- und Verbraucherschutzbehörden verantwortet werden.
Bisheriges Tracking vs. Trustworthy Analytics
Im folgenden haben wir die Unterschiede und Mehrwerte eines bisherigen Tracking und Trustworthy Analytics gegenübergestellt.
Bisheriges Tracking
- Keine oder unzureichende Anonymisierung der IP-Adresse des Clients
- Erhebung und Weitergabe von personenbezogenen Daten (User-IDs, Kontaktinformationen, Technologien)
- Verbindungsaufbau zu Dritten und Setzen von Cookies, bevor die Zustimmung dafür gegeben wurde
- Unkontrollierte Datenübertragung, zum Beispiel an einen Serverstandort außerhalb der Europäischen Union
- Tracking-Blocker und Browser-Restriktionen beschränken die Datenqualität in erheblichem Umfang
Trustworthy Analytics
- Bevor Daten an Dritte oder deren Tools geschickt werden, wird die Client-IP-Adresse komplett entfernt.
- Bevor Daten an Dritte oder deren Tools geschickt werden, können personenbezogene Daten komplett entfernt werden.
- Eine geeignete Consent-Management-Plattform blockiert standardmäßig alle Clientzugriffe durch Dritte. Bei Zustimmung kann die Datenweitergabe über den Server erfolgen.
- Der Standort des Analytics-Servers, über den alle Datenverbindungen laufen, kann selber definiert werden.
- Das eigentliche Tracking findet nicht mehr im Browser des Clients, sondern auf dem eigenen Server statt.
Wie zu erkennen ist, können etablierte Geschäftsmodelle, die auf der Weitergabe von Nutzer- oder Nutzungsdaten angewiesen sind, fortgeführt werden. Sie sind durch Trustworthy Analytics aber besser kontrollierbar. Die notwendigen Schnittstellen beziehungsweise Application Programming Interfaces (APIs) werden serverseitig eingerichtet. Wenn dann auch noch die benötigten Kompetenzen in der eigenen Organisation verfügbar sind, entsteht eine wirklich vertrauenswürdige Lösung.