ADZINE: Hallo Mischa, die meisten Websitebetreiber holen die Nutzereinwilligung zur Datenverarbeitung ein, um personalisieren zu können – sei es im Rahmen von Content oder Werbung. Wollen das die Nutzer denn?

Mischa Rürup: Personalisierung von Websites oder die Profilierung der Nutzer können auf deren Seite großen Mehrwert stiften, finden aber oft im Verborgenen statt und geschehen auch nicht zwingend immer nur zu deren Vorteil. Ein Beispiel dafür ist Dynamic Pricing. Es kann sinnvoll sein, wenn der Endkunde beispielsweise einen niedrigeren Preis für einen Flug sieht. Es kann aber auch schädlich sein, wenn das System den dritten Besuch auf der Flugverbindung registriert und den Preis erhöht, weil es das große Interesse daran bemerkt.

Manche Menschen wollen Personalisierung und manche möchten im Internet komplett anonym bleiben. Die Präferenz der Endkunden muss berücksichtigt werden. Und genau das leistet eine Consent-Management-Plattform, indem sie die Präferenz mithilfe eines Cookie-Banners bei den Endnutzern abfragt.

ADZINE: Wie hoch sind die Einwilligungsraten in Deutschland aktuell?

Rürup: Die durchschnittliche Einwilligungsrate in allen Branchen beträgt laut unseren Daten bis zu 72 Prozent.

ADZINE: Wie ist der Stand von Consent Management hierzulande? Hat mittlerweile jeder hierzulande eine CMP im Einsatz?

Rürup: Lediglich zehn Prozent der Websites sind derzeit DSGVO-konform, andere haben entweder gar keine Lösung oder verwenden “Placebo-Banner”. Dort werden vor dem “OK” schon Daten an Facebook & Co. weitergeleitet. Einige, teils große Advertiser, haben verlauten lassen, dass sie sich zunächst mehrmals verklagen lassen wollen, bevor sie aktiv werden. Nach der ersten Klage sind sie dann allerdings recht schnell zurückgerudert. Mittlerweile hat jeder verstanden, dass der Consent der Nutzer wichtig ist.

ADZINE: Immer wieder ist die Rede von Bußgeldern aufgrund von DSGVO-Verstößen – wie ist die aktuelle Lage?

Rürup: Die Bußgelder ziehen an und die Regulatoren verstehen mittlerweile auch genauer, worum es geht und schauen hinter die Kulissen. Sie suchen nicht mehr nur nach dem OK-Button auf der Seite, sondern achten auch auf Datenübertragungen in die USA im Rahmen von Schrems II.

ADZINE: Was können Marktteilnehmer tun, um Bußgelder zu vermeiden?

Rürup: Zu Beginn ist es sinnvoll, sich juristisch beraten zu lassen, wie man die DSGVO interpretiert. Es gibt noch keine Best Practices und Werbetreibende sollten sich eine eigene Meinung darüber bilden, ob ihr Business Einwilligungen benötigt oder nicht.

Ein Webshop müsste in der Regel für sein Bestellwesen zum Beispiel nicht nach einer Einwilligung fragen. Der Warenkorb sollte am nächsten Tag noch gefüllt sein. Sich diese Art von Daten zu merken, fällt unter legitimes Interesse. Da erkennt jeder Richter, dass dies gelerntes Verhalten ist und es keiner Einwilligung bedarf.

Legitimes Interesse hört aber auf, wenn Betreiber quasi Strichliste führen. Will heißen: Wenn Shopbetreiber sich merken, wie viele Nutzer sie am Tag hatten, dann ist das okay. Wenn sie aber Nutzer profilieren, andere Produkte anzeigen und Preise dahingehend anpassen, benötigen sie immer eine Einwilligung. Und diese muss wissentlich, transparent und – vorab – informiert gegeben worden sein. Der Nutzer braucht ein Wahlrecht und muss auch ablehnen können. Den Fehler, dieses nicht einzuräumen, begehen immer noch viele Betreiber.

ADZINE: Welcher Advertiser braucht eine CMP, welcher nicht?

Rürup: Nahezu alle Websites brauchen heute die Nutzereinwilligung, weil sie moderne Technologien verwenden. Sie binden Facebook oder Google Maps ein und führen Retargeting durch. Es gibt fast keine Website mehr, die keine Dritttechnologien verwendet und nicht profiliert – einfach, weil es technisch möglich ist. Dabei ist es im Prinzip egal, was mit den Daten genau geschieht, denn der Gesetzgeber will oft gar nicht wissen, was Facebook mit den Daten vorhat. Er will nur wissen, ob Daten dorthin fließen oder nicht.

ADZINE: Mit Topics schickt Google den Nachfolger von FLoC ins Rennen. Wie betrachtest du das Thema aus der Perspektive der Nutzereinwilligungen? Wie kann browserbasiert und DSGVO-konform Surfverhalten analysiert werden? Woher stammt der Consent?

Rürup: Google ist die größte CMP überhaupt und verzeichnet enorm viele Einwilligungen von nahezu jedem Nutzer weltweit. Sobald jemand den Chrome-Browser öffnet, legt sich ein vollflächiger Layer über den Bildschirm und fragt nach dem Consent. Das lässt sich einfach prüfen, wenn man einmal in den Inkognito-Modus wechselt. In der Regel hat Google den Consent über alle seine Produkte. Spätestens, wenn ein Nutzer einmal Maps nutzt, wird er wieder aktualisiert.

ADZINE: Weiß der Nutzer das denn noch, wenn er mit Topics profiliert wird?

Rürup: Man kann juristisch schon von einem “educated User” ausgehen. Google nutzt Icons und Aufzählungspunkte oder fettet bestimmte Begriffe. Man muss sogar scrollen, bevor man zum Akzeptieren-Button gelangt. Jeder Richter würde argumentieren, dass man die Chance hatte, das durchzulesen. Sicherlich klicken viele Nutzer einfach auf zustimmen, ohne zu lesen, aber die Frage ist letztlich: Wie kann man es besser machen?

Unabhängig davon nimmt Google Datenschutz sehr ernst und aus der Sicht des Konzerns sind die Produkte datenschutzkonform. Da mag es sicherlich noch Interpretationsspielraum geben, aber wenn die Anonymisierung von Nutzern richtig gemacht wird, dann entfällt der Personenbezug ab einer gewissen Größe.

ADZINE: Ihr habt vor kurzem Cookiebot beziehungsweise Cybot übernommen – werden wir weitere Konsolidierung im CMP-Markt sehen?

Rürup: Wie in vielen Märkten wird es meiner Meinung nach mit Blick auf die Konsolidierung auf das Paretoprinzip hinauslaufen. Die Top-3-Anbieter werden sich also 80 Prozent des Marktes teilen und der Rest wird fragmentiert sein und sich auf viele Anbieter verteilen. Weil das Thema technisch herausfordernd ist, gerade auch bezogen auf neue Standards, wird es für Unternehmen immer schwieriger, eigene Lösungen zu bauen.

ADZINE: Sind die sogenannten Preference Center die Lösung für Consent Management in der Zukunft?

Rürup: Wir glauben schon, dass eine Art Wallet für Einwilligungen ein sinnvoller Ansatz ist. Das muss aber erstmal technisch möglich sein. Cross-Domain zu operieren wird gerade immer schwieriger und wir glauben nicht, dass Nutzer sich immer überall einloggen wollen. Die Anonymität ist ja gerade der große Vorteil des freien Internets.

ADZINE: Danke dir für deine Einblicke, Mischa!