Wie Compliance nachhaltig funktioniert

Digitales Marketing gelingt nicht ohne relevante und aufschlussreiche Daten über Nutzer und Kunden. Diese Erkenntnis ist weder neu noch besonders revolutionär. Sie bringt aber zahlreiche komplexe Anforderungen an technologische, organisatorische, verfahrenstechnische und rechtliche Rahmenbedingungen mit sich, die geschaffen werden müssen, um eine gesetzeskonforme Nutzung von Daten im eigenen Unternehmen zu gewährleisten.

Verordnungen, Richtlinien und Rechtsbegriffe im Zusammenhang mit Compliance-Anforderungen sind oft ziemlich kompliziert, aber auch die daraus folgenden notwendigen Maßnahmen haben es in sich. Die meisten der zu ergreifenden Maßnahmen betreffen allerdings den "Maschinenraum". Insbesondere die erfolgversprechende Prozessgestaltung und die strukturelle Organisation hängen von vielen höchst individuellen Faktoren ab und sind auch von außen kaum zu erkennen. Andere hingegen finden an den sichtbaren Berührungspunkten, im direkten Kontakt mit den Kunden, statt und erfordern daher umso mehr Aufmerksamkeit.

Bite Mark

"Ein Schlüsselelement der Website Compliance ist der Dialog, den Unternehmen mit den Nutzer:innen ihrer Websites über die Erhebung und Verwendung personenbezogener Daten führen."

Also genau die Daten, die als Grundlage für erfolgreiches digitales Marketing unverzichtbar geworden sind.

Seit die DSGVO 2018 in Kraft getreten ist, ist die Zustimmung zur Nutzung von Tracking-Tools und Cookies zu einem Buzzword geworden. Während Consent Management Systeme für die meisten Website-Betreiber:innen unumgänglich geworden sind, ist der Weg von der Verwendung einer Consent-Ebene bis zur Einhaltung der Vorschriften ziemlich lang.

Der erste Schritt ist natürlich die inhaltliche und formale Gestaltung der Consent-Ebene. Welche Informationen müssen auf welcher Ebene und in welchem Detail transparent gemacht werden? Braucht es wirklich einen direkt und deutlich sichtbaren "Alles ablehnen"-Button? Oder reicht es vielleicht aus, wenn diese Option etwas besser vor den Nutzer:innen verborgen bleibt? Und wie funktioniert das in einem internationalen Kontext - innerhalb und vor allem außerhalb der EU?

Ein weiterer wichtiger Aspekt neben der Gestaltung der Consent-Abfrage ist die technische Funktionalität dahinter. Die Entscheidung der Kund:innen, der Erhebung und Nutzung ihrer Daten zuzustimmen oder sie - ganz oder teilweise - abzulehnen, muss schließlich auch in die technische Realität umgesetzt werden. Diese Aufgabe wird in der Regel durch ein weiteres Tool, den Tag Manager, gelöst. Abhängig von den Einwilligungs-Einstellungen der Nutzer:innen steuert er die Bereitstellung der erforderlichen Tracking-Tools und Cookies. Die Koordination der beiden Komponenten - Consent Manager und Tag Manager - stellt viele Unternehmen immer wieder vor Herausforderungen.

Das optimierte Set-Up ist nur der Anfang

Viele Unternehmen investieren viel Zeit und finanzielle Mittel, um ihre Websites datenschutzkonform einzurichten. Oft dauert es mehrere Monate, bis die beschriebenen Aspekte in Form und Inhalt zur Zufriedenheit aller erfüllt sind. Sobald alles konform und abgenommen ist, gerät das Thema meist aber wieder in den Hintergrund.

Dabei übersehen die meisten, dass erst dann der Alltag beginnt, in dem täglich zahlreiche Einflussfaktoren den optimalen Status quo gefährden. Diese Einflüsse kommen aus den unterschiedlichsten Richtungen.

Zum Beispiel wollen interne oder externe Mitarbeiter:innen regelmäßig zusätzliche Tags und Tools integrieren, um neue Marketing-Anwendungsfälle umzusetzen, die nicht automatisch im Consent-Ebene und Tag Manager auftauchen. Die beteiligten Systeme sind im Zusammenhang mit umfassenden Auto-Updates oder Hardware-Defekten oft fehleranfällig. Nicht klar geregelte Zuständigkeiten für das Frontend im Unternehmensnetzwerk oder beim IT-Dienstleister sorgen für falsche Angaben in den Datenschutzhinweisen. Und zu allem Überfluss entwickelt die gesetzliche Regelung eine höchst unerwünschte Dynamik mit direkten Folgen für die Zulässigkeit bestimmter Grauzonen bei der Gestaltung der Consent-Ebene.

Wenn es dann an verbindlichen Vorgaben, einheitlichen Prozessen und übergreifenden Qualitätssicherungsmaßnahmen mangelt, kommt es häufig zu einem Datenschutzverstoß durch das Laden von Tags oder das Setzen von Cookies ohne gültige Einwilligung. Spätestens an diesem Punkt reift die Erkenntnis, dass die Reise nicht mit der rechtskonformen Einrichtung endet, sondern eigentlich erst beginnt.

Privacy-by-Design-Prozesse als wirksame Risikominderungen

Um das Risiko zu minimieren und die verschiedenen Einflussfaktoren in den Griff zu bekommen, stehen eine Reihe von Maßnahmen zur Verfügung, die oft schon in ähnlicher Form im Unternehmen existieren. Aus interner Sicht ist es neben der Durchführung von Mitarbeiterschulungen auch wichtig, eine verständliche Unternehmenskommunikation mit einer klaren Definition von Erwartungshaltungen zu schaffen. Das viel beschworene "Bewusstsein" für Datenschutzthemen kann an dieser Stelle nicht hoch genug bewertet werden.

Im Kern geht es jedoch darum, bestehende Prozesse zu überarbeiten und ihnen eine "privacy-by-design"-Mentalität zu verleihen. Die Weiterentwicklung von Marketing- oder Analytics-Anwendungsfällen zum Beispiel macht es oft erforderlich, das Tool- und Tracking-Setup von Websites und Apps zu überarbeiten. Neue Anbieter sollen neue Anwendungsarten ermöglichen, die Zusammenarbeit mit bestehenden Anbietern soll ausgebaut werden oder bisher erfolgreich genutzte Tools fallen der Optimierung zum Opfer.

In der Regel reichen die damit verbundenen Prozesse und Informationsflüsse nicht aus, um eine rechtskonforme Umstellung zu gewährleisten.

Bite Mark

"Die Entwicklung und Umsetzung von "Privacy-by-Design"-Prozessen ist unerlässlich, um mit Hilfe der Consent-Ebene eine nachhaltige Datenschutzkonformität der Website zu gewährleisten."

Vertraue, aber überprüfe

Auch der beste Prozess kommt ohne umfassende Qualitätssicherungsmaßnahmen nicht aus. Für die regelmäßige Überprüfung der Einhaltung der Consent-Ebene ist es ratsam, nach automatisierten Lösungen zu suchen, die im Falle eines Regelverstoßes verschiedene Warnkanäle bereitstellen, um die zuständigen Ansprechpartner:innen umgehend zu informieren.

Ein spezielles Crawler-Setup, wie es von Ryte angeboten wird, bietet die Möglichkeit, die Korrektheit der geladenen Tags auch für eine größere Anzahl von Webseiten automatisch sicherzustellen. So können fehlerhafte Laderegeln frühzeitig erkannt und Datenschutzverstöße so schnell wie möglich behoben werden.

Für eine effektive Qualitätssicherung muss eine solche Crawler-Software eine Reihe von Anforderungen erfüllen. Ausgehend von einer technisch und rechtlich einwandfreien Einrichtung der Consent-Ebene und des Tag Managers zu einem bestimmten Datum sollte das Tool eine regelmäßige und vollautomatische Überprüfung der im Tag Manager bereitgestellten Tracker hinsichtlich aller Änderungen durchführen, die seit der letzten Überprüfung eingetreten sind. Gleichzeitig sollte ein Abgleich stattfinden, um festzustellen, ob die vom Tag Manager aktivierten Skripte mit der individuellen Auswahl der Nutzer:innen in der Consent-Ebene übereinstimmen. Auf diese Weise können sämtliche Fehlerquellen, von hart kodierten Skripten bis hin zu falsch definierten Laderegeln, effektiv überwacht werden.

Wenn das System dann auch noch die von jedem einzelnen geladenen Tracker ausgelöste Datenübertragung dokumentiert, bleiben auch einseitige Änderungen an der Datenerfassung durch integrierte Skripte von externen Partnern nicht unentdeckt.