Die Sendung mit der Metrik #94 “Ein Urteil zu Cookies mit Folgen - Was sich nach dem Planet49-Urteil in Deutschland ändert”

Ein aktuelles Urteil des Bundesgerichtshofs (BGH) vom 28.05.2020 schließt an ein Urteil des Europäischen Gerichtshofs (Stichwort “Planet49”) an und klärt für Deutschland, wie mit Cookies und Tracking umzugehen ist.

Darauf hat die Online-Marketing-Welt in Deutschland gespannt gewartet. Dabei ging es im Kern darum, ob und wie Cookies gesetzt oder Trackings platziert werden dürfen und wann und wie nicht. Die Themen Consent Management und Cookie Banner spielten dann jedenfalls eine große Rolle. Den allermeisten von euch dürfte das nicht entgangen sein.

Dazu habe ich mit Dr. Martin Schirmbacher von Härting Rechtsanwälte gesprochen, der als einer der renommiertesten Online-Marketing-Anwälte in Deutschland zu dem Thema gerne Stellung nimmt.

Was jetzt für Deutschland gültig ist, was das für Unternehmen bedeutet – und was nun geklärt richtig oder falsch ist, gibt’s in dieser Folge zu hören.

Viel Spaß beim Hören.

Wenn du das Ganze lieber lesen möchtest, unten gibt’s das komplette Interview in Textform.

Lade die Folge runter (Rechtsklick und “Speichern unter”)

Abonniere auf Android Abonniere auf iTunes

In dieser Folge außerdem:

Shownotes
Die Folge zum Nachlesen
Kommentare

Meine Bitte: Wenn dir diese Folge gefallen hat, hinterlasse bitte eine 5-Sterne-Bewertung bei iTunes oder wo immer du abonniert hast, gerne ein Feedback im Blogpost oder bei Facebook und abonniere diesen Podcast. Zeitinvestition: Maximal ein bis zwei Minuten. Dadurch hilfst du mir den Podcast zu verbessern und die Inhalte zu liefern, die du gerne hören möchtest. Ich danke dir jetzt schon dafür. Oder hinterlasse auch gerne einfach einen Kommentar hier.

Shownotes

Links:

Komme zu Maik und lass dir zeigen, wie du mehr Umsatz oder mehr Leads in deinem Shop machen kannst:
https://www.metrika.de/termin
Wegweisendes Hörbuch „Dein Weg zum Webanalysten“: https://www.metrika.de/lp/hoerbuch-dein-weg-zum-webanalysten/
Über fünf (!) Stunden wertvolle Inhalte dazu, wie du zu einem der wertvollsten Berufe im Online Marketing kommst.
Wir suchen Mitarbeiter! https://www.metrika.de/karriere/
Urteilsverkündung des Bundesgerichtshofs: https://www.youtube.com/watch?v=JEJtCylG9cs
www.otto.de

Allgemein

Die geschlossene Facebook-Gruppe für Digital- und Webanalyse-Helden und solche, die es werden wollen:

https://www.facebook.com/groups/analysehelden/
Facebook-Gruppe für Einsteiger:

https://www.facebook.com/groups/webanalyseeinsteiger/
Die Website von “Die Sendung mit der Metrik”: die-sendung-mit-der-metrik.de
“Die Sendung mit der Metrik” bei Facebook: Zur Facebook-Seite
Wir zeigen dir, wie Webanalyse funktioniert: Zu unseren Seminaren und Workshops

Das war die Folge “Ein Urteil zu Cookies mit Folgen – Was sich nach dem Planet49-Urteil in Deutschland ändert” – Mit Dr. Martin Schirmbacher

Hallo? Die Sendung mit der Metrik – der Webanalyse-Podcast mit Maik Bruns und seinen Gästen. Heute mit Martin Schirmbacher. Viel Spaß!

Maik Bruns: Hey Analyse-Held, hier ist der Maik. Herzlich willkommen zu einer neuen Folge „Die Sendung mit der Metrik“. „Ein Urteil zu Cookie mit Folgen“ ist heute unser Thema. Was sich nach dem Planet49 Urteil vor allen Dingen in Deutschland ändert und da ich jetzt nicht der Rechtsexperte bin, habe ich mir heute wieder Verstärkung an Bord geholt. Aber ich hole dich erst noch mal ins Thema rein, weil nachdem im Oktober 2019 ein ziemlich für Spannung sorgendes Urteil des Europäischen Gerichtshofs ein paar Wellen geschlagen hat, also Stichwort ist da Planet49, wartet die Online-Marketing-Welt jetzt quasi ziemlich gespannt auf ein Urteil des Bundesgerichtshofs. Und dabei ging es im Kern eben darum, ob wir Cookies künftig einfach noch so setzen dürfen, wie wir das wollen, oder ob wir bestimmte Cookies vielleicht restriktiv behandeln müssen. Das Thema ist da zum Beispiel jetzt Consent Management, Cookie Banner, all das kommt jetzt eben da mit rein und spielt für unsere Online-Marketing-Welt natürlich eine sehr, sehr große Rolle. Weil was ist noch erlaubt und was nicht? Und den allermeisten von euch dürfte das ganze Thema nicht wirklich entgangen sein in den letzten Wochen. Und wie gesagt, dafür habe ich meinen Gast an Bord geholt, der schon mal hier bei mir war. Ich freue mich sehr darüber, dass Dr. Martin Schirmbacher heute wieder dabei ist. Der ist Partner bei Härting Rechtsanwälte in Berlin und aus meiner Sicht einer der bekanntesten Online-Marketing-Rechtsanwälte in Deutschland. Seine Meinung ist wirklich viel, viel, viel gefragt und ist auf diversen Konferenzen und hat mittlerweile sogar einen eigenen Podcast zum Thema Recht mit seinen Kolleginnen zusammen. Ehrlicherweise, wenn es jemanden zum Thema Online-Marketing und Recht gibt, dem ich uneingeschränkt zuhöre, dann ist das wirklich Martin. Denn er ist eben, das finde ich halt wirklich sehr gut, Martin, muss ich dir noch mal sagen, du bist nicht der erste, der sich nach wichtigen Urteilen immer eine Viertelstunde nach Verkündung dann direkt bei YouTube zeigt zum Beispiel, sondern du bist derjenige, der da erstmal ein bisschen drüber schaut, mal ganz in Ruhe reflektiert mit deinen Leuten um dich herum auch und dann ganz sachlich und ruhig an die Dinge herangeht. Das schätze ich einfach sehr in dieser Welt, wo es viele Mythen so zum Thema Recht gibt und einfach auch viele Drohszenarien und die Leute halt permanent irgendwie Angst davor haben, dass sie morgen bestraft werden. Aber erstmal herzlich willkommen, Martin! #00:02:22.4#

Martin Schirmbacher: Hallo lieber Maik! Ich grüße dich. #00:02:24.2#

Maik Bruns: Schön, dass du wieder dabei bist. Unsere letzte Folge war zum Thema DSGVO und die hat, ich weiß nicht, warum, ich kann es mir nicht vorstellen, aber seit Februar 2018 so bis April, Mai 2018 hat die ziemlich durch die Decke gehauen, was die Abrufzahlen anging. Deswegen umso schöner, dass wir jetzt wieder ein schönes Urteil vor oder nach uns haben vielmehr, zu dem wir sprechen können. Kurze Frage vorweg natürlich noch mal für die, die dich noch nicht kennen. Wie bist du denn so in das Umfeld Web und Online Marketing als Anwalt überhaupt reingestoßen? #00:02:55.3#

Martin Schirmbacher: Naja, ich habe so ein bisschen einen IT-Hintergrund. Ich habe nie wirklich nach der Schule noch programmiert, aber irgendwie hat mich das ganze Internet nicht ganz losgelassen und ich habe relativ früh angefangen mich mit dem Internet zu befassen. Ich habe, als ich in Amerika war 1993, schon E-Mails geschrieben mit meinem Vater und das ist ein bisschen hängengeblieben. Insofern so ein Interesse war eigentlich schon immer da. Ich arbeite schon seit 1997 in der gleichen Kanzlei, Härting Rechtsanwälte in Berlin. Und der Kollege, der diesen Laden mal gegründet hat, der Niko Härting, hat 1999 das erste Buch zum Internetrecht geschrieben und seitdem bin ich eigentlich auch ein bisschen dabei, habe damals schon ein bisschen mitgeholfen und dann immer mehr Online Marketing gemacht. Und ehrlichgesagt, der Datenschutz hat im Online Marketing lange gar keine große Rolle gespielt, sondern es ging darum, ob ich Links kaufen darf, ob ich fremde Marken als Keywords bei SEA benutzen darf. Und als ich das erste Buch geschrieben habe zum Online-Marketing-Recht, da tauchte der Datenschutz da nur am Rande auf, irgendwie zwei schamhafte Kapitel zum Tracking. Das hat sich jetzt natürlich gravierend geändert, inzwischen sprechen wir auch bei Google Ads vor allem über Datenschutz und nicht in erster Linie über Markenrecht. #00:04:12.7#

Maik Bruns: Sag mal, jetzt gab es natürlich so in der näheren Vergangenheit, so die letzten zwei, drei Jahre gab es viele Dinge, die uns da bewegt haben, also natürlich auf der einen Seite die DSGVO an sich. Dann gab es lange Zeit begleitend so ein bisschen dieses Damoklesschwert ePrivacy Verordnung, die uns auch irgendwo immer noch ein Stück weit, in Anführungszeichen, droht. Und dann natürlich auch eine gewisse Rechtsunsicherheit so im deutschsprachigen Raum vor allen Dingen jetzt, was so das Thema Cookies und wie darf ich mit Cookies umgehen, darf ich die einfach so ablegen. Da gab es im Oktober letzten Jahres, ich weiß nicht, war es der 1. Oktober, ich weiß es nicht mehr genau, gab es ein interessantes Urteil des Europäischen Gerichtshofs, der dann einfach mal gesagt hat, nachdem er vom BGH gefragt wurde, kannst du gleich noch mal ein bisschen genauer erläutern, nein, das mit den Cookies, du darfst bestimmte Dinge nicht einfach so machen. Und danach war ein bisschen Tabula Rasa in der Online-Marketing-Welt. Aber vielleicht klärst du noch mal kurz auf, was war denn im Oktober überhaupt los? Weshalb gab es danach noch ein Urteil vom BGH? #00:05:06.2#

Martin Schirmbacher: Ja, das ist in der Tat nicht so ganz selbsterklärend, weil man ja weiß, der EuGH sollte über dem BGH stehen. Aber in der Tat ist das hier das gleiche Verfahren. Das ist nicht etwa ein anderes Urteil, sondern es geht immer noch um den Streit zwischen dem Verbraucherzentrale-Bundesverband und der Planet49 GmbH. Und die haben sich darüber gestritten, die Planet49-Leute, boten damals ein Gewinnspiel an, das ist deren Geschäftsmodell Lead-Generierung über Gewinnspiele, man konnte ein MacBook Air gewinnen. Und im Zuge dieses Formularfeldes, was man da ausfüllen musste, um dort teilzunehmen, gab es zwei Einwilligungserklärungen, die man dort abgeben sollte. Mit beiden hat sich jetzt der Bundesgerichtshof befasst. Die erste, um die geht es uns heute nicht, ist die Frage, wie man eigentlich die Einwilligung in Telefonwerbung oder sonstige Werbung einholen muss. Und die zweite war, dass es den Satz gab, dass man sich also einverstanden erkläre damit, dass der Webanalyse-Dienst Remintrex verwendet werde. Ein Dienst, den ich immer nur aus diesem Urteil her kenne, ein Unternehmen mit Sitz in Berlin. Aber vielleicht ist es ja auch ganz toll, ich weiß es nicht. Auf jeden Fall hat man also dort gesagt, ich bin auch damit einverstanden, dass ihr also Cookies setzt und diesen Remintrex-Dienst einsetzt. Ehrlichgesagt, das Urteil oder die Klage ist ja schon aus 2013, das heißt, das ist damals bei weitem nicht üblich gewesen, dass die Leute darauf hingewiesen haben, dass sie Cookies setzen oder Tracking Tools verwenden, jedenfalls in Deutschland. Insofern war das eigentlich relativ fortschrittlich. Was den Leuten aber auf die Füße gefallen ist bis zum BGH und dann zum EuGH und dann wieder zum BGH, ist, dass sie das kleine Häkchen, mit dem man also sein Ja zum Ausdruck bringen sollte, schon vorbelegt hatten bei dieser zweiten Einwilligungserklärung. Also mit dem Ja, ich bin damit einverstanden, dass ihr also diesen Dienst einsetzt, dieses Häkchen war schon vorbelegt. Und da hatte der BGH den EuGH gefragt, sag mal, kann man denn so nach der ePrivacy Richtlinie Einwilligungen einholen, wenn man Cookies setzen möchte? Und da sagt der EuGH damals am 1. Oktober, nein, so geht es nicht, eine Einwilligung setzt eine ausdrückliche Handlung voraus, und dass du jetzt also an einem Gewinnspiel teilnimmst und dir quasi diese Einwilligung dort untergejubelt wird, das geht so nicht. Das ist das, was der EuGH gesagt hat. Und daraufhin ist die Sache zum Bundesgerichtshof zurückgegangen. Der hat also diese Fragen gestellt, diese Antworten bekommen und dann Anfang Januar oder Ende Januar dieses Jahres noch mal darüber verhandelt. Und jetzt ist eben in der vorvergangenen Woche dieses Urteil gefällt worden, über das wir sicher gleich noch mal ein bisschen ausführlicher sprechen werden. Und jetzt ist allerdings, wenn nicht noch ganz wundersame Dinge passieren, das Ende des Instanzenzuges erreicht, der Bundesgerichtshof hat hier endgültig entschieden. Theoretisch könnte die Planet49 noch auf die Idee kommen, was jetzt nicht ganz abwegig ist, aber zum Bundesverfassungsgericht zu gehen, aber das Urteil ist jetzt erst mal in der Welt und wird auch so Bestand haben. #00:08:15.4#

Maik Bruns: Jetzt müssen wir vielleicht noch mal, um das Ganze noch ein bisschen rundabzuklären, noch mal definieren, was bedeutet das eigentlich? Wir hatten eben schon mal zwei Begrifflichkeiten, wir hatten auf der einen Seite die ePrivacy-Richtlinie und dann gibt es die ePrivacy-Verordnung, die uns allen auch irgendwo droht. Gefällt wurde das Urteil mit Hilfe der ePrivacy-Richtlinie, richtig? Und was genau wurde da, was steht in der ePrivacy-Richtlinie denn noch mal drin? #00:08:39.1#

Martin Schirmbacher: In der Tat, wir müssen hier ein paar Sachen auseinanderhalten. Du hattest vorhin gesagt, hier 25. Mai 2018, kein Mensch konnte das Datum mehr hören, Datenschutz-Grundverordnung. Damit hat das Ganze nur am Rande zu tun, auch wenn die DSGVO tatsächlich in dem Urteil des EuGHs auch erwähnt wird. Aber es geht in der Tat um die ePrivacy-Richtlinie. Und wenn man sich die Mühe gibt, die beiden Regelwerke ein bisschen auseinanderzuhalten, dann fällt einem auf, dass also die DSGVO eine Verordnung ist, die unmittelbar in den Mitgliedstaaten gilt, das heißt, die Datenschutz-Grundverordnung ist deutsches Recht, wenn man so möchte. Während die Richtlinie, das ist bei allen Richtlinien so, die aus der EU kommen, erst in nationales Recht übersetzt werden muss, umgesetzt werden muss, sodass man also den Mitgliedstaaten die Gelegenheit gibt, das so ein bisschen an das eigene Recht anzupassen, das dort einzubauen, wo man das gerne möchte. Wenn ihr in der Vergangenheit oder jetzt immer mal wieder von der ePrivacy-Verordnung hört, und was du jetzt schon ein paar Mal gesagt hast, das würde ja jetzt drohen und so weiter, dann ist es die Überlegung, die schon sehr, sehr, sehr, sehr, sehr, sehr lange in der Europäischen Union, insbesondere in der EU Kommission existiert, auch aus dieser ePrivacy-Richtlinie eine Verordnung zu machen, um möglichst einheitliches Recht in ganz Europa zu haben und nicht wie es bis jetzt ist, dass da jedes Land, vor allem Deutschland, ein bisschen macht, was sie wollen, sodass wir lange Pläne haben aus der ePrivacy-Richtlinie, wie es mit dem Datenschutz passiert ist. Es gab auch eine Datenschutzrichtlinie, die ist zur DSGVO geworden, und jetzt eben eine EU-Verordnung zu machen. Und vielleicht letzter Punkt dazu: Der Unterschied ist, die Datenschutz-Grundverordnung gilt für die Verarbeitung personenbezogener Daten, während die Verarbeitung personenbezogener Daten gar nicht notwendig ist für ePrivacy, dort reicht es, dass auf dem Endgerät irgendeines Nutzers irgendetwas gespeichert wird und, oder ausgelesen wird, damit der Anwendungsbereich eröffnet ist, unabhängig davon, ob da jetzt personenbezogene Daten eröffnet werden oder nicht. ePrivacy sie schützt die elektronische Kommunikation, schützt selbst Machine-to-Machine-Communication gegen Abfangen, gegen Auslesen und so weiter. Und das ist eben einer der wesentlichen Unterschiede, die es dort gibt. #00:10:54.2#

Maik Bruns: Und jetzt hat das BGH ein Urteil gefällt, nachdem das EuGH geklärt hat, was auf europäischer Ebene zu verstehen ist, hat das BGH gesagt, okay, dann machen wir mal was für Deutschland daraus. Und was genau hat dieses Urteil jetzt bewirkt oder was sagt es erst mal aus? #00:11:08.4#

Martin Schirmbacher: EuGH oder BGH? #00:11:09.6#

Maik Bruns: BGH. #00:11:10.7#

Martin Schirmbacher: BGH. Also EuGH hatte gesagt, wenn ihr eine Einwilligung einholen wollt, dann nicht so. Dann könnt ihr es nicht so machen, dass es da dieses vorangekreuzte Häkchen hat. Und was der BGH jetzt gemacht hat, er gesagt, naja, also erstens, das ist auch sinnvoll gewesen, dass wir den EuGH überhaupt gefragt haben, weil es tatsächlich darauf ankommt, weil es also tatsächlich eine Einwilligung für Cookies braucht. Das heißt, es hätte ja auch sein können, dass man sagt, naja, eigentlich brauchst du für Cookies gar keine Einwilligung, wo steht das denn eigentlich? Und da passiert jetzt etwas oder ist etwas, naja, Puristen, Juristen würden sagen, Skandalöses passiert, weil es eben in Deutschland, das ist ja der Grund, warum wir seit Jahren über Cookies reden in Deutschland und nicht schon lange alle ein Consent Management Tool haben. Aber das, was dort passiert ist, ist, dass es eben in Deutschland keine so richtige Vorschrift gibt, bis heute nicht, wo drinsteht, dass man ein Cookie Opt-In haben muss. Während es eben in dieser ePrivacy-Richtlinie einen Artikel 5 Absatz 3, die Kenner werden es sehr oft gehört haben, schon gibt, wo drinsteht, dass wenn man also auf das Endgerät des Nutzers zugreifen möchte und oder dort kleine Dateien ablegen möchte, man auf der Grundlage von klaren und umfassenden Informationen seine Einwilligung gegeben haben muss. Heißt es in der einzigen Vorschrift, die man in Deutschland überhaupt findet, zu dem Thema, dass wenn man Nutzungsprofile anlegen möchte oder erstellen möchte, das so lange machen kann, sofern der Nutzer dem nicht widerspricht. Das heißt, wir haben also eindeutig einen Opt-In in der europäischen Richtlinie und eine Opt-Out-Regelung im TMG, im Telemediengesetz, §15 Absatz 3 Telemediengesetz. Nun ist es üblich, dass man, wenn man irgendwie eine Vorgabe aus der Europäischen Union hat, die einzuhalten ist, sich Mühe gibt als Richter das deutsche Recht so anzupassen, so zu lesen, dass das halt mit der Richtlinie ungefähr hinkommt, gerade bei Auslegungsschwierigkeiten und so weiter. In der Uni haben alle Juristen aber mal gelernt, dass diese Auslegungsmöglichkeit seine Grenze findet, wo der Wortlaut eindeutig ist. Ich kann nicht einem Rechtsanwender in Deutschland sagen, hey, bei dir, wir machen hier Opt-Out. Und jetzt kommt der BHG, und genau das hat der BGH gemacht, hat sich da auch schon ein bisschen verbiegen müssen. Gibt es auch selber zu, also wer da mal Muße hat die Urteilsverkündung sich anzuhören, ist tatsächlich lustig. Und da liest also der Vorsitzende diese beiden Vorschriften vor, wo halt eindeutig ist, das eine ist Opt-In, das andere Opt-Out, und sagt dann aber, naja, Sie müssen jetzt also das Opt-Out so lesen als sei das ein Opt-In. Also was der BGH jetzt also macht, ist, wir haben den §15 Absatz 3 und müssen den also so lesen, dass da nicht, sofern der Nutzer dem nicht widerspricht, sondern dass das steh, sofern der Nutzer eingewilligt hat. Mache also aus einem Opt-Out eine Opt-In-Vorgabe. #00:14:12.8#

Maik Bruns: So schnell geht das. #00:14:14.0#

Martin Schirmbacher: So schnell geht das. Ja. #00:14:15.0#

Maik Bruns: Das ist so ein wenig wie, mir fällt jetzt kein passendes Beispiel ein, so ein bisschen wie Mehrwertsteueranpassung von heute auf morgen. #00:14:24.1#

Martin Schirmbacher: Ja gut, hier ist der Anlauf natürlich ein bisschen länger. Es ist auch, … #00:14:26.7#

Maik Bruns: Etwas, ja. #00:14:27.4#

Martin Schirmbacher: … wenn man die, naja, ich will nicht sagen, die Klugscheißer, aber werden sagen, aber es ist natürlich schon so, dass ich das angedeutet hatte. Man muss natürlich schon sagen, es gibt diese ePrivacy-Richtlinie seit 2009 in dieser Fassung, wo drinsteht, ich brauche ein Opt-In. Es gibt diverse Versuche von den, vor allen Dingen den Lobbyverbänden, muss man ja so sagen, dass das in Deutschland nicht so ausdrücklich kommt, gleichzeitig ist aber auch klar, dass es irgendwann mal so kommen wird. Und der Bundesgerichtshof hat eben den Europäischen Gerichtshof gefragt, sag mal, kann man so eine Einwilligung einholen? Hätte der BGH nicht schon damals im Hinterkopf gehabt, dass man eine Einwilligung braucht, hätte der EuGH diese Frage nicht stellen müssen. Insofern war schon klar, dass jetzt dieses Cookie-Opt-In kommen würde, es war nur nicht so ganz klar, wie der BGH das begründen würde. Und dass er es so macht, ist schon sportlich. Also das ist schon, da muss man schon sagen, das ist nicht sauber, das ist kein sauberer Weg. Der deutsche Gesetzgeber hat dem BGH in diese Bredouille gebracht, weil er hätte ja jederzeit in der Hand gehabt mal unser Telemediengesetz anzupassen an das, was dort in der ePrivacy-Richtlinie steht. Dass er es nicht gemacht hat, fällt jetzt dem BHG auf die Füße, der da kreativ werden muss. #00:15:53.2#

Maik Bruns: Jetzt folgen natürlich Dinge, also du hast grad schon erwähnt, natürlich konnte man sich darauf vorbereiten, das ist auch etwas, was ich meinen Kunden schon, ich weiß nicht, wann haben wir letztes Mal, wann war ich bei euch, im Oktober glaube ich, und ich glaube, seitdem habe ich im Prinzip schon mit den Kunden auch immer besprochen, dass sie sich darauf vorbereiten sollen. Das tun wir auch seitdem, mindestens gedanklich mit dem Thema auseinanderzusetzen, um da schneller vorwärts zu kommen. Aber was konkret folgt denn jetzt für Unternehmens-Websites? #00:16:15.0#

Martin Schirmbacher: Was da konkret daraus folgt, hängt ein bisschen davon ab, was man bis jetzt gemacht hat. Auch hier wieder Klugscheißer-Modus an, wenn ihr jetzt schon immer Opt-In eingeholt habt und euch alle brav an das gehalten habt, was man aus der ePrivacy-Richtline entnehmen kann und was man dem EuGH-Urteil entnehmen konnte, dann müsst ihr gar nichts groß ändern, weil dann habt ihr schon entweder nur notwendige Cookies oder ihr habt einen Consent-Banner oder irgendein Cookie-Management-Tool, was so eine Einwilligung einholt für Cookies. Klugscheißer-Modus aus. Viele Unternehmen haben es genau nicht gemacht, weil sie vielleicht beraten worden sind, na wartet doch erst mal ab. Und ehrlichgesagt, es ist auch nicht falsch. Wir haben auch Mandanten empfohlen zu sagen, okay, wenn ihr das Risiko eingehen wollt, dass ihr nicht vollständig compliant seid bis jetzt, bis zu dem BGH-Urteil wird wahrscheinlich nicht so furchtbar viel passieren. Insofern macht das doch erst mal so wie ihr wollt. Beschäftigt euch schon mal mit einer Möglichkeit Consent einzuholen, checkt mal die Lage und dann könnt ihr es immer noch ausrollen. Und so sehen wir das jetzt eigentlich auch vielfach passieren. Man muss jetzt eben spätestens jetzt schauen, was habe ich für Cookies auf meiner Seite, welche brauche ich da wirklich? Das ist sowieso immer eine sinnvolle Sache zu machen, dass man da auch nur die notwendigen Sachen, also notwendig nicht im Rechtssinne, sondern im Sinne von, da können wir wirklich was anfangen, das ist auch wirklich nützlich. Und dann eben unterscheiden, was sind Cookies, die wir für die Webseite brauchen, die technisch notwendig sind, und für alle anderen Cookies muss ich mir Mühe geben, eine Einwilligung einzuholen. #00:17:56.8#

Maik Bruns: Dann baut man sich so ein Consent-Management-Tool jetzt ein, da gibt es ja diverse, da können wir gleich noch mal ein bisschen genauer darüber reden. Muss das da bestücken, man muss sagen, hey, folgende Cookies laufen hier, folgende Tracking-Systeme laufen hier, folgende Vendoren sind hier bei uns aktiv, und die muss man sich jetzt quasi einzeln freischalten oder in Gruppen freischalten. Können wir gleich auch gerne noch mal ein bisschen genauer besprechen. Aber muss ein Anwalt wie du jetzt quasi jedes Mal über so ein Consent-Management drüber schauen, damit wir wissen, okay, das ist alles rechtskonform? Oder sagst du, naja, das kriegt man auch mit eigenem guten Willen schon einigermaßen hin? #00:18:32.0#

Martin Schirmbacher: So sollte es ja eigentlich sein letzteres, dass man also irgendwie ins Gesetz schaut und dann irgendwie den Eindruck, schon den richtigen Eindruck bekommt und auch in der Lage ist, ohne rechtliche Hilfe, ohne anwaltliche Hilfe das umzusetzen. Und auch hier, wenn ich tatsächlich nur die Basics mache, ich setze praktisch nichts ein außer Analytics und ich will da auch kein Risiko eingehen, mein Datenschutzbeauftragter, der auch noch irgendwie immer mitschwingt, der sagt, also wir machen hier auf keinen Fall Risiko, dann muss ich auch kein riesiges Cookie-Management-Tool haben, dann kann ich einfach eine Weiche machen und sagen: Ja / Nein. Und dann muss ich den Text ordentlich formulieren, da sollte dann Analytics drin auftauchen und die Leute haben eben die Wahl. Ich glaube, dafür braucht man keinen Juristen. Allerdings ist es schon echt wichtig, dass man sich genau befasst mit den Texten, die man dort formuliert. Es gibt verschiedenste Cookie Banner, es gibt die Version „Ich informiere nur“, es gibt die Einwilligung in Cookies, die Einwilligung in Cookies und Tracking, und dann eben die verschiedensten Abstufungen, First Layer, Second Layer, das können wir gleich noch mal ein bisschen auseinandernehmen, was man da vielleicht machen kann. Es wird sehr, sehr schnell sehr, sehr kompliziert, und dort eine vernünftige Risikoabwägung zu machen, ist, das muss man schon so sagen, schon Anwaltssache. Am Ende muss jedes Unternehmen entscheiden, welches Risiko sie gehen wollen, aber das würde ich schon empfehlen, das jedenfalls mal mit den Datenschützern zu besprechen. Und immer dann, wenn man sich so ein bisschen in die, naja, nicht in die Schwarz-Richtung-Richtung drängen lassen möchte, sondern so ein bisschen auf der Grenze im Graubereich unterwegs ist, ich glaube, da ist dann schon wichtig, dass man die Risiken genau abschätzen kann. #00:20:28.9#

Maik Bruns: Jetzt entsteht schon wieder so eine gewisse hektische Betriebsamkeit, wenn man so möchte. Natürlich, nach so einem Urteil ist immer irgendwie hektische Betriebsamkeit, in diesem Fall glaube ich auch ein Stück weit berechtigt. Werden wir jetzt alle abgemahnt oder passiert überhaupt jetzt was in der Kürze der Zeit? #00:20:42.5#

Martin Schirmbacher: Also du hast ja schon gesagt, du verfolgst ein bisschen länger schon, wie wir an solche Sachen rangehen. Und da wird dich jetzt nicht überraschen, dass ich sage, also das ist nichts, was man jetzt irgendwie vor den Sommerferien noch durchprügeln muss. Wenn man mal guckt auf die Sanktionen, die dort jetzt denkbar sind, taucht was ganz Erstaunliches auf, was sind denn überhaupt Szenarien? Das Schlimmste Drohszenario ist eigentlich, Millionen-Bußgelder nach der DSGVO. Das ist eigentlich das, was alle im Hinterkopf haben. Ich habe da einen Cookie-Banner falsch formuliert und muss jetzt irgendwie 5 Millionen zahlen, wenn ich ein ausreichend großes Unternehmen bin. Ich glaube, diese Angst kann man einem nehmen. Wenn wir uns nur das Cookie-Opt-In anschauen, ist das gar kein Verstoß gegen die Datenschutz-Grundverordnung, sondern wir haben uns nicht ohne Grund die ganze Zeit mit ePrivacy beschäftigt, betrifft das ePrivacy. Im deutschen Recht wäre es (unv. #00:21:40.6#) das BGH ein Verstoß gegen das Telemediengesetz und oh Wunder, die höchste Sanktion gegen Verstöße im Telemediengesetz sind 50.000 Euro. Da ist auch noch von Bundesland zu Bundesland verschieden, welche Behörde da eigentlich zuständig ist. Häufig sind es gar nicht die Datenschutzbehörden. Das heißt, wenn ich wirklich nur das Cookie-Opt-In versaubeutele oder einfach mich entscheide, das im Herbst anzugehen, wenn meine Entwickler aus der Kurzarbeit wieder zu Hause sind oder wieder da sind, dann droht mir jedenfalls mal kein DSGVO-Bußgeld. Denkbar, wenn ich gleichzeitig Tracking-Tools habe, dass es dann noch anders wird, aber das ist erst mal kein unmittelbares Risiko alleine für die Cookies. Punkt zwei, Abmahnungen, die du genannt hast, muss ich unterscheiden, was ist mit den Abmahnungen von Wettbewerbern? Hat es in der Vergangenheit jetzt praktisch nicht mehr gegeben, weil erstens im Datenschutz abzumahnen, da muss man schon brave sein, also ich habe noch keine Website gefunden, wo alles in Ordnung war, wenn man dann auf die eigene, in den Spiegel schaut. Und außerdem hat man da ein relativ dickes Brett zu bohren, ob so ein Datenschutzverstoß überhaupt ein Wettbewerbsverstoß ist, ob das überhaupt abmahnfähig ist. Und der dritte Punkt wäre: Abmahnungen durch Verbraucherzentrale, so wie es hier passiert ist bei dem Planet49. Und da streitet sich gerade die Verbraucherzentrale mit Facebook darüber, ob sie überhaupt abmahnen darf in DSGVO- oder in Datenschutzsachen. Und der BGH hat jetzt am gleichen Tag, wo dieses Urteil herausgekommen ist, die Frage, ob der VZBV eigentlich Facebook abmahnen darf, dem Europäischen Gerichtshof vorgelegt. Also da haben wir auch wieder eine Hängepartie und ich kann mir nicht vorstellen, dass die Verbraucherzentralen jetzt so munter losschlagen und Cookie-Banner abmahnen werden, weil das einfach für sie mit Risiken verbunden ist oder mit zusätzlichen Risiken verbunden, die sich schwer einschätzen lassen. Und dann bleibt noch der Nutzer. Da gab es mal so kleinere Versuche, dass Nutzer Schadensersatz geltend gemacht haben, weil ihre schönen personenbezogenen Daten an die USA weitergegeben worden sind. Aber das ist eigentlich auch alles im Sande verlaufen. Insofern muss man da tatsächlich keine übermäßige Angst haben, dass jetzt übermorgen hier mit Kanonen auf Spatzen geschossen wird. #00:23:52.7#

Maik Bruns: Jetzt ist quasi definiert, dass wir für bestimmte Arten Cookies quasi ein Opt-In brauchen. Insbesondere, man spricht ja immer vom Schlagwort nicht essenzielle Cookies oder nicht essenziell wichtige Cookies, das heißt, Cookies nicht für die Funktion der Website grundsätzlich benötigt werden. Gibt es da von deiner Seite aus irgendwie eine andere Definition oder würdest du es genauso sagen? #00:24:22.2#

Martin Schirmbacher: Nein, also man muss sich natürlich jetzt erst mal ans Gesetz halten und in dem Fall eben die ePrivacy-Richtlinie, die dann, ich sage es nochmal, entgegen jeder Logik mehr oder weniger unmittelbar in Deutschland gilt, was es eigentlich nicht geben soll, dass so eine Richtlinie durchgreift. Aber so ist es nun mal, so müssen wir das halt uns anschauen. Und dann, da ist halt die Rede von technisch notwendigen Cookies, heißt es ja nicht, dort ist es ja ein bisschen umschrieben, aber für die eben ein Opt-In erforderlich ist. Und da muss ich jetzt tatsächlich schauen, was brauche ich tatsächlich, um die Website vernünftig betreiben zu können, sag ich jetzt mal. Also nicht im Sinne von, was brauche ich, um überhaupt meine Website abrufbar zu halten. Also ich muss jetzt nicht meine Website downgraden auf 1998, sondern … #00:25:10.8#

Maik Bruns: Für einige wäre das ein Upgrade. #00:25:11.7#

Martin Schirmbacher: … möglicherweise ja, habe ich gar nicht so überlegt, stimmt, sondern man kann schon sozusagen von dem derzeitigen Stand ausgehen. Und man kann zum Beispiel in Online-Shops davon ausgehen, dass sie, dass das technisch notwendig ist, ein Cookie zu setzen, um den Warenkorb über die gesamte Session aufrecht zu erhalten. Aber auch relativ schnell ist dann auch Ende mit den notwendigen Cookies. Also es gibt jetzt immer wieder Versuche Analytics darunter zu fassen, weil wir müssen versuchen, wir müssen wissen, was die Leute auf unserer Website treiben. Da bin ich schon skeptisch, ob man, oder anders, die Datenschutzbehörden hätten da keine zwei Meinungen, dass das sicherlich keine notwendige Sache ist. Ich kann auch Besucher auf andere Weise zählen und wo die jetzt wie langgekommen sind, ist sicher nicht notwendig, um die Website zu betreiben. Insofern muss man davon ausgehen, im Zweifel wird das Cookie, worüber man jetzt gerade nachdenkt, ein nicht notwendiges Cookie sein. #00:26:13.9#

Maik Bruns: Und insbesondere dann, zumindest ist das meine ganz persönliche Meinung mal dazu, wenn jemand trackt und mit seinen Daten einfach schlichtweg nichts anfängt. Das heißt, bei vielen Websites stelle ich auch immer wieder fest, da wird irgendwas installiert und dann kommt irgendwann der Berater hinzu und sagt, um Himmels Willen, habt ihr überhaupt schon was mit den Daten jemals gemacht? Ich glaube, so ein Szenario ist einfach eindeutig, da hast du gut gesammelt ohne Sinn. Und das darf einfach überhaupt nicht passieren, also aus ethischer Sicht finde ich schon nicht, aus gesetzlicher jetzt mal offensichtlich gar nicht. Wird denn noch unterschieden so zwischen dem Thema First Party, Third Party, also gleich, ob das jetzt Tracking oder Cookies ist, oder? #00:26:48.7#

Martin Schirmbacher: Also First Party und Third Party taucht in der gesamten Richtlinie nicht einmal auf. Das ist quasi eine Erfindung, eine Unterscheidung, die die Industrie versucht hat, durchzuziehen, damit man da ein bisschen Guidance hat und First Party Cookies müssen auf jeden Fall zulässig sein, weil da werden ja keine Daten an andere übertragen. Aber so ist es nicht, das ist kein Kriterium. Kriterium ist, ist das Cookie notwendig oder nicht. Dann könnte es auch sein, dass ein Drittanbieter Cookie zu den notwendigen Cookies gehört, wenn ich halt gut begründen kann, warum das für meine Website ausgerechnet so erforderlich ist. Diese Unterscheidung gibt es eigentlich in der Verordnung, was heißt eigentlich, streiche eigentlich, wie immer, diese Unterscheidung gibt es in der Richtlinie nicht. #00:27:40.3#

Maik Bruns: Gibt es denn aus deiner Sicht eine Herangehensweise an das Thema Tag-Management, weil weiß ja auch im Grunde, der Tag-Manager selber trackt eigentlich gar nicht so wahnsinnig, sondern der reichte eigentlich nur Daten durch beziehungsweise er selber ist eigentlich gar nicht an der Datenübermittlung so wirklich beteiligt, außer dass er ein Skript zur Verfügung stellt, das Daten sammelt, und dann weiterschickt dann zum Beispiel Google Analytics oder an irgendwen anders. Gibt es da irgendwas, wo würdest du sagen, das könnte man zum Beispiel auch als essenziell werten? Oder sagst du, oh Vorsicht, das kommt wirklich auf den Einzelfall an? #00:28:13.3#

Martin Schirmbacher: Wie immer, wenn du mich schon so fragst, also tatsächlich, oh Vorsicht. Es kommt schon darauf an, wenn in dem Tag Manager nichts ist, weil ich den gerade erst angefangen habe, kann ich mich schon fragen, ist der notwendig, brauche ich den eigentlich, das Cookie, was da vielleicht gesetzt wird? Nein. Ist da ein Analytics drin und ein Google Ads? Da habe ich gleich zwei Aspekte, von dem wir gerade schon gesagt haben, die sind auch nicht notwendig für die Website, dann ist auch der Tag Manager nicht notwendig. Ich glaube, insofern kommt es schon drauf an, welche Skripte über den Tag Manager verwaltet werden und wie man den dann konkret integriert hat. Mit der Begründung, der tut ja gar nichts, kann man schon versuchen zu argumentieren, naja, das ist hier notwendig, weil uns sonst eine Verwaltung der Webseite so nicht möglich ist oder eine Verwaltung dieser vielen, vielen tausenden Skripte, die wir da ablaufen lassen. Nein, don’t do it! Aber du merkst schon, so richtig zu begründen, dass das ein technisch notwendiger Vorgang ist, ist schon nicht so leicht. Vielleicht kannst du jetzt die Gegenrede antreten, damit ich es leichter habe das den Datenschützern der Mandanten zu verkaufen, aber ganz leicht ist es nicht. #00:29:34.8#

Maik Bruns: Tatsächlich ist es so, wenn du im Tag Marketer beispielsweise Skripte anlegst und Google Analytics dort ausführen lassen willst oder irgendwas anderes, was getrackt werden soll, ich mache jetzt mal stellvertretend Google Analytics, dann ist es nun mal so, wenn der Tag Manager nicht ausgeführt wird, grundsätzlich kann er natürlich auch kein Analytics ausführen. Auf andere Seite ist es so, wenn jetzt jemand zustimmt, dass er Analytics zustimmt, aber der Tag Manager hat noch keine Zustimmung, dann wird Analytics trotzdem nicht ausgeführt werden können. Also das ist halt die Krux dahinter. Der eine oder andere meiner Klienten macht das so, dass er so eine Art Sub-Consent mit da reinbringt. Das heißt, wenn er sagt, gut, wenn jemand explizit auf „Google Analytics zustimmen“ drückt, dann werden wir automatisch den Tag Manager mit freischalten. Und natürlich muss man im Tag Manager dann berücksichtigen, gilt diese Freigabe auch für alle anderen Tools, die dort mit abgegriffen werden. Also wenn beispielsweise Google Ads dann eine Zustimmung hat oder nicht oder Bing Ads eine Zustimmung hat oder nicht, dass dann im Tag Manager dafür gesorgt wird, dass aufgrund des gegebenen Konsens die passenden Tools eben ausgespielt werden und nicht dann einfach gesagt wird, so juhu, jetzt haben wir eine Freigabe, jetzt dürfen wir alles machen. Das wäre natürlich fatal, glaube ich. #00:30:41.0#

Martin Schirmbacher: Klar. #00:30:41.5#

Maik Bruns: Aber man kann das schon sehr dezidiert dort steuern. #00:30:44.2#

Martin Schirmbacher: Genau. Und kann man und muss man. Ich glaube, man muss aus dem Google Tag Manager kein riesiges Drama machen. Man muss den nicht gesondert aufführen und ein einzelnes Opt-In abverlangen und dann vielleicht den Leuten, die bei Analytics Ja gesagt haben, sagen, hey, jetzt musst du aber noch den Tag weniger akzeptieren, sonst kommst du hier nicht weiter. Denn der normale Nutzer, was weiß der, was der Tag Manager ist. Insofern, wenn die halt dem Tracking zustimmen, dann kann man sich schon auf den Standpunkt stellen, dass der Tag Manager dann eben notwendig dafür ist oder von dieser Einwilligung in diese Richtung umfasst ist, also dass der sozusagen praktisch ist und dann eben auch verwendet wird. Da gibt es gar keinen Zweifel, insofern muss man da jetzt nicht eine Tag-Management-Kategorie einführen. Aber ihn von vornherein als notwendig anzusehen, sodass man kein Opt-In braucht, halte ich tatsächlich für schwer begründbar oder schwerer begründbar als die gegenteilige Ansicht. #00:31:45.3#

Maik Bruns: Wie muss denn jetzt so ganz praktisch gesehen mal so ein Cookie-Banner aussehen? Das heißt, wir haben jetzt ein Consent-Management installiert und fragen jetzt auch freundlich, was wir denn alles so dürfen. Da gibt es wahrscheinlich bestimmte, mal vielleicht einen allgemeinen Konsens dazu, wie das auszusehen hat. Wahrscheinlich hat jetzt das BGH nicht diverse Screenshots von Bannern gemacht, die wir uns anschauen können, damit wir die genauso nachmachen, aber wahrscheinlich aus deiner Erfahrung heraus gibt es einiges, was man berücksichtigen sollte. #00:32:11.7#

Martin Schirmbacher: Letzteres ist richtig, es gibt einiges, das man berücksichtigen sollte, aber gibt es Best Practice Cookie Banner? Nein. Also seit dem EuGH-Urteil, wir haben es natürlich nicht gezählt, aber irgendwas zwischen 300 und 500 Cookie-Banner werden glaube ich durch unsere Bildschirme gelaufen sein, und zwar bezahlt. Also nicht in der eigenen Nutzung, das schafft man an einem Wochenende, aber wo wir uns halt angeschaut haben, ob das so in Ordnung ist oder nicht. Und ich glaube, keine zwei waren gleich. Das heißt, es ist tatsächlich so, dass es sehr unterschiedlich ist. Bis jetzt sehen wir auch noch Cookie Banner, die reine Informationen sind. tagesspiegel.de, Berliner Regionale Groß- /Tageszeitung, informiert halt nur über die Cookies. War auch bis vor kurzem tatsächlich auch eine denkbare Empfehlung, das so zu machen. Manche holen eine Cookie-Einwilligung ein, manche holen eine Cookie- und Tracking-Einwilligung ein, manche holen nur eine Tracking-Einwilligung ein. Insofern, auch da gibt es natürlich viele Unterschiede. Spiegel Online, Zeit Online machen es so, dass sie also die schöne Weiche haben, zahl doch oder stimme unserem Tracking zu. Also insofern, da gibt es jetzt sehr, sehr viele Spielarten und man muss sich nur die großen Online Shops anschauen. Also was otto.de da macht, ist sehr spannend. Da können wir gleich vielleicht noch mal darauf eingehen und unterscheidet sich eben sehr von denen, was der FC Bayern macht mit irgendwie einem Cookie-Consent-Tool mit sehr vielen Einstellungsmöglichkeiten für die einzelnen Nutzer. Also insofern kommt es tatsächlich darauf an. Wichtig ist die erste Unterscheidung, habe ich notwendige oder habe ich nicht notwendige Cookies? Wenn ja, brauche ich eine Einwilligung und dann brauche ich irgendeine Form von Zustimmung und die muss nach dem, was der EuGH uns gesagt hat, aufgrund einer transparenten Information erfolgen. Das heißt, ich muss tatsächlich wissen, wo ich da zustimme. Und was sicher nicht so einfach ist, ist, ich bin mit dem Setzen aller Cookies, die ein einer Cookie Policy aufgelistet sind, einverstanden. Weil da verstehe ich nicht als Nutzer, welche Zwecke das eigentlich haben kann und so weiter. Oder einfach dieses, wir setzen Cookies, mit der Nutzung unserer Website erklärst du dich damit einverstanden. Das geht nicht. Ich weiß nicht, wie wir uns jetzt dem nähern wollen. Es gibt … #00:34:43.7#

Maik Bruns: Wir können ja die einzelnen Punkte mal durchhaken. #00:34:45.4#

Martin Schirmbacher: Gerne. Ja. #00:34:45.7#

Maik Bruns: Ich würde mal vorschlagen, wir hatten das Thema vorangekreuzte Häkchen oder vorangekreuzte Felder geht nicht. Also das ist ja eindeutig gesagt worden. #00:34:54.4#

Martin Schirmbacher: Ja, guter Punkt. Habe ich vorhin schon versucht ein bisschen anzulegen, als ganzer Jurist man da doch noch mal reingrätschen kann. Und zwar hat der EuGH gesagt, also vorangekreuzte Häkchen geht nicht. Allerdings war ja die Zustimmung, die ich dort erteilt habe, auch die Gewinnspielteilnahme. Ich habe gesagt, MacBook Air gewinnen, 100 Prozent gratis. Und dann ist mir quasi durch dieses vorbelegte Häkchen untergejubelt worden, wenn man böse sein möchte, diese Einwilligung in diesen Trackingdienst. Etwas anderes, finde ich, kann man schon sagen, dass wenn ich auf einer Webseite bin und mir dort ein Cookie Banner angeboten wird, nehmen wir mal den Lufthansa-Banner, den kennen, glaube ich, in der Marketing-Welt alle. Ich weiß nicht, wie viele Mandanten mich angesprochen haben, sie wollen den Lufthansa-Banner haben. Der ist, für die, die tatsächlich den nicht kennen, so, dass man auf die Website kommt und sich dort das Banner öffnet und ich dann die Möglichkeit habe, alle Cookies zu akzeptieren, die dort im Einzelnen beschrieben sind. Übrigens, wer Lust und Muße hat und mal die Augenbrauen runzeln möchte, muss sich da mal die Einzelheiten anschauen bei der Lufthansa, das ist dann nicht alles Gold, was glänzt. Da ist nämlich Analytics, glaube ich, jedenfalls das letzte Mal, als ich reingeschaut habe, ein notwendiges Cookie. Aber egal, also „alle akzeptieren“ oder Auswahl speichern. Und Auswahl speichern heißt dann, man speichert eben das, was diese drei Häkchen-Felder, die dort neben den notwendigen Cookies, was angehakt ist, schon sozusagen gespeichert ausgewählt ist. Ich habe also die Wahl zwischen Ja und Nein auf dieser Ebene. Jetzt die Frage: Kann ich eigentlich da nicht schon ein Häkchen vorbelegen, zum Beispiel Personalisierung, weil ich vielleicht finde, viele Menschen wollen, dass die Leute einen wiedererkennen, wenn ich auf die Website komme oder dass sie wissen, ich schaue hier immer nur Berlin – München, Berlin – München, dass das da schon voreingestellt ist, so eine Art Personalisierung, Informationen in Cookies abgelegt? Es wäre denkbar, dass die machen „Alle akzeptieren und Auswahl bestätigen“ und dann sind eben von diesen drei Häkchen eines vorgelegt, das Personalisierung. Dann gibt es aber noch Werbung und Tracking. Und da bin ich schon der Meinung, naja, ich gebe mit dem Klick auf den Button „Auswahl bestätigen“ oder „Auswahl speichern“ zu erkennen, ich will, dass genau diese Auswahl, die hier getroffen wurde, meiner Einwilligung entspricht. Das ist schon was anderes als MacBook Air gewinnen. Du verstehst, was ich meine. Insofern halte ich nicht für völlig ausgeschlossen, dass man tatsächlich dort Häkchen vorbelegt. Es ist, das muss man zugeben, natürlich ein dickes Brett, weil Leitsatz, wir haben jetzt gar nicht erwähnt, dass die BGH-Entscheidung bisher noch gar nicht vorliegt, sondern nur die Pressemitteilung dazu, aber Leitsatz, das ist immer so, was das Gericht selber zusammenfasst vorneweg, wird garantiert sein, dass also mit einem vorangekreuzten Häkchen man so eine Einwilligung nicht herbeiführen kann, weil das auch der EuGH schon so gesagt hat. Und da haben wir es natürlich jetzt schon schwer davon wieder wegzukommen. Arbeit ich glaube schon, dass es da auch Möglichkeiten gibt, wenn man will. #00:38:06.6#

Maik Bruns: Das ist halt wie so oft. Natürlich können wir auch ein bisschen Grauzone manchmal ganz gut gebrauchen und auch mal wissen. Wir dürfen uns da ein bisschen frei bewegen. #00:38:14.1#

Martin Schirmbacher: Genau. #00:38:14.5#

Maik Bruns: Wie schade wäre das, wenn wir überhaupt nicht mehr reden dürften. Aber nächstes Thema wäre vielleicht so, wie darf ich denn clustern? Wir hatten schon ein paar Mal gesagt, darf man überhaupt clustern? Darf man zum Beispiel sagen, hey, wir haben bestimmte essenzielle oder funktionelle Cookies, dann haben wir, du hast gerade auch schon gesagt, so Tracking oder Statistik oder einige nennen es auch nur Reichweite. Dann gibt es vielleicht so, nehmen wir das ganze Thema Marketing, was da dranhängt, und vielleicht das Thema Personalisierung, darf man denn einfach so clustern? Hältst du das für sinnvoll? Oder sagst du, um Gottes Willen? #00:38:43.3#

Martin Schirmbacher: Schau dir die Alternative an, Maik. Die Alternative ist, 47 Cookies untereinander und ich kann dann bei jedem Ja, Nein sagen. Oder muss gar, weil sie alle auf Default Nein gesetzt sind, dort einzelne raussuchen. Du kannst ja mal ein bisschen aus dem Nähkästchen plaudern, was so Conversion-Themen angeht, aber da ist sie wahrscheinlich ziemlich sicher Null. Insofern gibt es schon mal eine faktische Notwendigkeit. #00:39:08.6#

Maik Bruns: Und das hat ein Gericht natürlich noch nie interessiert, ob wir dadurch besserstehen. #00:39:11.5#

Martin Schirmbacher: Mag sein, mag sein, genau. Da muss man also auch wieder ein noch dickeres Brett, das Gericht überzeugen davon, dass das wichtig ist. Aber vom Rechtlichen her ist es so, ich muss den Zweck des Cookies angeben und dann auch vielleicht, wie lange ist das gespeichert und so weiter. Aber ich muss nicht mir einzelne Opt-Ins einholen für einzelne Cookies, das steht nirgends. Und Zwecke oder Cookies, die den gleichen Zweck erfüllen, kann ich zusammenfassen und dementsprechend clustern. Auch das ist jetzt nicht die allerspannendste Aufgabe ehrlichgesagt für Juristen, aber manche KollegInnen stöhnen da bei uns, aber auch das gehört natürlich dazu, dass man sich da versucht, schlaue Oberbegriffe zu wählen, die möglichst wenig verfänglich klingen, aber trotzdem noch wirksam sind, dass der Nutzer weiß, was er da sagt, wenn er da Ja klickt. Und dann dürfen da natürlich nur die gleichen Gruppen drinnen sein. Also insofern ist das Clustern zulässig, es ist in gewisser Weise sogar notwendig, das halte ich also für absolut legitim. Macht aber, auch das sehe ich jetzt immer wieder, Leute, die fette Cookie-Consent Tools einsetzen und wenn ich sie dann frage, was jetzt eigentlich die dritte Kategorie sein soll, denn wird es schon langsam dünn, weil die haben nämlich nur Google Analytics und Google Ads auf der Seite, dann brauche ich nicht so ein fettes Cookie-Consent-Management und keine Cluster-Bildung. Das kann ich dann mit einem abhaken, könnte ich sogar einfach einen Text schreiben. #00:40:38.5#

Maik Bruns: Dann gibt es natürlich noch andere Möglichkeiten der kreativen Gestaltung solcher Banner. Also zum Beispiel, wir reden auch gelegentlich mal über das Thema Nudging, also zum Beispiel, wie kann ich ein Banner so gestalten, dass psychologisch wirksam möglicherweise genau die eine Option gerne gewählt wird oder die andere vielleicht auch gen Unsichtbarkeit geht. Was ist da zulässig? #00:41:01.9#

Martin Schirmbacher: Da hast du es jetzt eigentlich schon ein bisschen angesprochen. Ich glaube, die erste Frage ist, muss ich überhaupt auf der Startseite oder auf Pageview 1 ein Ja, Nein anbieten? Also der berühmte Lufthansa Banner läuft darauf hinaus, ich habe die Möglichkeit „Alle auswählen“, also „Alle akzeptieren oder keine auswählen und speichern“, wenn die nicht irgendwas vorbelegen dort. Die Frage ist aber, muss ich das überhaupt machen? Kann ich nicht, jetzt zweiter Begriff, die Adidas-Lösung wählen? Das ist nämlich das, die immer als Zweites kommen, die dann so aussieht wie „Tracking akzeptieren und Einstellungen vornehmen“. Also das, was ich immer liebevoll als „Ja, vielleicht“-Lösung bezeichne, „Ja“- versus „Vielleicht“-Lösung bezeichne. Und dann auf der zweiten Ebene dann die Möglichkeit habe, da sozusagen Einstellungen vorzunehmen und bestimmte Sachen ein- oder auszuschalten. Und ich bin der Meinung, das muss weiterhin gehen, aber Kollegen bei mir im Büro sind da anderer Meinung. Also da wird es auch garantiert Entscheidungen dazu geben, ob es eigentlich eine zulässige Möglichkeit ist oder nicht, da so eine Weiche zu machen und dann eben auf der zweiten Seite erst das Nein zu ermöglichen. Ich glaube, wie gesagt, hängt von der Conversion ab, aber ich könnte mir vorstellen, dass genau da so ein bisschen die Sollbruchstelle ist. Also, wenn ich auf der ersten Seite Nein sagen kann, sage ich immer Nein. Wenn ich auf der ersten Seite aber nur Einstellungen vornehmen kann, dann hängt es sehr von der Tagesform ab, ob ich mir jetzt da irgendwie Mühe mache, da irgendwelche Einstellungen vorzunehmen. Insofern ist das glaube ich schon eine Variante. Wenn ich also dazu komme, dass sich dieses Nudging und dann noch nudge und das Tracking-Button ganz groß und „Einstellungen vornehmen“ ganz klein. Oberste Maxime muss sein, ich habe eine freiwillige Einwilligung aufgrund transparenter Informationen, nur dann ist die Einwilligung wirksam. Wenn ich es übertreibe und „Ablehnen“-Button ist so klein, ist ein Pixel mit einem Pfeil dran, dann ist die Einwilligung nicht mehr freiwillig, weil die Leute davon ausgehen müssen, dass das keine freiwillig erteilte Einwilligung ist, weil sie gar nicht die Alternative gesehen haben. Also das ist sozusagen der Scheidepunkt. Und da sagen manche Datenschutzbehörden, naja, also wenn du nicht eine klare „Ja, Nein“-Variante hast, dann ist das nicht mehr freiwillig. Das halte ich für falsch. Dass die Datenschutzbehörden das so sehen und möglichst wenig Tracking haben wollen, ist klar. Denen liegt ja auch der Datenschutz am Herzen, uns liegt das Tracking vielleicht am Herzen, jedenfalls den Kunden und Mandanten. Aber insofern ist ein Nudging, wenn es nicht übertrieben wird, zulässig. #00:43:47.6#

Maik Bruns: Weil die harte Variante, du kommst auf eine Seite, es öffnet sich ein sehr großes Banner und du kannst die Seite im Prinzip gar nicht nutzen, ohne dass du jetzt hier irgendwas machst. Ist das erlaubt, ist das okay? #00:43:58.4#

Martin Schirmbacher: Absolut. Es ist ja meine Seite. Bei mir müssen zum Beispiel die Leute die Schuhe ausziehen, wenn sie zu mir nach Hause kommen, und sie haben die Wahl wieder zu gehen, wenn es ihnen nicht passt. Die VIPs lasse ich vielleicht auch so rein. Aber auf meiner Website kann ich natürlich schon erst mal die Entscheidung treffen lassen. Mein Beispiel hinkt insofern, als ich gesagt habe, du darfst gar nicht auf die Seite. Dein Beispiel ist eher, ich muss mich entscheiden, lasse ich die Schuhe an oder ziehe sie aus, mehr wird gar nicht von mir erwartet. Das heißt, ich kann natürlich die Nutzer vor die Wahl stellen, durch eine konkrete Abfrage, was möchte ich jetzt hier eigentlich? Dagegen ist nichts einzuwenden. Schwieriger ist die Frage, die ich jetzt gerade schon vermengt habe, nämlich darf ich die Leute abweisen, wenn sie den Cookies nicht zustimmen? Und da hängt es jetzt glaube ich von ab, es gab wunderbar Anfang Oktober shop.bmw.de, ist jetzt leider for ever in meinen Folien drin, die halt tatsächlich einen Cookie Banner hatten, haben es inzwischen geändert, wo sie halt wirklich, das ist meine „Ja, fuck you“-Variante, wo die frech gesagt haben „Für die Nutzung unserer Website musst du hier zustimmen. Bitte sei hier mit allem einverstanden. Wenn nicht, www.google.de“, oder „bmw.de“, wo dann irgendwas anderes ist. Da ist jetzt auch die Frage, muss ich den Nutzern eine Nutzung meiner Wohnung in Straßenschuhen ermöglichen oder dem Tracking eben zustimmen oder kann ich sozusagen die abweisen, wenn sie sich sozusagen nicht an meine Vorgaben halten. Da wird man bei einem Online-Shop, wie es BMW dann eben ist, sagen müssen: Wenn du dir das leisten kannst, wenn du so eine riesige Brand bist, dass du den Leuten sagen kannst, komm, dann gehe halt einen Mercedes kaufen, dann mach es halt so. Während wenn ich eine Bank bin und meine Bankkunden kommen an ihr Konto nur noch ran, wenn sie dem Tracking zustimmen, oder wenn ich eine Krankenkasse bin und meine Mitglieder kommen an ihren Account oder an Informationen, zum Beispiel meine Telefonnummer, nur noch ran, wenn sie dem Tracking zustimmen, ist das sicherlich eine andere Geschichte. Da kann ich das dann nicht machen. Aber deine Frage war eigentlich, kann ich sozusagen so ein vorgeschaltetes Cookie Banner haben, wo ich eine Entscheidung treffen muss? Absolut. Und ich könnte mir fast vorstellen, dass das sogar besser konvertiert als so ein Banner, der immer mitläuft und dann irgendwann mal weggeklickt wird. Weiß ich nicht, ob man nicht so eine Entscheidung machen kann. #00:46:38.8#

Maik Bruns: Tatsächlich ist das auch so. Ja, tatsächlich ist es so. In meinen Augen bildet sich gerade eine neue Disziplin im Online-Marketing aus, weil wenn du auf das Tracking angewiesen bist und wirklich auf Zahlenmaterial angewiesen bist, das eine gute Qualität hat, dann brauchst du möglichst viel Zustimmung. Weil, wenn du jetzt eine millionenschwere Entscheidung triffst und nur 30 Prozent der Daten hast, dann hast du immer ein ziemliches Bauchgrummeln, ob das wohl die richtige Entscheidung ist, weil du weißt nicht, wer sind denn die 70 Prozent, die nicht zugestimmt haben? Vielleicht sind das deine eigentlichen Kunden gewesen. Das ist das Schwierige dahinter und das macht Online-Marketing auch so schwer, weil du weißt einfach nicht, was du nicht weißt, wenn du nicht alle Daten hast. Und das ist das Schwierige. Das heißt also, das, was ich meinen Kunden immer mitgebe, ist jetzt, kümmert euch darum, dass ihr eine möglichst hohe Zustimmungsrate bekommt. Und da muss man jetzt auch ehrlicherweise sagen, jetzt ist noch eine gute Zeit, um das auch zu testen ein Stück weit, bevor es wirklich am Ende vielleicht eine komplette Klarheit gibt wie das Ding auszusehen hat. Weil wir haben einfach und wir brauchen Zeit, um das zu messen und zu testen. Wir merken jetzt schon, dass es eben graduelle Unterschiede gibt. Was du schon gesagt hast, wenn unten links mein Banner Benno aufpoppt, interessiert das einfach keinen Menschen, dann kannst du Website weiterhin benutzen. Dahingegen, wenn du relativ prominent auftrittst mit dem Aufruf der ersten Seite direkt und vielleicht sogar noch so eine Art Dark-Pattern drumherum machst und nicht alles von der Website sehen kannst, du kannst die Website nutzen, was eine gute Voraussetzung auch grundsätzlich ist, aber die Leute sehen, hier ist erst mal ein optisches Hindernis. Und dass sie sich grundsätzlich erst mal auch vom Kopf her erst mal entscheiden müssen, was sie da tun. Und dann auch noch relativ gut und psychologisch wirksam das so hinzukriegen, dass die Leute auch gerne sagen, ja, ich stimme hier allem zu, was du hier sagst. Das ist eine große Kunst und die ist auch nicht auf jeder Webseite gleich zu behandeln, weil Nutzerschaft ist sehr unterschiedlich. Weil auf der einen Seite hast du vielleicht superviele Senioren, auf der nächsten Seite sind superviele junge Leute, die mit Tracking großgeworden sind, die das vielleicht gar nicht so interessiert. Dann gibt es Leute, die sind sehr techy, die haben Ad-Blocker installiert, was auch immer, da passieren Unterschiede. Und dem muss man auch irgendwo Rechnung tragen. Aber das tun wir und das ist etwas, was uns noch eine Weile beschäftigen wird bis wir eine gute Lösung für sowas wie Best Practice gefunden haben. Ich glaube, aktuell ist das noch schwer. #00:48:47.6#

Martin Schirmbacher: Ich bezweifele ehrlichgesagt, dass wir auf absehbare Zeit Best Practice kriegen, weil wirklich sich die Dinge auch ein bisschen auseinanderentwickeln. Schaut euch mal otto.de an, das finde ich wirklich bemerkenswert, was die machen. Otto arbeitet mit der Hamburgischen Datenschutzbehörde zusammen, die sind dort also gut gelitten und sind da eher vorsichtig nach meiner Beobachtung von außen. Und was die halt machen, ist, dass sie einen kleinen Cookie Banner machen unten, wo ein großes „Okay“ einen anblinkt und dann steht ein kleiner, nur zwei Zeilen Text „Wir brauchen deine Zustimmung bei vereinzelten Datennutzungen, um dir Information zu deinen Interessen anzuzeigen. Mehr Infos zur Einwilligung gibt es hier.“. Dann ist verlinkt auf die Einwilligungserklärung und dann „Du kannst mit einem Link ‚Cookies ablehnen‘ deine Einwilligung auch ablehnen.“. Also sprich, ich habe schon die Möglichkeit Ja, Nein, aber krasser kann ich eigentlich nicht nudgen. Weil ich kann da eigentlich nur „Okay“ sehen, da steht irgendwie „Cookies okay“, so ein Cookie Icon, also so ein Keks-Icon. Und ganz im Kleingedruckten, im wahrsten Sinn des Wortes, steht dann eben „Ablehnen“. Ich meine, die Argumentation dort ist auch relativ klar. Moment mal, es steht hier schwarz auf weiß, dass wir machen, was wir von euch wollen und du hast hier die Möglichkeit Nein zu sagen. Und wenn du das nicht machst, sondern „Okay“ klickst, ist es deine Sache. Und das ist natürlich etwas ganz anderes als der Lufthansa Button, wo die beiden Buttons dann eben doch gleichgroß sind. Und wenn man das einmal falschgemacht hat und dann trotzdem nochmal gefragt wird, man dann im Zweifel auf „Auswahl bestätigen“ und damit den „Cookie ablehnen“ Banner drückt. Insofern glaube ich schon, dass da einfach viele Varianten im Markt unterwegs sind und es sehr davon abhängt, wie man da in seinem Unternehmen sich da wie entschieden hat. Also in der Beratung sehen wir manchmal so riesige Vorbehalte von den Datenschützern vor allem, oder auch einfach so geschulte Marketingleute, die seit Oktober gar kein Tracking mehr machen. Ein schönes Beispiel auch der E.ON Banner. Da ist „Bestätigen“ und „Ablehnen“ ist in Rot, in den E.ON Farben gehalten. Also mich würde wundern, wenn die mehr als 10 Prozent Leute haben, die auf „Bestätigen“ klicken, weil es einfach so schreit danach „Nein“ zu sagen. Naja, also insofern haben wir da schon viele verschiedene Varianten und ich bezweifele, dass wir da innerhalb des nächsten Jahres da eine Einheitlichkeit hinkriegen. Die gibt es übrigens im Ausland auch nicht. Ich meine, in England, in Holland haben wir diese Regelung schon seit Jahren, seit 2011 umgesetzt in nationales Recht und trotzdem gibt es da immer noch Seiten, wo ich draufkomme und wo man den Eindruck hat, ich muss gar nichts zu Cookies sagen. Und andere, wo ich da erst mal 11 Klicks machen muss, bevor ich auf die Seite komme. #00:51:51.4#

Maik Bruns: Das gilt natürlich auch da überall erstmal, wo kein Kläger, da kein Richter wahrscheinlich. #00:51:56.2#

Martin Schirmbacher: Absolut. #00:51:56.4#

Maik Bruns: Sicherlich, man kann nicht erwarten, glaube ich, dass alle Menschen auf diesem Planeten mal irgendwann eine Abmahnung kassieren, weil sie vielleicht keinen Cookie Banner haben, das wird wahrscheinlich schwer. Aber gleichwohl, wenn wir jetzt mal drüber nachdenken, und es gibt diverse Anbieter auch von Consent-Management Tools, also ich möchte einfach mal ein paar hier in den Ring werfen, wo ich sage, naja, im Grundsatz machen die ganz ordentliche Arbeit, jedes so ein bisschen auf seine Art und Weise. Also meine Kunden nutzen zum Beispiel häufiger Usercentrics oder Consent Manager. Es gibt aber auch Leute, die Cookiebot nutzen oder Borlabs Cookie oder OneTrust. Es gibt diverse Anbieter, die sich mittlerweile dem Thema verschrieben haben. Und ich sag dann immer so schön, ich glaube, die kommen vor Lachen grad nicht in den Schlaf, weil das ist natürlich jetzt ein Thema, was sehr geldgetrieben auch werden kann plötzlich auf der Gegenseite. Mich wundert allerdings dahingegen, wenn man mal so überlegt, was gibt es denn für Tools und wie stellen die sich so auf, dass so wenige wirklich gute Anpassungsmöglichkeiten ihrer Banner zeigen. Es gibt in vielen Stellen leider sehr restriktive Handhabe und meine Empfehlung ist dann immer, sich zum Beispiel um Tools zu bemühen als Unternehmen, die eben eine gute Anpassbarkeit dieser Banner auch ermöglichen. Wo das nicht so statisch ist, wo du nicht vielleicht nur ein oder zwei Optionen hast, sondern wo du die Farben ändern kannst, wo du auch mal die Buttons von links nach rechts schubsen kannst oder die (unv. #00:53:14.3#) der Buttons (unv. #00:53:15.3#) kannst. #00:53:15.6#

Martin Schirmbacher: Die meisten werben damit, dass sie viele Anpassungen zulassen, aber in der Praxis sieht man eben dann doch dem Banner schon an, welches System darunterliegt. Also ehrlichgesagt, ich werde natürlich immer gefragt, ich habe jetzt aufgehört, mich dort zu äußern, ich sage, ihr müsst die vor allen Dingen testen, ob da auch auf der zweiten Seite dann Cookies nicht gesetzt werden oder wenn du über irgendeinen Deeplink einsteigst, das trotzdem funktioniert. Wir arbeiten mit einer kleinen Berliner Agentur zusammen, die jetzt, weil sie verzweifelt waren von den Implementationen bei deren Kunden, angefangen haben, eine eigene Consent-Lösung zu entwickeln, die einen ein bisschen anderen Weg nimmt. Nicht die versucht die Skripte und Cookies zu blocken, sondern die erst mal ausbaut aus der Seite und erst deployt, wenn die Nutzer dort irgendwie die gewünschte Interaktion gezeigt haben, sodass man wenigstens sicher ist, es funktioniert tatsächlich und ich kann mich darauf verlassen, dass da jetzt nicht durch irgendeinen Fehler im Tool dann doch die Cookies gesetzt werden. Weil nichts ist blöder als eine Einwilligung abzufordern und noch bevor die Einwilligung gegeben wurde, sind die ganzen Cookies alle schon da. Das passiert leider auch in der Praxis, das ist gar nicht so selten. #00:54:27.5#

Maik Bruns: Oder eben umgekehrt, was auch passiert, was auch schlechte Implementierung mit sich bringt leider, das heißt, du betrittst deine Seite und holst den Consens erst sehr viel später ab und dadurch gehen dir zum Beispiel sehr viele Kampagnen-Links flöten. Das heißt, du erkennst, wenn du auf einer zweiten, dritten Seite erst zustimmst, wenn du da nichts gegen tust, dann wirst du deine Kampagnenzuordnung nicht mehr haben können. Das heißt, du weißt nicht mehr, wo der Nutzer grundsätzlich herkam, weil du die erste Seite verpasst hast. Auch solche Dinge, finde ich, muss man irgendwo berücksichtigen, dass man zum Beispiel zumindest in einem möglicherweise technisch notwendigen Cookie vielleicht sogar erst mal eine Sache abspeichert für sich, für die Website selber, was der ursprüngliche Referrer war. Also ohne, dass wirklich ins Tracking (unv. #00:55:09.6#) zu übergeben, aber vielleicht zunächst mal auch zu sagen, okay, wir brauchen diese Informationen grundsätzlich nochmal, um vielleicht auch gegebenenfalls irgendwo Affiliate-Provisionen nachher zahlen zu können überhaupt. Und da hängt es sicherlich auch so ein bisschen vom Unternehmen ab, was da am Ende zulässig ist und was nicht. Nur, um sowas kümmern sich viele nicht, weil die sagen, das Tool hat es nicht hingekriegt. Aber ich glaube einfach, man muss das einfach gut und sauber implementieren oder implementieren lassen, und dann wird schon vieles viel, viel besser und die Datenqualität leidet nicht so stark. Auch im Vorgespräch hattest du mich mal gefragt, wie es so erfahrungsgemäß mit Zustimmungsraten aussieht. #00:55:43.3#

Martin Schirmbacher: Ja, absolut. #00:55:44.1#

Maik Bruns: Das ist ein sehr heikles Thema, weil das hängt tatsächlich extrem davon ab, wie du implementierst. Ich hatte grad schon gesagt, wenn du links unten irgendwo dein kleines Banenr mit dem lustigen Icon dahinsetzt, dann wird kein Mensch zustimmen. Das ist auch so, da hast du wirklich extrem miese Raten. Das habe ich gelegentlich mal gesehen bei Kunden, die das vielleicht anfänglich mal so implementiert haben. Da siehst du einfach so, die haben 10, 20 Prozent der Daten. Weil das interessiert einfach keinen Menschen, also da mal zuzustimmen macht keiner freiwillig. Du musst die Leute schon damit konfrontieren. Und dann werden die Raten auch höher und im Durchschnitt sind wir irgendwie so bei 50 bis 70 Prozent. Das ist okay, aber auch nicht mehr. #00:56:20.1#

Martin Schirmbacher: 50 bis 70, die Ja sagen, oder 50 bis 70, die überhaupt interagieren, die Ja sagen? #00:56:23.2#

Maik Bruns: 50 bis 70, die Ja sagen. Also interagieren tun tatsächlich wesentlich mehr, abhängig davon, wie du dein Banner platzierst. Das sind dann auch bis zu 90 Prozent, die grundsätzlich interagieren. Das finde ich erst mal einen sehr guten Wert, aber da musst du natürlich gucken, welche Zustimmung holst du dir da ab und wie argumentierst du. Machst du es jetzt so ein bisschen auf die lustige Art und Weise oder machst du es sehr ernst uns sagst, das ist ganz seriös. Das hängt davon ab, welche Website du bist, ob du jetzt eine Bank bist oder ob du eher vielleicht die News-Seite von nebenan bist. So kannst du sehr unterschiedlich arbeiten. Aber 50 bis 70 Prozent ist okay, mit graduellen Unterschieden, vielmehr aber nicht. Und jetzt kommt es natürlich auch wirklich … Da muss man noch ein bisschen dran arbeiten. #00:57:03.0#

Martin Schirmbacher: Ich höre immer so 30. Also gerade die Mandanten, die jetzt eingebaut haben „Ja“, „Nein“ und dann kannst du noch so nudgen wie du möchtest, wenn ich die Möglichkeit habe, auf der ersten Seiten das wegzuklicken und damit „Nein“ zu sagen, dann wird diese Möglichkeit auch genutzt werden. Da bin ich überzeugt davon. Und dachte ich, naja, 30 Prozent ist gar nicht mal so schlecht dafür, dass sie wirklich einen jetzt nicht übermäßig versteckten „Nein“-Button haben. #00:57:29.1#

Maik Bruns: Es hängt sehr viel daran und deswegen sollte eigentlich jedem Marketer auch daran gelegen sein, wenn ihr mit den Daten arbeitet, also sprich, du hast beispielsweise einen Facebook-Button irgendwo laufen und dieser Facebook-Button checkt, ob deine Werbeanzeige grundsätzlich zum Erfolg geführt hat am Ende. Das heißt, wenn der Button oder wenn das Pixel, meinte ich, wenn das Facebook-Pixel das nicht trackt, dann wird deine Facebook-Kampagne ins Leere laufen oder Facebooks‘ Algorithmus wird in die falsche Richtung optimieren können, weil er die ganze Zeit denkt, das führt nicht zum Erfolg. Vielleicht tut es das aber trotzdem. Das heißt, du wirfst da richtig Geld rein und es kommt nicht zurück. Das Gleiche gilt für Google Ads beispielsweise oder wenn du irgendwelche anderen Kampagnen fährst und mit Google Analytics verzweifelt versuchst da den Erfolg herauszufinden und du denkst, naja, hatte wohl keinen Erfolg, war keiner da und hat abgeschlossen oder uns eine E-Mail-Adresse gegeben oder was auch immer, und jetzt steckst du dein Geld in eine andere Kampagne, weil du dir davon mehr Geld versprichst oder mehr Erfolg. Das kann wirtschaftliche Folgen haben, die nicht ganz ohne sind, finde ich, wenn du bisher sehr stark data driven warst. Viele Unternehmen sind es nicht, die sind auf dem Weg dahin. Wird ihnen dadurch natürlich auch nicht leichter gemacht data driven zu werden. Dafür bin ich mich der Meinung, deswegen sollte diese Disziplin, so dieses, Consent Management Optimization würde ich es mal nennen, das ist so eine Disziplin, die wird sich immer weiter nach vorne tun und jetzt gerade so in der Anfangszeit richtig auch notwendig sein, um überhaupt mal irgendwas zu verbessern. Oder vielleicht braucht es auch beim Nutzer einfach noch ein bisschen mehr Gewöhnung, sozusagen, naja, obwohl ich hier auf „Ja“ geklickt habe, ist das Internet nicht kaputtgegangen. Und ich glaube, vielleicht müssen wir auch ein bisschen auf den Gewöhnungseffekt bei Nutzern hoffen oder auf den Hass auf diese Banner, weil wir sie ja wiedersehen und irgendwann können wir sie einfach nicht mehr sehen oder wir klicken sie aus Gewohnheit dann irgendwie, so schwer das ist, dann vielleicht auch das Nein. Da werden wir wahrscheinlich noch ein bisschen abwarten müssen bis wir da wirkliche Erfahrungswerte haben. #00:59:17.9#

Martin Schirmbacher: Das ist natürlich der eigentliche Skandal, zu dem sind wir gar nicht gekommen, dass wir jetzt allen Ernstes größere Teile unseres Lebens damit verbringen, uns überhaupt mit Cookie Bannern zu befassen. Das ist natürlich schon, also es ist einfach ein Skandal, dass es eine europäische Vorschrift gibt, die in ganz Europa gilt, die uns dazu zwingt, also dass erst mal Millionen versenkt werden, sich damit zu befassen, wie gestaltet man diesen Banner aus. Okay, das ist noch für einen guten Zweck für manche, für dich und mich zum Beispiel. Aber dass es nun Milliarden Nutzer gibt jeden Tag, die dann immer wieder diese Banner wegklicken müssen. Und wenn du „Nein“ sagst, dann wirst du auch immer wieder gefragt logischerweise. Also allein auf dem Handy, das kann doch alles nicht unser Ernst sein, dass das eben jetzt sozusagen die Alternative ist. Und das ist der Grund, warum man jetzt vor der ePrivacy-Verordnung auch nicht übermäßig Angst haben muss, weil irgendetwas Sinnvolleres muss da schon kommen. Aber wie der Weg aussieht und ob es dann die ePrivacy-Verordnung überhaupt geben wird, ist auch offen, also das wissen wir auch noch nicht. Es gibt ja auch keine ganz gescheiten Vorschläge, weil wenn ich sage, es kommt auf den Browser an, was immer wieder kolportiert worden ist, Browser ist sozusagen Opt-Out default und ich muss alles einzeln einstellen, wenn ich das doch möchte, ja, das wird wohl auch darauf hinauslaufen, dass mich dann die Großen, die eh einen Zugang haben zu mir, dann immer öfter fragen, ob ich denn nun will oder nicht. Und dementsprechend den Großen den Vorteil verschaffen wird gegenüber den kleinen Shops, die das sich vielleicht nicht leisten können, wenn es keine Banner mehr gibt, dann auch noch die Leute zu fragen. #01:01:00.4#

Maik Bruns: Vielleicht hätten wir uns nie über diese Themen unterhalten müssen, wenn es nicht immer wieder schwarze Schafe gäbe, die das bis zum geht nicht mehr ausnutzen. Aber so ist das nun mal und dafür gibt es auch Rechtsprechungen und das ist auch gut so. Ich bin auch großer Fan davon zu sagen, dass Datenschutz zum Game gehört, weil wir können uns darüber beschweren, aber letztendlich gehört es zum Spiel dazu und wir müssen nach Spielregeln spielen. Das heißt, es hilft nichts, das abzulehnen oder doof zu finden, weil wir müssen es einfach berücksichtigen und implementieren und fertig aus. Das sind die Regeln (unv. #01:01:27.2#) #01:01:27.5#

Martin Schirmbacher: Ja. Und die sind in gewisser Weise, jetzt bei den Cookie-Bannern kann man sich allerdings schon fragen, ob das so sinnvoll ist, aber im Großen und Ganzen ist natürlich schon der Datenschutz für einen gut Zweck. Also es mag Leute geben, die weiter nach der Maxime leben, ich habe nichts zu verbergen, mir doch egal, habt doch meine Daten alle, aber dass jetzt Unternehmen nicht einfach machen können mit den Daten, an die sie irgendwie herankommen, was sie wollen, ist eigentlich schon eine gute Sache, muss man schon so sagen. Weil da sind wir nun alle, auch Berater und oder Unternehmer dann gleichzeitig Konsumenten, die auf irgendwelchen anderen Seiten unterwegs sind und dann da vielleicht ihre Vorlieben haben. #01:02:08.1#

Maik Bruns: Martin, sehr schön, sehr erhellend. Ich glaube, wir haben schon eine ganze Menge besprochen. Viele da draußen werden von uns einiges gelernt haben, nehme ich mal an. Vor allem jetzt von dir, weil du echt viele Insights gegeben hast. Ich würde dich zum Abschluss vielleicht noch mal fragen, vielleicht noch mal so gebündelt, so deine 3 Tipps zu dem ganzen Thema, wo du sagst, ja, macht das so und alles wird gut. #01:02:31.5#

Martin Schirmbacher: Alles wird gut. Gutes Stichwort. Macht es so und alles wird gut setzt voraus, dass man damit mal anfängt. Also jetzt allerspätestens, also es gibt noch einen (unv. #01:02:42.8#) vielleicht, den man noch abwarten könnte, das ist, wenn die schriftliche Urteilsgründe des BGH da sind, da hätte man jetzt noch sozusagen einen Punkt zu sagen, darauf warte ich noch. Aber wir haben schon nach dem EuGH-Urteil gesagt, fangt jetzt an, euch damit zu befassen, spätestens du hast gerade gesagt, jetzt sei eine gute Zeit noch mal ein bisschen zu testen, weil das vielleicht auch noch mal sich jetzt ein bisschen zurechtschiebt. Nutzt diese Zeit, fangt jetzt an und wartet damit nicht noch ein Jahr. Punkt 2: Wir haben über Cluster-Bildung gesprochen, wir haben darüber gesprochen, wie das jetzt genau implementiert wird, welches Tool ich dort anwende. Ich glaube, das ist tatsächlich ein wichtiger Punkt. Noch wichtiger ist aus meiner Sicht, dass man tatsächlich auf den Text achtet, der diese Einwilligung einholen soll. Vieles, was ich sehe, was als Einwilligung gedacht ist, ist gar keine Einwilligung, sondern da steht dann irgendwie „Mit dem Weitersurfen erklärst du dich einverstanden“ und dann „Okay.“ Okay ist nicht die Einwilligung oder vielleicht auch schon, kommt halt auf den Text an. Insofern würde ich tatsächlich sagen, gebt euch viel Mühe mit diesen Texten, Kleinigkeiten machen da Unterschiede, was die rechtliche Zulässigkeit angeht. Und dann noch ein Punkt, der ist leider Spät-News: Man muss den Cookie Banner wie auch die Datenschutz-Informationen auf der Webseite als laufendes Projekt als Work in Progress verstehen. Wenn ich neue Tools einbinden möchte in meine Website, weil die Agentur wieder mit dem neuesten Schrei von der Messe, so es die denn gibt, gekommen ist, dann hat es Implikationen auf meinen Cookie Banner. Da muss ich zusehen, wie ich das da jetzt eingebaut bekomme, ob ich das in irgendein bestehendes Segment mit einbauen kann oder ob ich da vielleicht was anderes machen muss, ob ich das vielleicht aufbohren muss und ganz anders gestalten muss. Insofern, es ist leider so, das ist nicht, wir machen jetzt den Cookie Banner und dann machen wir einen Haken dran und sind damit fertig, sondern das ist etwas, was das Marketing oder der E-Commerce, je nachdem wer dafür verantwortlich ist im Unternehmen, auf dem Schirm haben muss und sich immer wieder leider damit befassen muss. #01:04:53.0#

Maik Bruns: Perfekt. Sehr gute Tipps. Jetzt habt ihr einiges gehört, über eine Stunde zu dem Thema. Aber ich fand es supersuperwertvoll und ich bin mir absolut sicher, dass da draußen Unmengen Hörer, vielleicht Millionen jetzt an unseren Lippen gehangen haben, die sie nicht sehen, aber die uns immer unsere Worte wiedergeben. Wenn du wissen willst, wie man sowas auch in deinem Shop umsetzt, wie du deine 50 bis 70 Prozent Zustimmungsrate bekommst und nicht nur 10 Prozent, dann ruf uns doch einfach mal an www.metrika.de. Oder wenn du wissen willst, dass deine Recht-Texte richtig sind und vernünftig sind und dass da wirklich mal jemand mit Ruhe draufguckt und mit einem vernünftigen Hintergrund, dann lässt du einfach Martin und sein Team drüber schauen, die wissen auch genau wie das geht. Es war eine superinteressante Folge, auch für mich, muss ich sagen, weil natürlich ist nach so einem Urteil auch bei mir, da brennt erstmal das Online-Marketing-Herz und man denkt immer so, mein Gott, geht’s denn noch, können wir denn uns mal über andere Dinge unterhalten. Aber muss halt sein. Und deswegen herzlichen Dank, Martin, dass du da warst. Ich gebe dir gerne noch mal das letzte Wort und liebe Hörer, wir hören uns dann in zwei Wochen wieder bei der nächsten Folge von „Die Sendung mit der Metrik“. Mach’s gut. Bis dahin. #01:05:55.6#

Martin Schirmbacher: Super. Vielen Dank, lieber Maik. Es hat mir sehr viel Spaß gemacht. Der Austausch mit dir ist ja ohnehin immer super. Conversion-Raten sehen wir halt nicht und kriegen dann immer nur enttäuschte Gesichter von den Mandanten. Insofern ganz toll, herzlichen Dank und allen da draußen frohes Umsetzen und Spielen mit den verschiedenen Optionen. #01:06:16.0#

Abonniere auf Android Abonniere auf iTunes

Über
Letzte Artikel

Maik Bruns

Geschäftsführer bei Metrika GmbH

Maik Bruns ist nicht nur ein erfahrener Webanalyse-Profi und -Trainer, er ist der persönliche Erfolgs-Architekt für unsere Kunden.

Gemeinsam mit seinem engagierten Team verfolgt er eine klare Mission: Mehr als nur Webseiten zu optimieren – er will Businesses transformieren und datenbasiert Online-Wachstum bringen.

Sein exzellentes Hintergrundwissen aus Marketing, Technik und Analyse ist bei der Optimierung von Websites immer wieder gefragt und mit seiner Art hat er viele Unternehmen für Webanalyse und Growth Marketing begeistert.

LinkedIn Facebook Instagram XING

Letzte Artikel von Maik Bruns (Alle anzeigen)

#94 "Ein Urteil zu Cookies mit Folgen - Was sich nach dem Planet49-Urteil in Deutschland ändert" - Mit Dr. Martin Schirmbacher

#94 "Ein Urteil zu Cookies mit Folgen - Was sich nach dem Planet49-Urteil in Deutschland ändert" - Mit Dr. Martin Schirmbacher

Shownotes

Allgemein

Das war die Folge “Ein Urteil zu Cookies mit Folgen – Was sich nach dem Planet49-Urteil in Deutschland ändert” – Mit Dr. Martin Schirmbacher

Jetzt mit uns datenbasiert Ihr Online-Wachstum beschleunigen.

Hier können Sie uns finden

Shownotes

Allgemein

Das war die Folge “Ein Urteil zu Cookies mit Folgen – Was sich nach dem Planet49-Urteil in Deutschland ändert” – Mit Dr. Martin Schirmbacher

Passend zum Thema: