Wir bedanken uns für die tolle Zusammenarbeit im vergangenen Jahr und wünschen all unseren Kunden, Geschäftspartnern und Freunden frohe Weihnachten und ein gutes neues Jahr 2020! Auch im nächsten Jahr freuen wir uns auf spannende gemeinsame Projekte, Kooperationen und nette Gespräche bei einem Wissensdurst.

Dieses Jahr steht Weihnachten für FELD M im Zeichen von Nachhaltigkeit und Klimaschutz. Wir möchten einen aktiven Beitrag leisten, den Klimawandel für nachfolgende Generationen einzudämmen. Deshalb verschicken wir in diesem Jahr keine traditionellen Karten aus Papier, sondern bleiben digital.

Mit unserer diesjährigen Spende unterstützen wir die Aufforstungsprojekte von Plant-for-the-Planet. Das ist eine globale Bewegung mit einem großen Ziel: auf der ganzen Welt sollen Bäume gepflanzt werden, um die Klimakrise zu bekämpfen. Denn wenn 1 Billion Bäume gepflanzt werden, verschaffen wir uns einen Zeitjoker von rund 15 Jahren. Diese Zeit müssen wir nutzen, um die CO2-Emissionen zu reduzieren.
Über 100.000 Kinder sind weltweit für Plant-for-the-Planet aktiv. Ein Großteil von Ihnen engagiert sich als Botschafter für Klimagerechtigkeit. Die Kinder im Alter von 9 bis 12 Jahren bilden an Akademien weitere Kinder zu Botschaftern aus.

Mehr zum Projekt gibt es hier: www.plant-for-the-planet.org

Frohe Weihnachten vom gesamten FELD M Team

Maciek

Thomas

Ines

Petra

Verena

David

Alan

Adam

Ronny

Philipp

Sven

Zofia

Bernhard

A/B Testing

Nils

Linda

Tim

Christian

Askar

Eric

Simon

Piotr

Olivia

Diana

Matthias

Claes

Conversion Rate Optimierung

Marco

Laura

Isa

Hannes

Ramona

Nadine

Iwan

Michael

Lutz

Alex

David

Kai

Abi

Michaela

Matthias

Jessica

Felix

Eliot

Sophia

Simon

Erik

Katja

Elisabeth

Andreas

Andrea

Eva

Florian

Luiz

Shiva

Marc

Lama

Daniel

FELD M berät zahlreiche Unternehmen bei der Erarbeitung und Umsetzung ihrer Cookie-Strategie im Web-Tracking. Was uns auffällt: Die meisten Unternehmen haben dieselben Schwierigkeiten und Herausforderungen. Häufig haben die Rechtsabteilungen sehr gute Kenntnis davon, was erlaubt ist und was nicht, aber der Prozess zur datenschutzkonformen Einbindung der Lösungen auf die Unternehmenswebsites erscheint riesig und oft wissen die Unternehmen nicht, wo sie anfangen sollen und wie ein idealtypische Vorgehen aussieht. Daher haben wir uns entschieden, Ihnen in der folgenden Schritt-für-Schritt-Anleitung zu skizzieren, wie Sie sich stückweise zur Compliance vorarbeiten können. Unterstützt hat uns dabei unser Fachanwalt für IT-Recht Dr. Thomas Helbing (www.thomashelbing.com).

 

Die 4 Schritte zum datenschutzkonformen Cookie-Consent

1) Erfassung aller Cookies

Zunächst müssen Sie wissen, welche Cookies Sie auf Ihrer Website setzen. Dafür gibt es einerseits kostenlose „Cookie-Crawler“, die Ihnen eine Liste der von Ihrer Website gesetzten Cookies generieren. Haben Sie bereits ein Consent-Management-System im Einsatz? Diese bieten häufig ebenfalls eine Cookie-Crawling-Funktion.
Wenn Sie nun eine fertige Liste Ihrer Cookies haben, sollten Sie die folgenden Angaben erfassen oder ergänzen – auch dabei können wir Ihnen helfen.

  • Technische Kennung des Cookies (z.B. „session_id“)
  • Erläuterung des Nutzungszwecks (z.B. „Sessionverwaltung“, „Login/Authentifizierung im Kundenmenü“, „Datensicherheit“, „Load Balancing“, „Speicherung der gewünschten Schriftgröße“)
  • Beschreibung des Inhalts, der im Cookie gespeichert wird (z.B. „gewählte Sprache“, „Session-ID“, „Name, E-Mail und Anschrift des Nutzers“)
  • Lebensdauer des Cookies, z.B. „bis Schließen des Browser-Fensters“, „90 Tage“, „unendlich“
  • Angabe, ob der Cookie von der Domain gesetzt wird, die in der URL-Zeile des Browser angezeigt wird (First Party Cookie) oder von einer anderen Domain (Third Party Cookie). Bei Third Party Cookie, Angabe der Domain, die den Cookie setzt, d.h. wer ist für das Third Party Cookie verantwortlich?
  • Erläuterungen und Besonderheiten, z.B. „kein klassischer Cookie, sondern Speicherung im HTML5 Local Storage“.

2) Clustering und Bewertung des Cookies: Ist der Cookie „unbedingt erforderlich“, um den vom Nutzer ausdrücklich gewünschten Dienst zu erbringen?

Wenn Sie alle Informationen zu den von Ihnen gesetzten Cookies haben, sollten Sie die Cookies gruppieren.

Dabei gibt es viele Möglichkeiten und die für Sie perfekte hängt von verschiedenen Faktoren ab:
– Gesamtmenge der zu clusternden Cookies
– Art der zu clusternden Cookies
– Vorgaben seitens des Consent Management Systems
– Vorgaben Ihrer Rechtsabteilung

Aus rechtlicher Sicht bietet ich eine Gruppierung nach einem ähnlichen Nutzungszweck an, denn Einwilligungen sollen später ggf. nur für Datenverarbeitung je Cookie-Cluster möglich sein, und die DSGVO verbietet es Einwilligungen zu koppeln, die unterschiedlichen Verarbeitungszwecken dienen.
Aus unserer Sicht hat sich die folgende Gruppierung bewährt, die sich auf die meisten individuellen Anforderungen anwenden lässt:

  1. Essentielle/Notwendige Cookies (ohne diese Cookies lässt sich die Website nicht korrekt darstellen oder nutzen, z.B. Videoplayer, Warenkorbcookie bei eCommerce-Websites)
  2. Funktionale Cookies (ohne diese Cookies sind wesentliche Inhalte der Website nicht korrekt darstellbar, z.B. Chatfunktion, Spracheinstellung, die Website lässt sich aber sonst problemlos aufrufen und bedienen)
  3. Analytics (diese Cookies dienen dem Web- oder App-Tracking, von der Reichweitenmessung bis hin zur Analyse der Customer Journey)
  4. Marketing (alle Cookies, die für Marketing- und Remarketingmaßnahmen verwendet werden, insbesondere von reinen Marketing-Tools wie Doubleclick, Target, Facebook,…)

Für welche Cookies braucht man nun eine Einwilligung?

Grobe Daumenregel: Funktioniert die Website bei ehrlicher Betrachtung eigentlich auch ohne den Cookie, dann ist er nicht erforderlich und bedarf einer Einwilligung.
Diese Cookies bedürfen keiner Einwilligung (essentiell/notwendig):

  • Cookies, um Nutzer-Login zu ermöglichen
  • Cookies, um den Warenkorb zu verwalten
  • “Eingeloggt bleiben“, oder “An mich Erinnern” Cookies, wenn der Nutzer diese Funktionalität explizit möchte und angefordert hat.

Diese Cookies bedürfen wohl keiner Einwilligung (aber unsicher) (funktional/bestimmte Analytics):

  • Analyse der Webseitenbesucher durch den Anbieter selbst oder einen Auftragsverarbeiter, der die Daten nicht für eigene Zwecke nutzt, (das haben die Datenschutzbehörden in verschiedenen Pressemitteilungen im November 2019 betont), sofern keine geräteübergreifende oder Webseitenübergreifende Auswertung des Surfverhaltens erfolgt

Diese Cookies benötigen wohl eine Einwilligung (bestimmte Analytics/Marketing):

  • Cookies zur geräteübergreifenden oder webseitenübergreifenden Nutzerverfolgung
  • Cookies für Zwecke der gezielten interessensbezogenen Werbung/Remarketing
  • Third-Party Cookies, bei denen der Drittanbieter Daten sammelt, die er auch für eigene Zwecke nutzt (z.B. „Produktverbesserung“)

Wenn die Lebensdauer des Cookies die Dauer der Browsersitzung bzw. einige wenige Stunden übersteigt (persistente Cookies) ist das auch ein Indiz, dass das Cookie nicht unbedingt erforderlich ist. Gleiches gilt bei Third Party Cookies.

Wenn sensible Daten im Spiel sind (z.B. Gesundheitsdaten), der Nutzer auf den Besuch der Webseite angewiesen ist (z.B. Stadtverwaltung, öffentlicher Versorger, Monopolist) oder Kinder typischerweise das Angebot nutzen, sind besonders strenge Maßstäbe anzulegen – im Zweifel sind dann Cookies nur mit Einwilligung zu setzen.

3) Für einwilligungspflichtige Cookies eine Einwilligung geben lassen

Wenn Sie nun wissen, wie Sie Ihre Cookies gruppieren und – damit zusammenhängend – wissen, für welche Cookies Sie die Einwilligung Ihrer Nutzer brauchen, können Sie Ihr Cookie-Konzept technisch umsetzen. Dazu verwenden Sie im Idealfall eine fertige Consent Management Lösung eines etablierten Anbieters oder Sie setzen ein individuelle In-House-Lösung um.

Aber wie holt man sich die Einwilligung für Cookies ein?

Beim erstmaligen Seitenaufruf sollte eine Box/ein Pop-Up-Fenster erscheinen, das sogenannte „Cookie Banner“. Darin wird erläutert, welche einwilligungspflichtigen Cookies gesetzt werden sollen. Hierbei kann man eine verkürzte Beschreibung vornehmen und für Details auf eine “Cookie-Policy” verlinken. In der Cookie Policy sind dann alle oben genannten Angaben zu den Cookies aufzunehmen und zu erläutern, welche Cookies nur mit Einwilligung gesetzt werden und welche „erforderlich“ sind.
Cookies werden nur gesetzt, wenn der Nutzer aktiv eine bestätigende Handlung vorgenommen hat (z.B. setzen eines Häkchens, Klicken eines Buttons).

Für verschiedene Cookies sind gesonderte Erklärungen (Häkchen) nötig. Unseres Erachtens nach kann man aber Einwilligungen für mehrere Cookies zusammenfassen, wenn der Nutzungszweck der Cookies ähnlich ist, z.B. Statistik-Cookies, Einstellungscookies, Marketing-Werbe-Cookies oder Cookies, die zu einem speziellen Tool gehören, z.B. mehrere Facebook-Cookies.

In folgenden Fällen dürfen keine einwilligungspflichtigen Cookies gesetzt werden:

  • Der Nutzer ignoriert das Banner, surft einfach weiter ohne damit zu interagieren.
  • Der Nutzer schließt das Banner (“X” oder “Schließen” Button)
  • Der Nutzer lehnt die Einwilligung ab.

Das Banner sollte nicht so platziert sein, dass es den Seiteninhalt vollständig verdeckt oder den Nutzer zu einer Entscheidung zwingt, d.h. der Nutzer sollte das Banner ignorieren können. Hintergrund ist, dass die Datenschutzgrundverordnung keine “Unterbrechung” des Dienstes durch die Einwilligung erlaubt (vgl. Erwägungsgrund 32 Satz 6 DSGVO). Bei Cookie-Einwilligungen sind nämlich auch die Anforderungen der DSGVO an Einwilligungen zu beachten.
Eine Verweigerung der Cookie Einwilligung darf nicht dazu führen, dass das Informationsangebot der Webseite nicht mehr abrufbar ist, da sonst ggf. die Einwilligung als unfreiwillig anzusehen ist und unwirksam ist.

Ob der Nutzer eingewilligt hat oder nicht, darf und sollte in einem Consent-Cookie gespeichert werden (ohne ID).

Bei erteilter Einwilligung: Die Einwilligung sollte nach 6-12 Monaten verfallen und der Nutzer sollte dann erneut um Einwilligung gefragt werden (Empfehlung).
Hat der Nutzer keine Einwilligung erteilt, kann er nach 6-12 Monaten nochmal gefragt werden, ob er die Einwilligung erteilen will.

Wenn der Nutzer Einwilligungen erteilt hat, muss er in der Lage sein, diese jederzeit zu widerrufen – und zwar genauso leicht wie er die Einwilligung erteilt hat. Über die „Cookie-Policy“ muss der Nutzer seine bisher erteilen Einwilligungen einsehen und diese widerrufen können.

4) Alle Cookies in einer Cookie-Policy erläutern

In der Cookie Policy informieren Sie Ihre Websitenutzer über die von Ihnen gesetzten Cookies. Dabei sollten Sie die Cookies ebenfalls gruppieren und obige Informationen zu Speicherungsdauer, Verwendungszweck etc. ausführlich darstellen. Wenn Sie ein Consent Management System nutzen, erleichtert es die Darstellung, da die Tools grundlegende Cookie-Informationen bereitstellen und zentral verwalten, sodass Ihre Cookie-Policy immer aktuell ist – nur die von Ihnen festgelegten Parameter wie individuelle Speicherdauer etc. müssten Sie dann bereitstellen.

 

Und der Datenschutz? – Cookie Consent und Datenschutz-Einwilligung

Soweit anhand Cookies personenbezogene Daten verarbeitet werden, muss parallel geprüft werden, ob für die Datenverarbeitung eine Einwilligung benötigt wird oder die Verarbeitung auf eine Interessenabwägung gestützt wird.

Die Datenverarbeitung ist in “Datenschutzhinweisen” zu erläutern, wobei alle nach Art. 13, 14 DSGVO erforderlichen Informationen zu geben sind. Zu informieren ist mithin über:
– Verarbeiteten Daten
– Zwecke der Verarbeitung
– Speicherdauer
– Datenempfänger
– Datenübermittlungen in nicht-EU Länder
– Rechtsgrundlage (Einwilligung oder Interessenabwägung)
– Verantwortliches Unternehmen (ist im Werbeumfeld nicht immer leicht, denn hier ist ggf. der Werbenetzbetreiber Verantwortlicher oder Mitverantwortlicher)

Holt man eine Cookie-Einwilligung ein, kann man damit die Datenschutz-Einwilligung verbinden. Es gelten dann die gleichen Grundsätze wie beim Cookie Banner. Die Datenschutzhinweise und die “Cookie-Policy” kann man auch in einem Dokument verbinden, das jedoch in der Benennung klar beide Funktionen aufführen muss.

Am 3. Dezember eines jeden Jahres findet der Internationale Tag der Menschen mit Behinderung statt. Ein zentraler Begriff ist in diesem Zusammenhang die Inklusion. Hierunter fällt unter anderem auch die digitale Barrierefreiheit, welche bei der Wertschöpfung digitaler Produkte eine große und immer gewichtigere Rolle einnimmt. Dabei gilt es Webseiten und Apps so zu gestalten, dass sie sich flexibel an die verschiedenen Bedürfnisse der Nutzer und ihre persönliche Situationen anpassen.

 

  • Ca. 20% aller Nutzer haben einen Bedarf an Barrierefreiheit
  • Diese Nutzer haben eine Konsumkraft von ca. 290 Milliarden Euro
  • Dennoch haben weniger als 10% der Unternehmen einen gezielten Accessibility Plan

 

Gemeinsam mit unserem Partner Inviqa haben wir uns vorgenommen, bei unseren Kundenprojekten gezielt auf die Inklusion zu achten und mehr Barrierefreiheit im Netz umzusetzen, um so einen Mehrwert für alle Anbieter und Nutzer zu schaffen. Wie genau wir das angehen, haben wir in einem Leitfaden aufgeführt. Hier können Sie unser Whitepaper zum Thema Barrierefreiheit anfordern:

Whitepaper anfordern

– Was das EuGH-Urteil für Ihr Website-Tracking bedeutet und wie Sie Cookies weiterhin einsetzen können

Auf der Suche nach einer rechtssicheren Web-Tracking-Lösung verlieren sich viele Unternehmen im Dschungel der Begriffe sowie der unterschiedlichen Auslegungen und wünschen sich vor allem nur eines: Rechtssicherheit – endlich Klarheit darüber, was denn nun geht beim Tracking und was nicht.

Leider ist die Rechtslage in vielen Punkten immer noch nicht ganz klar. Erschwerend kommt hinzu, dass zwei rechtliche Themen immer wieder vermischt und durcheinandergebracht werden: Zum einen die Cookie-Regelungen, zum anderen die Vorschriften zum Schutz Personenbezogener Daten (PII). Im Folgenden schaffen wir für Sie Klarheit zum aktuellen Stand der Dinge – in Zusammenarbeit mit unserem Fachanwalt für IT-Recht Dr. Thomas Helbing (www.thomashelbing.com).

 

Cookies: Was das EuGH-Urteil entschieden hat (und was nicht)

Ausgangssituation:

  • Die Cookie-Anforderungen sind bisher in einer EU-Richtlinie geregelt (Richtlinie 2002/58/EG geändert durch 2009/136/EG). Eine EU-Richtlinie bindet grundsätzlich nicht Bürger oder Unternehmen in der EU, sondern verpflichtet die Bundesrepublik entsprechende Gesetze zu erlassen, damit die Richtlinie in Deutschland gilt.
  • Bereits in diesem Punkt herrscht Unsicherheit: Ob und in welchem Umfang Deutschland die Cookie-Vorgaben in nationales Recht umgesetzt hat, ist äußerst umstritten. Manche sehen im Telemediengesetz eine Umsetzung der Cookie-Vorgaben. Man kann aber durchaus anzweifeln, ob die Cookie-Vorgaben in Deutschland überhaupt einzuhalten sind, denn darüber muss der Bundesgerichtshof noch entscheiden. Ausgang offen.
  • Die in der Richtlinie verankerten Anforderungen gelten für alle im Endgerät des Nutzers gespeicherten oder von dort abgerufenen Informationen, egal ob diese einer Person zugeordnet werden können oder nicht.
  • Über Cookies muss der Nutzer immer informiert werden.

Für das Setzen oder Auslesen des Cookies bedarf es zudem immer einer Einwilligung, außer der Cookie ist…

  1. … zur Sicherstellung der Datenübertragung erforderlich
  2. … zur Erbringung eines Dienstes „unbedingt erforderlich“, den der Nutzer „ausdrücklich wünscht“

 

Das EuGH-Urteil und die Neuerungen:

In seiner Entscheidung zu Planet49 hat der EuGH geurteilt, dass für eine Cookie-Einwilligung dem Nutzer eine Reihe von Informationen gegeben werden müssen und vor allem, dass die Einwilligung aktiv erfolgen muss. Ein vorausgefülltes Häkchen genügt nicht, ebenso genügt keine implizite Einwilligung nach dem Motto „Sie willigen ein, indem Sie unsere Webseite nutzen, auf der Webseite klicken, herunterscrollen etc.”

Der EuGH hat nicht entschieden, bei welchen Cookies eine Einwilligung nötig ist. Das wird in der Behandlung des Urteils oft falsch dargestellt, selbst von Datenschutzbehörden und Rechtsanwälten.

Auf der sicheren Seite ist, wer sich so verhält, als würde die Cookie-Richtlinie in Deutschland unmittelbar gelten, denn die Datenschutzbehörden und ggf. auch der BGH werden die Wertungen aus der Cookie Richtlinie womöglich in den Anwendungsbereich des Datenschutzrechts übertragen, wie im Folgenden ausführlicher beschrieben wird.

 

 

Der Schutz personenbezogener Daten – und was das mit den Cookies zu tun hat:

Die Bestimmungen zum Schutz personenbezogener Daten sind in der Datenschutzgrundverordnung (DSGVO) geregelt, also einer EU-Verordnung. Verordnungen gelten unmittelbar in allen EU-Mitgliedstaaten, es bedarf also keiner nationalen Gesetze mehr zur Umsetzung.

Die DSGVO-Anforderungen sind zu beachten, wenn „personenbezogene Daten“ „verarbeitet“ werden.

Mit Cookies kann man personenbezogene Daten verarbeiten, muss es aber nicht.

Setzt der Anbieter beim Webseitenbesucher z.B. einen Cookie, der lediglich eine zufällige Kennzahl enthält und ruft der Nutzer immer wieder einzelne Seiten des Anbieters auf, so könnte der Anbieter zum Beispiel nachverfolgen, wie sich ein Besucher durch seine Webpräsenz bewegt (z.B. welche Seiten er aufruft, wie lange er dort bleibt und ob er in ein paar Tagen wieder kommt). Der Anbieter kann auch Daten zum Endgerät sammeln, etwa zur Bildschirmauflösung oder zum Betriebssystem. Diese Daten werden nicht im Endgerät des Nutzers, sondern auf Servern des Anbieters gespeichert. Die Daten im Cookie dienen nur dazu, den einzelnen Nutzer wiederzuerkennen.

Ob es sich bei den Daten zum Besuchsverhalten um eine Verarbeitung „personenbezogener Daten“ handelt, hängt davon ab, ob der Webseitenbetreiber den Nutzer identifizieren kann (nicht: ob er es tatsächlich tut). Personenbezogene Daten liegen nämlich schon dann vor, wenn diese mit einigem Aufwand personenbeziehbar sind.

Beispiele für personenbeziehbare Daten:

Beispiel 1:

Da der Webseitenbetreiber häufig auch die IP-Adresse des Nutzers speichert oder dies könnte, könnte er ggf. über diese an die Identität des Nutzer gelangen, z.B.: Nutzer postet Beleidigungen auf Webseite, Webseitenbetreiber stellt Strafanzeige, Ermittlungsbehörden erfragen Anschlussdaten bei Telekom, Webseitenbetreiber nimmt Akteneinsicht und erhält über diese Zugang zur Information des Anschlussinhabers. Der EuGH hat in anderer Entscheidung diese „Kette“ für einen Personenbezug ausreichen lassen, jedenfalls wenn die IP-Adresse auch zur Missbrauchsbekämpfung erhoben wird.

Beispiel 2:

Wenn der Webseitenbetreiber irgendwo auf seiner Seite ein Kontaktformular oder eine Newsletter-Bestellmöglichkeit anbietet, könnte er die dort eingegebenen Namen oder E-Mail-Adressen ebenfalls mit den Daten verknüpfen, die er anhand des Cookies erhoben hat (Seitenbesuche). Auch so wäre eine Personenbeziehbarkeit in einzelnen Fällen möglich. Es genügt dabei, dass eine Verknüpfung recht leicht möglich wäre, selbst wenn diese tatsächlich nicht erfolgt und vom Webseitenbetreiber auch nicht beabsichtigt ist. Auch genügt es, wenn nur ganz wenige Seitenbesucher identifizierbar wären.

 

 

Warum PII und Cookies doch meist zusammengehören:

Größtenteils muss man davon ausgehen, dass die mittels Cookies erlangten Informationen und die im Cookie gespeicherten Informationen selbst personenbeziehbar sind und damit den Anforderungen der DSGVO unterliegen.

Neben den Cookie Anforderungen sind also meist auch die DSGVO-Anforderungen zu beachten.

Die DSGVO verlangt zunächst, dass die Datenverarbeitung erläutert wird (Art. 13, 14, 21 DSGVO), z.B. welche Daten für welche Zwecke erhoben, an wen weitergegeben und wann gelöscht werden (Datenschutzhinweise).

Nach Art. 6 der Datenschutzgrundverordnung darf zudem eine „Verarbeitung“ von „personenbezogenen Daten“ nur erfolgen, wenn eine Rechtsgrundlage dies erlaubt. Rechtsgrundlage kann eine Einwilligung sein (Opt-In) oder eine Interessensabwägung. Bei der Interessensabwägung erfolgt die Verarbeitung ohne aktive Zustimmung, der Nutzer wird lediglich informiert und erhält ggf. (nicht zwingend) die Möglichkeit zu widersprechen (Opt-Out).

 

 

Wann brauchen wir also eine Einwilligung?

Wann eine Einwilligung im Online-Bereich erforderlich ist, haben die deutschen Datenschutzbehörden in einer Orientierungshilfe erläutert. Diese ist lang, kompliziert und enthält im Ergebnis keine sehr klaren Aussagen. Zudem erfolgte die Orientierungshilfe vor dem Planet49-Urteil. Möglicherweise übertragen die Datenschutzbehörden die Wertungen aus der Cookie-Richtlinie ins Datenschutzrecht, sodass eine Einwilligung immer als nötig angesehen wird, sofern die Datenverarbeitung im Zusammenhang mit einem Cookie steht, der nicht „unbedingt erforderlich“ ist. Wenn man für einen Cookie eine Einwilligung benötig, macht es deshalb Sinn, sich im Zweifel auch für die damit im Zusammenhang stehende Datenverarbeitung eine Datenschutz-Einwilligung abgeben zu lassen.

Für Juristen: Auf die Regelung in § 15 Abs. 3 TMG dürfte man sich nicht beziehen können, so urteilen auch zutreffend die Datenschutzbehörden in besagter Orientierungshilfe.

Die Linie der Datenschutzbehörden kann man in Bezug auf die Erfassung und Auswertung des Besucherverhaltens auf der Webseite („Tracking“) grob so umreißen:

  • Werden Daten über besuchte Seiten und grundlegende Endgerätdaten (z.B. Auflösung, Betriebssystem) vom Seitenbetreiber selbst zur Seitenoptimierung benötigt, genügt ein Opt-Out (keine Einwilligung nötig). Gleiches gilt, wenn hierfür ein technischer Dienstleister als reiner Auftragsverarbeiter eingesetzt wird. Der Dienstleister darf die Daten aber nicht für eigene Zwecke nutzen (z.B. Produktoptimierung, etc.), das haben verschiedene Datenschutzbehörden erst im Rahmen von Pressemitteilungen im November 2019 bekräftigt.
  • Einer Einwilligung bedürfen Verarbeitungen, bei denen es um Werbung oder die Optimierung von Werbekampagnen geht (Remarketing).

 

 

Ausblick – oder: Was ist eigentlich mit der ePrivacy-Verordnung?

Eigentlich sollte das Thema Cookies in einer ePrivacy Verordnung neben der DSGVO geregelt werden. Lobbyismus verhindert seit drei Jahren eine Einigung auf politischer Ebene in der EU (Rat). Ein Einigungsversuch der Finnen Ende 2019 gilt als gescheitert. Eine Einigung im Rat ist allenfalls 2020 zu erwarten. Es schließt sich der weitere Gesetzgebungsprozess (Trilog) an. Wie bei der DSGVO greift dann voraussichtlich eine Übergangsfrist von zwei Jahren, sodass die neuen Regeln nicht vor Ende 2023 gelten dürften. Die geplante ePrivacy Verordnung ist also kein Grund das Thema auf die lange Bank zu schieben.

 

Diesem Artikel folgt in den nächsten Tagen ein Teil 2, der Ihnen eine Schritt-für-Schritt-Anleitung zur Verfügung stellt, wie Sie auf Ihrer Website-Cookies datenschutzkonform einsetzen können.

Die mächtigen Oligopole der Werbenetzwerke einerseits und die steigende Zahl von Online-Werbetreibenden andererseits sorgen dafür, dass der Kampf um Neukunden zunehmend teurer (Stichwort Marketinginflation) wird. Je nachdem, welche Studie man heranzieht, ist die Akquisition eines neuen Kunden 3-5 Mal so teuer wie der Erhalt und die Reaktivierung eines Bestandskunden. Jedes Unternehmen profitiert folglich davon, mit einmal gewonnenen Kunden eine möglichst lange und gewinnbringende Beziehung zu pflegen. Den Marketing-Entscheidern ist dies auch immer mehr bewusst, denn in den letzten Jahren hat sich der Fokus weg vom Funnel-Einstieg hin zur Betrachtung der gesamten Customer Journey verlagert. Eine Umfrage von Gartner (2018) ergab, dass CMOs im Schnitt zwei Drittel ihres Budgets für Customer Retention und Wachstum einsetzen. Customer Analytics kommt derselben Studie zufolge eine der höchsten Prioritäten auf der Agenda zu, weil es die Entscheidungsgrundlage für Kundenbindungs- und -entwicklungsmaßnahmen bildet.

 

Auch in unseren Projekten erleben wir, dass die Customer Experience zunehmend als ein entscheidender Hebel für die Kundengewinnung und -bindung angesehen wird. Ein gelungenes Kundenerlebnis erreicht die richtige Person mit relevanten Inhalten zum richtigen Zeitpunkt – und dies entlang der gesamten Journey und Interaktion mit einer Marke bzw. einem Produkt oder Service. Die technischen Voraussetzungen für die konsequent datenbasierte Herangehensweise an das Thema Customer Experience stellen jedoch noch eine große Baustelle dar.

 

Führt man sich vor Augen an welchen Stellen der Kunde potenziell mit einem Unternehmen in Kontakt kommt – offene und geschlossene Bereiche einer Website (bspw. Homepage, Login-Bereich), App, Email (Customer Support, CRM, Marketing), Social usw. – wird klar, dass die meisten Organisationen hinsichtlich der datengetrieben orchestrierten Customer Experience noch einen weiten Weg vor sich haben.

Die entscheidenden Herausforderungen für Unternehmen sind:

 

  1. eine übergreifende Sicht auf den Kunden zu erlangen
  2. mithilfe dieser Sicht ein übergreifend orchestriertes Kundenerlebnis zu schaffen

 

Neben der organisatorischen Anforderung, dass verschiedene Fachdisziplinen ihr Silodenken überwinden und zum Wohle der ganzheitlichen Customer Experience zielführend zusammenarbeiten müssen, stehen Unternehmen in diesem Zusammenhang vor allem vor großen technischen Herausforderungen. Denn um das Ziel der kanalübergreifend personalisierten Customer Experience zu erreichen, sind die folgenden Basisfähigkeiten notwendig:

 

  1. Dauerhafte Sammlung der Daten aller Touchpoints an einem Ort
  2. Verknüpfung der Daten, die zu einem Kunden gehören (Profilbildung)
  3. Segmentierung (Regelbasiert oder anhand von Predictive-Analytics-Methoden)
  4. Bereitstellung der gewonnenen Informationen an ausführende Systeme möglichst in Echtzeit

 

CRM, Data Warehouse, Data Lake und Co. decken – für sich wie auch in ihrer Summe – die genannten 4 Aspekte nicht ab: In ein CRM-System laufen nur Daten bestimmter Touchpoints ein, in einem Data Warehouse können zwar Daten verschiedener Töpfe abgelegt werden, jedoch nur in strukturierter Form und damit unflexibel. Die flexible Verknüpfung auch unstrukturierter Daten und damit einhergehend die Bildung von Segmenten sind zwar mit einem Data Lake möglich, jedoch fehlt auch hier die Möglichkeit, die erlangten Erkenntnisse zu aktivieren. Dies bedeutet, die aus den genannten Systemen gewonnenen Ergebnisse können nicht direkt als Trigger zur entsprechenden Aktion an den Touchpoints genutzt werden.

 

Dieser Hintergrund bietet einen fruchtbaren Boden für den inzwischen auch hierzulande einsetzenden Wirbel – um nicht zu sagen Hype – um die sogenannten Customer Data Platforms (kurz CDPs). CDPs versprechen die Lösung für die beschriebenen Herausforderungen der datenbasierten Customer Experience-Gestaltung und -Steuerung. Der Begriff wurde bereits 2013 von David M. Raab, dem Gründer des CDP Instituts – einer Organisation, die Marketern diese Technologie nahebringen möchte – geprägt und beschreibt Software-Lösungen mit den folgenden Eigenschaften:

 

  • Sie verfügen über eine integrierte, persistente Datenhaltung zur Vereinheitlichung von Kundeninformationen über viele verschiedene Quellen und Kanäle
  • Sie verfügen über eine einheitliche Kundenkennung, die alle Daten eines Kunden verknüpft, unabhängig von der Quelle
  • Sie sind für externe Anwendungen zugänglich und stellen Daten für verschiedene Marketing- und Analyse-Technologien bereit
  • Sie werden durch das Marketing gesteuert

 

Der Markt für diese Technologie ist seither explodiert und spätestens mit Eintritt der großen Player wie Adobe (Adobe Experience Platform) und Salesforce zeichnet sich ab, dass es sich bei CDPs nicht um eine schnell vorübergehende Randnotiz handelt. Gleichzeitig ist es ratsam, differenziert auf die Thematik zu blicken. Gartner sortiert die Technologie in seinem Hype Cycle in der Phase „Peak of Inflated Expectations“ ein und berichtet, dass viele Marketer, die eine CDP eingeführt haben, sie nur als CRM benutzen. Der inzwischen dicht besiedelte Markt hat sein Wachstum verlangsamt und gleichzeitig versuchen Marketer zu verstehen, wie sich die einzelnen Anbieter unterscheiden. Denn inzwischen positionieren sich viele Anbieter als CDP, liefern aber nicht die erhofften Fähigkeiten. Versuche, sich zu differenzieren, resultieren oft darin, dass Anbieter redundante Technologien anbieten.

 

Bevor Unternehmen – den glänzenden Heilsversprechen der Branche folgend – unreflektiert auf den Zug aufspringen, ist daher eine genaue Definition interner Anforderungen unerlässlich. Dies ermöglicht eine Entscheidung für den am besten geeigneten Anbieter oder für eine Eigenlösung; in beiden Fällen gilt es, Redundanzen oder Lücken im Technologie-Stack zu vermeiden. Andernfalls laufen Unternehmen Gefahr, viel Aufwand in die Einführung einer neuen Softwarelösung – Lizenzkosten, Implementierungsaufwand, Enabeling der Organisation uvm. – zu stecken, ohne in Bezug auf datengetriebenes Customer Experience Management voranzukommen.

 

 

Love at first sight: Inviqa und FELD M haben den großen Mehrwert einer Zusammenarbeit erkannt und ergänzen sich ab sofort in ihrem Leistungsportfolio. Gemeinsam unterstützen sie ihre Kunden bei der ganzheitlichen Optimierung der Customer Experience.

Die beiden Firmen bringen ihre reichhaltige Expertise in die strategische Partnerschaft ein: FELD M sein Know-how im datengetriebenen Digitalen Marketing, Inviqa seine technische Kompetenz bei der Entwicklung und Implementierung von Shopsystemen und Websites oder Apps.

Die Digitalisierung bietet für Unternehmen völlig neue Möglichkeiten, ihren Kunden in allen Phasen der Customer Journey ein besonderes Kundenerlebnis (Customer Experience) zu bieten. Egal, ob der Kunde über den Online-Shop, das Callcenter, die mobile App, Social Media oder vor Ort in der Filiale mit dem Unternehmen in Kontakt tritt – die Angebote müssen aufeinander abgestimmt sein und eine durchgängige Erfahrung bieten.

Um die gesamte Customer Experience zu optimieren, arbeiten FELD M und Inviqa künftig gemeinsam zusammen. Durch die Partnerschaft ergibt sich ein umfassender Ansatz, der eine konsequente Nutzerorientierung ermöglicht – an jedem Kontaktpunkt zwischen dem Kunden und der Marke. Denn das gemeinsame Portfolio deckt Leistungen von der datenbasierten Strategieentwicklung, über die Entwicklung technischer Lösungen – wie Shop-Systemen, Customer Experience Plattformen und Trackingsystemen – bis hin zur kontinuierlichen Evaluation und Optimierung sämtlicher Marketing Maßnahmen ab.

Das Ergebnis sind großartige Erlebnisse bei jeder Interaktion, auf jedem Kanal.

Strategische Partnerschaft für ein optimiertes Kundenerlebnis

Die beiden Unternehmen aus München ergänzen sich fachlich und menschlich hervorragend und bilden für ihre Kunden ein kompetentes Team als Trusted Advisor auf Augenhöhe.

FELD M vervollständigt die Partnerschaft durch ihre weitreichende Erfahrung als Beratung für datengetriebenes Marketing. Sie sind der Ansprechpartner für die analysebasierte Entwicklung von Strategien und Maßnahmen zur Kundenakquise und -bindung. Sie begleiten Ihre Kunden bei der agilen Implementierung, Evaluation und Optimierung von Marketingmaßnahmen entlang der gesamten Customer Journey.

„Durch die einzigartige Kombination aus Erfahrung und Expertise in den Kompetenzfeldern Digital Analytics & Optimierung, Digital Marketing, Data Science und Data Engineering, ist es uns möglich, Kunden Lösungen zu bieten, die einen wirklichen Beitrag zum Geschäftserfolg leisten“,

sagt Lutz Wiechert, Geschäftsführer von FELD M.

Inviqa bereichert die Partnerschaft mit seiner langjährigen Erfahrung in der Entwicklung und Implementierung von Shopsystemen und Websites oder Apps. Das Team ist innovativ und immer auf dem neusten Stand der Technik. Inviqa ist mit seinen Kompetenzen nicht auf ein Shopsystem festgelegt, sondern bringt das Know-how mit, entsprechend der Kundenwünsche individuell ein System auszuwählen.

„Inviqa entwickelt die erarbeiteten digitalen Strategien weiter und setzt sie um. Diese sind dann genau auf die Unternehmensziele unserer Kunden ausgerichtet. Die Zusammenarbeit mit FELD M ermöglicht es uns, dem Kunden einen ganzheitlichen Service auf Basis der Ergebnisse von quantitativen und qualitativen Analysen der gesamten Customer Journey zu bieten“,

kommentiert Inviqa-Geschäftsführer Jens Wulfken.

Über FELD M

FELD M ist eine analytisch wie strategisch arbeitende Beratung für Marketing in einer digitalisierten Welt. Gemeinsam mit unseren Kunden erarbeiten wir nachhaltige Kommunikations-, Vertriebs- und Produktlösungen für die Kundengewinnung und Kundenbindung auf der Grundlage von On-site und Off-site Touchpoints sowie dem Zusammenspiel mit Offline-Kanälen. Unser Hauptsitz befindet sich im Herzen Münchens. Darüber hinaus haben wir in Deutschland Zweigstellen in Berlin und Hamburg. International sind wir in Polen und der Schweiz vertreten.

Über Inviqa

Inviqa ist einer der größten Technologie-Partner für E-Commerce, Content-Management, Product-Information-Management, Mobile und Consulting. Die Unternehmensgruppe verfügt derzeit über 200 Mitarbeiter an 11 Standorten in fünf Ländern und ist in Deutschland an den Standorten München, Berlin und Köln vertreten. Inviqa realisiert internationale Projekte auf Basis von Magento, Spryker, Salesforce Commerce, Drupal, und Akeneo.

 

An alle Musik- und Datenbegeisterten da draußen: Diesen Monat habt ihr die Gelegenheit, euch gemeinsam mit uns eine Stunde lang eurer Faszination von Beats und Bites zu widmen.

Wir freuen uns sehr darauf, am 21. August (10:00 MESZ) zum ersten Mal gemeinsam mit Tableau ein Webinar abzuhalten. Wir wollen uns mit dem Thema „Behind the Data | Who’s the G.O.A.T in HipHop?“ beschäftigen, d.h. mit der ewigen Frage, wer denn der beste HipHop Artist ist, aufräumen.

Dazu werden wir Daten verschiedenster Arten von Streaming-Charts über Preisverleihungen bis hin zu Reimdichte-Scores miteinander verbinden und den kreativen Spielraum von Tableau nutzen, um uns dem Thema auf spielerische und intuitive Weise zu nähern.

Ihr könnt uns live bei diesem Ausflug in die Welt der Musik begleiten, indem ihr euch hier kostenlos für das Webinar anmeldet: https://www.tableau.com/de-de/learn/webinars/behind-the-data-feld-m?partner_code=1024569074

Wir freuen uns auf euere zahlreiche Teilnahme!

Update 21.08.2019: Hier könnt ihr euch das für das Webinar erstellte Dashboard ansehen und euren ganz individuellen G.O.A.T. finden:

Im Rahmen von Data Science for Social Good bieten wir nicht nur unsere Datenambulanz (https://www.feld-m.de/datenambulanz) für gemeinnützige Organisationen an, sondern nehmen auch regelmäßig an Hackathons, Datathons und ähnlichen Wettbewerben teil (R Conference, Kaggle, …). 2019 haben wir nun zum ersten Mal am europaweiten EU-Datathon teilgenommen und eine Applikation zum Thema Klimaschutz entwickelt.

 

Der EU-Datathon und unsere Herausforderungen

Der diesjährige Datathon der EU (https://publications.europa.eu/en/web/eudatathon) umfasste wieder drei unterschiedliche Challenges und uns war sofort klar, dass wir uns mit dem Thema „Tackling Climate Change“ beschäftigten wollten. Die Vorgabe des Wettbewerbs war, neben einer innovativen Idee, die Verwendung mehrerer offener Datensätze, die durch die verschiedenen EU-Institutionen bereitgestellt werden. Bewertet wurde unter anderem nach folgenden Kriterien: Relevanz, Open-Data-Verwendung (Neuheit, Skalierbarkeit und Updates), der Lösung an sich (Problembeschreibung, Data Science, Maturity, fortlaufenden Nutzen für die Zielgruppe, Sharability, …) sowie dem Projektplan.

Neben der Bekämpfung des Klimawandels, ist es uns aber auch ein Anliegen, auf den Nutzen von offenen Daten hinzuweisen. Datentransparenz ist einer der Grundpfeiler der Open-Data-Bewegung und sichert Integrität und wissenschaftliche Arbeitsweisen sowie vielseitige Verwertung der Daten. Nur durch die Verwertung erhalten Daten ihren Wert und je besser Zugang, Qualität und Granularität der Daten sind, umso detailliertere Modelle und Simulationen können gebaut werden und ihr wertstiftendes Potential steigern. Wichtige Quellen sind u.a. das EU Open Data Portal (https://data.europa.eu/euodp/en/data), die  UN (http://data.un.org/) oder die Weltbank (https://data.worldbank.org/).

 

Eine App gegen den Klimawandel – Datenbasierte Aufklärung für Schüler*innen und junge Menschen

Unsere Idee: Um dem Klimawandel entgegenzutreten, ist Bildung unsere stärkste Waffe: Verstehen, was die Ursachen sind, welche Auswirkungen er auf unsere Erde haben wird und was man selbst dagegen tun kann. Deswegen wollten wir den Klimawandel auf einfache Weise Schülern erklären, anhand von anschaulichen Beispielen zu Boden, Luft, Wasser und Biodiversität.

Greta Thunberg hat den Gedanken der Aufklärung und warum wir jetzt handeln müssen wohl am treffendsten beschrieben:

 

Let’s get this application started: Unser Vorgehen gemäß Design Thinking

Mit einem kleinen Team haben wir in den letzten Wochen fleißig unsere webbasierte App entwickelt, die Schüler*innen einerseits den Klimawandel erklären soll, aber andererseits auch dazu anregen soll, selbst aktiv zu werden.

In der Umsetzung haben wir uns am Design Thinking Prozess orientiert und als Erschließung des Problemraumes damit begonnen, Interviews mit unserer Zielgruppe und Experten zu führen sowie ausführliche Desk Research zu betreiben. Dabei wurde uns auch bewusst, dass es in diesem Projekt natürlich um die Integration von Daten gehen wird, aber in einem sogar noch größeren Umfang um das Kuratieren von geeigneten, erklärenden Texten. Data Literacy ist dabei sicher auch ein wichtiger Aspekt. Wie können wir unser Verständnis von Daten und die Interpretation von Tabellen und Visualisierungen schulen? Auch das ist ein wiederkehrendes Thema, das uns im Zuge unserer täglichen Arbeit mit Daten beschäftigt (https://www.feld-m.de/service/dashboards-visualisierung/).

 

Mit Daten aufklären: Was genau unsere App zeigt

Unsere Analysen vereinen in unserem Prototyp Daten zu EU-weiten historischen Emissionen von Treibhausgasen und entsprechende Vorhersagen für die kommenden Jahre. Dabei werden die Anteile verschiedener Sektoren, aber auch die Anteile pro Kopf und Land an den Gesamtemissionen visualisiert. Neben den beobachteten Extremwetterlagen der letzten Jahrzehnte haben wir auch berechnet, wie sich das Meer bei vorhergesagten Meeresspiegelanstiegen ausbreiten würde, indem wir Modelle für den Meeresspiegelanstieg auf die Küsten Europas hochgerechnet haben. Zu diesem Zweck wurden Voronoi-Zellen um die Projektionsdatenpunkte herum berechnet, die Pegel in Bins aufgeteilt und auf eine topografische Karte übertragen. Neben den Analysen haben wir auch verschiedene Optionen gesammelt, wie man selbst aktiv werden kann und was die aktuelle Aussicht ist, wenn wir uns keine ehrgeizigeren Ziele setzen.

Unseren aktuellen Prototypen findet ihr hier (bisher nur für Desktop und Tablet entwickelt): environ-mate.feld-m.de

 

Technische Details und Datenschutz

Die Anwendung selbst ist Client-based (kein Backend notwendig) und somit hoch skalierbar (hierfür kamen u.a. JS Libraries wie Leaflet, Spectre und Vue zum Einsatz). Darüber hinaus ist die Anwendung natürlich GDPR-konform und bisher auf Deutsch und Englisch verfügbar. Wir planen in den kommenden Wochen weitere Sprachen nachzutragen.

 

Das Ergebnis: Vierter Platz in unserer Gruppe beim EU-weiten Datathon

Aus 99 EU-weiten Projektideen wurden auch wir ausgewählt, unser Projekt im Finale in Brüssel zu präsentieren. Letzte Woche war es endlich soweit und wir konnten zusammen mit 11 weiteren Teams (vier je Challenge) unsere Ergebnisse in kurzen 10-minütigen Präsentationen vorstellen. Wir haben dort in unserer Challenge den vierten Platz belegt und möchten uns bei allen für ihr positives und konstruktives Feedback der letzten Wochen bedanken. Der EU Datathon 2019 war bestens organisiert (im Vorfeld sowie auch die Final-Konferenz).

Besonderer Dank für die Unterstützung gilt unseren Kolleg*innen, die uns den Rücken freigehalten oder gestärkt haben, um das Projekt umgesetzt zu bekommen. An dieser Stelle möchten wir aber auch allen innovativen Projektteams gratulieren, die viel Herzblut und Energie in ihre engagierten Projekte gesteckt haben!

Die Aufzeichnung der gesamten Konferenz findet sich hier: FOLGT SOBALD VERFÜGBAR

 

Future ahead: Wie es weitergeht

Wir sind der festen Überzeugung, dass unsere App einen großen Mehrwert für viele Menschen liefern kann. Mit dem Datathon endet daher keineswegs unser Projekt, sondern wir möchten als nächstes Nutzertests mit Schüler*innen durchführen sowie einen Klimaexperten um weiteren Input bitten. Darüber hinaus suchen wir weitere Mitstreiter, die an die gute Sache glauben und uns bei der zukünftigen Entwicklung unterstützen wollen. Natürlich werden wir auch nach Funding oder Sponsoren für unser Konzept suchen. Schreibt uns einfach an Datenambulanz@feld-m.de wenn das für euch spannend klingt.

 

We’ve all heard about the importance of knowledge sharing within an organization. Among all benefits, a great knowledge sharing system can have valuable impact on the quality and efficiency of workflows, and strengthen the trust and communication culture within the organization.

Having these in mind, we at FELD M make sure our knowledge sharing process is as smooth and gainful as possible. There are of course various methods empowering knowledge sharing in FELD M: take our “open space office” and “flat hierarchy system” as a few examples. However, there’s something new going on for a while here at FELD M which we’re pretty excited to share with you.

The idea initiated when our analytics’ team members felt the need of a process which enables them to learn an additional skill or tool which could ultimately affect their working life. The existing methods were not capable in nature to allow such exchange of knowledge. That’s when we came up with a new process which we take so much pride in.

It’s called the “FELD M Lectures”, and it’s been going on since January 2018. As you can already guess from the name, we, and by “we” I mean all FELD M colleagues, hold a lecture for the entire company once we have something valuable to share. Now this might sound a bit daunting at first, but believe me, it’s anything but that.  Our lectures are held in a relaxed easy going manner, ensuring that we don’t avoid having them by overengineering the process. So basically, yes, we have a “presentation”, “small talk”, “get together” with the whole company and share our valuable thoughts, skills or knowledge with each other. How great is that?

Considering the purpose of the lectures, the topics may range from analytical tools to basic knowledge of the “internet”. We’ve even taken the topic range to a whole new level, and share aspects regarding cultural differences and diversity due to our international background. All in all, the primary goal is to introduce different topics in short and informal lectures (e.g. based on FELD M services, current projects, tools or methods) in order to assist employees in evaluating whether the topic is a subject which they would like to get more involved in at work. If a lecture topic generates demand for more detailed information, then more extensive courses (internal or external) are organized. The lectures are held every 2 weeks, and the speakers may present their topic in any format they prefer.

After passing the initial weeks of enthusiasm into our “newly born”, however, we realized that a proper team needs to take care of the process, and make sure that we remain on the right track. Therefore, we now have the “FELD M Academy” team taking care of the lectures’ time table, process and motivation among colleagues. The team’s responsibilities have now expanded to FELD M Courses (!), and other tasks which we would get to later.

For now, let’s just say our team has come to such high level of collaboration and motivation to exchange knowledge that we decided to share it with you and hopefully inspire you on your knowledge sharing journey.

Cheers!