Das müssen E-Retailer zum Start des TTDSG beachten

Am 01.12.2021 trat das neue 'Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien' - besser bekannt als TTDSG - in Kraft. Hieraus ergeben sich neue Rechte für NutzerInnen und eben auch Pflichten, insbesondere für die Marketingabteilungen im Versand- und Onlinehandel. Auf die Branche kommen neue Herausforderungen zu und dafür braucht es rechtskonforme Lösungen.

Mit Inkrafttreten des TTDSG sind bei vielen Tracking-Prozessen die Betreibenden von Onlineshops in der Verpflichtung, das Einverständnis (Consent) der NutzerInnen für das notwendige Setzen von Cookies oder anderen schreibenden Prozessen (z.B. Local Storage) des anschließenden Trackings einzuholen. Den Nachweis über das Einverständnis der NutzerInnen müssen die Verantwortlichen der Website dem Affiliate Netzwerk mitteilen, damit dieses das 'trackende' Cookie setzen kann.

TTDSG-Checkliste für Versandhandelsunternehmen

1. Von wem werden Cookies innerhalb der Tracking Prozesse gesetzt und wo werden sie wieder ausgelesen?

E-Retailer sollten ihre Marketingprozesse überprüfen. Um NutzerInnen wiederzuerkennen und um deren Transaktion dem jeweiligen Marketingkanal oder Affiliate Publisher zuzuweisen, setzen die verschiedenen Systeme Cookies ein. Versender sollten sich daher durch ihre eigenen Marketingprozesse klicken - vom Werbemittel, über die Seite und sie sollten eine Transaktion ausführen. Dabei zeigt sich, wer Cookies setzt. Der oder die Shopbetreibende oder ein Drittdienstleister? E-Retailer sollten die Prozesse bei ihren Dienstleistern hinterfragen.

2. Gibt es Cookies, die vor Eintritt in den Shop schon geschrieben werden?

E-Retailer sollten die Stelle im Prozess lokalisieren, an der die Cookies geschrieben werden ...

• Ist es nach dem Klick auf das Werbemittel aber vor Ankunft im Shop (Redirect Tracking/Cookie)?
  Achtung, diese Cookies müssen hinterfragt werden. Hier ist ggf. das Netzwerk, bzw. der Publisher in der Verantwortung das Einverständnis für die Verarbeitung von Nutzerdaten und das Setzen von Cookies einzuholen. Versandhandelsunternehmen sollten mit ihren AnsprechpartnerInnen beim Netzwerk darüber sprechen und die Verantwortung und den Einwilligungsprozess klären.
  
• Mit Besuch des Shops aber vor dem Consent Layer?
  Auch diese Cookies bedürfen einer genaueren Betrachtung. Vor dem TTDSG war es in einigen Fällen möglich, das berechtigte Interesse der DSGVO für die Verarbeitung von Nutzerdaten heranzuziehen und für Cookies den NutzerInnen "nur" ein Opt-out anzubieten. Diese Prozesse müssen nun umgebaut werden. Jedes nicht notwendige Cookie bedarf einer Zustimmung der NutzerInnen.
  
• Im Shop, erst nach bestätigen aller Cookies auf dem Consent Layer?
  Gut. Hier scheint alles in Ordnung.

3. Gehört das Cookie zu den "absolut notwendigen"?

Das TTDSG lässt auch Ausnahmen zu. Alle Cookies, die für den Besuch der Seite und die Funktionen, die NutzerInnen erwarten, notwendig sind, dürfen ohne Einwilligung geschrieben werden. Das Gesetz (TTDSG §25 2.2.) beschreibt die Ausnahmen so: (...)"wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann."

Marketing- und Analyse Cookies gehören nicht zu den Ausnahmen und bedürfen, spätestens mit dem TTDSG (viele davon schon mit der DSGVO), eines expliziten Einverständnisses der NutzerInnen.

4. Werden eigene Shop-Cookies für das Tracking verwendet? (andere Zwecke)

Einige Shopsysteme lassen es zu, dass notwendige Shop-Cookies (z.B. Warenkorb-Cookies) auch für andere Zwecke verwendet werden, z.B. für Marketing-Informationen. In der Regel erhalten NutzerInnen hier eine anonyme ID, welche in das Cookie geschrieben wird. In der Shop-Datenbank werden dann zu dieser ID alle weiteren Informationen gespeichert. Die TechnikerInnen in Versandhandelsunternehmen sollten wissen, welche Informationen das sind und welchem Zweck sie zugeordnet werden. Die Zwecke sollten voneinander getrennt und die Prozesse entsprechend umgestellt werden.

5. Nutzt der E-Retailer eine Consent Management Platform (CMP), mit deren Hilfe er dezidierte Einverständnisse einholen kann?

Es gibt kaum noch Webseiten, die ohne eine CMP auskommen. Mit deren Hilfe können NutzerInnen ein Einverständnis für die Verarbeitung ihrer Daten und das Setzen von Cookies geben. Jeder Zweck (z.B. Marketing oder Analyse) und jeder Dienstleister (z.B. Anbieter der Analyse Software oder Netzwerk) muss einzeln aufgeführt und auswählbar sein.

6. Werden NutzerInnen ausreichend über die Prozesse und Anbieter informiert?

Neben der reinen Auflistung der Zwecke und Dienstleister, die Daten verarbeiten oder Cookies setzen, müssen diverse Informationen z.B. über die Art, die Dauer und den Zweck der Verarbeitung aufgeführt sein.

7. Werden die Cookies durch die CMP gesteuert?

Tätigen NutzerInnen eine Auswahl im Consent Layer, so müssen sich die darauffolgenden Systeme danach richten. In der Regel stellt die CMP diese Informationen irgendwo bereit, sodass der Tag-Manager oder folgende Scripte darauf zugreifen können, um entsprechend zu reagieren.

8. Ist die CMP auch für Wiederkehrende erreichbar und können NutzerInnen nachträglich Anpassungen vornehmen?

Die CMP muss jederzeit durch NutzerInnen erreichbar sein, damit diese nachträglich den Einstellungen widersprechen können.

9. Haben E-Retailer ihre Partnerunternehmen über den Prozess informiert?

Die Vielzahl an Möglichkeiten in den Tracking Prozessen und Regelungen sorgen aktuell für Verunsicherung. E-Retailer müssen darüber informiert sein, in welchen Fällen sie für die Einwilligung der NutzerInnen zum Verarbeiten ihrer Daten und das Setzen von Cookies verantwortlich sind. Darüber sollten sie auch offen in die Kommunikation mit ihren Dienstleistern und Partnerunternehmen gehen, um keine Risiken einzugehen und die Performance ihres Partnerprogramms zu sichern.

---

Autor André Kögler setzt sich seit einigen Jahren im Bundesverband Digitale Wirtschaft (BVDW)   für realisierbaren Datenschutz im Online Marketing ein. Er ist zudem Berater für Tracking- und Datenschutzthemen im Performance-Marketing und Initiator von Consent Converter   , eine CMP für Affiliate- & Performance-Marketing.