Datenschutz & SEO / SEA / UX Zu Risiken und Nebenwirkungen

WHITEPAPER: 100% WISSEN TANKEN

White paper

Whitepaper

2

Inhaltsverzeichnis

Das Ende einer Online Marketing Ära? ................................................................................................ 4

Der Google Analytics Skandal .............................................................................................................. 8

Die Europäische Cookie Richtlinie ........................................................................................................ 9

Safe Harbour? Von wegen! .................................................................................................................. 9

Privacy Shield – die Lösung? ................................................................................................................ 9

DSGVO und e-Privacy Shield .............................................................................................................. 10

Googles Mobile First Index ................................................................................................................ 10

Das EuGH Urteil ................................................................................................................................. 11

Cookies, Browser und die Sicherheit.................................................................................................. 11

Das Ladezeit und Usability Problem ................................................................................................... 13

Personenbezogene Daten und Datensparsamkeit ............................................................................. 16

Ein Blick ins europäische Ausland ...................................................................................................... 19

Aktuelle Lage in Deutschland............................................................................................................. 20

Richtige Umsetzung von Cookie-Hinweisen und -Layern.................................................................... 21

Braucht man Cookies noch? .............................................................................................................. 23

Das Affiliate Marketing ist tot. Endlich? ............................................................................................. 23

Was Sie tun müssen .......................................................................................................................... 28

Weitere Quellen ................................................................................................................................ 28

An einigen Stellen im Text finden Sie dieses Icon. Es soll darauf hinweisen, dass es hier bereits eine konkrete Lösung gibt, die Sie nutzen können, oder eine Lösung möglich ist, dann erfahren Sie, wie diese aussehen kann.

Der SEO, SEA und Usability Pionier aus München

cyberpromote ist seit 1997 eine inhabergeführte Online Marketing Agentur, die in über 1.000 Projekten in 13 Sprachen vielen Unternehmen zu mehr Erfolg verholfen hat. Wir haben nicht nur zahlreiche Bücher geschrieben, Fachartikel veröffentlicht und Vorträge gehalten, sondern verkörpern seit Beginn ein Grundprinzip: Wir lassen uns am Erfolg des Kunden messen und bieten nur Leistungen an, die auch erfolgreich sein können. Erfolgsbasierte Abrechnungsmodelle sind bei uns ebenso möglich wie kurze Vertragslaufzeiten. Die durchschnittliche Kundenbindung liegt bei uns mit 6,5 Jahren sehr hoch. Gerne heben wir Ihr Online Marketing auf eine neue Stufe.

Whitepaper

3

Es ist wie so oft: Kaum erscheint ein Urteil eines hohen Gerichts, bricht Panik aus. Die Konsequenzen von gut gemeinten Datenschutz-Maßnahmen wie sogenannten Consent-Tools und Mega-Cookie Layern können aber gravierend sein. Und viele weitere Datenschutz-Probleme, die kaum einer kennt, lauern noch woanders. Aktuell besteht Handlungsbedarf! Google ändert für Chrome im Februar 2020 seine Richtlinien für Cookies, was Auswirkungen nicht nur auf Cookie-Hinweise haben kann! Bis in 2 Jahren will Google die Third Party Cookies dann vollständig abschaffen! Was Sie im folgenden Artikel lernen:

Wieso hängen Datenschutz, SEO, SEA und Usability (UX = User Experience) zusammen?

Warum können Datenschutz-Implementierungen massive Rankingverluste zur Folge haben?

Wie kann man ohne Cookies sinnvoll tracken?

Welche wichtigen Änderungen gibt es im Februar 2020 mit Chrome Version 80?

Warum gehen viele Maßnahmen bzgl. Datenschutz am eigentlichen Problem vorbei?

Rechtsanwälte sind keine Technik-Experten, SEOs sind keine Rechtsexperten. Was ist also zu tun?

Es gibt keine einfache Lösung! Das Problem ist mit einem Cookie-Hinweis / Layer nicht gelöst Leider gibt es noch viele weitere Aspekte, die hier beleuchtet werden, die es leider auch komplex machen. Aber es ist wichtig, diese Punkte zu verstehen, um eine langfristig stabile und sichere Lösung zu finden. Erschreckend ist auch, dass es viele Fälle gibt, in denen die Datenschutz-Verantwortlichen von all dem keine Ahnung haben. Aber nur dann können sie Ihren Job richtig machen. Die rechtliche Sachlage zu kennen ist nur eine Seite der Medaille. Man muss auch die andere kennen, die hier detailliert (aber sicher nicht abschließend vollständig oder gar rechtssicher) dargestellt werden soll. Was Sie tun müssen:

Keine überhasteten Aktionen, die evtl. nach hinten losgehen und massiv Daten und Umsatz kosten

Bzgl. den Änderungen für Chrome Version 80 besteht evtl. dringender Handlungsbedarf!

Nehmen Sie sich die Zeit und befassen Sie sich mit dem Thema (dieses Whitepaper soll helfen)

Sie müssen die für den Datenschutz zuständigen, die Verantwortlichen und die für SEO/SEA/Usability zusammenbringen

Gehen Sie überlegt und systematisch vor und finden Sie eine optimale Lösung, die einen bestmöglichen Kompromiss bietet

Und es soll auch aufgezeigt werden: Wo sind Sie von außen leichter „angreifbar“ (sprich abmahnbar), und wo nicht?

Mögliche konkrete Maßnahmen finden Sie an entsprechender Stelle. Update zu diesen Informationen:

Abonnieren Sie unseren cyberpromote Insider Newsletter, damit Sie Updates zu diesen Informationen erhalten. Sie können sich für den Newsletter hier anmelden.

Whitepaper

4

Das Ende einer Online Marketing Ära?

Das zumindest prognostizieren manche nach dem EuGH Urteil zum Thema aktiver Zustimmung zu Cookies. Was tatsächlich jetzt stirbt, ist das Affiliate Marketing! Mehr dazu später. Anfang Dezember 2019 entschied die EU-Kommission aber auch, die E-Privacy Verordnung scheitern zu lassen, um einen ganz neuen Anfang zu wagen. Sie sollte das Cookie Problem eigentlich neu regeln. Oder das Thema E-Privacy Verordnung ist ganz vom Tisch. Es ist also unklar, ob es zu dem Thema von der EU überhaupt noch eine Regelung geben wird. Klar ist, dass das EuGH Urteil zu Cookies aufzeigt, dass Regelungsbedarf besteht. Neben den rechtlichen Rahmenbedingungen soll zunächst ein dramatisches Beispiel aufzeigen, warum es einen Zusammenhang zwischen Datenschutz und SEO, SEA und Usability gibt:

Die Grafik zeigt eine Mappe aller Anfragen, die an einen Server gehen für das Herunterladen aller Elemente einer Seite im Browser (Request-Map). Der blaue Kreis unten links mit dem gestrichelten Rand ist der Start, die Abfrage der URL, hier eine Domain. Drum rum sehen Sie Pfeile und Kreise, Aufrufe externe Ressourcen (Elemente wie Bilder, CSS-Dateien, Javascript-Dateien, weitere HTML Seiten). Die Größe der Kreise steht für die Dateigröße, rote Kreise sind Bilder. Unten mittig orange hinterlegt sind die Aufrufe, die für den Download der Dateien für e-tracker erfolgen (Webanalytics Lösung). Es sind hier insgesamt 5 Elemente. Hellblau hinterlegt sehen Sie die Aufrufe die notwendig sind für ein Consent-Tool, also die Abfrage der Wünsche des Nutzers bezüglich seiner Präferenzen zu Cookies, welche er akzeptiert und welche nicht. Etwas, was nervt, keiner will, und trotzdem ist es da. Und man erkennt sofort etwas Gravierenderes!

Whitepaper

5

Die Kreise zeigen, dass bestimmte Abrufe erst möglich sind, wenn einzelne Elemente heruntergeladen sind. Bei diesem Cookie-Layer sind nicht nur deutlich mehr Pfeile und Elemente vorhanden, sondern diese liegen gestaffelt hinter weiteren Kreisen. Und es sind deutlich mehr Elemente als die Seite selbst für die Darstellung im Browser benötigt! Der SpeedIndex, die Kennzahl von Google für die Ladezeit einer Webseite, steigt durch dieses Consent-Tool um mehr als das Dreifache! Die Absprungrate liegt bei der Website bei über 80%. Warum? Weil dieser Cookie Layer sehr viel Zeit braucht, bis er lädt, und die Nutzer das nicht akzeptieren! Die Absprungrate hat sich also mehr als verdoppelt. Noch ein Beispiel: Öffnen Sie die Seite https://adage.com, eine Seite, die sich mit Online Marketing beschäftigt, und lassen Sie den Cookie Layer auf sich wirken und nehmen Sie sich Zeit dafür: Das Laden des Cookie-Layers dauert, man sollte Geduld haben:

Klickt man dann auf Präferenzen senden, dauert das Speichern auch einige Zeit, man wird vorgewarnt: Es könnte auch Minuten dauern.

Whitepaper

6

Hat man auch das geschafft, wird auch noch ein Hinweis ausgegeben, der dann den Nutzer völlig verwirrt. Hat etwas nicht funktioniert?

Auf einem Smartphone muss man zudem ständig Scrollen, damit man den Button überhaupt sehen kann. Das Laden bei einer 3G Verbindung dauert mehr als 20 Sekunden. Google bewertet die Ladezeit grundsätzlich unter einer (simulierten) 3G Datenverbindung, mehr dazu später.

Whitepaper

7

Wenn Sie ein Consent-Tool oder Cookie-Layer oder andere Cookie-Lösung einsetzen wollen, stellen Sie sicher, dass diese Lösung von Ihrem Server geladen wird und die Ladezeit nicht negativ beeinflusst. Prüfen Sie das vor der Installation! Es gibt auch Open Source Consent-Tools, die Sie kostenfrei auf Ihrem Server nutzen können.

Beeinflussen Cookie-Layer und Consent Tools nur die Ladezeit von Erstbesuchern?

Nein, denn die getätigte Auswahl eines Nutzers wird bei einem wiederholten Besuch abgefragt. In der Regel geht das schneller, kostet aber dennoch Zeit. Und bis diese Abfrage durchgeführt wurde, kann der Nutzer die Seite nicht benutzen. Je nach technischer Lösung können notwendige Cookies wie Session-Cookies gleich zu Beginn geladen / gelesen werden. Alle weiteren Tracking-Cookies könnten erst dann geladen werden, wenn die Abfrage durchgeführt wurde, ohne die Nutzung der Seite zu blockieren. Dies hängt von der jeweiligen Lösung ab und beeinflusst die Ladezeit deutlich. Wie lässt sich die Ladezeit-Verschlechterung vorab messen?

Auch das lässt sich nicht so einfach beantworten. Am besten, man schaut sich Seiten an, die eine solche Lösung bereits nutzen. Man kann aber nicht von außen genau ermitteln, welche zusätzliche Ladezeit ein solches Tool verursacht. Am besten, man misst die Ladezeit vor einer Implementierung und misst sie dann im Rahmen einer Testumgebung oder nur auf einer Testseite, um den Unterschied ermitteln zu können. Welche Kennzahlen sind hier wichtig?

Natürlich spielt der SpeedIndex eine wichtige Rolle. Allerdings misst dieser nur, bis wann der sichtbare Bereich in einem Smartphone gezeichnet wurde. Er bewertet nicht den zweiten, hier sehr wichtigen Messwert, Time To Interactive (TTI). Er ermittelt, wie lange es dauert, bis der Nutzer die Seite benutzen kann. Dies ist gerade bei solchen Cookie Lösungen ein wichtiger Wert, da die meisten Lösungen die Nutzung blockieren, bis eine Auswahl oder ein Klick erfolgt. Zwischen dem zeichnen des Inhalts im Browser und dem TTI Zeitpunkt können erhebliche Differenzen liegen. Auch hier sollte man den Wert vor und nach der Implementierung der Cookie-Lösung messen. Gibt es eine Lösung ohne Ladezeitverluste?

Theoretisch vielleicht. Dies wäre möglich, wenn das Tool alle Infos asynchron lädt und erst anzeigt, wenn diese geladen sind. Die Nutzung der Seite wäre dadurch nicht beeinträchtigt. Allerdings ist es auch nicht gut, wenn der Nutzer in seinem Vorgang plötzlich unterbrochen wird. Daher sollte die Cookie-Lösung in jedem Fall möglichst schnell laden. Ob dies vom eigenen Server besser funktioniert oder vom Server des Lösungsanbieters ist nicht pauschal zu beantworten. Theoretisch könnte eine Lösung von einer dritten Domain schnell sein, wenn deren Server schnell ist. Die bisher von uns geprüften Lösungen zeigen aber eine problematische Verlängerung der Ladezeit. Und das asynchrone zulassen von Cookies ist auch technisch nicht einfach. Lösungen mit geringer zusätzlicher Ladezeit sind technisch möglich, aber derzeit nicht vorhanden. Es gibt von Google eine offizielle Empfehlung bzgl. Consent Tools, allerdings sollte man diese mit Vorsicht genießen. So gibt es bei Cookiebot einige Berichte, die auch die schlechte Ladezeit bemängeln. Selbst die Europäische Kommission bietet ein Toolkit. So bietet Google auch Lösungen an, ein solches

Whitepaper

8

Tool auf AMP Seiten zu implementieren(auch dazu später mehr). Zudem ist zu prüfen, ob die Tools selber die Datenschutz-Bestimmungen einhalten: Welche Daten werden erhoben, wo werden diese gespeichert? Um das ganze Problem und seine Auswirkungen zu verstehen, müssen wir einige Jahre zurückgehen. Es wird Ihnen helfen zu verstehen, wie es zu der heutigen, verfahrenen Situation kam und warum vieles, was auch wichtig ist, nicht beachtet wird.

Der Google Analytics Skandal

Verurteilt wurde 2007 das Bundesjustizministerium, weil es auf seiner Website Google Analytics einsetzte und damit auch die IP-Adressen der Besucher erfasste. Man muss da unweigerlich schmunzeln, dass ausgerechnet das Bundesjustizministerium verurteilt wurde. Was passierte danach? Die Hamburger Datenschützer einigten sich 2011 mit Google auf ein Verfahren, so dass Google Analytics ab sofort IP-Adressen anonymisierte, wenn man es denn auch genau so implementierte. Denn IP-Adressen sind personenbezogene Daten. Man mag darüber streiten aber die Rechtslage ist da ziemlich eindeutig. Was vielen Unternehmen nicht bewusst ist: Meistens ist Google Analytics oder auch jedes andere Tracking-System so implementiert, dass es IP Adressen anonymisiert. Doch in der Regel implementieren Agenturen bei Websites viele weitere Quellen wie Fonts von Google, Google Maps Karten, ein Youtube Video wird eingebettet, Bilder werden auf separate Domains abgelegt und von dort abgerufen (sogenannte CDN = Content Delivery Networks) oder man nutzt Cloud-Speicher wie Cloudflare – und beim Abruf aller dieser Daten wird die IP-Adresse des Besuchers ebenfalls übertragen oder man bettet Javascript Bibliotheken ganz selbstverständlich von anderen Domains ein. Bei Google Analytics macht man so ein großes Tam-Tam und bei den anderen Sachen schaut man darüber hinweg? Rechtlich doch sehr bedenklich. Nebenbei sei bemerkt, dass die Anonymisierung der IP-Adresse nicht alle Probleme beseitigt. Google Analytics wie auch andere Tracking-Systeme können an vielen Stellen personalisierte Daten speichern. Aber was von außen betrachtet nicht offensichtlich ist, scheint wenige zu kümmern. Und noch etwas: Die Prüfung, ob die Anonymisierung bei Google Analytics richtig implementiert wurde, wird nur stichprobenartig gemacht. genau genommen genügt es, wenn auf einer einzelnen Seite Ihrer Website die Anonymisierung fehlt, dann liegt schon ein Rechtsverstoß vor. Technisch ist es nicht so schwer, das herauszufinden. Die Datenschutzbehörden machen das und prüfen mittels einer eigens entwickelten Software komplette Websites, ob die Anonymisierung korrekt implementiert wurde. Daher sollten Sie dies auch tun, und eine systematische Überprüfung machen, was technisch nicht sehr aufwändig ist. Mit unserer Software Forecheck geht dies relativ einfach, wenn Sie nicht auf das neue gtag Element umgestellt haben. Dann kann man nur mit aktiviertem Javascript sehen, welcher Trackingcode sich tatsächlich in Ihrer Seite befindet. Dennoch ist eine systematische Prüfung möglich. Bedenken Sie: In der Regel wird das Tracking über ein Plugin oder durch Einbindung in allen Templates umgesetzt. Aber gibt es evtl. noch weitere Seiten? Spezielle Landing Pages oder dynamisch erstelle Seiten, die über andere Templates laufen? Hat man das wirklich mal systematisch durchdacht und geprüft?

Whitepaper

9

Es besteht die Möglichkeit, Google Analytics komplett ohne Cookies zu betreiben. Hierzu werden derzeit bei uns Tests durchgeführt, um zu prüfen, wie gut die Datengenauigkeit dann noch ist. Möglicherweise besteht diese Möglichkeit auch bei anderen Trackingsystemen. Wenn Sie hier Bedarf haben, kontaktieren Sie uns.

Die Europäische Cookie Richtlinie

Seit 2009 gilt Sie eigentlich schon, aber sie wurde nie in allen europäischen Ländern gleich übernommen. Deutschland ist einen eigenen Weg gegangen, doch 2011 verkündete man, die Richtlinie sei umgesetzt. Es sollte sich herausstellen, dass dem nicht so ist. Die Cookie-Richtlinie gilt aber seit 2009 in den meisten anderen europäischen Ländern und besagt, dass die Speicherung und der Zugriff auf Daten im Endgerät des Teilnehmers nur mit dessen Zustimmung erfolgen darf. Sprich: Cookies nur mit aktivier Zustimmung. Ausgenommen hiervon sind technisch notwendige Daten, die für die Bereitstellung des Dienstes notwendig sind wie Session-Cookies. Wie gesagt: Im größten Teil der EU galt eine Opt-In Regelung, Deutschland hat im Telemediengesetz aber eine Opt-Out Regelung umgesetzt. Ein großer, entscheidender Unterschied. Doch diese Regelung hat 2019 der EuGH für nichtig erklärt.

Safe Harbour? Von wegen!

2015 folgt der nächste große Hammer: Der EuGH erklärte das Safe Harbour Datenschutzabkommen mit den USA für nichtig! Dank Snowden ist allen bewusst, dass die Daten bei Facebook nicht sicher sind. Und die vielen Likes auf den Websites haben sich auch drastisch reduziert. Zwar gibt es jetzt das Privacy Shield Abkommen, aber ehrlich: Das Vertrauen ist weg und man darf sich fragen, ob das neue Abkommen auch rechtlich sicher ist. Es wurde also nochmals bestätigt, dass man als Betreiber einer Website dafür verantwortlich ist, wohin welche Daten fließen. Hier ging es um Facebook, aber es gibt eine Fülle an Quellen, die man auf der eigenen Website nutzt. Erschreckend und amüsant ist die Tatsache, dass eine Privatperson das bilaterales Safe Harbour Abkommen zwischen Großmächten gekippt hat. Dabei hätte die Politik selbst schon gleich nach den Snowden Enthüllungen handeln müssen.

Privacy Shield – die Lösung?

Nachdem Safe Harbour unbrauchbar geworden ist, hat man ein neues Abkommen beschlossen. Alle großen Anbieter wie Google sind dem beigetreten – freiwillig. Es gibt keine Kontrolle, nur Vertrauen. Doch wie groß ist das Vertrauen? Das ist natürlich zerstört. Und die Vereinbarung wurde vor der DSGVO beschlossen. Und so ist es auch zu erwarten, dass dieses Abkommen keinen Bestand haben wird. Schon Mitte 2018 gab es Stimmen, und auch die EU will dieses Abkommen aussetzen. Seitdem herrscht Schweigen und die unrealistische Empfehlung, man solle bei einer Übertragung von personenbezogenen Daten ein Abkommen auf Basis europäischer Datenschutzrichtlinien vereinbaren,

Whitepaper

10

um sicher zu gehen. So ein Abkommen mit Google oder Facebook zu vereinbaren ist weltfremd. Vielleicht ist das in speziellen Fällen möglich und wichtig, aber im Kontext des Online-Marketing hilft es nicht. Dass die Politik und die EU seitdem dazu schweigen, ist ein Armutszeugnis und zeigt, dass sich die Politik immer mehr in die Enge getrieben hat. Und die Unternehmen sollen zusehen, wie Sie es lösen.

Sollte man den Zustand des Datenschutzes aus Sicht eines Unternehmens als Gefühl bildlich darstellen, ist das obige Kunstwerk sicherlich geeignet. Ob Sie den Felsbrocken als Symbol für die Politik sehen, liegt im Auge des Betrachters und Ihrer freien Interpretation.

DSGVO und e-Privacy Shield

Die DSGVO hat viele Dinge neu geregelt und die gleichzeitig geplante Veröffentlichung der e-Privacy Richtlinie lässt weiter auf sich warten oder kommt nie. Den Politikern dämmert langsam, dass ein Verbieten aller Tracking-Möglichkeiten wirtschaftliche Konsequenzen in Milliarden-Höhe hätte. Aber jeder kann auch die Seite der Datenschützer verstehen. Die Kraken Google, Facebook und Co hinterlassen ein „Gschmäckle“. Wie es aussieht, sind die Unternehmen mit dem ganzen Schlamassel erst mal allein gelassen. Unklar ist, ob der deutsche Sonderweg der Opt-Out Option für Cookies noch rechtens ist, oder nicht.

Googles Mobile First Index

Schon in 2017 angekündigt stellt Google seine Suchmaschine um. Alle Webseiten sollen nur noch nach ihrer mobilen Ausgabe bewertet werden. Seit dem 1.7.2019 gilt das grundsätzlich für alle neuen Websites, mittlerweile sind die meisten anderen umgestellt. Google interessiert sich also nur noch dafür, was Ihre Website auf Smartphones ausgibt.

Whitepaper

11

Im Zuge dessen hat Google auch die Bewertung der Ladezeit definiert: Diese wird natürlich auch nur für eine mobile Darstellung gemessen, zudem bei einer simulierten 3G Datenverbindung (3G Fast). Das sind 768 kBit/s. Ein komprimiertes Bild mit 100kByte Größe, das sind 800 kBit, benötigt also 1 Sekunde bei einer 3G Datenverbindung. Die Messlatte von Google: Alle Seiten, die langsamer als 2,5 Sekunden sind, sind "langsam". Für mehr Informationen hierzu haben wir ein separates Whitepaper zum Thema Mobile First. Wenn Sie dies gerne zugesendet bekommen möchten, können Sie es hier anfordern.

Das EuGH Urteil

Der jüngste Akt ist das Urteil des Europäischen Gerichtshofs bzgl. der Speicherung von Cookies bei planet49. Kurz gesagt: Der BGH musste zu dem Fall urteilen und befragte den EuGH. Es ging um die Frage, ob Nutzer bei der Speicherung von Cookies aktiv zustimmen müssen. Wie der Artikel hinter dem Link ausführt, ist es dem BVDW nach noch unklar, was das Urteil genau sagen soll. Der BGH muss zunächst selber das Urteil sprechen und ob das Urteil vom EuGH in Deutschland tatsächlich eine Wirkung hat, ist umstritten, es gibt da auch Gegenstimmen. Ausgelegt wird es jedenfalls so, wie die ursprüngliche Cookie-Richtlinie besagt: Eine Zustimmung darf nicht durch ein bereits angeklicktes Kästchen erfolgen, sondern der Nutzer muss aktiv zustimmen und das Kästchen aktiv anklicken. Jedem ist dabei klar, dass die meisten Nutzer das nicht tun werden. Jede andere Form, das zu umgehen könnte also Ärger bringen. Oder nicht? Eines ist klar: Die angeblich rechtskonforme Umsetzung mit einem Consent-Tool mindert vielleicht die Gefahr und macht Anwälte und Datenschützer glücklich. Aber in den meisten Fällen ist das rechtliche Problem nicht gelöst, denn die Probleme lauern an vielen Stellen, aber dafür riskiert man schlechtere Platzierungen bei Google (organisch-SEO und auch bei Google Ads / SEA Maßnahmen!). Zudem lassen sich die SEO Maßnahmen nur noch bedingt sinnvoll messen und SEA Maßnahmen müssten mehr im Blindflug gesteuert werden, sprich: Es kostet massiv Geld und ist ein Wettbewerbsnachteil!

Cookies, Browser und die Sicherheit

Aktuell kommt noch hinzu, dass Chrome aus Sicherheitsgründen die Behandlung von Cookies ändert. Dies betrifft aber auch Skripte, die in der Regel für das Auslesen von Cookies verwendet werden. Sogenannte Cross-Site-Scripting Angriffe durch Javascript sind eine verbreitete Form von Angriff auf den Nutzer. In dem Zusammenhang sollten Sie wissen, dass es schon länger den Standard „Content-Security-Policy“ gibt. Diese ermöglicht dem Betreiber einer Seite zu definieren, welche Skripte auf welche Daten Zugriff haben dürfen. Vor allem soll der Zugriff durch Skripte auf andere Quellen verhindert werden. Somit haben Sie eine Möglichkeit, Ihre Seite sicherer zu machen, denn Browser werden diese Anweisungen strikt befolgen, zum Beispiel nicht zulassen, dass ein Skript auf Ihrer Website auf Daten einer anderen Domain zugreifen darf oder auf welche dritten Domains als „sicher“ von Ihnen eingestuft werden. Für Cookies gibt es die SameSite Option, die nun im Februar 2020 in Chrome scharf geschaltet wird. Dann nämlich können Cookies grundsätzlich nicht mehr unter einer anderen Domain angelegt werden. Es ist faktisch zunächst das Ende der klassischen Third Party Cookies! Darunter wird vor allem die

Whitepaper

12

Affiliate Branche schwer leiden. Allerdings hat die sich seit langem auch selbst das Grab geschaufelt (Meinung des Autors) durch unseriöse Methoden, an denen alle mitverdient haben. Weitere Details zu SameSite gibt es von Google.

Obiges Bild zeigt einen Fall, bei dem auf einem mobilen Gerät der Cookie-Hinweis unter amazon.de nicht angezeigt wird. Der Cookie-Hinweis ist vorhanden, aber der Nutzer sieht ihn nicht, da die erforderlichen Angaben fehlen. Amazon speichert die Daten offensichtlich unter www.amazon-adsystem.com ab, also nicht unter amazon.de. Chrome verhindert den Zugriff, da der Browser dies nicht als sicher einstuft. Damit sollen typische Cross-Site-Skripting Angriffe unterbunden werden, es hat aber massive Auswirkungen auf Cookies generell.

Wenn Anbieter Sie darum bitten sollten, SameSite für deren Cookies zu implementieren, sollten Sie das genau prüfen. Dies kann rechtliche Auswirkungen haben, allerdings ist die grundsätzliche Frage, ob der Dienstleister tatsächlich einen Mehrwert für Sie erbringt. Gerade bei Affiliate Programmen lässt sich der Nutzern (oder der fehlende Nutzen oder gar der Schaden) mit Analysen recht genau bestimmen. Wenn Sie hier Bedarf haben, kontaktieren Sie uns.

Und viele Anbieter von Cookie-Hinweisen oder Consent-Tools laden Inhalte von dritten Domains. Haken Sie mal nach, ob man sich bereits mit dem Thema Content-Security-Policy und dem Thema „SameSite“ bei Cookies beschäftigt. Wenn ein Cookie-Hinweis fehlt oder nicht funktioniert, wird man

Whitepaper

13

vermutlich rechtlich keine Gnade walten lassen. Die Implementierung alleine ist nur ein Teil, es muss aber immer unter allen Umständen funktionieren (wir hatten das schon bei Google Analytics). Es reicht vermutlich, wenn es eine Konstellation gibt, unter denen Ihre Website das Recht nicht einhält. In der Regel funktioniert ja die Darstellung des Cookie-Hinweises unter amazon.de, aber schauen Sie mal selbst, ob Sie den Cookie-Hinweis sehen können. Am Rande sei noch erwähnt, dass es ja auch noch die Do-Not-Track Initiative gibt, die aber letztlich keine Wirkung entfaltet hat, da sich nicht alle daran halten. Sie ist gescheitert, so dass auch Apple diese Option aus seinen Browser wieder entfernt. Bis in 2 Jahren will Google Third Party Cookies komplett abschaffen, Chrome wird dieses dann gar nicht mehr unterstützen. Allerdings hat Google ausreichend andere Technologien, die ähnliche funktionieren. So bleibt das Thema Datenschutz weiterhin ein Thema, ggf. aber spielt das der Politik in die Hände und entschärft das Cookie-Problem etwas.

Die Einführung von SameSite hat letztlich auch etwas Gutes: Viele Third Party Cookies werden, wenn Sie SameSite nicht in Ihrer Website implementieren nicht mehr funktionieren. Die anderen Hersteller (Safari, Firefox, Opera) haben dies bereits implementiert. Die Cookie Problematik wird sich dadurch vermutlich deutlich reduzieren, es könnte auch Auswirkungen auf die Politik haben. Daher ist auch zu prüfen, welche Cookies sich damit von selbst "erledigen".

Das Ladezeit und Usability Problem

Zunächst schauen wir uns die möglichen SEO und SEA Auswirkungen an, um dann mögliche bessere Lösungen zu analysieren und um zu klären, was man eigentlich alles tun muss, damit man rechtskonform ist. Folgendes Bild zeigt ein klassisches Wasserfallmodell, welches das kostenlose Tool webpagetest.org liefert. Bevor Sie anfangen, Ihre Seite selbst dort zu testen, beachten Sie bitte:

Google misst und bewertet die Ladezeit in einer 3G Datenverbindung

Google simuliert ein Smartphone bei der Messung

Die Kästchen mit A-F oben sind nur gewichtete Ergebnisse einzelner Messpunkte

Neben dem SpeedIndex (SI) gibt es weitere wichtige Kennzahlen, die man bewerten und optimieren muss

Whitepaper

14

Leider kommt es nicht selten vor, dass Nutzer zu schnell ein (oft falsche) Urteil fällen bei den Ergebnissen von webpagetest.org. Die Bedienung des Tools füllt einen eigenen Workshop, erst Recht die Möglichkeiten, die unterschiedlichsten Möglichkeiten der Optimierung umzusetzen. Hier wurde wie im ersten Bild ganz oben ein Consent Tool (Cookie Layer mit Auswahl der aktivierten Cookies) genutzt. Farblich hervorgehoben sind: Resourcen von etracker in orange Resourcen des Consent-Tools in hellblau Man erkennt wieder deutlich, wie unglaublich viele Elemente und Daten dieses Consent Tool benötigt. Die beiden Zahlen in den roten Kreisen markieren die beiden Punkte, an denen die Kennzahl des SpeedIndex (SI) von Google ermittelt wird. Der Wert ergibt sich zu etwa 5 Sekunden ohne Consent-Tool und zu 14 Sekunden mit Consent-Tool. Im folgenden Bild sehen Sie weitere Kennzahlen zu dieser Ladezeit-Analyse:

Whitepaper

15

Die wichtige Kennzahl SpeedIndex (SI) ist hier mit 13,591 Sekunden ermittelt worden (1). Das ist schlicht ein sehr schlechter Wert. Google selbst bezeichnet alle Werte die über 2,5 Sekunden liegen als „langsam“.

Kostenlose Tools wie webpagetest.org oder Lighthouse bieten sehr gute Analysemöglichkeiten. Leider werden die Daten aber oftmals nicht richtig interpretiert. Die Tücken stecken meistens in den Details. Nur erfahrene Experten sollten mit den Tools arbeiten und die richtigen Schlüsse ziehen.

Ein großes Problem sind die häufig eingesetzten Layer, die ein interagieren mit der Website unterbinden, solange der Nutzer nicht seine Wahl getroffen hat. Nutzer warten aber ungern. Die Aufmerksamkeitsspanne der Millenials liegt bei 2,8 Sekunden, und die nutzen bevorzugt Smartphones. Auch wenn die von älteren Menschen höher liegt, verschenken Sie keine Millisekunde durch Ladezeit! Das Tool Lighthouse von Google ermittel ebenfalls detaillierte Berichte zur Ladezeit, einer davon ist „Time to interactive“. In diesem Fall dauert es 12,1 Sekunden, bis der Besucher mit der Seite interagieren kann:

Würden Sie 12 Sekunden warten, bis Sie mit der Seite interagieren können? Nein! Das ist auch ein Grund, warum fast alle Besucher die Seite wieder verlassen, weil Sie eben nicht diese Geduld haben. Nebenbei: Wenn Ihre Website beispielsweise Bilder ansychron lädt, verbessert das den Speed Index, aber Time to Interactive kann dann deutlich nach oben gehen, weil Bilder dann deutlich später geladen werden. Den SpeedIndex darf man nicht alleine betrachten, sondern muss sich alle Details ansehen.

Whitepaper

16

Daher die Frage an Sie:

Verzichten Sie gerne auf 15-50% oder mehr Ihres Umsatzes? Nehmen Sie gerne ineffizientes Online Marketing in Kauf? Verzichten Sie auf Analytics-Daten und wollen Sie im Dunkeln tappen?

Sicher nicht. Also was kann man tun? Zunächst müssen wir uns rechtlich dem Thema nähern, um zu Verstehen, was tatsächlich notwendig ist.

Personenbezogene Daten und Datensparsamkeit

Die Erfassung von personenbezogenen Daten ist schon vor der DSGVO rechtlich problematisch gewesen. Dazu gehören zum Beispiel die IP-Adresse, die Email-Adresse, Name, Telefonnummer, Adresse, Kreditkartennummer, etc. Daneben gilt schon immer auch das Gebot der Datensparsamkeit / Datenvermeidung. Sie können nur das Erheben, was wirklich auch notwendig ist. Hier ein aktuelles Beispiel:

Bestellt man Ersatzteile bei Philips, ist die Angabe der Telefonnummer im Bestellprozess ein Pflichtfeld. Wozu? Das kleine Ersatzteil für € 7,99.- wird sicher nicht per Spedition geliefert und eine telefonische Beratung für den Einbau kann man auch ausschließen. Die Erhebung ist hier klar nicht notwendig, denn zur Erfüllung der Aufgabe ist sie nicht erforderlich. Abgesehen von dem Rechtschreibfehler bei Telefonnumber" der wohl der Übersetzung geschuldet ist. Und wenn personenbezogene Daten erhoben werden, müssen diese verschlüsselt übertragen werden. Kontaktformulare müssen also auch schon vor der DSGVO verschlüsselt sein. Was müssen Sie also tun? Sie müssen prüfen, wo evtl. bei Ihnen personenbezogene Daten erhoben werden und ob das notwendig ist, rechtmäßig und ob die Datenschutzhinweise dazu passen. Bezogen auf eine Website bedeutet dies beispielsweise:

Whitepaper

17

Welche Daten werden erhoben? Wo werden diese gespeichert und wie lange?

In der Regel sind Kontaktformulare die Schnittstelle einer Website. Es können sich aber auch personenbezogene Daten in Ihr Tracking-System einschleichen. Der Klassiker ist hierbei die IP-Adresse. Das Verfahren zu Google Analytics ist bekannt und sollte vollständig umgesetzt sein. Aber in jedem Webanalytics System können sich viele verschiedene personenbezogene Daten einschleichen. Wenn Sie ein Formular haben, könnten Sie den Inhalt in einer Variable speichern. Oder in der URL befindet sich eine Nutzer-ID, und diese IDs stehen dann auch in den Seitenaufrufen des Trackingsystem. Folgt man einem externen Link auf so einer Seite, würde die Nutzer-ID als Referer an Dritte übertragen werden! Oder Sie erfassen Felder eines Formulars in einer Datenbank. Das betrifft jedes Webanalytics-System und es gibt eine Fülle an möglichen Daten, die vielleicht ohne Ihr Wissen gespeichert werden. Man muss sich also die Art der Erhebung beim Tracking ansehen und prüfen, ob personenbezogene Daten erhoben worden sind oder erhebbar sein könnten. Das ist kein leichtes Unterfangen, wird in der Regel aber auch nie gemacht. Klar, die Daten sind von außen nicht sichtbar, es ist also von außen schwerer zu beurteilen. Allerdings soll ja jedes Unternehmen einen Datenschutzbeauftragten haben und ich hab noch nie gehört, dass sich jemand mal die Daten im Webanalytics-System anschauen möchte. Neben den typischen Analytics-Systemen gibt es auch Log-Files auf den Servern, die dann ebenfalls IP-Adressen, URLs und weitere personenbezogene Daten enthalten könnten. Wenn Sie jetzt schon ein ungutes Gefühl haben, ich kann nichts dafür, und es wird noch schlimmer. Wohin fließt die IP-Adresse des Besuchers?

Bei jedem Aufruf einer Ressource (Bild, Datei, etc.) wird auch die IP-Adresse des Besuchers mitgesendet. Bei Google Analytics wird also ein erheblicher Aufwand betrieben, aber bei allem anderen nicht? Wenn Sie Google Maps einbinden, wird an Google die IP-Adresse übertragen. Auch bei Einbindung eines Google Fonts oder eines Fonts aus einer anderen Quelle.

Google erlaubt die lokale Einbindung der Fonts. Auch wenn die Google Server als schnell gelten, ist es Datenschutzgründen sinnvoll. Für die Implementierung muss dann sichergestellt sein, dass keine Daten an den Google Font Server gehen, sprich diese Verbindungen müssen in den Themes unterbunden werden, was dann im Detail nicht ganz einfach sein kann.

Bei der Einbettung eines Youtube- oder Vimeo-Videos gibt es neben der IP-Adresse das Problem, dass Youtube auch hier Cookies setzt.

Whitepaper

18

Mit dem Youtube Modus für erweiterten Datenschutz kann man das Einbetten so vornehmen, dass nur Cookies gesetzt werden, wenn man das Video anklickt. Aber nur dieser Fall wird beispielsweise hier rechtlich zerpflückt und zeigt in seinen Details, wie schwierig eine rechtskonforme Umsetzung ist.

Wer Inhalte per iframe einbindet, muss ebenfalls das Thema Datenschutz beachten. Auch wenn Sie AMP (Accelerated Mobile Pages) Seiten einsetzen, sind diese nicht datenschutzkonform, da die AMP Seiten direkt von Google Servern geladen werden (IP-Adresse der Besucher geht an Google). Wie weiter oben geschrieben sollten solche Cookie-Hinweise auch in AMP Seiten eingebunden werden, und Google bietet Hilfe bei der Nutzung interaktiver Elemente für solch eine Lösung an. Prüfen Sie also, ob der Cookie-Hinweis auch auf Ihren AMP Seiten vorhanden ist (wird nicht selten vergessen) und ob dieser richtig funktioniert. Unabhängig davon sei an dieser Stelle darauf verwiesen, dass bei AMP Seiten auch ein Link zur Datenschutzerklärung und zum Impressum vorhanden sein muss, sonst könnte man das auch abmahnen. Dieser Link sollte übrigens auch im Cookie-Hinweis vorhanden sein. Im Folgenden ein praktisches Beispiel: Wenn Sie Google Analytics einsetzen, müssen Sie nicht nur systematisch prüfen, ob die Anonymisierung bei Google Analytics in wirklich allen Dateien implementiert ist (wenn Sie Google Analytics einsetzen), sondern auch alle externen URLs in Ihrer Website auswerten! Mit unserer Software Forecheck sieht das wie folgt aus.

Im Bild sehen Sie einen Ausschnitt von externen Seiten unter bild.de. Links zu externen Seiten sind dabei kein Problem oder Links zu anderen Subdomains der eigenen Domain. Aber eingebettete Seiten schon. Und da wird es schon schwierig. Die URLs zu dy.adserve.io sind vermutlich eingebettete Werbeformate, die URL zu Google Plus könnte auch etwas eingebettetes sein (auch da es Google Plus nicht mehr gibt, sollte man das ganz entfernen). In dieser Analyse zu Bild.de sind es mehr als 7.300 externe Seiten. Natürlich muss man diese nur nach Domains auswerten und kann das systematisch eingrenzen, aber hier steckt schon etwas Arbeit drin.

Whitepaper

19

In der Analyse für externe Bilder sind es über 3.000 (und es ist nur eine vergleichsweise kurze Analyse von Bild.de). Hier tauchen externe Cloud-Speicher wie Akamai und Cloudfront auf. Sprich die IP-Adresse der Nutzer wandert auch dorthin. Ist das datenschutztechnisch geklärt?

Als letztes Beispiel externe Skripte. Man erkennt hier schon eine Menge an externen Skripten, die vielleicht zu klären sind. Natürlich müsste man alle anderen externen URLs auch prüfen (z.B. eingebundene reCaptcha, PDFs, Videos, etc.) aber ich denke es wird klar, dass es an vielen Stellen ungelöste Probleme geben kann.

Ein Blick ins europäische Ausland

Die Cookie-Richtlinie der EU ist ja nun in den meisten europäischen Ländern schon länger gültig und wurde auch so in nationalen Gesetzen umgesetzt. Was tut sich denn in diesen Ländern, nachdem die rechtlichen Rahmenbedingungen schon so viele Jahre gelten? Ob zalando.fr, asos.co.uk oder www.esselungaacasa.it, es ist auch dort weit verbreitet, dass es die bekannten Cookie Banner gibt mit der Opt-Out Funktion. Seltsam, dass anscheinend im EU-Ausland der Datenschutz nicht so ernst genommen wird? Oder sind wir Deutschen einfach eine Ausnahme, da wir zum einen zu übertriebener Sorge und Hektik neigen,

Whitepaper

20

oder weil wir sehr aktive Anwälte, Datenschützer und Verbraucherschützer haben? Ist die Frage nicht berechtigt, ob man in verschiedenen Ländern das Recht unterschiedlich durchsetzt?

Aktuelle Lage in Deutschland

Doch auch in Blick in Deutschland zeigt: Ob otto.de, amazon.de, facebook.de, google.de oder alle anderen großen Anbieter und Shops (wir haben mal die größten im deutschen Markt angeschaut): Bisher tut sich dort nichts. Der übliche Cookie-Hinweis ist dort zu sehen. Bei 1&1 Ionos hat man ein „kreatives“ Beispiel implementiert, das aber auch nicht rechtlich in Ordnung ist (Screenshot von www.1und1.de):

Der obige Cookie-Layer von www.1und1.de weicht ab von dem neuen unter www.ionos.de, dort heißt der Menüpunkt nun "Statistik" statt "Komfort", und aus "Promotion" wurde "Marketing":

Whitepaper

21

Das EuGH Urteil besagt, dass der Nutzer den Cookies, die nicht notwendig sind, aktiv zustimmen muss. Das Feld darf nicht bereits ausgewählt sein. Hier verbergen sich die Cookies zu Statistiken hinter dem Punkt „Komfort“, welches einen schmunzeln lässt. Es mag Cookies geben, die einen Komfort darstellen, zum Beispiel, wenn ausgefüllte Felder in einem Formular in einem Cookie gespeichert werden, damit man bei einem Problem nicht immer alle Felder neu befüllen muss (hier lauert übrigens auch eine Gefahr, dass personenbezogene Daten gespeichert werden und man kann die Frage stellen, ob das „notwendig“ ist). Komfort ist es eher für den Betreiber, hier 1&1, aber die Erfassung von Statistiken empfindet sicher kein Nutzer als „Komfort“. Man könnte unterstellen, dass jemand, der das überprüft, vielleicht nicht genau hinsieht, aber der Cookie-Layer klärt darüber auf, dass hier auch Statistiken gemeint sind, sprich ein Webanalytics-Systeme wie Google Analytics. Dass aber die meisten großen Websites noch den einfachen Cookie-Hinweis haben, sollte zumindest etwas beruhigen. Es kann sein, dass die Unternehmen daran arbeiten, es kann sein, dass sie auf das Urteil des BGH warten (der muss nämlich das EuGH Urteil erst mal übernehmen und dann sein Urteil verkünden). Interessant hierbei noch die Anmerkung: Der BGH hat den Fall von planet49 dem EuGH vorgelegt, weil planet49 explizit vom Besucher die Zustimmung zu den Cookies haben wollte (und in dem Fall waren es 21 Cookies von verschiedenen Werbenetzwerken). Somit besagt das Urteil nicht, ob man zwingend eine Zustimmung einholen muss, sondern nur wie diese aussehen muss, wenn man eine solche implementiert. So zumindest argumentiert das Magazin t3n. Es kursieren Informationen, dass sich Behörden bereits auf erste Strafen bei Verstößen vorbereiten und diese auch aussprechen wollen. Die Rechtslage ist aber je nachdem, was man liest, nicht wirklich völlig eindeutig. Und wenn sich jemand Gedanken machen muss, dürfte das sehr offensichtliche Verstöße sein, oder aber einer die großen Anbieter. Jeder weiß doch, dass Google, Facebook und Amazon im Online-Marketing sehr stark mitmischen. Wäre es sinnvoll, erste Bußgelder gegen ein kleines Unternehmen oder einen Mittelständler auszusprechen? Die großen Anbieter werden wissen, dass man sich auf einen Prozess einlassen kann, der dann klärt, was Sache ist. Oder man wartet ab, was der BGH sagt und ob das Urteil dann auch mehr Klarheit bringt. Zudem vermuten manche, dass der Gesetzgeber das Telemediengesetz anpassen wird, und dort vermutlich ein Opt-In für nicht erforderliche Cookies Einzug nehmen wird.

Richtige Umsetzung von Cookie-Hinweisen und -Layern

Es gibt viele Möglichkeiten, Cookie Hinweise/Layer zu implementieren. Einige davon sind relativ unauffällig und laden schnell, manche bereiten massive Probleme. Sogenannte Layer sind grundsätzlich problematisch, denn Sie unterbinden, dass Nutzer die Seite nutzen können, bis der Layer komplett geladen ist. Dadurch wird die Time-To-Interactive oftmals deutlich verlängert. Technisch ist es auch nicht notwendig, es gibt auch Lösungen, die sämtliche Skripte erst auslösen, wenn der Nutzer dem Setzen der Cookies zustimmt. Grundsätzlich aber muss man differenzieren zwischen der graphischen und der technischen Umsetzung.

Whitepaper

22

Neben der Ladezeit ist auch die Frage, wie die Website optisch beeinträchtigt wird und wie die Links innerhalb der Cookie-Lösung umgesetzt sind. Unten sehen Sie zwei Beispiele links und rechts, bei denen der gesamte Kopf der Seite verdeckt ist. Der Nutzer erkennt nicht einmal genau, um welche Website es sich handelt. Das Logo ist verdeckt.

Nutzer sind gezwungen, den Cookie-Hinweis zu entfernen, um zu erkennen, ob sie auf der richtigen Seite sind (In der Usability nennt man es das Relevanz-Feedback). Im linken Beispiel ist zudem der OK Link nur schwer zu erkennen. Eine Wahrnehmungsanalyse der linken Variante zeigt (oben Bild Mitte), dass das Auge in den ersten 3 Sekunden den OK Link nicht wahrnimmt. In der rechten Variante ist der OK Button in blau gut erkennbar. Allerdings muss der Nutzer aktiv durch klicken auf das Kästchen zunächst seine Zustimmung geben, er benötigt also 2 Klicks bzw. muss er zweimal mit dem Finger auf seinem Smartphone tippen. Zudem steht ja schon im Text, dass man mit der Nutzung der Website dem zustimmt, warum also dann zusätzlich noch ein Kästchen? Es ist also grundsätzlich besser, wenn der Hinweis die Website nach unten schiebt und nicht verdeckt, noch besser wenn er unten erscheint auf der Seite zu sehen ist. Dann allerdings gibt es noch andere Fallstricke. Der Button sollte nicht zu auffällig sein, damit der nicht permanent das Auge anzieht. Dies passiert beispielsweise stets beim Trusted Shops Logo, denn gelb-schwarz Kontraste ziehen unser Auge an, vermutlich weil unser Unterbewusstsein automatisch prüft, ob es sich dabei um etwas Gefährliches handelt. Bienen und Wespen bringen uns das schnell bei, das können wir gar nicht steuern. Es ist auch durchaus legitim (wobei man hierzu keine höchstrichterliche Beurteilung hat) den Nutzer zu lenken. Im folgenden Cookie-Hinweis wird der Nutzer aktiv dazu verführt, alle Cookies zu akzeptieren. Er muss also nicht aktiv einen Haken bei den Statistiken setzen, klickt er aber auf den Button, werden die Statistiken zeitgleich aktiviert. Dies ist auch eine aktive Zustimmung, die kein "Häkchen setzen" aktiv erfordert.

Whitepaper

23

Die Darstellung und die Ladezeit haben einen Einfluss auf das Nutzerverhalten, die man auch gezielt nutzen kann und sollte. Grundsätzlich aber werden immer ein Teil der Nutzer selbst im obigen Beispiel nur auf "Speichern" klicken, womit dann keine Statistiken wie Google Analytics erfasst werden.

Braucht man Cookies noch?

Das EuGH Urteil bezog sich auf Cookies, auf die man auch verzichten kann. Andere Techniken wie Fingerprint-Verfahren, Server-Side Cookies (fallen die auch unter das Urteil?) funktionieren schon ziemlich gut. Man kann Google Analytics ohne Cookies einsetzen, wenn klar ist, was das in der Praxis genau bedeutet. Hier führen wir selber Tests durch, um diese Lösung zu prüfen. Das Same Site Problem wird viele Cookies automatisch unterbinden. Es wird also noch einiges passieren, bis man wirklich Klarheit hat. Dennoch kann und sollte man jetzt schon was tun, denn manche Datenschutz-Themen haben nichts mit Cookies zu tun.

Das Affiliate Marketing ist tot. Endlich?

Die Cookie Änderung in Chrome im Februar 2020 ist in anderen Browser bereits implementiert. Der große Marktanteil von Chrome ist nun der letzte Stoß auf die Intensivstation. Allerdings: Die Affiliate Branche hat sich das Grab selbst geschaufelt. AWin hat es bereits im März 2019 angekündigt, durchaus auch selbstkritisch: Affiliate Marketing ist tot. Die Firma Criteo versucht mittels dubiosem CNAME Cloaking, aus Third Party Cookies First Party Cookies zu machen, damit Adblocker nicht greifen und um die anstehende Änderung in Chrome zu überleben. Aber auch andere Anbieter wie Tradedoubler wissen, dass es um massive Änderungen und Verluste geht.

Whitepaper

24

Bitte prüfen Sie, welche Anbieter aus dem Affiliate Bereich Sie kündigen sollten. In den meisten Fällen stellen diese keinen Nutzen dar, sie können sogar schaden. Mit einer nicht aufwändigen Analyse lässt sich das leicht feststellen. Dies gilt auch für andere Ad-Technologien und Plattformen. Wenn Sie hier Bedarf haben, kontaktieren Sie uns.

Als Beispiel sehen Sie hier den Verlauf von Sitzungen und Umsatz eines solchen Anbieters. Erstaunlich: Nach Stopp der Maßnahmen kommen immer noch Besucher, vor allem aber noch Umsätze:

Wie kann es sein, dass viele Monate noch Besucher und Umsätze generiert werden und vor allem die Conversionrate extrem ansteigt (auf bis zu 30%)? Dies geht nur, wenn unseriöse Methoden eingesetzt werden, wie zum Beispiel Die Nutzung von Gutschein-Portalen, Cookie-Dropping ("unterschieben" von Cookies für das Tracking) etc. Die meisten Unternehmen wissen nicht, dass Sie für einen erheblichen Anteil des Umsatzes Mehrfachprovisionen und –kosten bezahlen, beispielsweise Google Ads Kosten sowie mehrere Zahlungen an Affiliate-Partner für ein und denselben Kauf! Übrigens: Lösungen wie Basket-Freeze oder Cookie-Weiche bieten auch einen gewissen Schutz vor Missbrauch und kann vor allem Mehrfachprovisionen unterbinden. Noch besser ist es, wenn man diese Maßnahmen erst gar nicht braucht. Was wird im Affiliate Marketing noch funktionieren?

Links mit Parametern wie beim Amazon Programm werden noch funktionieren, weil diese keine Cookies von Dritten benötigen. Der Parameter wird von Amazon erkannt und gewertet. Allerdings ist auch das Affiliate-Programm seit vielen Jahren rückläufig. Viele "Ratgeberseiten" wie www.outdoormeister.de, die primär nur Inhalte von Dritten anzeigen und zu Amazon und anderen großen Seiten verlinken, leben nur von solchen Links. Der Mehrwert ist allerdings gering und Websites, die primär von Affiliate-Links leben, haben laut Google auch keine guten Chancen auf gute Platzierungen. Allerdings zeigen Beispiele, dass man das auch immer wieder umgehen kann.

Whitepaper

25

"Bürostuhl-Vergleich" bei stern.de: Inhalte von Amazon, Affiliate-Links zu Amazon und ebay.

Whitepaper

26

Affiliate-Links zu Amazon bei outdoormeister.de

Das Gutscheinfeld in Shops

Achten Sie sehr darauf, wie und wo sie das Gutscheinfeld im Bestellprozess platzieren. Es kann sein, dass Sie bei zu prominenter Platzierung sogar Umsatz verlieren! Warum? Nutzer befinden sich schon im Bestellprozess und wollen kaufen. Ein offensichtliches Gutscheinfeld verleitet Nutzer dazu, im Internet nach einem Gutschein zu suchen:

Das Problem: Ein erheblicher Teil der Nutzer kann auf diesem Weg "verloren" gehen. Zudem ist es möglich, dass zu dem Umsatz auch noch eine Provision an einen Affiliate-Partner gezahlt werden

Whitepaper

27

muss, obwohl der Nutzer bereits im Bestellprozess ist. Das Gute: Die Umstellung bei Chrome wird dafür sorgen, dass diese Provisionen deutlich weniger werden, da diese Third Party Cookies nicht mehr akzeptiert werden. Das Problem aber bleibt: Vermeiden Sie, dass Nutzer sich auf die Suche machen. Das Keyword Tool von Google zeigt, dass bei Otto viele nach einem Gutscheincode suchen und viele davon dürften sich bereits im Bestellprozess finden.

Daher kann die optimale Position des Gutscheinfelds einiges bewirken. Die Änderung bei den Cookies werden die Provisionen reduzieren, aber das Problem liegt auch im Shop selbst. Das Cookie-Dropping über Gutscheinportale wird sich durch die Änderungen bei Google wohl von selbst über die Zeit reduzieren und einige "windige" Gutscheinportale werden verschwinden. Noch besser ist es, Sie platzieren das Gutscheinfeld optimal und kündigen unbrauchbare Affiliate-Programme.

Whitepaper

28

Was Sie tun müssen

Der Artikel soll aufklären, dass es nicht um einen Cookie-Hinweis oder Cookie-Layer geht. Es gibt eine Fülle an Fragen, selbst wenn die Rechtslage bald klarer sein sollte (was wohl niemand weiß). Allerdings muss man auch sagen, dass es nach dem Kippen des Safe Harbour Abkommens keine Bußgeld-Welle gab. Allerdings war die Situation damals ein bisschen anders, schließlich hat Deutschland die Cookie-Richtlinie bewusst anders in deutsches Gesetz umgesetzt. Klar ist auch: Wenn Sie Webanalytics-Cookies aktiv um Zustimmung bitten, werden Ihre Daten in Google Analytics wertlos! In den Fällen, die wir kennen sind die Zahlen auf grob 5-15% abgefallen (je nach Umsetzung). Damit werden diese mehr oder weniger wertlos. Man kann ggf. noch grob Tendenzen erkennen, aber es wäre ein Online Marketing im Blindflug. Wer auf Remarketing ganz verzichtet, wird auch Umsatzeinbußen hinnehmen müssen. Die Frage ist auch, was mit Kampagnen ist, die komplett auf künstlicher Intelligenz basieren. Sind diese auch betroffen? Sie werden sicherlich Profile erstellen, Benutzer verfolgen, usw. Zudem gibt es ausreichend viele Websites auch von größeren Unternehmen, die gar keinen Cookie-Hinweis haben, aber Cookies einsetzen. Ob sich dadurch das eigene Risiko mindert, ist allerdings auch unklar. Uns liegt das Thema am Herzen, damit Sie erfolgreicher sein können. Wenn Sie zu dem Thema alle Updates erhalten möchten, abonnieren Sie unseren Insider Newsletter, damit wir Sie auf dem Laufenden halten können, beispielsweise ob Google Analytics ohne Cookies gut funktioniert und wie eine Checkliste aussehen könnte, wenn man alle genannten Punkte systematisch abarbeiten möchte. Update zu diesen Informationen:

Abonnieren Sie unseren cyberpromote Insider Newsletter, damit Sie Updates zu diesen Informationen erhalten. Sie können sich für den Newsletter hier anmelden.

Weitere Quellen

„Do not track“ von Arte / BR aus 2015. Nicht mehr ganz aktuell, aber dennoch interessant. Eine Online Dokumentation zu dem Thema. BVDW Whitepaper: Browsercookies und alternative Tracking-Technologien Kontakt cyberpromote GmbH

Tel: +49 (0)89 / 81 89 81 – 710 Email: de@cyberpromote.com www.cyberpromote.de