von Im Zuge der DSGVO hatte ich, wie es allseits empfohlen worden ist, die personalisierten Werbeanzeigen von Google Adsense deaktiviert. Zur Sicherheit habe ich sogar noch das Laden der Skripte vom Google-Server mit Hilfe einer eigenen Anpassung unterbunden. In diesem Artikel habe ich gezeigt wie ich das gemacht habe.
Allerdings sind, wie ich es erwartet habe, die Werbeeinnahmen der betroffenen Webseite seitdem auf ein Viertel des vorherigen Wertes gesunken! Also ist Google Adsense mit der Einstellung nur noch inhaltsbezogene Werbung anzuzeigen eigentlich völlig unbrauchbar .
Was schreibt Google selber vor?
Wie auch schon für inhaltsbezogene Werbung schreibt Google vor, dass man erstens in der Datenschutzerklärung über die Verwendung und die Datenerhebung durch Google Adsense informiert. Zweitens muss man wie von Google gefordert die Einwilligung der Besucher einholen.
Was schreibt die DSGVO vor?
Der erste Punkt wird auch von Gesetzes wegen vorgeschrieben. Bei der einzuholenden Einwilligung bin ich mir immer noch nicht sicher, ob man diese jetzt schon laut DSGVO einholen muss. Ich vermute aber, dass dies für die personalisierte Werbung aufgrund der Profilbildung und dem Datenabgeich mit den anderen Drittanbietern auf jeden Fall nötig ist. Für die inhaltsbezogene Werbung vielleicht nicht. Aber es ist auch egal, da Google hier vorgreift und die Einholung der Einwilligung einfach in den eigenen Nutzungsbedingungen einfordert.
Wenn man die Einwilligung wirklich braucht, bleibt noch zu erwähnen, dass man laut DSGVO diese Einwilligung auch vorlegen können muss. Das heißt, man müsste diese Einwilligungen eigentlich dokumentieren. Hierzu müsste man dann wohl die IP-Adresse des Nutzers, die Uhrzeit und vielleicht noch eine eindeutige ID, die dem Nutzer zugeteilt wird, in einer Datenbank speichern. Die dadurch erfassten Daten sind datenschutztechnisch aber auch eher wieder eine unnötig sinnlose Anhäufung von „personenbezogenen“ Daten, zumindest wenn man so dumm ist und eine dynamische IP-Adresse als ein solches Datum betrachtet. Der technische Aufwand steht meiner Meinung nach in keinem Verhältnis zu einer angeblichen Datenschutzverbesserung. Ganz davon abgesehen, dass es keine Möglichkeit gibt nachzuweisen, dass der Benutzer wirklich mal zugestimmt hat. Denn wenn er bei sich das Cookie irgendwann löscht wäre sowieso keine Zuordnung mehr mögloich. Deshalb kann man sich denken was meine Empfehlung im Bezug auf diese unsinnige Dokumentation ist.
Was ist für die Datenschutzerklärung zu beachten?
Auch bei der Verwendung der inhaltsbezogenen Anzeigen benötigt man schon folgende Angaben in der Datenschutzerklärung:
- grundsätzlicher Hinweis über die Verwendung von Google AdSense
- wie Google AdSense die Nutzerdaten verwendet
- Hinweis auf Cookies und Web-Beacons
- Hinweis über die Speicherung von IP Adressen der Nutzer durch Google
- Hinweis über die Übertragung der Daten in die USA
- Widerspruchsmöglichkeit der Nutzer und die Erklärung wie man diese wahrnehmen kann (DoNot-Track-Einstellung des Browsers, AdSense-Werbeeinstellungen, YourAd-Choices, OptOut-Link)
- Hinweis auf die Datenschutzbestimmungen seitens Google
Zusätzlich habe ich versucht möglichst ausführlich über die Personalisierung der Werbung und den dafür stattfindenden Datenaustausch zwischen Google und den Drittanbietern zu informieren.
Was ist für den Cookie-Banner zu beachten?
Einen passenden Text für den Cookie-Banner habe ich bisher nirgendwo gefunden. Ich habe diesen momentan wie folgt formuliert:
BlaBla.de möchte Ihnen personalisierte Werbung anzeigen. Hierzu werden Ihr Surfverhalten und Ihre Interessen analysiert und personenbezogene Daten an Drittanbieter übertragen. Ebenso werden dafür Cookies und weitere Trackingmethoden genutzt. Gleichzeitig bestätigen Sie, dass Sie mindestens 16 Jahre alt sind und dies entscheiden dürfen. Weitere Infos und Optionen zur Anpassung finden Sie in unserer Datenschutzerklärung
Wie setzen andere die geforderten Punkte eigentlich um?
Was ist das erste was man machen sollte, wenn man nicht weiß ob man etwas richtig umsetzt? Man schaut sich einfach mal die Webseiten von „Big Playern“ an und schaut ob sie nach den Spielregeln spielen und wie sie diese umgesetzt haben. Und das Ergebnis ist ernüchternd. Ich habe extra mal auf den Webseiten einiger großer deutscher Zeitungen nachgesehen und diese interessieren sich nicht für die von Google gefordeten Punkte. Den Cookie-Banner zur Einholung der Einwilligung gibt es auf keiner der Seiten und man stützt sich in der Datenschutzerklärung auf die Rechtsgrundlage „Berechtigtes Interesse“. Ob das aufgrund der Datenübertragung von und zu Google geht bezweifle ich stark. Also kann man festhalten, dass es die meisten großen Seitenbetreiber wohl einfach nicht interessiert. Also ist alles was man selber unternimmt um die Anforderungen zu erfüllen schon mehr als die großen machen! Ein kleiner Trost, auch wenn er leider keinerlei Rechtssicherheit gibt.
Was ist technisch zu ändern?
Um die personalisierte Werbung wieder einzubinden muss man am Analytics-Code, so wie ich ihn laut meinem anderen Artikel eingebaut habe, nichts mehr anpassen. Außer man möchte einen Fallback auf unpersonalisierte Werbung einbauen, falls ein Besucher die personalisierte Werbung nicht möchte. Da aber laut Google hierfür ja trotzdem eine Einwilligung gebraucht wird, habe ich darauf verzichtet.
Damit man nicht illegalerweise die bereits gesammelten Zustimmungen für die zuvor nur inhaltsbezogene Werbung nun für die personalisierten Anzeigen verwendet, muss man im cookieconsent-Skript den Namen des Cookies noch ändern. Dies muss man ebenfalls für den OptOut-Link in der Datenschutzerklärung vornehmen, damit dieser nicht funktionslos wird! Hierdurch werden die Besucher, die bereits zugestimmt hatten, logischerweise wieder mit dem Cookie-Banner genervt. Aber anders geht es nicht.
Im Backend von Google Analytics muss man dann nur noch unter dem Punkt „EU-Nutzereinwilligung“ wieder auf „Personalisierte Anzeigen“ umschalten.
Es dauert dann allerdings, wie ich feststellen musste, einige Stunden bis wirklich wieder personalisierte Anzeigen auftauchen. Ich habe nach einer halben Stunde Wartezeit schon angefangen nach einem Fehler zu suchen oder einem Code-Schnipsel, das vielleicht noch fehlt. Aber man muss dem ganzen einfach mal einen Tag Zeit geben.
Die bestätigung über das Alter der Besucher einholen ist doch wie damals: „Sind sie bereits 18? Ja [ ] Nein [ ]s“ Über den Sinn oder Unsinn einer solchen „Erklärung“ brauchen wir nicht weiter zu diskutieren.
Manchmal wünschte ich, es gäbe einen Internet-Führerschein -.-‚
Ich spiele momentan auch mit dem Gedanken, Adsense auf einigen Unterseiten wieder einzubauen – momentan lasse ich das noch ruhen und warte, bis es dazu wirklich aussagekräftige Entscheidungen und auch Anleitungen gibt, auf die ich mich verlassen kann.
Soetwas hätte ich mir von der EU gewünscht. Nicht ein X-Seitiges Regelwerk in Rechtssprech sondern Handlungsanweißungen und Best-Practice-Beispielen wie ich welchen Fall für meine Besucher am besten umsetzen kann und welche Bereiche noch durch das berechtigte Interesse abgedeckt sind. Lange genug hätte die EU ja Zeit gehabt – aber nicht einmal in D. war es wohl möglich, wie du ja selbst angeprangert hast: https://blog.devilatwork.de/weitere-webseiten-beim-ldi-gemeldet/
Schönen Gruß
Hallo Schmitt,
genau die von dir erwähnten fehlenden Vorgaben und Handlungsanweisungen sind das Kern-Problem dieses ganzen Regelwerks. Aber es gibt meiner Meinung nach einen recht einfachen Grund warum es das nicht gibt: Die haben halt selber keine Ahnung! Naja, ich habs nach bestem (Halb-)wissen wieder eingebaut und warte mal ab. Der größte Witz ist, dass man jetzt nicht mal zu einem Rechtsanwalt oder einem Datenschutzbeauftragten gehen könnte, um den das „rechtssicher“ prüfen zu lassen. Aber da es die großen Seitenbetreiber auch alles eher weniger stört und die Datenschutzbehörden sich für die kleinen Betreiber aufgrund fehlender Ressourcen eh nicht interessieren werden, lasse ich es jetzt so. Alternativ kann man es bei einer Abmahnung, die ja wenn überhaupt durch eine Konkurrenz vorgenommen werden dürfte, auch wieder ausbauen und einfach nicht zahlen. Aber wer sollte einen abmahnen? Jemand der eine Webseite im gleichen Bereich betreibt wäre dumm dies zu tun, da er das Risiko eingeht zurück abgemahnt zu werden, weil er selber etwas nicht bedacht hat.
MfG
Tobias