Einwilligungen einholen und verwalten mit Consent Management

Das Wichtigste in Kürze

• Die Einwilligung stellt oft die einzige Rechtsgrundlage zur Datenverarbeitung von Kontakten dar, die noch keine Kunden sind.
• Daher holen Unternehmen spätestens seit dem in Kraft treten der DSGVO fleißig Einwilligungen ein.
• Nach Art. 7 DSGVO muss der Verantwortliche (also das Unternehmen) nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
• Dazu werden Daten zu Einwilligungen gespeichert, befinden sich häufig jedoch in Datensilos (z. B. im CRM, im Facebook Business Manager, der Newsletter-Software, einer Customer Service Plattform, etc.).
• Das führt im Arbeitsalltag zu Schwierigkeiten, z. B. können doppelte Datensätze Konflikte enthalten.
• Hinzu kommt die Sorge von Unternehmen, dass freiwillige Einwilligungen sich negativ auf den Geschäftserfolg auswirken könnten.
• Und Kunden wünschen sich zwar ein hohes Maß an Kontrolle und Transparenz, sind allerdings von zu häufigen Consent-Nachfragen genervt – die Konvertieurngsrate sinkt.
• Mit einer Plattform zum Consent Management werden immer genau die Einwilligungen eingeholt werden, die gerade benötigt werden und zentral gespeichert.

In diesem Beitrag

• So müssen Einwilligungen laut DSGVO aussehen
• Gängige Schwierigkeiten beim Einwilligungsmanagement / Consent Management
  • Einwilligungsmanagement über Systeme hinweg: ein Beispiel
  • Die doppelte Zwickmühle von Einwilligungen – Verbraucherschutz vs. Geschäftserfolg?
• Die Lösung: Eine Plattform zum zentralen Einwilligungsmanagement
• Was tun, wenn Consent Management bisher fehlte? Können Kontaktdaten weiterverwendet werden?
• Zusammenfassung: Consent Management geht am besten mit einer zentralen Plattform

So müssen Einwilligungen laut DSGVO aussehen

Die Einwilligung ist eine der sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten laut Artikel 6 der DSGVO – und oft die einzige Rechtsgrundlage, die bei Kontakten, die noch keine Kunden sind, einschlägig ist. Daher holen Unternehmen spätestens seit 2018 fleißig Einwilligungen ein – zu Marketing-Zwecken zum Beispiel, oder um die Daten mit Partnerunternehmen teilen zu können.

Tipps zur Erhebung personenbezogener Daten stellen wir Ihnen hier vor: Personenbezogene Daten erheben: so sollten Sie vorgehen

Die DSGVO liefert keinen fertigen Vordruck für die Gestaltung von Checkboxen (auch wenn sich viele Unternehmen sicher darüber freuen würden). Allerdings enthält die DSGVO klare Vorgaben dazu, wie Einwilligungen eingeholt werden müssen. Auf dem Formular, über das Nutzer ihre personenbezogenen Daten bspw. zu Marketingzwecken preisgeben, sollten mindestens folgende Elemente zu finden sein:

• Aufklärung über den Zweck der Datenerhebung (Zweckbindungsprinzip gemäß Art. 5 Abs. 1 lit. b DSGVO)
• Hinweis auf die Widerrufbarkeit der Einwilligung
• Freiwillige Checkbox zur Einwilligung in die Zusendung von Marketinginformationen und/oder Kontaktaufnahme durch den Vertrieb

Nach Art. 7 DSGVO gehört die Freiwilligkeit zu den Bedingungen für eine rechtsgültige Einwilligung. Der genaue Wortlaut in Art. 7 Abs. 4 DSGVO liest sich wie folgt:

„Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“

Die Einwilligungen, die Sie von Ihren Kontakten eingeholt haben, müssen selbstverständlich gespeichert werden und sollten einem Löschkonzept unterliegen. Hier kommt das Einwilligungsmanagement ins Spiel.

Übrigens: Alternativen, bei denen Sie keine Cookie-Einwilligungen brauchen stellen wir Ihnen in unserem Artikel über cookieless Tracking Methoden vor.

Gängige Schwierigkeiten beim Einwilligungsmanagement / Consent Management

Beim Einwilligungsmanagement werden die Einwilligungen eines jeden Kontaktes gespeichert und verwaltet.

Auf den ersten Blick scheint das kein Hexenwerk zu sein: Nutzer können frei wählen, welche Daten sie preisgeben wollen, Ihr Unternehmen respektiert diese Wahl und handelt entsprechend. Leider sieht die Realität oft sehr viel komplizierter aus.

Das liegt an einer Kombination der folgenden Faktoren:

• Daten werden in vielen Silos gesammelt und gespeichert (z. B. im CRM, im Facebook Business Manager, der Newsletter-Software, einer Customer Service Plattform, etc.)
• Doppelte Datensätze können Konflikte enthalten.
• Datensätze können nicht in einer einzigen Datenbank zusammengeführt werden, geschweige denn über Datenbanken hinweg.
• Das Lesen der verschiedenen Datensätze erfordert manuelle Eingriffe, da es keine gemeinsame Taxonomie gibt.
• Mehrere Beteiligte, darunter Marketing-, Data-Governance-, Risiko- und CRM-Manager, haben ihre eigenen Ziele und Anforderungen, müssen aber die Einwilligungen von Nutzern berücksichtigen.

Einwilligungsmanagement über Systeme hinweg: ein Beispiel

Um besser verstehen zu können, wie komplex eine Einwilligungshistorie (also die Reihe an Einwilligungen, die von einem Nutzer abgegeben wurden) aussehen kann, betrachten wir ein Beispiel:

• Eine Nutzerin besucht Ihre Webseite und akzeptiert alle Cookies → Auswahl wird im Cookie-Manager gespeichert
• Beim nächsten Besuch meldet sie sich für den Newsletter an → Einwilligung wird im Marketing-Tool/CRM hinterlegt
• Drei Wochen später möchte Sie mit dem Vertrieb sprechen und bucht einen Termin, für den sie ihre Telefonnummer und die Unternehmensgröße ihres Arbeitsgebers angibt und in die Verarbeitung dieser Daten einwilligt → CRM
• Die Nutzerin gibt dabei an, dass sie lieber per E-Mail kontaktiert werden möchte als telefonisch → CRM
• Der Vertrieb vereinbart einen Termin, in dem die Nutzerin erfährt, dass es die Möglichkeit gibt, an einem Beta-Test teilzunehmen und meldet sich im Gespräch mündlich dafür an → CRM
• Daraufhin sendet der zuständige Vertriebsmitarbeiter ihr eine Einladung per E-Mail. Um sich für den Beta-Test anzumelden, willigt die Nutzerin in die Erfassung und Verarbeitung ihrer Nutzungsdaten ein → E-Mail-Programm/manuelle Übertragung in das CRM
• Den Newsletter findet sie eher langweilig, daher meldet sie sich wieder ab (widerruft also ihre Einwilligung zur Datenverarbeitung zum Zweck der Newsletterzustellung) → Marketing-Tool/E-Mail-Programm
• Um zu Updates zum Beta-Test auf dem Laufenden zu bleiben, wählt die Nutzerin SMS-Benachrichtigungen aus → CRM/E-Mail-Programm
• Die Nutzerin entscheidet sich schließlich zum Kauf der Lösung, möchte aber, dass die Nutzungsdaten, die über sie gesammelt werden, wieder gelöscht werden → unterschiedliche Systeme
• Die SMS zu Beta-Updates bestellt sie ab → CRM/ E-Mail-Programm

Befinden sich Informationen über die Einwilligung einer Nutzerin an verschiedenen Stellen, entsteht ein zusätzliches Risiko bei Prozessen, bei denen manuelle Überprüfungen bestätigen müssen, dass es keine Statuskonflikte zwischen den verschiedenen Systemen gibt, und um sicherzustellen, dass der neueste Einwilligungsstatus beibehalten wird.

Hinzu kommt, dass Unternehmen sich beim Thema Einwilligungen ohnehin in einer doppelten Zwickmühle befinden:

Die doppelte Zwickmühle von Einwilligungen – Verbraucherschutz vs. Geschäftserfolg?

Zwickmühle 1: Auf der einen Seite geben freiwillige Einwilligungen Verbrauchern die Kontrolle über ihre Daten zurück. Auf der anderen Seite steht die Sorge von Unternehmen über die Auswirkungen freiwilliger Einwilligungen auf den Geschäftserfolg. Scheinbar stehen Nutzerrechte und Business-Interessen diametral zueinander.

Zwickmühle 2: Wiederholt Einwilligungen für dieselben Datenverarbeitungen abgeben zu müssen stört Nutzer und führt zu höheren Abbruchraten. Gleichzeitig wünschen Nutzer sich ein hohes Maß an Kontrolle und haben wenig Toleranz für Intransparenz oder die Zusendung von Informationen, die sie nicht interessieren. Unternehmen müssen also die Balance zwischen „zu oft nachfragen“ und „nicht genug Kontrolle geben“ treffen.

Die Lösung: Eine Plattform zum zentralen Einwilligungsmanagement

Das erste Ziel muss es also sein, saubere Datensätze zu eingeholten Einwilligungen zentral zu speichern und zu verwalten. Das geht am besten mit einer Plattform, die eigens für diesen Zweck entwickelt wurde. Für jeden Kontakt laufen Einwilligungen aus unterschiedlichen Quellen zusammen uns sind in einem kompletten und in Echtzeit aktualisierten Verlauf einsehbar.

Die Lösung fungiert als zentrale Anlaufstelle für Einwilligungen, um sicherzustellen, dass sie nur die gewünschten Informationen erhalten.

Wenn das Marketingteam oder ein Vertriebsmitarbeiter mit dem Nutzer kommunizieren möchte, können sie im Einwilligungstool den aktuellen Status für die Art der Kommunikation überprüfen.

Wenn der Newsletter das nächste Mal verschickt wird, sollte der Nutzer automatisch nicht mehr in der Liste der Empfänger erscheinen. Wenn sie manuell hinzugefügt wird, sollte eine Warnmeldung erscheinen.

Damit wird die Datenerfassung zu einem Teil des Kundenerlebnisses. Informationen werden nur dann abgefragt, wenn sie auch wirklich benötigt werden. Das steigert nicht nur das Vertrauen Ihrer Nutzer, sondern entlastet sie zugleich. Anstatt bei jedem Besuch nach neuen Einwilligungen gefragt zu werden, holt die Plattform sie nur dann ein, wenn es auch Sinn ergibt.

Bonus: Über ein Präferenzzentrum können Nutzer ihre Einwilligungen selbst verwalten. So können Sie Abonnenten zum Beispiel die Möglichkeit geben, nur noch E-Mail-Updates zu ganz bestimmten Themen zu erhalten. Dadurch landen weniger ungewollte E-Mails im Postfach und die Abmelderaten sinken. Unterm Strich führt das zu mehr Abonnenten, die passendere Inhalte erhalten, Vertrauen in Ihre Marke aufbauen und Ihnen so länger erhalten bleiben.

Außerdem: Wir stellen Ihnen stellen Ihnen 3 Ideen für zukunftsfähiges Marketing ohne Cookie-Tracking vor.

Was tun, wenn Consent Management bisher fehlte? Können Kontaktdaten weiterverwendet werden?

Hin und wieder arbeiten wir mit Kunden, die bisher keine Einwilligungen eingeholt haben oder sie nicht richtig gespeichert haben. Das führt zum Beispiel zu Listen im CRM, in denen sich Newsletter-Abonnenten neben Messekontakten finden. Wem darf nun auf welchem Wege vom neuen Produkt erzählt werden?

Mit dieser Situation können Sie auf zwei Arten umgehen:

1. Tabula rasa (aus dem Lateinischen, bedeutet so viel wie „reiner Tisch“): Sie löschen alle Kontakte, bei denen die Einwilligung als Rechtsgrundlage für die Verarbeitung personenbezogener Daten verwendet wurde und fangen mit einem neuen System von vorne an.

1. Ein fließender Übergang: Sie bauen Ihre Einwilligungsstrukturen neu auf und holen während einer Übergangsphase Einwilligungserklärungen von den bestehenden Nutzern ein, bei denen die Einwilligung als Rechtsgrundlage für die Verarbeitung personenbezogener Daten verwendet wurde. Eine ausbleibende Antwort wird als Widerspruch gewertet. In Anbetracht der traditionellen Rücklaufquoten bei Marketing-Mailings werden Unternehmen, die diesen Ansatz verfolgen, ihre Marketinglisten zwar stark reduzieren müssen, können aber zumindest mit einem Teil der Kontakte weiterarbeiten.

Generell gilt natürlich, dass ein von vornherein richtig aufgesetztes Consent Management sehr viel günstiger ist als eine nachträgliche Listenbereinigung.

Zusammenfassung: Consent Management geht am besten mit einer zentralen Plattform

Aufgrund der genannten Schwierigkeiten beim Consent Management und den Anforderungen, die der Gesetzgeber an Einwilligungen stellt, lohnt sich die Investition in eine Plattform zum zentralisierten Consent Management. Hier laufen nicht nur alle Einwilligungen zusammen. Die Plattform stellt zudem sicher, dass immer genau die Einwilligungen eingeholt werden, die gerade benötigt werden. So werden Nutzer nicht mit Checkboxen und Pop-Ups überwältigt, behalten aber trotzdem die Kontrolle über ihre Daten.

Zurück zum Seitenanfang