Auswirkungen der DSGVO auf die CRO-Datenerfassung: Eine kurze Zusammenfassung

Grundlage für die Optimierung der Konversionsrate auf jeder Website ist die systematische Erhebung und Analyse der Daten der Besucher, die mit der Website interagieren.

Die Erfassung von Benutzerdaten ist entscheidend, um zu messen, wie Besucher die verschiedenen Teile einer Website nutzen, verstehen und mögen. Mit der Datenschutz-Grundverordnung (DSGVO), die im April 2016 vom Europäischen Parlament eingeführt und im Mai 2018 endgültig durchgesetzt wurde, wurde die Erhebung und Verarbeitung personenbezogener Daten in der Europäischen Union jedoch vereinheitlicht und eingeschränkt.

Laienhaft ausgedrückt: Unternehmen können Daten nicht mehr ohne triftigen Grund sammeln und horten. Sie können Daten auch nicht nach Belieben verarbeiten. Und schließlich haben Daten jetzt ein Ablaufdatum. Daten, die nicht dazu verwendet werden, die Benutzer- und Kundenerfahrung spürbar zu verbessern, müssen regelmäßig gelöscht werden.

Ziel der DSGVO ist es, die Datenschutzgesetze in der Europäischen Union zu harmonisieren, die Datenschutzrechte der EU-Bürger zu stärken und Datenschutzverletzungen vorzubeugen. Organisationen, die die DSGVO nicht einhalten, können mit einer Geldstrafe von bis zu 4 % ihres Jahresumsatzes oder bis zu 20 Millionen Euro (je nachdem, welcher Betrag höher ist) belegt werden.

Bußgelder wurden bereits verhängt. Beispielsweise kündigte das Information Commissioner’s Office (ICO) eine Geldbuße von 183,39 Millionen Pfund für British Airways wegen einer Datenschutzverletzung an, bei der die personenbezogenen Daten von 500.000 Kunden kompromittiert wurden, und eines Verstoßes gegen die DSGVO.

Daher lautet das allgemeine Motto der DSGVO, je weniger persönliche Benutzerinformationen Sie sammeln, desto besser . Aber bedeutet das, dass das Sammeln von Benutzerdaten von EU-Bürgern zum Zweck der Optimierung der Conversion-Rate unmöglich ist, ohne hohe Bußgelder nach der DSGVO zu riskieren?

Nicht unbedingt.

Wenn Sie personenbezogene Daten eines EU-Bürgers durch Tracking-Tools, Cookies, Verarbeitungssoftware oder Datenauswertungsprogramme erheben, müssen Sie wissen, welche Art von Daten erhoben, wo sie gespeichert, wie sie verarbeitet und wann sie schließlich gelöscht werden . Die Notwendigkeit einer Änderung der allgemeinen Einstellung von Unternehmen und Organisationen zum Besitz personenbezogener Daten von Einzelpersonen hat sich in den letzten Jahren verstärkt.

Der Abschnitt zur Übertragbarkeit personenbezogener Daten in der DSGVO besagt, dass kein Unternehmen die Daten einer Person besitzen kann und dass die betroffene Person das Recht hat, ihre Daten mit einer anderen Organisation zu teilen. Daher sind Unternehmen und Organisationen nach der DSGVO gesetzlich verpflichtet, eine Einwilligungserklärung zur Erhebung und Verarbeitung von Daten ihrer Website-Besucher einzuholen. Darüber hinaus müssen Sie die Einwilligungserklärung in einfachen Worten verfassen, um klar zu erklären, warum Sie die Daten sammeln und wofür Sie sie verwenden werden.

Auf den ersten Blick klingt das überwältigend und im Alltag schwierig umzusetzen. Dieser Artikel wird Ihnen jedoch helfen, mit den DSGVO-Anforderungen umzugehen.

Darüber hinaus gibt Ihnen der Artikel einen Überblick darüber, was als personenbezogene Daten im Sinne der DSGVO gilt, wie Sie mit der DSGVO konform werden können, während Sie personenbezogene Daten für Zwecke der Conversion-Rate-Optimierung (CRO) sammeln, und wie sich die DSGVO auf gängige CRO-Tools auswirkt zur Optimierung von Webseiten verwendet.

Was sind personenbezogene Daten?

Artikel 4 der DSGVO definiert, was personenbezogene Daten sind.

Personenbezogene Daten sind alle Informationen, die eine natürliche Person direkt oder indirekt identifizieren können. Eine natürliche Person ist eine natürliche Person, die in der EU lebt. Der einfachste Weg, eine Person zu identifizieren, ist in der Regel der vollständige Name. Es können jedoch mehrere Personen mit demselben Namen in der EU leben. Eine Kombination verschiedener Datenpunkte kann jedoch ausreichen, um eine bestimmte Person zu identifizieren. Identifizierbare Datenpunkte könnten z. B. Name, Ort, E-Mail-Adresse, Anmeldeinformationen, IP-Adresse und eindeutige Kennungen wie Benutzer-IDs oder Transaktions-IDs sein.

Beim Lesen des letzten Abschnitts ist Ihnen wahrscheinlich aufgefallen, dass die meisten der häufig verwendeten Conversion-Rate-Optimierungstools die erwähnten identifizierbaren Datenpunkte sammeln und verarbeiten. Aber sind Sie dafür verantwortlich, dass Datenverarbeitungstools von Drittanbietern die EU-Datenschutzbestimmungen einhalten?

CRO-Tools von Drittanbietern: Wie man mit ihnen arbeitet

Die DSGVO beschreibt, dass der Datenerhebungsprozess von zwei verschiedenen Stellen durchgeführt wird: dem „Datenverantwortlichen“ und dem „Datenverarbeiter“. Der Verantwortliche entscheidet über Zweck, Umfang und Zweck der erhobenen Daten. Daher sind die Datenverantwortlichen in den meisten Fällen die Eigentümer der Website. Datenverarbeiter hingegen verarbeiten die gesammelten Daten, um im Auftrag des Datenverantwortlichen ein vorgegebenes Ziel zu erreichen.

Datenverarbeiter sind im Allgemeinen CRO-Tools von Drittanbietern wie Heatmaps, Testing-Tools, Formularanalysen oder A/B-Testing-Tools. Bevor ein Drittanbieter-Tool verwendet werden kann, muss eine Vereinbarung darüber, was das Drittanbieter-Tool im Namen des Website-Eigentümers tun darf, vom Website-Eigentümer genehmigt werden.

Das bedeutet, dass ein Drittanbieter-Tool als Datenverarbeiter als Erweiterung des Datenverantwortlichen fungiert.

Die Datenschutz-Grundverordnung besagt, dass ein Datenverantwortlicher für die Handlungen des Datenverarbeiters rechtlich verantwortlich ist. Wenn also der Datenverarbeiter in Form eines CRO-Tools eines Drittanbieters nicht mit der DSGVO konform ist, ist der Datenverantwortliche seinerseits ebenfalls nicht konform und kann mit Strafen belegt werden. Es empfiehlt sich daher zu prüfen, welche Art von Daten die von Ihnen für Ihre Website eingesetzten Marketing- und Tracking-Tools für Sie erheben.

Jetzt fragen Sie sich wahrscheinlich: „Welche Pflichten habe ich im Rahmen der DSGVO? Und welche Maßnahmen sollten in der Vereinbarung zwischen dem Website-Inhaber und dem Datenverarbeitungstool des Drittanbieters festgelegt werden, um die Einhaltung der DSGVO sicherzustellen?“ Die folgende Checkliste gibt Ihnen einen schnellen Überblick über die wichtigsten DSGVO-Anforderungen an Tools von Drittanbietern sowie Ihre eigenen Anforderungen.

Checkliste für die DSGVO-Anforderungen von Tools von Drittanbietern

• Aktualisierte Datenverarbeitungsvereinbarung mit einem hinzugefügten DSGVO-Abschnitt
• Der Vertrag sollte besagen, dass sie nur nach Ihren dokumentierten Anweisungen handeln
• Dauer, Zweck, Speicherung und Ablauf der Art der Datenverarbeitung
• Aufzeichnungen über die Zustimmung der Website-Besucher müssen über einen kurzen Zeitraum aufbewahrt werden, der von den DSGVO-Anforderungen vorhergesagt wird
• Die Datensicherheitsmaßnahmen sollten in der Vereinbarung des Drittanbieter-Tools angegeben werden
• Der Datenverarbeiter muss den Datenverantwortlichen bei den Rechten des Benutzers auf Zugriff auf die gespeicherten Daten, beim Widerruf der erteilten Einwilligung und beim Recht auf Vergessenwerden und Löschen bestimmter Informationen unterstützen
• Das Drittanbieter-Tool sollte angeben, welche Art von personenbezogenen Daten erhoben und verarbeitet werden
• In die Vereinbarung zwischen dem Datenverarbeiter und dem Datenverantwortlichen sollte ein Abschnitt aufgenommen werden, der die Rechte und Pflichten jeder Partei beschreibt

Checkliste für die DSGVO-Anforderungen von Website-Eigentümern

• Informationsaudit: Welche personenbezogenen Daten erheben/verarbeiten/speichern Sie?
• eine rechtliche Begründung für die Erhebung personenbezogener Daten haben (Art. 6, 7-11)
• Bewahren Sie Daten nicht länger als nötig auf (Art.5)
• Einholung der Einwilligung zur Erhebung personenbezogener Daten und Speicherung von Einwilligungen zum Nachweis der erteilten Einwilligung durch eine aktive Opt-in-Option (Art. 4)
• Personenbezogene Daten wo immer möglich verschlüsseln und pseudonymisieren (Art. 32)
• Erleichtern Sie Ihren Kunden den Widerruf ihrer Einwilligung, die Erhebung und die mögliche Löschung ihrer erhobenen Daten (Art. 15, 17, 18, 21)
• Nennen Sie die Tools von Drittanbietern, die in Ihrem Namen auf personenbezogene Daten zugreifen oder diese erfassen
• Befolgen Sie die Einschränkungen für die Übermittlung personenbezogener Daten in Länder außerhalb des EWR (Art. 44-50)

GDPR-Compliance: Mögliche Auswirkungen auf Erfahrung und Konversionsrate

Gemäß der DSGVO sollten alle erhobenen Daten nach Einholung der ausdrücklichen Zustimmung des Benutzers erfolgen. Es gibt zwei Möglichkeiten, wie dies für Unternehmen potenziell nachteilig sein kann:

• Formulare können nicht mehr mit eingebackener Einwilligung (vorab angekreuzte Kästchen) geliefert werden und sie müssen für jede einzelne Art der Datenverarbeitung eine Einwilligung einholen. Kurz gesagt, wenn sich ein Browser für Ihren Lead-Magneten angemeldet hat, starten Sie nicht automatisch den Besuch seines Posteingangs mit dem Newsletter. Dies reduziert nicht nur die Anzahl der Berührungspunkte mit potenziellen Kunden. Wenn Formulare nicht mit Blick auf UX entwickelt wurden, können die Einwilligungsoptionen Frustration und Ermüdung hervorrufen, was zu schlechteren Abschluss-/Einreichungsraten führt.

• Cookie-Zustimmungs-Popups . Dieser Beitrag von Convert schlüsselt die verschiedenen Arten von Cookies auf, die auf einer Website verwendet werden können, und wie Sie die Erlaubnis für ihre Verwendung aus dem Datenverkehr erhalten. Falls das Cookie, an das Sie denken, ein Nicken von Website-Browsern erfordert, dann sind hässliche Cookie-Zustimmungsformulare der richtige Weg. Die meisten Tools haben ihre eigenen Cookie-Zustimmungsbanner mit sehr begrenzten Anpassungsoptionen. Die aggregierten Tools, die die Konsolidierung von Cookie-Zustimmungen für verschiedene Lösungen ermöglichen, sind unzureichend und erfordern, dass Benutzer durch die vorhandene Seite klicken oder von ihr weg navigieren, um sich an- oder abzumelden.

Obwohl keine formellen Untersuchungen zum Rückgang des Datenverkehrs, des Engagements oder der Zielerfüllungsraten vor und nach der DSGVO durchgeführt wurden, haben die meisten Unternehmen darunter gelitten.

Dieses Leiden hat jedoch zu der Notwendigkeit geführt, in Consent Rate Optimization -Techniken und besseres Design und UX zu investieren – Elemente, die letztendlich die Art und Weise verbessern werden, wie Unternehmen mit potenziellen Kunden interagieren und sie durch den Kauf-/Konsumzyklus führen.

Die DSGVO und die gleichgesinnten Datenschutzgesetze, die weltweit Gestalt annehmen, sind Schritte in Richtung einer privateren und freien digitalen Zukunft – aber es ist von entscheidender Bedeutung, dass die technischen Lösungen zur Durchsetzung dieser Gesetze ausgewogen und nuanciert sind, damit sie nicht die Ökonomien des Internets zerstören, die die freien und universellen Teile davon finanzieren, die wir alle schätzen und schützen möchten.

Daniel Johannsen, CEO von Cybot, Schöpfer von Cookiebot.

Speicherung, Löschung und Klassifizierung personenbezogener Daten

Eine weitere DSGVO-Anforderung, die sich auf die Erhebung von Daten für CRO-Zwecke auswirken kann, ist die Speicherung und Verarbeitung personenbezogener Daten. Dies kann besonders kompliziert sein, da viele CRO-Tools personenbezogene Daten speichern und viele Parteien am Datenanalyseprozess beteiligt sein können. Es hängt also davon ab, wie viele CRO-Tools Sie für Ihre Website verwenden, aber meistens ist es möglich, die langfristige Speicherung personenbezogener Daten in den verwendeten CRO-Tools einzuschränken.

Die Notwendigkeit, von Organisationen oder Unternehmen gesammelte und gespeicherte Daten zu löschen, wird seit vielen Jahren diskutiert. Gemäß der DSGVO kann eine Person verlangen, dass ihre personenbezogenen Daten unverzüglich gelöscht werden. Es ist jedoch nicht ganz klar, wie Organisationen einen Nachweis über die Datenlöschung vorlegen sollten, da dies Fragen zum Datenschutz und zu Unternehmensrichtlinien aufwerfen würde.

Ein weiterer Punkt, der angesprochen werden muss, ist die angemessene Klassifizierung personenbezogener Daten. Als Unternehmen müssen Sie wissen, welche Art von Daten Sie sammeln müssen, um Ihr Unternehmen erfolgreich zu führen.

Die Datenerhebungsvorschriften der DSGVO beschreiben die Bedeutung für Unternehmen, personenbezogene Daten nur mit einer rechtlichen Begründung zu erheben. Insgesamt gibt es 6 Rechtsgrundlagen für die Datenerhebung: Einwilligung, Vertrag, gesetzliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe und berechtigte Interessen. Eine gemeinsame Rechtsgrundlage für die Erhebung und Verarbeitung personenbezogener Daten ist ein berechtigtes Interesse. Dies könnte beispielsweise die Verarbeitung von Daten für Retargeting- oder Direktmarketingzwecke sein (Erwägungsgrund 47). Dadurch wird auch die unbefugte Nutzung personenbezogener Daten durch Tools von Drittanbietern eingeschränkt und dadurch das Risiko von Datendiebstahl verringert.

Fazit:

Die zwingenden DSGVO-Anforderungen können sich teilweise auf den Datenerfassungsprozess für die Conversion-Rate-Optimierung auswirken. Insbesondere die Menge der erhobenen Daten wird durch die „Opt-in“-Zustimmungsformulare auf Websites beeinflusst. Darüber hinaus müssen CRO-Tools von Drittanbietern, die Daten für Sie sammeln, überprüft werden, damit Sie überprüfen können, ob die wichtigsten DSGVO-Anforderungen in der Vereinbarung enthalten sind, da Sie für potenzielle DSGVO-Verstöße Dritter haften.

Insgesamt sind dies jedoch positive Veränderungen, die in Form von freieren Interaktionen zwischen Interessenten und Marken Früchte tragen werden – ohne die zugrunde liegende Angst vor Datenmissbrauch. Jegliche Einbrüche bei den Konversionsraten in der Gegenwart werden kompensiert, da bewusste Marken die Einhaltung von Vorschriften in Kauf nehmen und in die Entwicklung von Praktiken investieren, die sich darauf konzentrieren, den Prozess der Einwilligungserlangung so schmerzlos (und sogar angenehm) wie möglich zu gestalten.