Vorhin bin ich über etwas Blödes gestolpert. Eine Kollegin hat mich gefragt, welcher E-Mail-Marketing-Anbieter datenschutzfreundlicher sei: KlickTipp oder sendinblue?
One question, one answer. Das wäre schön.
Ein paar Dinge gibt es im Datenschutz schon zu beachten, auch wenn vom Hersteller überschwänglich auf die Datenschutzkonformität hingewiesen wird. Ich habe schon das Wildeste erlebt, von „Ohne Cookie-Banner machst du dich strafbar“ von einem Cookie-Banner Hersteller ( -> nein, das stimmt so nicht, du kannst eine Webseite auch ohne Tracking-Cookies und Drittanbieterdiensten verwenden) bis zu „Hinweise auf das Privacy-Shield in der Datenschutzerklärung für diverse Tools“ eines großen Zahlungsanbieters (ist seit Schrems II passé und auf meine Anfrage wurde mir geraten, den Hinweis, dass es nicht mehr gültig sei, doch auf meiner Danke-Seite zu platzieren) ist alles dabei.
Für meine Antwort an die Kollegin brauchte ich noch eine gezielte Recherche und bin so auf den Webseiten der zwei E-Mail-Marketing-Anbieter KlickTipp und sendinblue gelandet. Und so nahm es seinen Lauf: Zwei Anbieter, zwei Beispiele für „wie du es besser nicht machst“, auch wenn es große Firmen sind, die Vorbildcharakter haben sollten.
KlickTipp hat nicht mal einen Cookie-Banner
Was mich überraschte, dass KlickTipp überhaupt keinen Cookie-Banner eingebaut hat.
Und nein, ich war in den letzten 2 Monaten nicht bereits auf der Webseite und habe den Cookies aktiv durch z.B. „Alles Akzeptieren“ eingewilligt. Ich war im Inkognito-Modus des Browsers unterwegs, habe es mit unterschiedlichen Geräten getestet. Ich habe nicht die Datenschutzerklärung auf eine zusätzliche Cookie-Einstellungsmöglichkeit hin überprüft. Es kann sein, dass heute Testtag bei KlickTipp war. Macht es das dann aber besser?
Keinen Cookie-Banner zu haben, ist per se nicht schlecht. Es geht auch ohne. Aus Erfahrung weiß ich aber, dass Klick-Tipp massiv Werbung macht, so habe ich mir die gesetzten Cookies und Drittanbieterdienste näher angeschaut.
Diese Elemente (Popup und Chatbot) werden direkt geladen

Diese Cookies werden gesetzt
Es werden nicht für alle Cookies Einwilligungen benötigt. Sind sie unbedingt erforderlich für den Betrieb der Webseite, z.B. wie eine Spracheinstellung bei mehrsprachigen Webseiten oder dem Warenkorb (wobei beides gern auch kontrovers diskutiert wird), benötigt es keine Einwilligung.
Sind aber diese ganzen Cookies von KlickTipp unbedingt erforderlich?

Verbindungen zu weiteren Drittanbieterdiensten
Zwischen der Webseite und den Drittanbieterdiensten werden einige Daten unfreiwillig und ohne Einwilligung hin und her geschoben. Facebook, Google, YouTube, Hotjar, LinkedIn, … Ob da nicht auch personenbezogene Daten verschickt werden?

Und wie sieht das bei Sendinblue aus?
Da ich selbst Sendinblue für meinen Newsletter einsetze, hat es mich natürlich gefreut, dass erst einmal ein Cookie-Banner aufgepoppt ist. Was mein Vertrauen weckte. Für einen kurzen, süßen Moment.
Startseite mit Cookie-Banner
Angenehm überrascht war ich auch von den zwei gleichfarbigen Buttons „Alles ablehnen“ und „Alle Cookies akzeptieren“. Sowie dem Link zu den Cookie-Einstellungen. Schon fast vorbildlich. Aber nur fast.

Was ohne Einwilligung im Hintergrund passiert
Es werden wieder etliche Cookies ohne Einwilligung gesetzt. Hier wieder die Frage: Sind diese Cookies alle unbedingt notwendig? Da sind auch ein paar Google Cookies mit dabei.

Mit den Drittanbieterdiensten sieht es ähnlich aus
Auch hier sind Verbindungen zu Bing, Vimeo, Google Analytics und Co zu sehen. Ohne die Möglichkeit, vorher einzuwilligen.

Und doch gibt es die Möglichkeit auf Cookie-Einstellungen zu klicken
Im Cookie-Banner wird mir ermöglicht, auf Cookie-Einstellungen zu klicken. Schon mal nicht schlecht. Besser wäre hier, die Cookies nicht vorauszuwählen, die Dienste auch über den Cookie-Banner einzubinden, die einzelnen Cookies mit Zweck und Co anzugeben. Auch, wenn ich hier alles deaktiviere – gefühlt – sind es nicht weniger Cookies und Drittanbieterdienste auf der Webseite geworden, die fleißig mittracken, oder was sie sonst so tun.
Vielleicht wirft Max Schrems auch eine dritte Beschwerdewelle gegen irreführende Cookie-Banner. Auf der Webseite von noyb gibt es für den Cookie-Banner OneTrust, den sendinblue im Einsatz hat, auch eine Anleitung für die korrekten Einstellungen.

Ein weiteres (besseres?) Beispiel: MAILINGWORK
Über die Jungs und Mädels von MAILINGWORK bin ich Anfang des Jahres gestoßen, als ich für einen neuen datenschutzfreundlicheren E-Mail-Marketing Anbieter recherchiert habe. Ich hatte auch ein sehr angenehmes und persönliches Gespräch via Videokonferenz mit einem der Verkäufer. Mein Eindruck war, dass das Tool nicht nur datenschutzfreundlich sein kann, sondern auch vielversprechend als mind. sehr gute Alternative zu ActiveCampaign. Schlussendlich ist es am Preis gescheitert. Ich meine mich zu erinnern, dass die Vorlage für die Kampagnen durch einen Inhouse-Entwickler erstellt werden musste. Einmalige Zahlungen für die Ersteinrichtung waren notwendig. Features wie Automationen haben zusätzlich gekostet. Für Selbstständige und kleine Unternehmen ist MAILINGWORK ein Anbieter, der noch zu weit entfernt ist, bzw. eben auf eine ganz andere Zielgruppe zugeschnitten ist.
Aber jetzt genug blabla, hier zu den Cookie Facts:
- MAILINGWORK setzt tatsächlich null Cookies, wenn noch nichts außer dem Laden der Seite stattgefunden hat. Wow, ich bin begeistert! Ein paar wenige Drittanbieterdienste kommunizieren.
- Natürlich könnte man die Texte und Farben des Cookie-Banners inklusive der Buttons verbessern.
- Wenn ich auf „Details anzeigen“ klicke, werden mir (wahrscheinlich) alle Cookies, die gesetzt werden möchten, einzeln aufgeführt. Sogar mit Zweck, Anbieter, Lebensdauer, Typ. Einzeln aus- oder abwählen klappt leider nicht. Entweder gibt es hier ein alles akzeptieren oder alles ablehnen, getarnt als „Geht klar“ und „Nur notwendige Cookies“.

Zurück zu meinen Kunden
Ich frage mich, wie ich solche Tools – die für ihre datenschutzkonforme Lösung werben – empfehlen kann, die es selbst nicht so ernst nehmen mit dem Datenschutz?
Das fällt mir schwer. Mir fällt es auch schwer, diese NICHT zu empfehlen. Es fehlt an guten, wertvollen und bezahlbaren Alternativen für Selbstständige und kleine Unternehmen. Ich bin selbst von ActiveCampaign (ein Top-Anbieter aus den USA) zu sendinblue gewechselt. Bereits da hatte ich das Gefühl, in die Steinzeit zurückversetzt zu werden. Nicht dass ich wüsste, wie es in der Steinzeit ist, aber ich meine, es mir ansatzweise vorstellen zu können.
Ein Wermutstropfen: Wenn du ActiveCampaign nicht kennst und direkt mit sendinblue startest, fällt dir die technologische Diskrepanz gar nicht so auf.
Und der fehlende oder nutzlose Cookie-Banner? Ein Freischein für Selbstständige und kleine Unternehmen, es genauso zu machen?
Das ist doof. Selbstständige und kleine Unternehmen vergleichen sich gern mit den großen Unternehmen, besonders wenn es um produktive Themen geht. Das schreibe ich jetzt einfach so, dafür habe ich keine Belege. Nur meine Erfahrung. Auch ich selbst habe in unserem früheren Familienunternehmen oft zu den Kollegen gesagt: „Schaut doch mal, Bosch und Audi machen das so und so, das können wir doch auch.“
Heute bekomme ich das von meinen Kunden (wahrscheinlich ist das Karma) zuhören: „Warum soll ich was ändern, wenn es nicht mal die Großen tun?“
Ohne eine Grundsatzdiskussion zu starten, bekomme ich das nicht geklärt.
Mittlerweile sage ich auch, schau mal, sogar Google hat jetzt einen „Alles ablehnen“-Button in ihrem Cookie-Banner auf der Google Suche. Wobei ich bisher noch nicht geprüft habe, ob der Cookie-Banner nur hübsch aussieht, oder auch was kann…
Wenn du mehr zu Cookie-Bannern erfahren möchtest, schau doch mal hier vorbei:
- Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 20. Dezember 2022
- Landesaufsichtsbehörde Baden-Württemberg: FAQ – Cookies und Tracking durch Betreiber von Webseiten und Hersteller von Smartphone-Apps.
- Landesaufsichtsbehörde Bayern: Bayerische öffentliche Stellen und Telemedien, Erläuterungen zum neuen Telekommunikation-TelemedienDatenschutz-Gesetz (TTDSG) Orientierungshilfe vom 01.12.2021
- Landesaufsichtsbehörde Rheinland-Pfalz: Cookies & Cookie-Banner
Was würde dir helfen, deinen Cookie-Banner richtig auf deiner Webseite einzubinden?