Einwilligungen einholen im Mobile Web und in Apps: Die 4 größten Herausforderungen

Von Timo von Focht - 10. April 2019 | 62 0

Wer eine Website oder eine App verwaltet, träumt vom Cross-Device-Einwilligungsmanagement. In der Praxis sieht die Sache allerdings ziemlich kompliziert aus. Aus den folgenden Gründen.

So trendig die Parole „Mobile First“ auch sein mag: In der Entwicklungs-Praxis rangieren mobile Seiten und Apps noch immer hinter der klassischen Desktop-Website. Das gilt auch für das Einwilligungsmanagement, das im Zuge der DSGVO (Datenschutzgrundverordnung) daherkommt. Der Großteil der Aufmerksamkeit und Energie fließt bei diesem Thema in die Website. Dabei sind die Herausforderungen der DSGVO natürlich bei mobilen Apps genauso wichtig. Und nicht nur das: Aufgrund der Eigenschaften mobiler Anwendungen sind sie technisch noch dazu deutlich komplexer. Wir schauen uns die vier größten Herausforderungen an.

1) Mit Verbindungsunterbrechungen umgehen

Die wichtigste Herausforderungen im Mobile Web: die Verwaltung von Einwilligungen so konzipieren, dass sie auch ohne daueraktive Verbindung zwischen Client und Server funktioniert. Die einzige Lösung, wenn eine App ohne bestehende Verbindung verwendet wird: einen der großen Vorteile von Mobile Apps nutzen, nämlich ihre Fähigkeit, Informationen lokal zu speichern.

Konkret: Wenn das Smartphone offline ist, werden alle von der App verzeichneten Aktionen gespeichert. Sobald wieder eine Verbindung besteht, werden die Daten – je nach vorhandener Einwilligung (vollständig, teilweise oder gar nicht) an die CMP (Consent Management Platform) gesendet (ganz oder teilweise) – oder bei fehlender Einwilligung eben gelöscht. In jedem Fall muss die Mobile App diesen „Buffer“-Mechanismus für personenbezogene Daten im Offline-Modus vorsehen.

2) Das Einholen von Einwilligungen an die UX des Geräts anpassen

Das richtige Einwilligungsmanagement im Mobile Web und in Apps ist nicht nur eine technische Herausforderung. Es muss auch so konzipiert werden, dass die User Experience davon nicht beeinträchtigt wird. Einfach nur die auf dem Desktop verwendeten Layer oder Pop-ups zu verwenden, ist keine Option – und seien sie auch noch so responsiv. Die Akzeptanz für einen geblockten Bildschirm (denn ein Layer oder Pop-up versperrt in der Regel zumindest teilweise den eigentlichen Inhalt) und die Art und Weise, in der das Vorliegen einer Einwilligung geprüft wird, sind unterschiedlich genug, um eine geräteabhängige UX zu rechtfertigen. Alleine schon für das Design der Einwilligungs-Buttons empfehlen sich für Mobile und Desktop unterschiedliche Herangehensweisen.

Im Rahmen einer App ist häufig ein eigener Screen für das Einholen der Einwilligung sinnvoll. Wobei sich die Frage stellt: In welchem Moment soll dieser Screen angezeigt werden? Die Antwort ist von jedem Publisher individuell zu beantworten, denn sie hängt eng mit der Art der App zusammen. An welches Zielpublikum richtet sie sich? Braucht sie Bedienungsanweisungen? Es ist beispielsweise nicht unbedingt ratsam, einen solchen Abfragebildschirm anzuzeigen, bevor überhaupt praktische Informationen zur Verwendung der App gegeben wurden. Ein A/B-Test kann hier hilfreich sein, um den Ablauf zu finden, bei dem die meisten Einwilligungen erfolgen.

3) Eine zweckgebundene Einwilligung einholen

Natürlich träumt jeder Web- oder App-Anbieter davon, Einwilligungen einzuholen, die über alle Geräte hinweg funktionieren. Das Ziel wäre, den Status einer im Desktop-Browser eingeholten Zustimmung bis in die Mobile App weiterzugeben, um zu verhindern, dass der Nutzer mehrfach gefragt werden muss. Eine lobenswerte Absicht, die allerdings über die aktuellen technischen Möglichkeiten hinausgeht. Brüche sind selbst innerhalb eines einzigen Geräts unvermeidbar: Ein Nutzer, der im mobilen Browser für die Website eines Anbieters eine Einwilligung gegeben hat, wird sie erneut geben müssen, wenn er im Anschluss eine App desselben Anbieters auf demselben Smartphone nutzt.

Berechtigte Frage: Was, wenn der Nutzer sich sowohl auf der Website als auch in der App anmeldet? In diesem Fall, in dem die Einwilligung an ein Nutzerprofil gebunden ist, könnte sie von der Website auf die App – und umgekehrt – übertragen werden. Allerdings nur unter einer – diesmal nicht technischen – Bedingung: Die auf der Website gegebene Einwilligung darf nur dann auf die App übertragen werden, wenn auf beiden dieselben Services genutzt werden…

Erinnern wir uns daran, dass eine Einwilligung nach DSGVO nur dann gültig ist, wenn sie zweckgebunden eingeholt wurde. In der Praxis werden die auf der Website bzw. in der App verwendeten Services – und damit auch die an Dritte weitergegebenen Daten – unterschiedlich sein. Selten werden beispielsweise auf der Desktop-Website und im Mobile Web dieselben Adserver eingesetzt. Dasselbe gilt für Anbieter von A/B-Tests.

Sowohl aus technischen wie auch aus rechtlichen Gründen ist das Einholen von Einwilligungen deshalb derzeit zwangsläufig vom jeweiligen Endgerät (Desktop, Mobile) und dem entsprechenden Kontext (Website, App) abhängig.

4) Einwilligungen dokumentieren

Ein weiteres Grundprinzip der DSGVO, das wir im Hinterkopf behalten müssen, ist die Rechenschaftspflicht. Demnach muss jeder Anbieter einer Website oder App nicht nur in der Lage sein, Einwilligungen DSGVO-konform einzuholen, sondern auch jederzeit nachweisen können, dass er das tut. Daher ist es von entscheidender Bedeutung, den Status aller Einwilligungen und der danach erfolgten Datenerhebungen für alle Endgeräte und Kontexte dokumentieren zu können. Die Dokumentation der auf allen Geräten eingeholten Einwilligungen sicherzustellen, gehört im Übrigen zu den zentralen Eigenschaften der CMP von Commanders Act.