Tealium Tag-Management und die DSGVO

Wenn man ein Tag-Management-System [TMS] wie Tealium einsetzt, ist es in heutigen Zeiten unausweichlich, sich mit der DSGVO und den Datenschutzbestimmungen auseinanderzusetzen. Offensichtlich personenbezogene Kundendaten dürfen nur erhoben werden, wenn deren Verarbeitung für den Einsatzzweck notwendig ist und der Kunde explizit sein Einverständnis dazu gegeben hat. Aber auch bei allgemeineren Kundendaten, z.B. jenen, die typischerweise beim Besuch einer Webseite für die Webanalyse gesammelt werden, sollte die Kundenzustimmung eingeholt werden. Die Meinungen über die strikte Notwendigkeit bei letzterem gehen zwar auseinander, aber sicher ist sicher.

Verwaltet man nun die Tags seiner Webpräsenz mit einem TMS, kommt man nicht umhin, den Besuchern die Möglichkeit zu geben, sich mit der Verwendung der Tags einverstanden zu erklären (oder auch nicht) und ihnen ggf. bei verschiedenen Tags sogar individuelle Wahlmöglichkeiten anzubieten.

In diesem Artikel beleuchten wir nun, welche Werkzeuge Tealium IQ dafür bereithält. Dabei ist diese Steuerung natürlich primär für die in Tealium selbst konfigurierten Tags gedacht. Alle ursprünglichen Lösungen sind in Tealium als sogenannte Extensions verfügbar. Das sind in gewisser Weise Module, die aus einer Art Baukasten ausgewählt, konfiguriert und aktiviert werden können. Das neuste Privacy-Tool in Tealiums Portfolio, das Consent Management, ist dagegen ein zentraler Konfigurationsbaustein.

Abb. 1: Tealium Privacy Extensions

 

Do Not Track Extension

Mit Hilfe dieser Extension kann Tealium den „Do Not Track“-Status des Kundenbrowsers auslesen. Alle modernen Browser unterstützen seit einigen Jahren diese standardisierte Schnittstelle, in der der Benutzer seinen Wunsch nicht getrackt zu werden hinterlegen kann. Der Nachteil ist, dass der Browser außer dem Merken und Bekanntgeben der Benutzervorliebe keine weiteren Anstalten macht, technisch dahingehend etwas zu unternehmen. Die Webseitenbetreiber und Anbieter der Tracking-Tools auf der anderen Seite sind nicht an diese Konfiguration gebunden und können sie genauso gut auch ignorieren, was im Normalfall sogar Stand der Dinge ist.

Die Do Not Track Extension veranlasst Tealium, den „Do Not Track“-Status des Kundenbrowsers zu beachten und alle Aktivitäten einzustellen. Die Einrichtung ist dabei gleichermaßen simpel wie starr. Es gibt lediglich die Möglichkeit des Ein- oder Ausschaltens. Ist die Extension aktiv, unterdrückt sie alle weiteren Tealium-Aktivitäten, sofern der benutzte Browser Do Not Track aktiviert hat. Feinere Abstufungen oder gar individuelle Konfigurationen der einzelnen Tags sind nicht möglich.

Außer dem fairen Verhalten und guten Willen dient diese Extension keinem weiteren Zweck. Sie erfüllt auch keine rechtlichen Anforderungen im Sinne der DSGVO.

 

Tracking Opt-Out Extension

Die Tracking-Opt-Out-Extension ist fast keine Extension im eigentlichen Sinne. Wird sie aktiviert, stellt sie lediglich zwei Javascript-Links zur Verfügung, die beim Ausführen den Opt-Out-Status an oder ausschalten. Die Einstellung wird in einem Cookie gespeichert und ist nur solange wirksam, wie das Cookie nicht gelöscht wird. Bei aktiviertem Opt-Out unterdrückt sie jegliche Tealium-Aktivität. Die Darstellung der beiden Links liegt völlig in der Hand des Betreibers und wird von dieser Extension nicht weiter unterstützt.

Verpackt in einen rechtskonformen Kundenhinweis mit Auswahlmöglichkeit kann diese Extension zwar die Anforderungen der DSGVO erfüllen, allerdings bietet sie auch nur das komplette Ab- und Einschalten der Tealium-Aktivitäten, was die Möglichkeiten einschränkt. Dadurch wird dem Kunden keine Chance gelassen, bestimmte Tags zu nutzen und dennoch andere abzulehnen. Dem Betreiber entgehen dadurch Daten, deren Erhebung viele Kunden bei feinerer Wahlmöglichkeit womöglich doch zugestimmt hätten.

 

Privacy Manager Extension

Die Privacy-Manager-Extension war der erste Entwurf von Tealium, der einem Besucher eine feiner abgestufte Auswahlmöglichkeit bot. Diese Extension ist schon seit einigen Jahren verfügbar. Sie verfolgt ein gutes Konzept, ist aber konfigurationstechnisch leider nicht zu Ende gedacht und daher zu starr um wirklich sinnvoll eingesetzt werden zu können.

Die Privacy-Manager-Extension zeigt dem Besucher ein Popup an, das alle verwendeten Tags auflistet und mit einem An-/Aus-Schalter versieht. Hier kann der Besucher zum Beispiel ein Hilfe-Chat-Tool aktivieren, die personalisierte Werbung aber abschalten. Da es sich um viele einzelne konfigurierte Tags handeln kann und deren Namen einem Laien meist nicht wirklich etwas sagen, bietet die Extension noch die Möglichkeit, Kategorien anstatt einzelner Tags anzuzeigen (siehe Abb. 2). Die Zuweisung der Tags in die Kategorien kann bei der Konfiguration vorgenommen werden. Weitere Kategorien können hinzugefügt werden. Ebenso lassen sich einzelne Tags ausklammern, die immer, unabhängig von der Besucherauswahl, ausgeführt werden. Zu guter Letzt wählt man noch eine Opt-In- oder Opt-Out-Strategie. Also ob zu Beginn alles deaktiviert oder aktiviert ist. Auch diese Benutzerauswahl wird in einem Cookie gespeichert und würde mit dem Löschen der Cookies wieder verschwinden.

Abb. 2: Privacy Manager Extension

Damit endet allerdings auch schon die Liste der Konfigurationsmöglichkeiten. Anpassungen, die auf den zweiten Blick essentiell erscheinen, können nicht – oder nur mit „Hacks“ – erreicht werden. Hier ein paar Beispiele.

  • Designänderung / Corporate Design:
    Der vorgegebene Popup-Code verwendet ein paar Klassennamen, über welche CSS-Anpassungen in begrenztem Rahmen möglich sind. Das Logo oben rechts kann ebenfalls getauscht oder entfernt werden. Etwaige grundlegende Umgestaltungen sind nicht möglich.

 

  • Beschriftungen und Textänderungen:
    Vorgesehen sind solche Anpassungen nicht. Über das manipulieren des Code-Templates können einige Felder zumindest geändert werden. Tag-Namen, die in der internen Konfiguration womöglich anders heißen sollen, als bei der Besucheransprache, können aber nicht geändert werden.

 

  • Einzelne Tags vs. Tag-Typen:
    Habe ich bisher von einzelnen Tags gesprochen, stimmt das leider nicht ganz, was sehr frustrierend werden kann. Verwendet man zum Beispiel zwei verschiedene Google Analytics Tags, die beide auf dem gleichen Vendor-Tag basieren, kann in der Konfiguration nur „Google Analytics“ gesteuert werden, nicht aber beide Tags unterschiedlich. Gerade bei dem viel verwendeten Vendor „Tealium Custom Container“ stößt man hier schon schnell an seine Grenzen.

 

  • Sprachunterstützung:
    In der Privacy-Manager-Extension ist nur eine Sprache vorgesehen und das ist Englisch. Eine Multisprachunterstützung fehlt hier völlig.

 

 

Consent Management (Consent Prompt Manager & Consent Preferences Dialog)

Seit Mai 2018 ist das neuste Mitglied der Privacy-Tools in Tealium verfügbar. Das Consent Management kommt nicht mehr als Extension daher, sondern ist tief im System verankert und lässt sich über den „My IQ“-Reiter konfigurieren. Hier hat Tealium einen wirklich guten Ansatz verfolgt. Bei allen vorherigen Extensions ließ sich eine gute Portion negativer Kritik heraushören, die der Autor auch durch nicht zufriedenstellende eigene Erfahrungen angesammelt hat.
Das Consent Management [CM] ist dagegen hochgradig anpassbar und den eigenen Vorstellungen nach formbar. Ich würde jedem empfehlen, direkt das CM einzusetzen und die Extensions beiseitezulassen.

Das CM besteht aus zwei Komponenten, dem Consent Prompt und dem Consent Preference Dialog. Der Consent Prompt ist für das Overlay gedacht, welches den Besucher um die generelle Zustimmung bittet. Darin kann auch ein Button platziert werden, der zum Consent Preference Dialog führt. Letzterer stellt dann – analog zur Privacy Manager Extension – eine Auswahlmöglichkeit einzelner Tags oder Kategorien zur Verfügung.

Abb 3: Consent Management mit Consent Prompt und Consent Preference Dialog

Die Ressourcen, wie Namen und Texte für Erklärungen, werden in den Konfigurationsmasken des CM hinterlegt. Die Konfiguration des Overlays und Dialogs kann mittels HTML, CSS und Javascript praktisch allen Wünschen und Anforderungen nach erstellt werden, wobei die Inhalte aus den Resourcen-Konfigurationen über {{Platzhalter}} zugreifbar sind. Eine ganze Reihe von API-Funktionen ermöglicht dann die gezielte Steuerung der Abläufe im Javscript, wie z.B. Abrufen und Speicherung von Auswahlen, Triggern des Overlays oder Dialogs. Auch hier wird die Benutzerauswahl in einem Cookie gespeichert und würde mit dem Löschen der Cookies wieder verschwinden.

Mit bloßem Zusammenklicken ist eine solche Flexibilität natürlich nicht erreichbar. Gesundes Wissen über HTML, CSS und Javascript ist schon eine Voraussetzung. Meiner Meinung nach hat Tealium hier aber die richtige Balance zwischen Einfachheit und Möglichkeiten der Konfiguration getroffen.

Abb 4: Konfiguration von Design und Funktionalität mittels HTML, CSS und Javascript

Auch an die Multisprachunterstützung hat Tealium beim CM gedacht. Alle Ressourcen-Masken können für unzählige Sprachen als parallele Konfigurationssätze eingefügt werden, die dann automatisch, je nach Sprachauswahl, aufgerufen werden. Die Übersetzung und Befüllung der Elemente muss selbstverständlich vom Betreiber selbst kommen.

Das Auslesen der Benutzerauswahlen und das daraus hervorgehende selektive Blockieren der abgewählten Tags geschieht dann automatisch, unabhängig von den herkömmlichen Laderegeln.

Schon nach dem ersten Consent-Manager-Projekt, was e-dynamics für Kunden umgesetzt hat, habe ich die Philosophie und den Ansatz des CM lieben gelernt. Dennoch hat auch das CM noch ein paar Kinderkrankheiten, die Tealium hoffentlich in der nächsten Zeit beheben wird:

  • Es gibt 15 vorgegebene Kategorien, die für die Zuordnung der Tags genutzt werden können. Bisher gibt es keine Möglichkeit eigene oder weitere Kategorien zu erstellen. Es ist durchaus möglich, in den Ressourcen die vorgegeben Kategorien umzubenennen, sodass den Besuchern die gewünschten Namen in allen Sprachen angezeigt werden. Intern aber arbeitet die Konfiguration mit den originalen Namen. Das ist umständlich, schränkt aber die Benutzung nicht ein, solange man nicht mindestens 16 Kategorien benötigt.

 

  • Die Zuordnung einzelner Tags in Kategorien ist hier etwas flexibler als es noch bei der Privacy-Manager-Extension der Fall war. „Tealium Generic Tags“ und „Tealium Custom Container“ erscheinen jetzt als einzelne Tags für die Zuweisung in die Kategorien. [Generic Tags erst seit meinem Bug-Report an Tealium, den sie recht schnell gefixt haben.]
    Vorgefertigte Vendor-Tags, wie das obige Beispiel mit dem Google Analytics dagegen, betrachtet die Konfiguration weiterhin als ein Tag. Das ist ärgerlich, sollte man die beiden Tags in unterschiedliche Kategorien einsortieren wollen. Es kann aber dadurch umgangen werden, dass weitere Tags als eigene Custom-Container-Tags erstellt werden.

 

  • Die Spracherkennung funktioniert automatisch über die Spracheinstellungen des Browsers. Zwar muss man hier nichts weiter konfigurieren, hat aber auch (noch) nicht die Möglichkeit, explizit manuell selbst eine Sprachauswahl vorzugeben. Auf einer Webpräsenz mit unterschiedlichen Sprachen kann das störende Nebenwirkungen haben. Wechselt der sprachbegabte Kunde mit einem deutschen Browser die angezeigte Sprache auf Französisch, dann sieht er trotzdem auf der französischen Seite weiterhin die deutschen Dialoge des CM. Die manuelle Steuerung liegt Tealium aber als Feature-Request vor und wird bald nachgezogen.

Sobald diese Macken behoben sind, ist das Content Management in Tealium ein sehr gut funktionierendes Privacy-Tool. Aber auch jetzt ist es das Tool der Wahl, um DSGVO-konforme Nutzungshinweise und Zustimmungsabfragen auf den eigenen Webpräsenzen einzurichten.