Marketing Cloud Account Engagement - Ein klares Jein zu Marketing Cookies?
Datenschutz und Datensicherheit und vor allem die Frage nach dem Einverständnis der Nutzer:innen mit der Verwendung ihrer Daten sind zentrale Fragen im Digitalmarketing. Was gilt es zu beachten und welche Einstellungen sind erforderlich, um Salesforce Marketing Cloud Account Engagement (MCAE, ehemals Pardot) so aufzusetzen, dass die Privatsphäre der Nutzer:innen respektiert wird? Diese Frage mag Stirnrunzeln hervorrufen. Sollte man nicht erwarten, dass das Consent Management als zentrales Element in Account Engagement bereits mitgedacht und funktionsfähig ist? Nun, Marketing Cloud Account Engagement bzw. Pardot ist eine Lösung des US-amerikanischen Anbieters Salesforce. Die Cookie-Richtlinien werden in den USA nicht so streng ausgelegt wie im europäischen Raum, wo die Datenschutzgrundverordnung gilt. Diese Rahmenbedingungen sorgen für ein wenig Nervenkitzel bei dem Vorhaben, die Tracking-Einstellungen in Account Engagement datenschutzkonform zu gestalten – zumindest wenn die Widrigkeiten bekannt sind.
Die Berücksichtigung der Privatsphäre-Einstellungen von Besucher:innen in MC Account Engagement kann zu einem Hindernislauf werden. In diesem Blogpost möchten wir Licht ins Dunkel bringen und beschreiben, was bei der Einrichtung des Consent Managements zu beachten ist.

Am Start mit Salesforce Marketing Cloud Account Engagement
Ihr Unternehmen setzt Marketing Cloud Account Engagement (MCAE) ein. Möglicherweise sind auf Ihrer Website native MCAE-Formulare über iFrames eingebunden oder native MCAE-Landing Pages im Einsatz, z. B. im Rahmen von Leadgenerierungskampagnen oder einfach für die Bestätigungsseite eines Double Opt In. Darüber hinaus ist es naheliegend, MCAE-Tracking Code auf der Website zu platzieren, um z. B. den Besuch besonders relevanter Seiten sichtbar zu machen oder automatisierte Folgeaktionen daran zu knüpfen.
Gerade gestartet, gelangen wir schon zum 1. Hindernis: MCAE bzw. Pardot setzt in der Default-Einstellung grundsätzlich Cookies im Browser Ihrer Besucher:innen, und zwar ohne deren Einwilligung. Ziel dieser Funktionalität ist es natürlich, das Besucherverhalten zu messen und wertvolle Erkenntnisse für die Leadqualifizierung zu gewinnen. An welchen Stellen werden die Cookies bei Besucher:innen gesetzt? Dies geschieht, wenn sie mit nativen MCAE-Assets in Kontakt kommen, also beispielsweise ein Formular ausfüllen oder eine Landing Page besuchen. Wichtig: Auch wenn auf der Website, auf der das Formular möglicherweise über einen iFrame eingebunden ist, über das Consent Management-Tool keine Marketing Cookies akzeptiert wurden, werden diese gesetzt, sobald das Formular abgeschickt wurde, sofern die Tracking Opt-In Preferences in MCAE nicht anders eingestellt wurden. So kann es bei unzureichender Konfiguration dazu kommen, dass personenbezogene Aktivitäten wie Website-Besuche (sofern MCAE-Tracking Code implementiert ist) oder Landing Page Besuche sichtbar werden, ohne dass sich die Besucher:innen dessen bewusst sind.
Kommen wir nun also zur Lösung des ersten Hindernisses: Der Konfiguration der Tracking Opt-In Preferences. Diese Funktionalität wurde von Salesforce als Reaktion auf die DSGVO und CCPA (California Consumer Privacy Act, 2018) nachträglich entwickelt.
So ist es möglich, über ein Account Engagement-Cookie-Banner entweder die Tracking-Einwilligung aller Besucher:innen einzuholen oder nur unter Besucher:innen aus bestimmten Ländern eine Tracking-Einwilligung abzufragen (siehe Screenshot aus dem Pardot Domain Management, unter „Edit Tracking Opt-in Preferences").
Wenn an dieser Stelle keine Einstellungen vorgenommen werden (wie hier im Beispiel zu sehen), d. h. weder alle Besucher:innen eine Einwilligung einholen, noch nur Besucher:innen aus bestimmten Ländern, wird MCAE immer Cookies setzen, wenn Besucher:innen mit Assets in Kontakt kommen, die Account Engagement-Cookies setzen (z.B. MCAE/Pardot-Tracking Code auf der Website, iFrame-Formulare, Landing Pages). Um dies zu verhindern, sollte die Standardeinstellung dahingehend angepasst werden, dass entweder pauschal alle Besucher:innen oder solche, die aus Ländern kommen, in denen die DSGVO bzw. CCPA gilt, um ihr Einverständnis gebeten werden.
Die MCAE-Tracking-Präferenzen sind damit nicht mehr die ursprünglichen Standard-Einstellungen, und Besucher:innen werden nach ihrer Einwilligung gefragt, bevor ihre Aktivitäten in Account Engagement getrackt werden.
Das bringt uns zum zweiten Hindernis:
Doppelt ausgespielte Cookie-Banner in Salesforce Marketing Cloud Account Engagement Formularen
Sobald über das MCAE/Pardot-eigene Consent Management bestimmte Einstellungen vorgenommen werden, wird auf Pardot Landing Pages, aber auch in iFrames, über die ein Pardot-Formular eingebunden wird, ein plattformeigenes Cookie-Banner angezeigt – zusätzlich zu dem, das Besucher:innen über die Website ausgespielt bekommen. Im Hinblick auf die Benutzerführung und Konversionsstärke ist das problematisch: Das Risiko ist hoch, dass Besucher:innen von einem zusätzlichen Cookie-Banner innerhalb des iFrames irritiert sind und abspringen. Auch ist es wahrscheinlich, dass über das Website Consent Management andere Angaben gemacht werden als über das MCAE-Cookie Banner – dadurch, dass beide Systeme zunächst einmal nicht miteinander kommunizieren.
Prospects, die also über das Website Consent Management Marketing-Cookies akzeptiert haben, auf Ebene einer MCAE-Landing Page aber nicht, werden kein MCAE-Cookie gesetzt bekommen bzw. ihr Tracking Opt-In über die fehlende Zustimmung auf der Landing Page wieder deaktivieren.
Die Lösung: Das Tracking in Marketing Cloud Account Engagement sollte grundsätzlich so eingestellt sein, dass für alle Prospects das Tracking Opt In abgefragt wird. Im nächsten Schritt muss das Tracking & Consent JavaScript API in den Plattformeinstellungen aktiviert werden. Das nun eigentlich angezeigte MCAE-Cookie Banner wird durch ein Script unterdrückt und stattdessen das Banner des jeweiligen Consent Management Systems ausgespielt. Voraussetzung dafür ist natürlich, dass die entsprechende Pardot Tracker Domain zuvor im CMS-System hinterlegt wurde. Das CMS-eigene Banner soll dann für alle Cookie-Typen (auch die Account Engagement Cookies, die unter den Marketing Cookies angesiedelt sind) das Einverständnis der Websitebesucher:innen abfragen. Auf diese Weise wird also grundsätzlich verhindert, dass Account Engagement Cookies gesetzt werden.
Nun nehmen wir gemeinsam die dritte und letzte Hürde:
Fehlende Kommunikation zwischen der Consent Management Plattform und Salesforce Pardot
Die Lösung: Für diesen Schritt wird in der Regel die Unterstützung durch erfahrene Web Developer:innen benötigt, da das genaue Vorgehen in hohem Maße abhängig von der jeweils genutzten Consent Management-Plattform (z. B. OneTrust, Cookiebot und Usercentrics) ist. Prinzipiell wird die Kommunikation zwischen dem Consent Management-System und Salesforce Pardot/MCAE ebenfalls über ein Script hergestellt. Das Consent Management-Tool teilt dann mithilfe dieses Scripts MCAE die Entscheidung der Websitebesucher:innen mit. Nur wenn diese den Marketing-Cookies zugestimmt haben, werden Besuchsaktivitäten wie Landing Page Views und Besuche von Websites mit Account Engagement Tracking Code sichtbar. Übrigens: Auch Completion Actions von MCAE-getrackten Links (sogenannte Custom Redirect Links) werden nur dann ausgeführt, wenn ein Prospect die MCAE.Cookies akzeptiert hat.