Von Mischa Rürup, Gründer und CEO von Usercentrics

Spätestens seit Inkrafttreten der Datenschutzgrundverordnung DSGVO müssen sich Werbungtreibende, Dienstleister und Technologieanbieter aktiv mit dem Thema Consent Management auseinandersetzen. Dabei geht es nicht nur darum, die Einwilligung (Consent) des Nutzers gesetzeskonform einzuholen, damit man dessen Daten sammeln und verarbeiten darf. Zusätzlich gilt es, den Nutzer-Consent zu verwalten und so zu dokumentieren, dass dieser jederzeit nachweisbar ist. Hierbei helfen Consent-Management-Plattformen (CMP).
 
Das Interactive Advertising Bureau Europe (IAB) hat mit dem Transparency und Consent Framework einen Standard festgelegt, den inzwischen etwa 150 CMPs erfüllen. Auch wenn diese demnach DSGVO-konform arbeiten, gibt es zum Beispiel in puncto Sicherheit oder Nutzererfahrung gravierende Unterschiede zwischen den einzelnen Lösungen.

Checkliste für eine gute CMP

1. Vollständige Integration in die Datenschutzerklärung
Die reine Abbildung von Cookies reicht zur Dokumentation nicht aus. Auch Plug-Ins, Hosting-Anbieter und eingebundene Inhalte, etwa aus YouTube-Videos oder dem Soundcloud-Audioplayer fallen unter die Informationspflicht beziehungsweise Einwilligungspflicht, wenn beispielsweise eine Übertragung in einen Drittstaat erfolgt.

Die CMP muss deshalb erlauben, die datenschutzrelevanten Texte der verwendeten Webtechnologie als Feature automatisch in die Datenschutzerklärung einzubinden. Im Sinne der Informationspflicht sind sämtliche Technologien und Parameter der Cookies zu nennen.
 
2. Speicherung der Einwilligung
Die Nachweispflicht der Einwilligungen impliziert auch deren Dokumentation. Die Einwilligungen sollten aufgrund der Nachweispflicht in Art. 7 (1) DSGVO auf dem Server gespeichert und jederzeit abrufbar sein. Die Speicherung sollte keinesfalls auf den Endgeräten des Nutzers erfolgen, denn hier können sie ohne Wissen des Webseitenbetreibers gelöscht werden.
 
3. Keine Pauschaleinwilligung
Nur für Technologien, die aktiv auf der Website zum Einsatz kommen, darf eine wirksame Zustimmung eingeholt werden. Das Konkretheitsprinzip sowie das Minimalprinzip verbieten, den Consent für ruhende Technologien oder gar die komplette Liste aller möglichen Anbieter einzusammeln. Eine Pauschaleinwilligung ist im Rahmen der DSGVO grundsätzlich nicht wirksam.
 
4. Ladevorgänge im Hintergrund
Der Ladevorgang aller Technologien darf erst nach einem sauberen Opt-In starten. Nur die Technologien dürfen laden, für die der Nutzer seine Zustimmung gegeben hat. Das gilt bei einem Opt-Out ebenso. Ab dem Moment des Opt-Outs dürfen die abgelehnten externen Technologien und Cookies nicht mehr laden. Achtung: Nicht einmal der Opt-Out für den Opt-Out darf dann an den Technologieanbieter gesendet werden.

×

DDMC

Der IAB Europe Standard, Flexibilität und Server-Standort

5. IAB Europe Standard
Die Consent-Management-Plattform muss den Standard des IAB Europe unterstützen. Künftig wird personalisierte Werbung im programmatischen Anzeigenhandel nur noch mit Consent-ID aussteuerbar sein.
 
6. Flexibilität
Die CMP muss sich dem individuellen Design der Webseite anpassen können. So wird die langfristige Funktionalität der Webseite gesichert, auch wenn kleine Elemente geändert werden oder sich der Aufbau der Webseite verändert. Die Ausspielung von Cookies sollte auch jederzeit anpassbar sein. Wichtig: Das alles sollte passieren, ohne den Nutzer zu irritieren.
 
7. Server-Standort
Eine sichere Consent-Management-Plattform zeichnet sich durch einen Server-Standort im europäischen Raum aus. Der Grund dafür ist die Beständigkeit der EU als Rechtsraum.
 
8. Privacy-by-Design
Damit die CMP nicht zur nächsten Datenkrake wird, müssen die Daten des Endnutzers strikt separat für jede Webseite angelegt werden, auf der die CMP zum Einsatz kommt. Dies geschieht am besten direkt im Verarbeitungsprozess, sonst findet sogenanntes Profiling statt.

Achtung: Eine Zustimmung oder Ablehnung zu einer Technologie ist wegen der Zweckgebundenheit nicht automatisch auf andere Webseiten übertragbar.
 
9. Geschäftszweck
Der Geschäftszweck des Anbieters der CMP sollte ausschließlich die Einholung, Verwaltung und Dokumentation der Einwilligung darstellen. Dann lässt sich die Datenerhebung im Rahmen der Consent-Abfrage und Dokumentation im Zusammenhang von Art. 6c DSGVO auf die gesetzliche Verpflichtung aus Art. 7 Abs. 1 DSGVO stützen. Verfolgt ein Anbieter weitere Geschäftszwecke, könnte unterstellt werden, dass er die Consent-Daten auch hierfür nutzt.
 
10. Integration ins Tag Management
Sämtliche Tags, beispielsweise Cookies oder Pixels, die die User tracken, benötigen zukünftig deren Einwilligung. Diese muss vor dem Laden der jeweiligen Tags vorliegen. CMP-Anbieter müssen daher nahtlos in vorhandene Tag-Systeme integriert werden können.

Zusätzlich muss es möglich sein, Codes, die direkt in der Webseite verbaut sind, auszuschließen, damit diese nicht laden, sollte die Einwilligung nicht explizit vorliegen. Aber Vorsicht: Gefährlich wird es zum Beispiel, wenn Unternehmen es versäumen, für eingebettete Technologien, wie Schriften oder Videos Einwilligungen einzuholen. Es gibt bereits Meldungen zu ersten Abmahnungen in Bezug auf Google Fonts.