Was ist eine Consent-Management Plattform (CMP) und wie funktioniert diese?
Consent-Management Plattformen werden durch GDPR, ePrivacy und DSGVO immer wichtiger, wenn du künftig deine Nutzer noch analysieren und mit personalisiserter/spezifischer Werbung erreichen willst. Wir erklären dir in diesem Beitrag, was Consent-Management bedeutet, wie es funktioniert und wie du es anwenden kannst.
Wie funktioniert eine Consent-Management Plattform?
First-Party-Cookies sind das Herzblut einer jeden Website und sind teilweise notwendig für einen Besuch der Webseite. Diese Cookies ermöglichen es Unternehmen, wichtige Informationen über einen Benutzer zu merken und diese Analysedaten auch zu sammeln.
Cookies von Drittanbietern sind jedoch das A und O in der heutigen Online-Welt. So sind diese Cookies nötig, damit Publisher beispielsweise ihre Webseiten monetarisieren können oder KMU und Brands dabei helfen zielgruppenorientierte Werbe- und Marketingkampagnen durchzuführen.
Die Einführung der allgemeinen Datenschutzverordnung (GDPR) der EU hat jedoch erhebliche Auswirkungen auf die Art und Weise, wie Websites und Unternehmen beide Arten von Cookies noch sammeln, speichern und verwenden dürfen.
Denn diese Cookies enthalten personenbezogene Daten, anhand derer ein Besucher identifiziert werden kann.
Die Erhebung und Verwendung personenbezogener Daten von EU-Bürgern und gebietsansässigen muss den einschlägigen Hinweisen für die Datenverarbeitung gemäß Artikel 6 der GDPR folgen.
Aus diesem Grund müssen Publisher und Website-Besitzer nun eine freie, spezifische, informierte und unmissverständliche Einwilligung des Nutzers einholen, wenn sie Cookies für Werbe- und Marketingzwecke sammeln und verwenden wollen.
In Anbetracht der Anzahl der Besucher, die einige Websites täglich aufrufen, ist die Notwendigkeit, diesen Prozess effektiv zu gestalten und verwalten, von größter Bedeutung. Eine Consent-Management-Plattform (CMP) erleichtert den Prozess und stellt die GDPR-Konformität sofort sicher.
Was ist eine Consent-Management Plattform?
Das Consent-Management ist ein Prozess, das es Webseiten ermöglicht, die EU-Vorschriften zur Einholung von Cookie-Einwilligungen zu erfüllen. Mit einer Consent-Management-Plattform (CMP) verfügen Websites über die technische Möglichkeit, die Besucher über die Art der von ihnen gesammelten Daten zu informieren und um ihre Zustimmung für bestimmte Datenverarbeitungszwecke zu bitten.
Einige der regulatorischen Verpflichtungen, die durch eine Consent-Management-Plattform erleichtert werden, sind unter anderem:
- Anzeige von Popup-Fenstern oder Widgets für Benutzer mit der Möglichkeit der Zustimmung oder Ablehnung
- Entscheidungen über die Zustimmung der Besucher und Aufzeichnen von Änderungen der Entscheidung
- Bevor die Einwilligung erteilt wird, werden nur vorab genehmigte Daten gesammelt, indem nur akzeptierte (technisch notwendige) Cookies gesetzt werden
- Sammeln und Verwalten von Datensubjektanfragen – z.B. die Bearbeitung von Besucheranfragen zum Zugriff, zur Korrektur, zum Verschieben und Löschen ihrer Daten.
Wie sieht der Prozess der Benutzerfreigabeerfassung aus?
Während der Prozess der Erhebung und Speicherung der Benutzereinwilligung von Tool zu Tool unterschiedlich ist, ist im Folgenden ein Beispiel dafür aufgeführt, wie dieser Prozess aus technischer Sicht aussehen könnte:
Der Prozess der Erhebung und Speicherung der Einwilligung des Nutzers aus technischer Sicht.
Benötigt meine Website eine Consent-Management Plattform?
Unabhängig davon, wo ein Unternehmen seinen Sitz hat (in der EU oder anderswo), muss eine Webseite bei der Verarbeitung von EU-Bürgerdaten diesen gesetzlichen Verpflichtungen nachkommen, oder das Unternehmen wird mit finanziellen Sanktionen belegt.
Die Einholung der Einwilligung bei der Verarbeitung personenbezogener Daten der Nutzer ist eine der wichtigsten Pflichten, die den Website-Besitzern durch die GDPR auferlegt wurde.
Doch selbst mit dem mehrmonatigen Wissen nach Inkrafttreten der GDPR erlauben es viele führende internationale Anbieter – einschließlich Google – den Unternehmen immer noch nicht, GDPR-konforme Zustimmungen bei der Nutzung ihrer Technologieplattformen komfortabel zu sammeln und zu verwalten.
Gleichzeitig verlangen sie aber ausdrücklich, dass Unternehmen, die Google-Produkte integrieren, die Betroffenen über die Datenverarbeitung informieren und entsprechende Einwilligungen einholen. Aus diesem Grund sind Consent-Management-Lösungen von Drittanbietern erforderlich, um die Einwilligung zur Datenverarbeitung zu erhalten und den Nutzern die Ausübung ihres Rechts auf Zugang, Berichtigung, Portabilität und Löschung von Daten zu ermöglichen.
Kurz gesagt, eine Website benötigt künftig eine Plattform für das Einverständnis-Management, wenn eine der folgenden Aktivitäten stattfindet:
- Verarbeitung personenbezogener Daten: Die Verwendung personenbezogener Daten für Zwecke wie Verhaltenswerbung, Remarketing, Analyse, Inhaltspersonalisierung und E-Mail-Marketing.
- Automatisierte Entscheidungsfindung, wie z.B. Verhaltensprofile.
Datenübermittlung im Ausland: wenn Unternehmen Daten von EU-Bürgern zur Verarbeitung außerhalb der EU erheben.
In Anbetracht der weitreichenden Auswirkungen der Einwilligungspflicht müssen die meisten verbraucherorientierten Unternehmen die Einwilligung der Nutzer als Grundlage für eine rechtmäßige Datenverarbeitung einholen.
Dies macht die Zustimmung zu einer notwendigen Voraussetzung für die Durchführung eines Großteils der Werbe- und Marketingaktivitäten wie E-Mail-Marketing, Remarketing, Profiling, Personalisierung usw., da alle die Datenverarbeitung betreffen.
Es gibt jedoch einige Ausnahmen. Nicht alle Aktivitäten erfordern die Einholung der Zustimmung der Benutzer. Es gibt fünf Gründe für eine rechtmäßige Datenverarbeitung ohne Zustimmung des Benutzers.
Wann ist die Zustimmung des Benutzers NICHT erforderlich?
Die Einwilligung ist eine von sechs gesetzlichen Grundlagen für die Verarbeitung personenbezogener Daten. Neben der Einwilligung sieht die GDPR jedoch fünf spezifische Bedingungen vor, die eine bedingungslose Verarbeitung der Nutzerdaten ohne die Notwendigkeit der Einwilligung ermöglichen. Zu diesen Situationen gehören:
Vertragsbedingung. Wenn Sie Waren oder Dienstleistungen liefern, die von einer betroffenen Person angefordert werden, kann deren Einwilligung Voraussetzung für die Erfüllung der Bestellung sein – z.B. muss ein Nutzer seine Adresse angeben, damit ihm seine Produkte von einer E-Commerce-Website zugestellt werden.
Gesetzliche Verpflichtung. Bei der Verarbeitung einer bestimmten Art von Daten aufgrund einer gesetzlichen Verpflichtung, wie z.B. die Verarbeitung des Strafregisters.
Wichtiges Interesse. Wenn die Verarbeitung von Benutzerdaten für den Schutz des Lebens von Personen unerlässlich ist. So müssen beispielsweise Gesundheits- und Versicherungswesen nicht um Zustimmung bitten.
Erfüllung öffentlicher Aufgaben. Behörden, die ihre offiziellen Funktionen oder Aufgaben im öffentlichen Interesse wahrnehmen, müssen die Anforderungen an die Einholung von Einwilligungen nicht erfüllen – z.B. Ministerien, Schulen, Krankenhäuser und die Polizei.
Rechtmäßiges Interesse. Wenn es einen triftigen Grund für die Verarbeitung personenbezogener Daten ohne Zustimmung gibt. Die Interpretationen dieser Rechtsgrundlage können variieren, aber ein gutes Beispiel wäre die Risikobewertung oder die Überprüfung des Alters von Kindern, z.B. in einem Online-Casino.
Natürlich müssen in einigen der oben genannten Fällen die Interessen des Datenverarbeiters und die Interessen des Einzelnen ausgewogen sein und können die negativen Auswirkungen auf die Rechte und Freiheiten des Einzelnen nicht überwiegen.
Dies scheint nicht für jeden offensichtlich zu sein, denn es gibt Unternehmen, die falsche Interpretationen von berechtigten Interessen als Rechtsgrundlage für ihre Erhebung und Verwendung personenbezogener Daten für Profilerstellung und Targeting verwenden. Die GDPR geht auf diese Situationen speziell in Artikel 6 ein:
Die Verarbeitung ist für die Zwecke der berechtigten Interessen des für die Verarbeitung verantwortlichen oder eines Dritten erforderlich, es sei denn, diese Interessen werden durch die Interessen oder Grundrechte und -freiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, außer Kraft gesetzt, insbesondere wenn die betroffene Person ein Kind ist.
Die Kernfunktionalitäten einer Consent-Management-Plattform
Eine funktionale Consent-Management-Plattform sollte den gesamten Lebenszyklus eines Nutzers abdecken, von der Einholung der Einwilligung eines neuen Besuchers bis zur Bearbeitung seiner Anfrage zum Datensatz.
Einholung von Einwilligungen
Zunächst müssen die Nutzer darüber informiert werden, dass ihre personenbezogenen Daten verarbeitet werden. Detaillierte Informationen über den Umfang der Datenverarbeitung sollten in der Datenschutzerklärung sowie in einer Popup-Meldung enthalten sein. Gleichzeitig müssen die Benutzer entscheiden können, ob sie mit den spezifischen Zwecken der Verarbeitung einverstanden sind.
Während die GDPR nicht eindeutig angibt, wie eine Einwilligungsanfrage aussehen soll, gelten aktuell die Popup-Fenster als Industriestandard und sind die häufigste Implementierung.
Den Nutzern muss es gestattet sein, ihre Einwilligung kostenlos zu erteilen – z.B. darf der Zugriff auf Inhalte der Website nicht von der Einholung der Einwilligung des Nutzers zur Wiedervermarktung abhängig gemacht werden. Die Zustimmung sollte auch granular sein; die Benutzer müssen die Möglichkeit haben, selektiv zu entscheiden, für welche Arten von Tracking, Analyse und anderen Aktivitäten ihre Daten verwendet werden können.
Eine Consent-Management-Plattform stellt sicher, dass die Auswahl eines Benutzers in Erinnerung bleibt und respektiert bzw. angewandt wird. Die Daten werden nur für die vom Nutzer eingewilligten Zwecke verwendet.
Informationen über die Auswahl werden in einem First-Party-Cookie gespeichert, was bedeutet, dass die Benutzer nach dem Löschen von Browser-Cookies oder dem Wechsel zu einem anderen Gerät oder Browser wieder aufgefordert werden, ihre Zustimmung zu erteilen.
Eine Datenbank mit allen Einwilligungen der Besucher ist für den Eigentümer der Webseite über das Consent-Management-Administrationspanel zugänglich. Zustimmungsentscheidungen können, abhängig von den Einstellungen bei der Consent-Management-Plattform, für einen begrenzten Zeitraum gespeichert werden. Außerdem können die Benutzer regelmäßig daran erinnert werden, ihre Einwilligungsentscheidung zu treffen, wenn sie dies nicht zuvor getan haben.
Aufzeichnungen über die gesammelten Daten führen
Eine Consent-Management-Plattform vereinfacht auch die Bearbeitung der Anfragen der betroffenen Personen, indem es die Belastung während der GDPR-Konformitätsprüfungen verringert. Die Datenschutzbehörden können Sie möglicherweise auffordern, nachzuweisen, dass die rechtmäßige Zustimmung Ihrer Nutzer eingeholt wurde, sodass die folgenden Unterlagen aufbewahrt werden müssen:
- Wer hat die Einwilligung erteilt (der Name der Person oder eines anderen Identifikators, in der Regel eine E-Mail-Adresse, ein Cookie oder eine Geräte-ID).
- Wann die Zustimmung erteilt wurde (ein Online-Datensatz, der einen Zeitstempel enthält).
- Was der Nutzer zugestimmt hat (eine Liste der spezifischen Zwecke für die Verwendung personenbezogener Daten, denen er zugestimmt hat).
- Ob und wann die Einwilligung widerrufen oder geändert wurde (ein Online-Datensatz, der einen Zeitstempel enthält).
Zusätzlich zu den Widgets und Popups, die den Benutzern angezeigt werden, bieten Consent-Management-Plattformen ein Admin-Panel, in dem Sie alle Zustimmungen und Anfragen zu Datenverarbeitung einsehen und prüfen können.
Eine Consent-Management-Plattform sollte für die Verwaltung von Einwilligungen den Benutzern freien Zugang zum Popup-Fenster für die Einwilligung geben, damit sie die Einwilligungsentscheidungen für bestimmte Zwecke anpassen und jederzeit andere Benutzerrechte ausüben können.
Nach der GDPR müssen die personenbezogenen Daten einer betroffenen Person dem Nutzer auf Antrag in einem strukturierten, allgemein gebräuchlichen und maschinenlesbaren Format zur Verfügung gestellt werden. Dies wird als das Recht auf Datenzugriff bezeichnet; der Benutzer muss das Recht haben, diese Daten leicht an einen anderen für die Datenverarbeitung Verantwortlichen zu übermitteln.
Produktvideo von Usercentrics Consent Management Plattform
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Anbieter Lösungen:
Selbstverständlich gibt es schon gut Lösungen auf den Markt die alle Aspekte berücksichtigen. Ich habe hier mal die 4 bekanntesten Cookie Consent Management Plattformen / Opt-Ins aufgelistet:
Borlabs Cookie
Deutsche Plugin Lösung für WordPress welches den Cookie Opt-In mit einer sog. „Privacy Wall“ möglich macht. Hier geht es zu Borlabs Cookie
Jährliche Abrechnung für die Lizenzkosten.
Usercentrics
Plattformübergreifendes Consent Management aus Deutschland. Hier gibt es mehr Informationen zu Usercentrics.
Monatliche Abrechnung im TKP (Abrechnung im Monat pro 1.000 Sessions) aber mindestens 8,-€ pro Monat
Cookiebot
Plattformübergreifende Lösung aus Dänemark, welche schon oft implementiert wurde. Hier geht es zu Cookiebot.
Cookiebot rechnet je nach Größe der Webseite pro Domain pro Monat ab.
OneTrust PreferenceChoice
Wiederrum eine Plattformübergreifende Lösung, diesmal aus den USA. Hier können verschiedene Funktionen zu verschiedenen Preisen gebucht werden.
Weitere Informationen zu PreferenceChoice gibt es hier
Wir als Agentur bieten euch die Implementierung von Borlabs Cookie oder alternativ Usercentrics an.
Abschließende Überlegungen
Unternehmen, die die Privatsphäre der Nutzer respektieren und GDPR-konform bleiben wollen, können die Bedeutung der Einwilligung nicht ignorieren. Uneingeschränkte Werbung und Analyse mit unbegrenzter Verarbeitung der Nutzerdaten – was gestern noch selbstverständlich war – ist ohne Cookies rechtlich nicht mehr möglich.
Die Erhebung der Einwilligung des Nutzers ist die Grundlage der rechtmäßigen Datenverarbeitung und wird für nahezu jeden effektiven Marketing- und Werbezweck benötigt. Die Implementierung einer Consent-Management-Plattform ist die sinnvollste Entscheidung, die ein Unternehmen treffen kann, um im GDPR-Spiel an der Spitze zu bleiben.
Hat dir dieser Beitrag gefallen? Hast du noch Fragen? Lass es uns gerne wissen!
16. Dezember 2019 von Benjamin Joksch