Themen: DSGVO

Consent Management: Cookies, Google-Dienste & Co. DSGVO-konform nutzen

Veröffentlich am 09. September 2020

5 Minuten

<span id="hs_cos_wrapper_name" class="hs_cos_wrapper hs_cos_wrapper_meta_field hs_cos_wrapper_type_text" style="" data-hs-cos-general-type="meta_field" data-hs-cos-type="text" >Consent Management: Cookies, Google-Dienste & Co. DSGVO-konform nutzen</span>

Consent Management, also die Verwaltung der Einwilligung zur Verarbeitung von Nutzerdaten, ist zurzeit der Renner bei den Website-Tools. Kein Wunder! Denn durch die Zunahme von Abmahnungen für die Verwendung von z.B. Google-Maps oder Google Analytics ohne explizite Zustimmung sind Website-Betreiber unter Handlungsdruck. Wir geben einen Überblick über die aktuelle Rechtslage und zeigen, wie sich die Erhebung personenbezogener Daten mit einem Consent Management Tool DSGVO-konform umsetzen lässt.

Consent Management Cookies
Quelle: https://www.shutterstock.com/

Warum Consent Management?

Website-Betreiber benötigen Nutzerdaten, um Ihre Marketing- und Vertriebsaktivitäten zu optimieren. Durch sie lässt sich die Effektivität der Seiteninhalte nachvollziehen und gezielt verbessern. Durch sie können Nutzer erkannt und mit personalisierten Inhalten versorgt werden. Die "Customer Experience" kann gezielt verbessert werden und die Website erzeugt mehr Leads.

Nun gibt es eine Einschränkung: Die Erhebung von Nutzerdaten ist strengen gesetzlichen Vorgaben unterstellt. Bevor personenbezogene Daten erhoben werden dürfen, müssen Nutzer diesem Verfahren zustimmen. Genau damit befasst sich Consent Management: Die Einwilligung von Nutzern im Rahmen rechtlicher Vorschriften einzuholen, zu speichern und zu verwalten.

Wie sieht die Rechtsgrundlage zur Verarbeitung von Nutzerdaten in Deutschland aus?

Hier sind vor allem zwei Quellen zu nennen: Die DSGVO sowie aktuelle Urteile des EuGH. Während die DSGVO die Erhebung und Verarbeitung personenbezogener Daten allgemein regelt, befasst sich der EuGH mit spezifischen Fragestellungen, bspw. dem Einsatz von Cookies. Eigentlich sollte dies im Rahmen der E-Privacy-Verordnung geschehen, die allerdings bis heute nicht umgesetzt worden ist.

Beginnen wir mit den aktuellen Rechtsentscheidungen, genauer gesagt dem Cookie-Urteil des BGH vom 28. Mai diesen Jahres. Nach dem Telemediengesetz war es bis dato ausreichend, Website-Besucher über den Gebrauch von Cookies zu informieren, etwa durch einen Hinweis auf die Datenschutzerklärung. Dies stand allerdings schon damals im Spannungsfeld zu europäischen Richtlinien, die eine aktive Einwilligung bspw. für Tracking-Cookies einforderten.

Nun entschied der BGH in Anlehnung an ein Urteil des EuGH, dass nicht-funktionelle Cookies die aktive Einwilligung des Nutzers erfordern (ein sogenanntes "Opt-In"). Demnach sind reine Hinweisbanner, die den Nutzer lediglich über den Gebrauch von Cookies informieren, nicht mehr ausreichend. Auch eine Vorauswahl nicht-funktioneller Cookies in Form von bereits angekreuzten Kästchen ist nicht zulässig. Eine Übersicht über rechtswidrige Praktiken bei der Einholung der Zustimmung zur Cookie-Nutzung finden Sie in diesem Beitrag.

Consent Management Cookie Urteil
Quelle: https://www.shutterstock.com/

Eine genaue Definition, welche Cookies als "nicht-funktionell" anzusehen sind, existiert nicht. Nach der Auffassung führender Rechtsexperten gilt jedoch: Cookies, die zu Werbe- oder Marktforschungszwecken eingesetzt werden (z.B. Tracking- oder Targeting-Cookies), sind nicht-funktionell. Auch Cookies, die in Verbindung mit Google Analytics genutzt werden, bedürfen der Zustimmung. Hingegen sind Cookies zur Speicherung der Log-In-Daten oder des Warenkorbs nicht von der Einwilligungspflicht betroffen - sofern Sie die Daten dabei nicht an Dritte übermitteln.

Wichtig: Für Cookies, die von Dritten wie z.B. Google Analytics gesetzt werden, brauchen Sie i.d.R. die Zustimmung des Nutzers. Auch die Einbettung externer Dienste auf der Website (bspw. über iframe oder den Embed-Code) unterliegt der Einwilligungspflicht. Das lässt sich am Beispiel von YouTube, Google Maps oder den Social Plugins von Facebook verdeutlichen: Bei deren Nutzung werden je nach Dienst und Einbettung zwar nicht zwingend Cookies auf dem Rechner des Users platziert, aber durch die Einbettung auf der Seite selbst wird automatisch die IP Adresse des Users beim Laden der Seite an Google & Co. übertragen. Der Browser des Users fordert nämlich aktiv die eingebettete externe Ressource an - z.B. ein Video von YouTube. Auch dann, wenn der User nicht auf Abspielen klickt. So kann Google/YouTube ermitteln, welche Person gerade Ihre Seite besucht, wenn diese beim Aufruf mit Ihrem YouTube-Konto angemeldet war. 

Notiz zum Wegfall des EU-US Privacy Shields: Bitte verfolgen Sie die aktuelle Rechtslage bezüglich der Verwendung von US-Diensten und der Weitergabe personenbezogener Daten in die USA! Sprechen Sie uns gerne direkt dazu an!

Wie lassen sich die Vorgaben im Rahmen einer Consent Management Plattform umsetzen?

Mit einer Consent Management Plattform wie usercentrics lässt sich die Einwilligung zur Verarbeitung von Nutzerdaten von einem zentralen Tool aus verwalten. Dazu wird beim erstmaligen Aufrufen einer Webseite ein Banner oder Pop-Up-Fenster angezeigt, auf dem Nutzer in die Verwendung ihrer personenbezogenen Daten einwilligen bzw. dieser widersprechen können. Die Erhebung betroffener Daten durch die Website wird dabei so lange unterdrückt, bis der Nutzer seine Zustimmung gegeben hat.

Im Anschluss wird die getroffene Auswahl des Nutzers gespeichert, damit diese beim nächsten Website-Besuch nicht wieder neu erfragt werden muss. Auf diesem Weg wird auch gleich eine rechtssichere Dokumentation der Einwilligung sichergestellt. Die Auswahl lässt sich dabei jederzeit anpassen, oft durch einen einfachen Klick auf eine Schaltfläche. Hier können auch detailliertere Einstellungen, bspw. zu datenverarbeitenden Diensten wie Facebook oder Google Analytics vorgenommen werden.

Consent Management Datenschutz
Quelle: https://www.shutterstock.com/

Die Consent Management Plattform usercentrics bietet Ihnen viel Freiraum, was die konkrete Umsetzung betrifft: Zahlreiche Elemente des Hinweisbanners lassen sich nach individuellen Vorstellungen anpassen und können sogar in den Farben des Corporate Design gestaltet werden. Zudem besteht die Möglichkeit, verschiedene Banner-Varianten zu testen, um das mit der höchsten Opt-In-Rate auszuwählen.

Der größte Vorteil: usercentrics bietet eine große Auswahl vorgefertigter Rechtstexte für häufig genutzte externe Anbieter in mehreren Sprachen. Diese werden in der Consent Management Plattform aktualisiert, wenn sich die Rechtstexte bei den Anbietern geändert haben. Das spart enorm viel Arbeit. Mehr noch: Dies selbst zu pflegen ist kaum möglich, wenn man nicht ständig Änderungen bei den Diensten verfolgt und dazu noch das nötige Rechtsverständnis hat.

Wie wird das Consent Management auf meiner Website eingebunden?

Hierzu wird die Integration der externen Dienste auf Ihrer Website so angepasst, dass diese nicht ausgeführt werden, bevor das Consent Management System keine Einwilligung für den jeweiligen Dienst hat. Dies geschieht entweder durch eine manuelle Anpassung der Skripte im Code oder über den Google Tag Manager. Vorsicht ist bei Systemen geboten, die eine direkte Integration von z.B. Google Analytics via Einstellung oder Plugin bieten - etwa Wordpress, TYPO3, Shopware oder HubSpot. Diese gut gemeinten und bequemen Integrationen sind oft nicht DSGVO-konform und können nicht durch das Consent Management genutzt werden!

FAZIT: consent management ist komfortabel und unverzichtbar

Eine Consent Management Plattform bietet Ihnen eine komfortable Möglichkeit, um innerhalb gesetzlicher Vorgaben Nutzerdaten zu erheben. Mehr noch: Cookie-Consent-Plugins für Wordpress und andere CMS-Systeme sind nach Auffassung vieler Datenschützer meist nicht ausreichend, da die Zustimmung nicht protokolliert wird. Durch die Audit-sichere Dokumentation der Einwilligung in usercentrics sind Sie auch im Ernstfall auf der sicheren Seite. Und die einfache und transparente Verwaltung auf der Website stärkt Ihr Image als vertrauenswürdiges, nutzerzentriertes Unternehmen. Zudem bietet die Plattform die von Google mittlerweile geforderten Standards bei der Verwendung in Ad-Netzwerken.

CTA Consent Management

Geposted von Martin Bayer
Zurück zur Übersicht

Letzte Beiträge

Keinen Artikel verpassen

Abonnieren Sie unseren Newsletter und erfahren Sie als erster was es neues gibt.