Consent Management und ePrivacy – aktuelle Rechtsprechung und unsere Empfehlung zur Umsetzung

Sven Hantschack | Technologie

Compliance is King: Datenschutz und digitale Privatsphäre werden immer wichtiger. Der EuGH hat erst kürzlich entschieden, dass Tracking-Cookies ohne aktive Einwilligung (Opt-in) nicht mehr verwendet werden dürfen. An einem einwilligungsbasierten Cookie- und Trackingsystem (Consent Management System) führt daher voraussichtlich kein Weg mehr vorbei. Wir haben die rechtliche Lage analysiert sowie fünf Consent Management Provider (CMP) miteinander verglichen. Lesen Sie hier worauf Sie bei der Auswahl eines geeigneten Anbieters achten sollten. In unserem Webinar (am 24. Januar 2020, um 11 Uhr, Anmeldung am Ende des Artikels) erläutern wir außerdem im Detail, wodurch sich die Anbieter unterscheiden und welche Lösung wir empfehlen würden.

EuGH Urteil: Tracking-Cookies nur mit Einwilligung.

Consent Management Provider - eine Begriffsklärung

Der Begriff Consent Management steht für die Verwaltung von Nutzereinwilligungen zum Setzen von Cookies und anderer Tracking-Methoden auf Websites, wodurch das Nutzerverhalten analysiert werden kann. Nutzer müssen nach gängiger Rechtsauffassung (dazu im nächsten Abschnitt mehr) nicht nur informiert werden, für welchen Zweck Ihre Daten erhoben und von wem sie verarbeitet werden, sie müssen auch die Möglichkeit haben, ihre Zustimmung aktiv zu geben (Opt-in-Pflicht). Consent Management Provider (CMP) stellen Lösungen bereit, die Einwilligung für Cookies und Tracking abzufragen, zu dokumentieren und zu verwalten. Zudem sorgt ein CMP für rechtskonformes Management der Einverständnisse und Abgleich zwischen allen Beteiligten (Website-Betreiber, Werbetreibende, Drittsysteme und End-Nutzer).

EU-Cookie Richtlinie, DSGVO und die geplante ePrivacy Verordnung

Den rechtlichen Umgang mit Cookies regelt die EU-Cookie Richtlinie. In Deutschland wurde diese Richtlinie bisher noch nicht umgesetzt. Bei uns gilt § 15 Abs.3 Telemediengesetz (TMG), wonach es eigentlich ausreicht den Nutzer auf sein Widerspruchsrecht hinzuweisen, was über einen Cookie-Hinweis und einen Link auf die Datenschutzerklärung erfolgen kann. Auch die seit Mai 2018 geltende Datenschutzgrundverordnung (DSGVO) regelt den Umgang mit Cookies in Deutschland nicht ausdrücklich anders. Sie verlangt nur, dass in der Datenschutzerklärung die Rechtsgrundlagen für das Verwenden von Cookies genannt werden müssen.

Die geplante ePrivacy Verordnung (ePV) sollte speziell im Anwendungsbereich von Cookies als detaillierte Ergänzung zur DSGVO und aktuell geltenden EU-Cookie-Richtlinie Klarheit bringen. Nach knapp drei Jahren Verhandlung ist die ePV aber erst kürzlich am Widerstand einiger Mitgliedsstaaten gescheitert. Mit einem neuen Gesetzentwurf ist frühestens 2020 zu rechnen.

Bis dahin bietet das aktuelle Urteil vom 1.10.2019 (Az. C-673/17) des Europäischen Gerichtshofes (EuGH) Orientierung. Danach müssen Nutzer explizit ihre Zustimmung zum Setzen von Tracking-Cookies, die zu Werbezwecken gesetzt werden geben oder verweigern können (Opt-in Pflicht). Ein voreingestelltes Ankreuzkästchen zur Einwilligung für Cookies genügt nicht. Das BMWi kündigte bereits Neuregelungen zum Telemediengesetz an. Das heißt konkret, die Zeiten der einfachen Cookie-Hinweise sind endgültig vorbei und an einem einwilligungsbasierten Cookie- und Trackingsystem (Consent Management System) führt voraussichtlich kein Weg mehr vorbei.

Die Zeiten der einfachen Cookie-Hinweise sind endgültig vorbei.

Aber Moment mal, was genau sind zustimmungspflichtige Cookies?

Einwilligungspflichtige Cookies sind alle Cookies, die zu Werbezwecken gesetzt werden, unabhängig davon, ob ein Personenbezug hergestellt werden kann oder nicht. Nutzer müssen über die Cookie-Funktionsdauer und mögliche Datenzugriffe durch Dritte informiert werden.

Gilt das Urteil auch für technisch notwendige Cookies?

Nein, das EuGH-Urteil bezieht sich nur auf Cookies, die zu Werbezwecken gesetzt werden. Laut geltender EU Cookie-Richtlinie besteht für technisch notwendige Cookies nach wie vor keine Pflicht für die Einwilligung durch den Nutzer.

Technisch notwendige Cookies sind zum Beispiel Session-Cookies, die Session-IDs von Nutzern abspeichern, um mehrere Anfragen in einer einzelnen Browser-Sitzung korrekt zuzuordnen. Ein Online-Shop erkennt am Session-Cookie zum Beispiel, dass es sich bei mehreren Seitenaufrufen in einem Browser um denselben Nutzer handelt und liefert die Website in der richtigen Sprache und mit dem richtigen Warenkorb aus. Session-Cookies werden auch bei Log-In oder bestimmten Präferenz-Einstellungen (Sprache, Tag-Nacht-Modus) genutzt und können auch in Zukunft ohne Nutzereinwilligung gesetzt werden.

Andere nicht einwilligungspflichtige Cookies sind Consent Cookies, die eine Website entweder an dem Setzen von Cookies hindern oder sie erlauben. Cookies von eingebundenen Anbietern von Zahlungsdiensten sind ebenfalls nicht einwilligungspflichtig, sofern von diesen kein bestimmtes Nutzungsverhalten analysiert wird. Obacht: Amazon Pay, Paypal-Express-Checkout setzen diverse Cookies mit teils langer Laufzeit ein, die höchstwahrscheinlich einwilligungspflichtig sind. Auch bei der Nutzung von Live-Chat und Messenger-Diensten muss keine Einwilligung eingeholt werden, wenn der alleinige Zweck der Cookie-Setzung die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist.

Das Transparency & Consent Framework (TCF) des IAB

Die Verwaltung der Nutzereinwilligungen (Consent Management) ist ein komplexer Vorgang und nicht durch eine triviale Lösung zu bewerkstelligen. Denn die Informationen müssen den Betreibern der Website (oder Werbetreibenden) vorliegen und zum Beispiel auch von Dritt-Technologien jederzeit abgefragt werden können. Auf der anderen Seite müssen die End-Nutzer informiert werden, was mit ihren Daten konkret passiert. Um diesen Vorgang, der als ein Kommunikationsprozess zwischen allen Stakeholdern (Werbetreibenden, Dritt-Technologien und End-Nutzern) verstanden werden kann zu vereinheitlichen, wurde das Transparency & Consent Framework (TCF) des europäischen Digitalmarketing-Branchenverbands IAB Europe ins Leben gerufen. Das IAB stellt heute ein standardisiertes Verfahren zur Erstellung, Kodierung und Dekodierung der Informationen über Nutzereinwilligungen in Form einer einzelnen Zeichenkette, dem sogenannten "Consent string" bereit. Das TCF ist als Open-Source und Non-Profit-Standard frei zugänglich. Die Entwicklung und Implementierung einer auf dieser Basis funktionierenden Lösung ist hingegen sowohl mit initialen als auch mit Kosten für Wartung und Pflege verbunden. Consent Management Provider stellen wie bereits erwähnt spezialisierte Lösungen bereit.

Consent Management Provider – darauf sollten Sie bei der Auswahl achten

Statt der Entwicklung einer eigenen Lösung, empfehlen wir die Einbindung eines Consent Management Providers (CMP). Bei der Auswahl eines vertrauensvollen Anbieters sollten Sie auf bestimmte Punkte achten.

  1. Ein vertrauenswürdiger Consent Management Provider bietet sicheres Hosting mit einem Server-Standort in der EU.
  2. Speicherung der Einwilligungen erfolgt auf dem Server und sind jederzeit abrufbar.
  3. Der CMP unterstützt den Standard des IAB.
  4. Der CMP verfügt idealerweise über einen Cookie-Scanner. Dieser überprüft auf Ihrer Website, wo zustimmungspflichtige Cookies gesetzt werden und die Einwilligung eingeholt werden muss.
  5. Cookie-Banner sollten jederzeit an Ihr Corporate Design anpassbar sein.
  6. Die Formulierung auf Cookie-Bannern sollte veränderbar sein.
  7. Der CMP unterstützt idealerweise A/B-Testing, um zu testen welche Formulierung zu einer höheren Einwilligungsrate führt.
  8. Einwilligungen können für bestimmte Zwecke abgefragt werden.
  9. Der CMP bietet Mehrsprachigkeit, Echtzeit-Geotargeting und automatische Spracherkennung.
  10. Der CMP-Anbieter lässt sich in vorhandene Tag-Systeme (z.B. Google Tag Manager) integrieren. Denn zu Werbezwecken gesetzte Tracking-Tags dürfen in Zukunft nur nach Einwilligung geladen werden.
Wir haben fünf CMPs verglichen und große Unterschiede im Leistungsspektrum festgestellt.

Wir haben fünf CMPs hinsichtlich der Sicherheit, Gebrauchstauglichkeit und der genannten Punkte verglichen und zum Teil große Unterschiede im Leistungsspektrum festgestellt. Unter den von uns analysierten Anbietern sind usercentrics aus Deutschland, cookiebot aus Dänemark, Consent Manager aus Schweden, Piwik Pro aus Polen und Klaro aus Deutschland.

Wir möchten Sie bei der Auswahl des richtigen CMPs unterstützen und empfehlen Ihnen die Teilnahme an unserem Webinar, in dem wir im Detail erläutern, was Sie beachten sollten und wodurch sich die fünf Anbieter auszeichnen bzw. unterscheiden. Melden Sie sich bitte zu unserem kostenfreien Webinar an.

Webinar Consent Management Provider im Vergleich.