Best practice – So implementieren Sie Ihre CMP DSGVO-konform

Ressourcen / Blog / Best practice - So implementieren Sie Ihre CMP DSGVO-konform
Veröffentlicht von Usercentrics
Lesedauer: 8 Minuten
Apr 29, 2020
Usercentrics liebt Consent! Deshalb haben wir unsere eigene CMP auch 100 Prozent DSGVO-konform aufgesetzt – was wir übrigens auch all unseren Kunden empfehlen. Welche Einstellungen hierfür vorgenommen werden sollten, erklären wir hier:

Step 1: Die Rechtsgrundlage – Nutzer Einwilligung oder berechtigtes Interesse? 

Um seine CMP DSGVO-konform zu implementieren, kommt man nicht umhin, sich zunächst im Detail mit der aktuellen Gesetzeslage vertraut zu machen.  Klar ist, wer auf seiner Webseite Cookies oder ähnliche Tracking-Technologien z.B. für die Personalisierung von Werbung (z.B. Retargeting) einsetzt, muss gemäß DSGVO (Art. 6. Abs. 1 S.1) die Einwilligung des Nutzers einholen, verwalten und dokumentieren. Diese Nutzer Einwilligung muss freiwillig, explizit und vorab erfolgen. Zudem muss der Nutzer die Möglichkeit haben, sich granular über die einzelnen Technologien zu informieren und gegebenenfalls seine Einwilligung widerrufen oder verweigern können. Eine Verwendung von Datenverarbeitungsdiensten wie Cookies oder ähnlichen Tracking-Technologien basierend auf dem berechtigten Interesse gemäß Art. 6 I 1 lit. f DSGVO setzt voraus, dass der Webseitenbetreiber eine Interessenabwägung vorgenommen hat, die zu seinen Gunsten ausfällt. Dabei gilt es zunächst nachzuweisen, dass überhaupt ein Interesse vorliegt und, dass die Datenverarbeitung erforderlich ist, also kein gleich wirksames, milderes Mittel zur Verfügung steht. Im Rahmen der eigentlichen Interessenabwägung sollte u.a. die Erwartbarkeit, die Transparenz und Intensität der Datenverarbeitung berücksichtigt werden. Ein berechtigtes Interesse wird in der Regel bei essentiellen Datenverarbeitungsdiensten vorliegen, die dieausschließlich dazu dienen, die Funktion der Webseite zu ermöglichen.  ! Das bedeutet aber auch: Die Verwendung von Targeting, Personalisierungs- oder Retargeting Lösungen kann nicht durch ein berechtigtes Interesse gerechtfertigt werden. ! Vor Inkrafttreten der DSGVO war die Verarbeitung personenbezogener Daten durch implizite Einwilligung weit verbreitet. Webseitenbesucher wurden in der Regel darüber informiert, dass sie der Datenverarbeitung zustimmen, indem sie einen Dienst oder eine Webseite weiterhin nutzten. Eine solche “konkludente” Einwilligung stellt nunmehr keine wirksame Rechtsgrundlage i.S.v. Art. 6 I 1 a DSGVO) dar, da diese in Form einer eindeutig bestätigenden Handlung (Art. 4 Nr.11 DSGVO), erfolgen muss. Spätestens mit dem EugH Urteil vom (01.10.19 Az. C‑673/17) wird klar, dass eine explizite Einwilligung in Form eines Opt-ins, unumgänglich ist.

Impliziter Consent ist keine wirksame Einwilligung!

Vor Inkrafttreten der DSGVO war die Verarbeitung personenbezogener Daten durch implizite Einwilligung weit verbreitet. Webseitenbesucher wurden in der Regel darüber informiert, dass sie der Datenverarbeitung zustimmen, indem sie einen Dienst oder eine Webseite weiterhin nutzten. Eine solche “konkludente” Einwilligung stellt nunmehr keine wirksame Rechtsgrundlage i.S.v. Art. 6 I 1 a DSGVO) dar, da diese in Form einer eindeutig bestätigenden Handlung (Art. 4 Nr.11 DSGVO), erfolgen muss. Spätestens mit dem EugH Urteil vom (01.10.19 Az. C‑673/17) wird klar, dass eine explizite Einwilligung in Form eines Opt-ins, unumgänglich ist.
Kurz & knapp:
  • Impliziter Consent, z.B. durch Weitersurfen, ist keine wirksame Nutzer Einwilligung.
  • Für Datenverarbeitungsdienste im Bereich Marketing & Statistik ist eine explizite Nutzer Einwilligung (Opt-in) nötig. 
  • Für essentielle Datenverarbeitungsdienste ist keine explizite Nutzer Einwilligung nötig, da berechtigtes Interesse vorliegt.

Step 2: Das Banner aufsetzen

Was gilt es grundsätzlich zu beachten?

Zeitpunkt: Das Banner muss sofort beim Aufruf der Webseite erscheinen.  Sämtliche 3rd-party Cookies, insbesondere aus der Kategorie der Targeting Technologien, dürfen gemäß Art. 6 Abs.1 DSGVO erst geladen werden, wenn der Nutzer explizit seine Einwilligung dazu gegeben hat. Es dürfen also zunächst weder Cookies gesetzt, noch Daten an Dritte (z.B. über ein Social Plugin) übermittelt werden.  Platzierung: Der Link auf das Impressum oder die Datenschutzerklärung darf nicht von der Privacy Lösung überdeckt werden. Ggfs. müssen die Links also im Banner erneut aufgeführt werden. Frequenz: Ein exakter Zeitraum für die Wirksamkeitsdauer einer Einwilligung ist in der DSGVO nicht definiert. Damit ist eine Einwilligung zunächst bis a) auf Widerruf und b) zur Zweckänderung (Zweckbindungsprinzip Art. 5 DSGVO) gültig. Für Webseiten Betreiber ist es ratsam, eine erneute Einwilligung einzuholen, falls ein Informationsdefizit vorliegt, die Einwilligung also auf neuen Informationen basiert. Gleiches gilt, wenn eine Datenverarbeitung trotz Legitimation über eine Einwilligung für einen längeren Zeitraum unterbleibt, dies dem Betroffenen bekannt ist und damit ein Vertrauenstatbestand geschaffen wird, wonach auch zukünftig keine Datenverarbeitung mehr erfolgen wird.

Der korrekte Aufbau des Privacy Banners

Usercentrics Banner

Banner Text 

Der Banner Text dient dazu, den Webseitenbesucher in einfachen, klaren Worten darüber aufzuklären, wozu er seine Einwilligung gibt. 

Annehmen / Ablehnen Button 

Der Nutzer muss bereits im ersten Layer des Cookie Banners nicht nur die Möglichkeit haben, seine Einwilligung zu geben, sondern auch zu verweigern. Beide Optionen sollten hierbei gleichwertig erreichbar sein. Entscheidet sich ein Webseitenbesucher gegen die Einwilligung, dürfen ihm daraus keine Nachteile entstehen. Rechtsgrundlage: Gemäß Art.7 Abs.3 DSGVO muss die Einwilligung genauso einfach zu widerrufen sein, wie sie gegeben wird. Ein Widerruf über die Cookie-Einstellungen des Browsers ist deutlich komplizierter als die einfache Einwilligung über den Cookie-Banner, daher ist diese Variante für den Nutzer nicht zumutbar.  Und: Die Einwilligung des Nutzers muss gemäß Art. 7 Abs. 4 DSGVO auf freiwilliger Basis eingeholt werden, d.h. der Nutzer muss die Möglichkeit haben, die Datenverarbeitung abzulehnen und den Service bzw. die Webseite trotzdem zu benutzen. Der Controller (= Webseitenbetreiber) steht nach DSGVO in der Pflicht, bei Ablehnen des Nutzers (“Ablehnen” Button) die Datenweitergabe an Dritte zu verhindern.

More Info Button

Über den More Info-Button gelangt der Nutzer zur vollständigen Aufzählung der einzelnen Cookies und Dienste (sortiert nach Kategorien: Funktional, Marketing, Essentiell, etc.), die auf der Webseite im Einsatz sind. Hier hat er die Möglichkeit, weitere Informationen über die eingesetzten Dienste zu erhalten und seine Einwilligung für einzelne Zwecke und/oder pro Technologie bzw. Cookie granular zu geben oder zu entziehen.  Rechtsgrundlage: Gemäß Art.13 DSGVO muss der Webseitenbetreiber den Nutzer granular und detailliert über die erhobenen Daten sowie den Zweck dieser Datenerhebung informieren, bevor dieser seine Einwilligung gibt. Dazu gehören auch Angaben zu den jeweiligen Anbietern (z.B. Persistenz der Cookies und Aufbewahrungsfristen der dadurch gesammelten Daten). Das Kriterium der Granularität ist ein Unterkriterium der Freiwilligkeit (Erwägungsgrund 43 DSGVO) und überlappt mit den Anforderungen an eine spezifische Einwilligung (eine “Pauschaleinwilligung” kennt die DSGVO nicht.) Demnach muss der Data Controller dem Betroffenen eine Auswahl über die Zwecke lassen und darf nicht eine Einwilligung für mehrere Zwecke gelten lassen. Wenn außerdem Unterverarbeiter im Einsatz sind oder die Daten mit Partnern geteilt werden sollen, gilt die Einwilligung nur für transparent namentlich aufgeführte Dienste und Beteiligte (vgl.Example 7 Article 29 Guidelines on consent).  Usercentrics Privacy Information Center  

Wichtig: Häkchen nicht im Voraus setzen!

Die Nutzer Präferenzen bei der Einwilligung werden meist durch das Setzen eines Häkchens in einer Checkbox abgefragt. Der Nutzer gibt hier seine Einwilligung zur Verwendung aller oder nur bestimmter Technologien, indem er aktiv ein Häkchen setzt (Opt-in). Pro Cookie bzw. Cookie Kontext empfiehlt sich hier eine separate Checkbox. Achtung: Lediglich bei technisch notwendigen Cookies darf hier bereits standardmäßig ein Häkchen gesetzt sein, da hier die Rechtsgrundlage nicht die Einwilligung sondern das berechtigte Interesse bildet. Alle anderen Checkboxen müssen leer sein, so dass der Nutzer selbst entscheiden kann, welche Technologien/Cookies er akzeptieren möchte oder nicht. Bereits im voraus gesetzte Häkchen zu entfernen, also vom Nutzer einen aktiven Opt-Out zu fordern ist zwar weit verbreitet, rechtlich aber nicht korrekt.
  Rechtsgrundlage: Daten dürfen erst erfasst werden, wenn die explizite korrekte Nutzer Einwilligung (DSGVO Erwägungsgrund 32, EugH Urteil Planet49) vorliegt. Es muss also eine technische Verknüpfung des Cookie-Banners mit den auf der Seite eingebundenen Technologien bestehen. Andernfalls werden Daten ohne gültige Rechtsgrundlage verarbeitet, was einen Verstoß nach Art. 83 Abs. 5 lit. a) DSGVO darstellt. Willigt der Nutzer nicht ein, muss technisch sichergestellt werden, dass auch weiterhin keine Daten erhoben und weitergegeben werden. Kurz & knapp:
  • Der Cookie Banner muss sofort beim Aufruf der Webseite erscheinen. Bevor der Nutzer nicht seine explizite Einwilligung gegeben hat, dürfen weder Cookies gesetzt, noch Daten an Dritte (z.B. über ein Social Plugin) übermittelt werden. 
  • Annehmen und Ablehnen Button müssen für den Nutzer gleichermaßen erreichbar sein. 
  • Lehnt ein Nutzer die Verarbeitung seiner Daten ab, muss er den Service bzw. die Webseite trotzdem nutzen können.
  • Der Webseitenbetreiber muss den Nutzer detailliert über alle Cookies und Technologien informieren, die er auf der Webseite einsetzt. Zudem muss er Auskunft geben zu welchem Zweck welche Daten erhoben werden, damit der Nutzer auf dieser Grundlage seine Einwilligung pro Technologie bzw. Cookie granular geben oder entziehen kann.
  • Im Voraus gesetzte Häkchen zur Nutzer Einwilligung sind nicht rechtskonform. Es sei denn, es handelt sich um technisch notwendige Cookies.

Step 3: Anpassung der Privatsphäre-Einstellungen

Volle Kontrolle über die eigenen Privatsphäre Einstellungen

Ändert der Nutzer im Verlauf seines Webseitenbesuchs seine Meinung in Bezug auf die Einwilligung, ist es ratsam, ihm die Möglichkeit zu geben, jederzeit den Status seiner Einwilligungen einzusehen und ggfs. zu bearbeiten. Zu diesem Zweck wird auf unserer Webseite links unten der sogenannte “Privacy Button” angezeigt, der den Nutzer mit einem Klick zurück zu den Settings Einstellungen führt. Auf anderen Webseiten wird dieser Vorgang auch häufig über einen ähnlich platzierten Link gelöst. Widerspricht der Nutzer hier z.B. einer Technologie, die für deren Verwendung er zuvor sein Einverständnis geben hat, blockiert die Usercentrics CMP das Skript dieser Technologie. Die Technologie wird daraufhin nicht mehr ausgeführt und das Cookie läuft am Ende seiner Lebensdauer automatisch aus. Privacy Settings Side EN

Step 4: Die korrekte Datenschutzerklärung

Platzierung

Die Datenschutzerklärung darf nicht nur über das Impressum zu finden sein. Sie muss von jeder Unterseite der Webseite erreichbar sein – und zwar unabhängig von Browser oder Endgerät. 

Inhalt

Die Datenschutzerklärung muss den Webseitennutzer in leicht verständlicher Sprache über Art, Umfang und Zweck der Erhebung und Verwendung von personenbezogenen Daten informieren, sowie über die Rechtsgrundlage hierfür und seine Nutzerrechte (Telemediengesetz § 13). 

Info

Jede Technologie, die auf der Webseite zum Einsatz kommt, muss in der Datenschutzerklärung aufgeführt werden. Bei Änderungen oder dem Einsatz von neuen Technologien muss die Datenschutzerklärung angepasst bzw. aktualisiert werden. Im Fall unserer Usercentrics CMP erfolgt dies z.B. automatisiert.

Audit-sichere Dokumentation dank CMP

Im Falle eines Audits durch die Datenschutzbehörde oder einer Abmahnung müssen Webseitenbetreiber die Einwilligungshistorie ihrer Nutzer vollständig vorlegen können. Damit die Einwilligung einer Prüfung standhält, sollten diverse Datenpunkte mitgeschrieben werden (z.B. Timestamp, User-Agent oder die Version der Einwilligungstexte). Zudem sollten abgesetzte URL-Calls geloggt werden, um den Nachweis zu erbringen, dass keine Cookies ausgespielt wurden, bevor die Einwilligung nicht vorlag. Rechtsgrundlage: Gemäß Art.7 Abs.1 DSGVO unterliegt der Webseitenbetreiber einer Beweis- und Dokumentationspflicht gegenüber einer Datenschutzbehörde im Falle einer Untersuchung oder einer Abmahnung. Die Einwilligungen der Nutzer müssen hierbei eindeutig identifizierbar sein und für mindestens sechs Jahre aufbewahrt werden.

Warum das Ganze?

Ohne eine rechtskonform eingeholte Nutzer Einwilligung sind personenbezogene Daten, die auf einer Webseite gesammelt werden, aus Marketing-Sicht in Zukunft wertlos. Unternehmen, die ohne sauberes Einwilligungsmanagement arbeiten, begeben sich rechtlich gesehen auf dünnes Eis und nehmen hohe Bußgelder in Kauf. Wer allerdings auf eine 100 Prozent gesetzeskonform implementierte CMP setzt, kann sich entspannt zurücklehnen. Die Vorteile: ✔ Keine wirtschaftlichen Risiken durch Abmahnungen und Bußgelder ✔ Audit-sichere Dokumentation der Nutzer Einwilligungen ✔ Steigerung des Nutzervertrauens durch Transparenz ✔ Aufbau eines “sauberen Datenschatzes” als Grundlage für transparente, datengetriebene Marketing-Modelle zur Sicherung zukünftiger Werbeeinnahmen Sie wollen mehr über die Usercentrics CMP erfahren? Wir beraten Sie gerne.  Button   DISCLAIMER Die Umsetzung einer datenschutzkonformen Implementierung einer CMP liegt letztlich im Ermessen des jeweiligen Datenschutzbeauftragten bzw. der Rechtsabteilung. Diese Ausführungen stellen somit auch keine Rechtsberatung dar. Sie dienen lediglich dazu, Sie mit Informationen über die aktuelle Rechtslage bei der Umsetzung einer CMP Lösung zu unterstützen. Bei rechtlichen Fragen, sollten Sie sich an einen Fachanwalt wenden.