Kriterien für die Wahl der richtigen CMP
Die Einwilligung im täglichen Leben scheint so einfach zu sein: Eine Ja- oder Nein-Frage. Die Datenschutzgrundverordnung (DSGVO) geht im Gegensatz dazu von einem weitaus vielschichtigeren Einwilligungsbegriff aus. Strenge Anforderungen sind an eine gültige Einwilligung (eng. Consent) geknüpft, welche praktische Herausforderungen für scheinbar einfache Alltagssituationen nach sich ziehen.
Eine einfache Situation, die unter der DSGVO komplex wird, ist der Besuch einer Website. Denn wenn eine Website Technologien wie Cookies, Pixel oder andere externe Quellen eingebunden hat, ist in bestimmten Fällen die vorherige Einwilligung des Website-Besuchers erforderlich. Besonders dann, wenn der Zweck darin besteht, Tracking, Retargeting und Profiling durchzuführen.
Die Erhebung personenbezogener Daten muss den sieben Kriterien vorab, freiwillig, explizit, informiert, granular, widerrufbar und dokumentiert erfüllen. Aufgrund dieser regulatorischen Notwendigkeit haben sich rund um die DSGVO sogenannte Consent Management Platforms (CMPs) entwickelt, deren Service die programmatische Einholung, Verwaltung und Dokumentation der Einwilligung ist.
Checkliste: Das sollt eine Consent Management Platform leisten
Folgende Kriterien sollten Sie bei der Bewertung der einzelnen Anbieter berücksichtigen, damit Sie für Ihr Unternehmen die richtige Wahl treffen.
Die CMP sollte ermöglichen, die datenschutzrelevanten Texte der verwendeten Technologien in die Datenschutzerklärung einzubinden, worin aufgrund der Informationspflicht sämtliche Technologien und Parameter zu nennen sind. Die reine Abbildung von Cookies reicht zur Dokumentation nicht aus. Auch Plug-Ins, Hosting-Anbieter und eingebundene Inhalte wie Videos fallen unter die Informationspflicht.
Die in der DSGVO verankerte Nachweispflicht der Einwilligung (engl. Consent ) impliziert insbesondere deren Dokumentation. Die Einwilligungen sollten daher (auch) auf den Servern des Webseitenbetreibers gespeichert werden. Die alleinige Speicherung auf den Endgeräten des Nutzers ist ungenügend, denn hier können Nachweise ohne Wissen des Webseitenbetreibers gelöscht werden und eine Entlastung gegenüber einer Behörde wird unmöglich.
Nur für Technologien, die tatsächlich auf der Website zum Einsatz kommen, kann eine wirksame Einwilligung eingeholt werden. Es widerspricht dem Konkretheitsprinzip sowie dem Minimalprinzip, den Consent etwa für eine komplette Liste aller möglichen Anbieter einzuholen. Eine Pauschaleinwilligung ist unter der DSGVO daher gerade nicht wirksam.
Der Ladevorgang der einwilligungspflichtigen Technologien darf erst nach einer gegebenenfalls gegebenen Einwilligung (Opt-In) starten. Es dürfen ausschließlich Technologien laden, für die der Nutzer seine Einwilligung gegeben hat.
Das gilt ebenso im Falle des Opt-Outs: Ab dem Moment des Widerrufs der Einwilligung dürfen die abgelehnten externen Technologien und Parameter keine Daten mehr erheben.
Es ist wichtig, dass die CMP das IAB Transparency & Consent Framework unterstützt. Diesem Framework folgen bereits viele große Werbetechnologie-Unternehmen. Zukünftig wird personalisierte Werbung im programmatischen Anzeigenhandel nur noch mit Consent-ID aussteuerbar sein. Es ist zu erwarten, dass sich darüber hinaus noch weitere Standards entwickeln. Eine CMP sollte daher so entwickelt sein, dass sie auch kommende Standards und Anforderungen erfüllen kann.
Die CMP muss sich dem individuellen Design der Webseite jederzeit, auch bei Veränderungen, anpassen können. Sowohl im Hinblick auf das Design und Layout, als auch bezüglich der eingesetzten Technologien. Wenn beispielsweise das Analyse-Tool oder eine Werbetechnologie ausgetauscht wird, muss die CMP das ohne Weiteres abbilden können, und zwar ohne den Nutzer zu irritieren.
Eine sichere Consent Management Platform zeichnet sich durch einen Serverstandort im europäischen Raum aus. Der Grund dafür ist die Beständigkeit der EU als Rechtsraum und die rechtliche Komplexität, die eine Datenübertragung in Drittländer mit sich bringt.
Damit die Consent Management Plattform nicht selber zur nächsten Datenkrake wird, müssen die Daten des Endnutzers konsequent separat für jede Webseite angelegt werden, auf der die CMP zum Einsatz kommt. Sonst findet seitens der CMP schon eine Profilbildung des Onlineverhaltens statt. Dabei ist zu beachten, dass der Consent nicht ohne Weiteres auf einer Webseite eingeholt und an andere Webseiten übertragen werden kann. Dies ist nur unter bestimmten Voraussetzungen, z.B. in Konzernen, möglich und sollte auch über die CMP einstellbar sein.
Der Anbieter der Consent Management Plattform sollte als Geschäftszweck ausschließlich die Einholung der Einwilligung verfolgen. Ansonsten könnte unterstellt werden, dass die Consent-Daten auch für andere Geschäftszwecke genutzt werden, die wiederum selbst eine Einwilligung erforderlich machen.
Sämtliche Werbe- und Marketingtags, benötigen die ausdrückliche und freiwillige Einwilligung des Users. Da diese erst nach dem Opt-In laden dürfen, ist es wichtig, dass eine CMP nahtlos in vorhandene Tag-Systeme integriert werden kann. Zusätzlich muss die CMP Codes, die direkt auf der Webseite verbaut sind oder eingebettete Technologien, wie Schriften oder Videos, steuern, damit diese bei mangelnder Einwilligung nicht laden. Es gibt bereits Meldungen zu ersten Abmahnungen in Bezug auf Google Fonts.
Was nun?
Organisationen mit Sitz in der EU / EEA müssen konform mit der DSGVO und den oben beschriebenen Richtlinien zur Verwendung von Cookies und ähnlichen Technologien operieren. Gemäß Artikel 3 (2b) der DSGVO müssen weiterhin im Allgemeinen alle Webseiten weltweit der DSGVO entsprechen, sofern sie Tracking- oder Profiling-Technologien auf Nutzer der EU anwenden. Alle Organisationen, die (weltweit) solche Technologien einsetzen, benötigen ein Einwilligungs-Management – entweder zur Einhaltung der DSGVO oder zur Sperrung von Nutzern in der EU / EEA.
Die Überprüfung möglicher CMP-Anbieter und die Einführung einer solchen Lösung ist jetzt der richtige Schritt, auch in Vorbereitung auf die kommende ePrivacy-Verordnung, die das nächste Kapitel im Buch der EU-Datenschutzreformen einleitet.