München, 7. Februar 2025 – Als führender europäischer Anbieter von Consent Management Platforms (CMP) sehen wir Datenschutz und Privatsphäre als fundamentale Werte, die es zu wahren gilt. Jeder europäische Bürger hat das Grundrecht, die Kontrolle über seine persönlichen Daten zu behalten. Bei Usercentrics setzen wir uns für ein Online-Erlebnis ein, das Nutzern mehr Kontrolle gibt und gleichzeitig Vertrauen und Transparenz fördert.
Im September 2024 hat der deutsche Bundestag eine Verordnung für Dienste zur Einwilligungsverwaltung erlassen, um die Herausforderungen durch die Vielzahl an Einwilligungsbannern und Pop-ups zu adressieren.
Nutzern durch ein Banner Wahlmöglichkeiten in Bezug auf ihre Einwilligung zu geben, ist wesentlicher Bestandteil der Einhaltung der DSGVO und der ePrivacy-Richtlinie. Da es jedoch an einer zentralisierten Verwaltung und Signalisierung von Einwilligungen fehlt, sind nahezu alle Websites gezwungen, ein eigenes Einwilligungsbanner zu verwenden. Dies führt dazu, dass Nutzer ständig Entscheidungen treffen müssen, was zu Frustration, Unaufmerksamkeit und einem weniger angenehmen Interneterlebnis führen kann.
Wir begrüßen die Bemühungen des deutschen Gesetzgebers, die Nutzerinteraktion mit Consent-Tools zu vereinfachen. Die Bekämpfung der sogenannten „Consent-Müdigkeit“ sehen wir als einen entscheidenden Schritt für ein besseres Online-Erlebnis. Gleichzeitig bringt diese Initiative allerdings Herausforderungen mit sich, die sorgfältig bedacht werden müssen.
Aktuelle Ansätze und Bedenken
Wir unterstützen die Initiative, eine standardisierte Übermittlung von Einwilligungen einzuführen. Dennoch haben wir erhebliche Bedenken hinsichtlich der noch unklaren Anforderungen an diese Dienste und die unterschiedlichen Ansätze, die ein Dienst zur Einwilligungsverwaltung verfolgen könnte.
Abhängigkeit von Nutzerkennungen
Ein grundlegendes Prinzip datenschutzorientierten Designs ist die Minimierung der Abhängigkeit von gemeinsam genutzten Nutzerkennungen über verschiedene Dienste hinweg. Aktuelle Lösungen basieren oft auf Netzwerken, die eine Anmeldung erfordern, wobei Einwilligungspräferenzen an eine Nutzerkennung (User ID) gebunden sind und mit Partnern innerhalb des Netzwerks geteilt werden.
Wir sind der Ansicht, dass dieses Vorgehen das eigentliche Ziel der Datenschutzvorgaben verfehlt. Einwilligungspräferenzen sollten vom Nutzer selbst verwaltet und so nah wie möglich an ihm gespeichert werden. Derzeit erfolgt dies vorwiegend durch Einwilligungen direkt auf jeder Website mittels Consent-Banner von Consent Management Plattformen (CMP). Die zugehörigen Informationen werden dabei clientseitig im Browser des Nutzers gespeichert.
Vorteile nutzerzentrierter Consent-Tools und Signalisierung
Wir setzen uns für neue Lösungen ein, die Einwilligungspräferenzen in unmittelbarer Nähe des Nutzers speichern, beispielsweise direkt im Browser oder über nutzergesteuerte Plugins. Dadurch könnten Einwilligungsentscheidungen automatisch über vereinbarte Standards an die CMP-Einstellungen von Websites übermittelt werden. Diese Methoden orientieren sich an datenschutzorientierten Prinzipien und gewähren den Nutzern mehr Selbstbestimmung, während sie gleichzeitig Transparenz und die Einhaltung gesetzlicher Vorschriften ermöglichen.
Anstatt auf jeder Website erneut auf ein Banner zu stoßen und dieselben Präferenzen anzugeben, könnten clientseitig gespeicherte Einwilligungen so an jede besuchte Website übermittelt werden. Dies würde die Anzahl der Consent-Banner reduzieren und die Nutzer entlasten. Gleichzeitig sollten Nutzer ihre Präferenzen einfach und flexibel aktualisieren können.
Herausforderungen für Compliance und Nutzererfahrung
Die neue Verordnung wirft Fragen zur praktischen Umsetzung von Einwilligungsverwaltungsdiensten auf. Der Vorschlag, dass Nutzer allgemeine Entscheidungen über Drittanbieter-Tools treffen könnten, die dann die Einwilligungspräferenzen an die CMP jeder Website weitergeben, birgt erhebliche Risiken für die Datenschutz-Compliance – besonders in Bezug auf die Einhaltung von Datenschutzgesetzen wie der DSGVO und der ePrivacy Richtlinie, wenn (personenbezogene) Daten verarbeitet werden.
Mit dem aktuellen Mangel an klaren Richtlinien, wie Einwilligungsverwaltungsdienste funktionieren werden, ist fraglich, ob die Anforderungen der DSGVO und der ePrivacy-Verordnung bezüglich der „vorheriger informierten Einwilligung“ erfüllt werden.
Probleme mit allgemeiner vorheriger Einwilligung für Nutzer
Wenn Nutzer eine allgemeine Einwilligungsentscheidung treffen, bevor sie eine Website besuchen, haben sie möglicherweise nicht genug Informationen darüber, wie ihre Daten konkret verarbeitet werden. Solche allgemeinen Einwilligungsinformationen würden pauschal auf alle Websites, Zwecke und Verantwortlichen angewendet werden – was in Fragen stellt, ob die Einwilligung wirklich ausreichend informiert getroffen werden konnte.
Zudem besteht auch die Gefahr, dass die Benutzererfahrung von Websites hierdurch eher verschlechtert als verbessert wird.
Wenn Nutzer die spezifischen Datenverarbeitungsaktivitäten eines Verantwortlichen nicht verstehen, kann dies auch zu einer Datenschutz-Compliance-Lücke auf Seiten des Verantwortlichen führen, da dieser sicherstellen muss, dass Nutzer ausreichend informiert werden.
Probleme mit allgemeiner vorheriger Einwilligung für Verantwortliche
Die DSGVO verlangt, dass Datenverantwortliche die informierte Einwilligung der Nutzer dokumentieren und nachweisen können. Wenn die Einwilligung jedoch über ein externes Drittanbieter-Tool und nicht direkt auf der eigenen Plattform eingeholt wird, kann es schwieriger werden, auf diese Informationen zuzugreifen. Zudem könnten Sicherheits- und Genauigkeitsprobleme auftreten, was wiederum rechtliche und finanzielle Risiken mit sich bringt.
Probleme durch Abhängigkeit von Drittanbieter-Tools
Lösungen, die auf Drittanbieter-Tools zur Speicherung von Einwilligungsentscheidungen für jede Website basieren, könnten der Intention der Verordnung widersprechen. Wenn Nutzer dennoch bei ihrem ersten Besuch einer Website mit einem CMP interagieren müssen, bleibt das Problem der Banner-Flut bestehen.
Solche Lösungen könnten lediglich verhindern, dass Einwilligungsbanner erneut angezeigt werden, eine Praxis, die unter den aktuellen Standards bereits weit verbreitet ist. Viele CMPs ermöglichen es bereits, dass Websites die Einwilligungspräferenzen der Nutzer über längere Zeiträume hinweg respektieren, selbst wenn die Einwilligung verweigert wird.
Chancen zur Weiterentwicklung von Lösungen, Compliance und Nutzererfahrung
Die Verordnung erkennt an, dass die Anzahl an Consent-Bannern reduziert werden muss. Gleichzeitig verlangt die DSGVO, und dementsprechend auch die ePrivacy Richtlinie, dass Nutzer ihre Wahlfreiheit uneingeschränkt ausüben und ihre Einwilligung jederzeit einfach widerrufen können. Benutzerfreundlichkeit bleibt daher ein wichtiger Aspekt für CMPs und andere Einwilligungsverwaltungsdienste.
Heute spielen CMPs eine zentrale Rolle bei der Erreichung dieses Gleichgewichts, indem sie Lösungen bieten, die Datenschutzkonformität, Transparenz und Benutzerfreundlichkeit ermöglichen. Zusätzlich zu solchen CMPs könnten Einwilligungsverwaltungsdienste die Consent-Müdigkeit der Nutzer verringern und gleichzeitig Websites mit allen erforderlichen Mechanismen unterstützen, um Nutzer Wahlfreiheit zu ermöglichen und diese zu respektieren.
Komplexe und sich entwickelnde Anforderungen
Das Einwilligungsverwaltungs-Ökosystem ist komplex – sowohl in Europa als auch weltweit. Es umfasst verschiedene rechtliche Rahmenbedingungen sowie zunehmend auch Anforderungen großer Technologieplattformen. Um diese Anforderungen zu erfüllen, sollten fortschrittliche Systeme:
- Nutzern verständliche Informationen zur Datenverarbeitung und Rechten bereitstellen, um Vertrauen aufzubauen,
- Website-Anbietern Tools zur sicheren Erfassung, Dokumentation und Verwaltung von Einwilligungen bieten
- Die laufende Einhaltung gesetzlicher Anforderungen für explizite, informierte und detaillierte Einwilligungen sicherstellen.
Heute lösen Website-Anbieter diese Herausforderungen hauptsächlich durch die Implementierung einer CMP, die einen hohen Standard in der Datenschutz-Compliance gewährleistet und von Marktführern wie dem IAB oder dem Google-zertifizierten CMP-Partnerprogramm als geeignete Lösung anerkannt wird.
Obwohl wichtige Marktakteure wie das IAB ein standardisiertes Rahmenwerk haben, das sich vor allem auf Publisher konzentriert, fehlt im gesamten Ökosystem noch ein robuster und skalierbarer Standard, der transparente Datenaustauschprozesse gemäß den oben genannten Einwilligungsanforderungen ermöglicht.
Empfehlungen von Usercentrics
Es ist entscheidend, nutzerzentrierte Lösungen zu stärken, um diese Herausforderungen datenschutzkonform zu bewältigen und Privacy by Design zu fördern. Regulierungsbehörden, Website-Betreiber und Anbieter von Einwilligungsdiensten sollten Lösungen priorisieren, die es Nutzern ermöglichen, ihre Einwilligungspräferenzen direkt auf ihren Geräten oder in ihren Browsern zu verwalten. Offene Standards für die Signalisierung von Einwilligungen könnten die Autonomie der Nutzer stärken, die Transparenz verbessern und so eine benutzerfreundliche und vertrauenswürdige Umgebung schaffen.
Die Einbindung aller relevanten Akteure ist ein weiterer kritischer Schritt. Anbieter von CMPs, Publisher, Browser-Entwickler und Regulierungsbehörden müssen zusammenarbeiten, um ein einheitliches Rahmenwerk zu entwickeln. Angesichts der zunehmenden Bedeutung globaler Datenschutzregulierungen wird die Komplexität weiter steigen. Öffentliche Konsultationen könnten dazu beitragen, Bedenken auszuräumen und praxistaugliche Lösungen zu entwickeln.
Abschließend ist es unerlässlich, klare Leitlinien und Zeitpläne für die Umsetzung festzulegen. Der deutsche Gesetzgeber sollte die technischen und rechtlichen Anforderungen für Einwilligungsverwaltungsdienste eindeutig definieren, um Konsistenz, Praktikabilität und Skalierbarkeit sicherzustellen. Dies muss insbesondere eine klare Anleitung enthalten, wie diese Dienste in bestehende Consent-Management-Implementierungen auf Websites integriert werden können.
Über Usercentrics
Usercentrics ist ein weltweit führendes Unternehmen im Bereich Datenschutzlösungen und Privacy-Led Marketing. Wir sind davon überzeugt, dass die richtige Balance zwischen datenbasiertem Business und datenschutzorientiertem Marketing der Schlüssel zu nachhaltigem Wachstum für Unternehmen jeder Größe ist. Die Cookiebot CMP ist unsere Plug-and-Play-SaaS-Lösung, ebenso bieten wir eine App CMP zur Verarbeitung von Nutzereinwilligungen. Großunternehmen mit individuellen Anforderungen vertrauen beim Consent Management auf die Usercentrics CMP.
Usercentrics hilft Unternehmen wie Daimler Truck AG, ING und Konica Minolta, Datenschutzvorgaben einzuhalten. In 195 Ländern aktiv, ist das Unternehmen auf mehr als 2,3 Millionen Webseiten und Apps vertreten, hat über 5.400 Vertriebspartner und verarbeitet täglich mehr als 7 Milliarden Nutzereinwilligungen. Erfahren Sie mehr auf usercentrics.com/de/
Pressekontakt: Hannah Sinz, Sr. PR Manager, pr@usercentrics.com