Consent Management Plattform (CMP): Auf der sicheren Seite

Spätestens seit dem Inkrafttreten der neuen EU-Datenschutzgrundverordnung (EU-DSGVO) im Mai 2018 sind die Themen CMP beziehungsweise Cookie- und Consent-Manager in aller Munde – speziell bei Website-Betreibern. Kurz gesagt geht es um die selbstbestimmte Einwilligung von Nutzern in die Datenverarbeitung der aufgerufenen Website.

So weit, so gut. Doch was bedeutet das im Einzelnen? Welche Möglichkeiten zum Einsatz von Cookie-Managern gibt es? Welche Kosten kommen auf Betreiber von Websites zu? Und braucht wirklich jede Seite einen Consent-Manager? Unser Entwicklungsleiter und Datenschutzexperte Thorsten Schmidt beantwortet die wichtigsten Fragen zum Thema Consent-Management-Plattform (CMP).

Was ist eine Consent-Management-Plattform (CMP)?

Eine Consent-Management-Platform oder Consent-Management-Provider ist ein Werkzeug. Website-, Shop- und App-Betreiber holen damit die datenschutzrechtlich erforderliche Zustimmung zur Verarbeitung personenbezogener Daten ein und speichern sie. Der Benutzer sieht die CMP in der Regel beim ersten Aufruf einer Website. In einem Overlay (ein über der Seite liegender Inhaltsbereich) wird ein Formular mit der Aufforderung zur Bestätigung oder Ablehnung angezeigt. In den CMP-Einstellungen lassen sich zudem Verarbeitungszwecke oder einzelne Dienstleister aktivieren oder deaktivieren.

Wie funktioniert eine Consent-Management-Software?

Die Grundfunktionalität der verfügbaren Lösungen ist oft sehr ähnlich: Über die Website wird vom Benutzer abgefragt, ob er der Verarbeitung der Daten zustimmt. Die Speicherung und Protokollierung können technisch unterschiedlich sein. Hier hat jeder Anbieter eigene Lösungen.
Mit dem Transparency and Consent Framework (TCF) des Interactive Advertising Bureau (IAB) gibt es einen Quasi-Standard. Dieser ist gerade bei der Kommunikation mit Drittanbietern hilfreich. Arbeitet ein Drittanbieter nach TCF, muss der Seitenbetreiber keine Änderungen vornehmen. Bei nicht TCF-konformen Anbietern muss die Datenweitergabe an Drittanbieter durch die Programmierung verhindert werden.

Warum brauche ich eine Consent-Management-Lösung für meine Website?

Nach den Regeln der EU-Datenschutzgrundverordnung darf man personenbezogene Daten nur nach Zustimmung verarbeiten. Nutzt ein Website-Betreiber Analysesoftware, bildet Nutzergruppen oder spielt Werbung nach Nutzerinteresse aus, ist somit eine Zustimmung unumgänglich.
Der Europäische Gerichtshof hat bereits 2019 geurteilt, dass eine wirksame Einwilligung nach sowohl der alten Rechtslage des Bundesdatenschutzgesetzes als auch der DSGVO aktiv erteilt werden muss. Keine wirksame Einwilligung liegt vor, wenn die Speicherung von Informationen mittels Cookies durch Voreinstellung erlaubt wird und der Nutzer zur Verweigerung seiner Einwilligung abwählen muss (Opt-out). In diesem Sinne hat auch der Bundesgerichtshof im Mai 2020 im sogenannten Planet49-Urteil entschieden. Die bisherige Annahme, dass eine konkludente Handlung (zum Beispiel die weitere Nutzung der Website) als Zustimmung angesehen werden kann, hat somit keinen Bestand.

Was für Nachteile birgt der Einsatz einer Consent-Management-Software?

Für die Integration, den Betrieb und die Verwaltung einer CMP fallen mitunter Aufwände und Kosten an. Des Weiteren sind – je nach Zustimmungsrate – Analysedaten reduziert und müssen statistisch hochgerechnet werden. Weil dadurch weniger nutzerbasierte Werbung ausgespielt werden kann, fallen dementsprechend die Erlöse geringer aus.

Welche Lösungen gibt es auf dem Markt?

Es gibt zwei grundlegend unterschiedliche Varianten von diversen Anbietern. Neben der weit verbreiteten Version des „Software as a Service“, bei der ein Anbieter einen Dienst online bereitstellt, gibt es auch Software, die auf dem eigenen Webserver läuft. Ein weiterer Unterschied ist die bereits erwähnte Konformität mit dem IAB-TCF.

Welche Kosten erwarten mich beim Einsatz eines Consent-Management-Providers?

Es gibt für kleinere Websites kostenfreie Lösungen, die in der Regel einen eingeschränkten Funktionsumfang bieten. Die datenschutzkonforme Integration ist für wenige Hundert Euro möglich. Für Websites mit hohem Traffic und vielen Drittanbieterdiensten sind die Integrationskosten dagegen höher. Die monatlichen Kosten für den Betrieb können dementsprechend im dreistelligen Euro-Bereich liegen.

Kann ich die CMP selbst integrieren und verwalten?

Der technische Part ist je nach verwendetem CMP und CMS oder Shopsystem mehr oder weniger komplex. Im Normalfall ist das dementsprechend eine Aufgabe für Entwickler oder Digitalagenturen. Spätestens bei der Verwaltung, der Zuordnung der Datenkategorien und Zwecke sind schließlich Kenntnisse im Datenschutzrecht notwendig. Auch die Ergebniskontrolle sollte von geschultem Personal durchgeführt werden.

Welche Konsequenzen drohen, wenn ich keine Consent-Management-Software einsetze?

Wird ein Wettbewerbsvorteil gegenüber Mitbewerbern nachgewiesen, ist das nach dem Gesetz gegen unlauteren Wettbewerb ein abmahnfähiger Verstoß, der zu Kosten führen kann. Auch klagebefugte Organisationen wie die Verbraucherzentralen können kostenpflichtig abmahnen. Datenschutzbehörden können Strafen bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes einer Firma aussprechen.

Sie benötigen Hilfe bei der Einrichtung einer Consent-Management-Plattform? Kontaktieren Sie uns gerne. Unsere Experten in Bremen, Oldenburg und Wilhemlmshaven unterstützen Sie gerne bei der Integration und Konfiguration einer datenschutzkonformen Consent-Lösung.