SECUFIDES GmbH

Consent Management Tools

Posted on by Claus Wüstenhagen

Für den Betreiber einer Website ist das Erheben und Auswerten von Daten über das Verhalten der Nutzer auf seiner Website von großer Bedeutung. Auf Basis verschiedener Analysen können die Websites „optimiert“ und beworbene Produkte oder Dienstleistungen bestmöglich platziert werden. Allerdings: Mit seinem Urteil vom 28.05.2020 folgt der BGH den Vorgaben des EuGH (Urteil vom 01.10.2019) und hat einer Analyse des Nutzerverhaltens ohne vorherige Einwilligung eine deutliche Absage erteilt!

Die Entscheidung des Bundesgerichtshofs lässt keinen Spielraum für Interpretationen:

  • weder genügt das von vielen Websitebetreibern praktizierte „Opt-Out-Verfahren“ bei Third-Party- und Tracking-Cookies den Anforderungen der DSGVO
  • noch ist die sehr verbreitete Variante, die Weiternutzung der Website im Sinne einer „konkludenten Einwilligung“ seitens des Websitebesuchers auszulegen, zulässig;
  • auch die auf vielen Websites angebotenen „OK“ oder „Verstanden“ –Button stellen keine Einwilligung dar, denn sie lassen den Nutzern nicht die Wahl, das Setzen von Cookies abzulehnen.

Für Website-Betreiber bedeutet diese Entscheidung, dass Marketing- und Tracking-Tools, wie z.B. Google Analytics nicht mehr ohne die zuvor erteilte Einwilligung des Nutzers eingesetzt werden dürfen.

Kein Tracking ohne Einwilligung

Für eine wirksame Einwilligung ist zwingend erforderlich, dass

  • die Einwilligung muss in Form vorab ausführlich über die Datenverarbeitung und die Empfänger der Daten informiert wurde,
  • es muss die Möglichkeit bestehen, in die einzelnen Formen der Datenverarbeitung spezifisch einzuwilligen und
  • einer „unmissverständlich abgegebene Willensbekundung“ vorliegen.

Ausnahme: Technisch erforderliche Cookies

Ausgenommen von dem beschriebenen Erfordernis einer Einwilligung sind lediglich so genannte First Party Cookies, die für ein technisches Funktionieren der Webseite unbedingt erforderlich sind. Dabei handelt es sich z.B. um:

  • Session-Cookies, die für einen Online-Warenkorb oder die Spracheinstellungen der Website erforderlich sind
  • Login-Cookies
  • Cookies, die Consent Tools für die Cookie Einwilligung setzen

Einwilligungen mit einem Consent-Management-Tool verwalten

Eine Consent Management Platform (CMP) ist eine Lösung, mit der Betreiber von Websites die Zustimmung der Nutzer einholen können, ob ihre Daten gespeichert und verarbeitet werden dürfen. Dazu erscheint auf der Webseite ein Pop-up-Fenster mit dem Hinweis, dass Daten erhoben werden. Es bietet die Möglichkeit einer differenzierten Zustimmung für verschiedene Verarbeitungszwecke.

Folgende (Mindest)Anforderungen sind bei der Einrichtung eines Consent-Management-Tool (CMP zu beachten:

  • Vollständige Information über eingesetzte Tools in der Datenschutzerklärung
  • Speicherung der Einwilligung (Dokumentation)
  • Keine Pauschaleinwilligungen, die Einwilligung muss konkret erfolgen
  • Ladevorgänge für einwilligungspflichtige Technologien erst nach erteilter Einwilligung
  • Integration in das Tag-Management und die Webseite

Die Consent Management Tools der beiden nachfolgend aufgeführten Premiumanbieter erfüllen die aufgeführten Anforderungen:

Usercentrics
Usercentrics GmbH München   		www.usercentrics.com Pakete ab 8 € mtl. Automatischer Cookie-Scan bei Einrichtung, danach monatliche Scans CMS/Shopsystem unabhängig Banner-Design individualisierbar Speicherort: auch auf eigenem Server möglich IAB-TCF-Standard: Ja
Cookie-Information
Cookie Information A/S
Kopenhagen, Denmark 		www.cookieinformation.com/de/   Pakete ab 8 € mtl. Cookie Compliance Audit Tool Compliance-Dashboard CMS/Shopsystem unabhängig,
u.a. WordPress-Plugin Banner-Design individualisierbar Speicherort: Europa IAB-TCF-Standard: Ja

Alternativen zu Google Analytics

Bei vielen Websitebetreibern und insbesondere bei Agenturen gilt Google Analytics als Analyseprogramm „gesetzt“. (Zu) selten wird die Frage gestellt, welche Informationen sind wirklich erforderlich, um die „Performance“ meiner Website zu verbessern oder Produkte im Shop optimal zu platzieren. Doch es gibt Alternativen zu Google-Analytics, die dem „Original“ hinsichtlich Bedienbarkeit, Kosten, Funktionsumfang nicht nachstehen und vor allem den europäischen datenschutzrechtlichen Ansprüchen entsprechen:

Matomo Open Source   www.matomo.org   Open Source, kostenlos Datenschutz, viele Erweiterungen Cloud- sowie Self-Hosting möglich Serverstandort: Deutschland
etracker Analytics etracker GmbH Hamburg   www.etracker.com Kosten: ab 19 Euro mtl. Kostenlose Testversion gute Usability, voller Funktionsumfang erst bei Pro- und Enterprise-Paketen Serverstandort: Deutschland

Bußgelder und Abmahnungen

Der EU-Gesetzgeber weist dem Verbraucherschutz und der Wahrung des Verbraucherschutzes durch die DSGVO eine übergeordnete Priorität zu. Um diese wirksam und einheitlich europaweit durchzusetzen, ist ein Verstoß gegen die DSGVO mit strengen Sanktionen belegt.

Die bei einem Verstoß drohenden Strafen:

  • maximales Bußgeld bei Verstoß     bis zu 20 Millionen Euro bzw. 4 % vom weltweiten Jahresumsatz
  • Gesetzesgrundlage                          Art. 83, 84 DSGVO
  • Ansprüche der Betroffenen             Schadenersatz gem. Art. 82 I DSGVO als Direktanspruch auch gegen den Datenverarbeiter

Fazit und Empfehlungen

Der EuGH hat mit seiner Entscheidung unmissverständlich klargestellt hat, dass ein Tracking bevor der User hierzu seine Einwilligung erteilt hat, nicht zulässig ist. Mehrere nationale Gerichte, u.a. auch das OLG Hamburg haben sich bereits an dieser Vorgabe orientiert.

Für Website-Betreiber, Agenturen und Unternehmen der AdTech-Branche bedeutet dies:

  • Tracking-Tools wie Google Analytics, Adobe Analytics, Facebook Pixel sollten ohne das Vorliegen einer entsprechenden Einwilligung der Nutzer nicht mehr eingesetzt werden.
  • Regelmäßig sollte geprüft werden, ob der angestrebte Zweck auch mit Alternativen wie Matomo, eTracker oder ähnlichen Tools erreicht werden kann.
  • YouTube-Videos sollten nicht mehr direkt auf den Websites eingebunden werden. Stattdessen können diese lokal abgelegt und/oder mit einem Vorschaubild verlinkt werden.
  • Vor der Einbindung von Social Media Plugins wie die von Facebook, Twitter, Instagram, Linkedin oder XING sollte eine Double-Click-Lösung eingebunden werden. Damit kann der Nutzer vor dem Laden des Plugins den Datenschutzrichtlinien zustimmen.
  • Consent-Management-Platforms sollten zur Einholung einer Einwilligung auf der Website DSGVO-konformen eingebunden werden.
  • In der Datenschutzerklärung auf der Website sind alle eingesetzten Tracking-Tools aufzuführen sowie ihre Funktion und Empfänger zu beschreiben.
  • Die Website sollte regelmäßig auf Cookies, implementierte Scripte und Browser-Fingerprints überprüft und das CMP entsprechend angepasst werden.

Copyright © 2024 SECUFIDES GmbH | Sitemap