Wofür brauche ich eine Consent Management Platform?

Als Betreiber:in einer eigenen Website kommst Du um das Thema Consent Management Platform nicht herum. Jeder von uns kennt die Abfrage nach der Einwilligung zur Nutzung von Cookies, wenn man eine Website betritt. Warum Du eine CMP brauchst, welche Unterschiede die einzelnen Tools mit sich bringen und wie Du die Daten Deiner User sicher und rechtskonform verarbeiten kannst, zeigen wir Dir hier.

Seit 2019 müssen User ihre aktive Zustimmung zur Nutzung und Speicherung von Cookies erteilen und das bevor diese überhaupt gesetzt werden dürfen. Das Urteil vom Europäischen Gerichtshof (EuGH) wurde 2020 vom Bundesgerichtshof (BGH) nochmals bestätigt. Diese Urteile brachten in der Folge einige Änderungen mit sich und machten Consent Management Platforms quasi über Nacht zum Must-have für jede:n Publisher.

Eine Consent Management Platform, kurz CMP, kommt zum Einsatz, um die Einwilligung von Benutzer:innen zur Verwendung ihrer personenbezogenen Daten zu verwalten. Werden auf einer Website oder in einer App personenbezogene Daten von Usern gesammelt, bedarf es der aktiven Zustimmung der User, wofür eine Consent Management Platform zum Einsatz kommt.

Durch die CMP wird den Usern die Möglichkeit gegeben, die Nutzung und Speicherung ihrer Daten aktiv abzulehnen, dieser zuzustimmen oder auch für bestimmte Daten und Verwendungszwecke einzuschränken. Werfen wir zunächst einen Blick auf die Daten.

Bei Zugriff auf eine Website oder eine App können verschiedene Daten der Nutzer:innen erhoben und gespeichert werden. Darunter fallen beispielsweise folgende Datentypen:

• Daten zur Identifizierung: Name, E-Mail-Adresse, Telefonnummer, Adresse usw.
• Daten zur Geräteidentifikation: IP-Adresse, Gerätetyp, Betriebssystem, Browsertyp usw.
• Daten zur Nutzung: Suchanfragen, besuchte Seiten, aufgerufene Inhalte usw.
• Daten zur Werbepräferenzen: Angeklickte Banner, allgemeine Interessen zur Ausspielung personalisierter Werbung usw.
• Zustimmungsdaten für die Verarbeitung von Cookies und anderen Tracking-Tools.
• Informationen zur Weitergabe von Daten an Dritte usw.

Abb.1 Anforderungen an eine CMP

Eine Consent Management Platform ist letztlich dafür da, die Einwilligung der User in die Verwendung ihrer personenbezogenen Daten zu verwalten. Dazu wird die CMP-Software auf der eigenen Website implementiert. Nutzer:innen können dann frei entscheiden, welche Art von Daten bei ihrem Besuch auf der Website oder während der Nutzung einer App gesammelt und verwendet werden dürfen. Wichtig ist, dass User ihre Einwilligungen jederzeit widerrufen können, diese im Vorfeld der Nutzung über alle relevanten Zusammenhänge informiert werden, dass die Einwilligungen freiwillig, explizit und auch granular erfolgen und natürlich, dass sämtliche Einwilligungen entsprechend dokumentiert werden.

Es gibt viele verschiedene Gründe, warum Du die Daten Deiner User erheben kannst und vielleicht sogar musst. Es gibt Consent Management Plattformen, die Usern die Wahl lassen, welche Art von Daten durch Deine Website erhoben und für welche Zwecke diese verwendet werden dürfen. Was könnten nun solche Zwecke sein? Werfen wir einen Blick auf die häufigsten Verwendungsbereiche von Daten, die auf Websites gesammelt werden. Hierbei schauen wir uns das Transparency and Consent Framework (TCF) und darin zusammengefassten Verwendungszwecke an.

Im Zusammenhang mit dem Transparency and Consent Framework (TCF) Version 2 gibt es Verwendungszwecke und Stacks, die dazu dienen, die Einwilligung für die Verarbeitung von Nutzerdaten zu definieren und zu organisieren. Eingeführt wurden diese Konzepte, um eine transparente und standardisierte Herangehensweise an eine Datenschutzerklärung und damit verbunden die Zustimmung Deiner Nutzer:innen zu gewährleisten.

Verwendungszwecke sind Kategorien oder Zwecke, für die die Daten eines Users verarbeitet werden sollen. TCF V2 enthält eine Liste von Verwendungszwecken, die Dir als Publisher als Leitfaden für die Erklärung der Datenverarbeitungszwecke für die Nutzer:innen dienen. Diese Verwendungszwecke umfassen beispielsweise personalisierte Anzeigen, Inhaltsmessungen, Einblicke in Zielgruppen, Sicherheit, etc. Die Nutzer:innen werden gebeten, für jeden Verwendungszweck eine Zustimmung zu erteilen oder abzulehnen.

Die Vielzahl von Verwendungszwecken im TCF kann für Deine Nutzer:innen durchaus verwirrend sein. Um dies zu vereinfachen, wurden sogenannte Stacks eingeführt. Stacks fassen ähnliche Verwendungszwecke in Gruppen zusammen, sodass sie in Deiner Consent Management Plattform (CMP) oder in Deiner Einwilligungsnachricht als kompakte Darstellung erscheinen. Dadurch sollen Deine Nutzer:innen die Möglichkeit erhalten, leichter zu verstehen, wofür sie ihre Zustimmung geben.

Ein Stack fasst beispielsweise all jene Verwendungszwecke zusammen, die mit der Bereitstellung personalisierter Werbung und Marketinginhalte zu tun haben. Ein anderer Stack beschäftigt sich mit der Erfassung und Analyse von Daten für die Bewertung der Wirksamkeit von Anzeigen.

Durch die Verwendung von Stacks kannst Du eine klare und leicht verständliche Darstellung der verschiedenen Verwendungszwecke bieten und die Zustimmung Deiner Nutzer:innen besser organisieren. Zudem helfen Stacks dabei, die Benutzererfahrung Deiner User nachhaltig zu verbessern.

Nachfolgend haben wir für Dich einige wesentliche Verwendungszwecke von Daten Deiner User aufgelistet, die Dir zeigen, warum es so wichtig ist, sich mit dem Thema Datenerhebung und Datenschutz auseinanderzusetzen.

Einer der wohl wichtigsten Stacks für Dich als Publisher ist der Stack “Informationen auf einem Gerät speichern und/oder abrufen”, der im TCF Version 2 definiert wird. Dieser Stack ermöglicht es Dir als Publisher, wie auch den Advertisern und AdTech-Anbieter:innen, die Zustimmung Deiner Nutzer:innen zur Verarbeitung relevanter Daten auf ihren Geräten einzuholen. Dadurch wird die Nutzung von Cookies überhaupt erst möglich. Der User gibt nicht nur seine Zustimmung zur Verwendung eben solcher Cookies, sondern auch zur Verwendung lokaler Speicherungen wie auch zur Verwendung von Geräte-IDs und Local Storage Objects (LSO).

Viele Websites sind abhängig von Werbeeinnahmen. Damit User die Inhalte einer Website kostenlos nutzen können, werden ihnen Werbeanzeigen ausgespielt. Klickt ein User auf die Anzeige, verdienst Du als Publisher in der Regel daran. Um die Wahrscheinlichkeit zu erhöhen, dass ein User auf eine Werbeanzeige klickt, sollte diese möglichst zu den individuellen Interessen des Users passen.

Abb.2 Einwilligung nach Präferenzen

Gesammelte Daten geben Aufschluss darüber, was den jeweiligen User besonders interessieren könnte und somit die Klickwahrscheinlichkeit erhöht. Ohne diese Daten könnten den Website-Besucher:innen keine maßgeschneiderten Werbeanzeigen ausgespielt werden, was letztlich zu weniger Einnahmen seitens des Publishers führt. User haben, wie in Abb 2. zu sehen ist, die Möglichkeit, bestimmte Tracking-Optionen und Cookies zu aktivieren oder zu deaktivieren.

Auch Inhalte auf einer Website können basierend auf dem Profil eines Users individualisiert werden. Es werden Daten der User gesammelt, damit ihnen passgenaue Inhalte angezeigt und dadurch die Benutzererfahrung nachhaltig positiv beeinflusst wird.

Viele Website-Betreiber:innen nutzen die Daten ihrer User auch dafür, die eigenen Produkte, Systeme und Leistungen auf der Website stetig weiter zu verbessern. Tracking-Daten geben Aufschluss darüber, wie genau ein User mit der Website interagiert. Wertet man diese Daten aus, kann die Benutzererfahrung weiter verbessert werden. Die Inhalte lassen sich so an die Bedürfnisse der Nutzer:innen anpassen, was letztlich zu einer längeren Sitzungsdauer und einer langfristigen Kundenbindung beitragen kann.

Es gibt eine Vielzahl solcher Purposes und Stacks, die von der IAB definiert wurden. Auf der Website der IAB Europe kannst Du Dir sämtliche Stacks und Purposes und deren Nutzen ansehen.

Als Website-Betreiber:in bist Du rechtlich dazu verpflichtet, Dir die Einwilligung Deiner User einzuholen, wenn Du deren Daten bei der Nutzung Deiner Website speicherst. Mit der Einführung der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union im Mai 2018 wurde dies konkretisiert und die Notwendigkeit einer technischen Lösung lauter.

CMPs stellen eine genau solche Lösung dar. Damit Du als Website-Betreiber:in zum einen die Einwilligung Deiner User einholen und diese zum anderen verwalten und nachhalten kannst, bedarf es einer Consent Management Platform.

Hier werden dem User transparente Informationen zur Speicherung, Dokumentation und Verarbeitung seiner Daten geboten. So kannst Du als Publisher Deiner Aufklärungspflicht nachkommen und gleichzeitig gewährleisten, dass alle gesammelten Einverständniserklärungen vorliegen. Auch hinsichtlich der E-Privacy-Richtlinien der EU werden besondere Anforderungen für die Verarbeitung personenbezogener Daten formuliert.

Diese legen unter anderem auch fest, in welcher Weise Cookies verarbeitet und eingesetzt werden dürfen. Die seit 2002 geltende E-Privacy-Richtline für Telekommunikation regelt einen Mindeststandard an Datenschutz und seit 2009 auch, unter welchen Umständen Daten auf den Geräten der Nutzer:innen gespeichert werden dürfen. Seit Jahren ist man auf Seiten der EU dabei, eine umfassende E-Privacy Verordnung zu verabschieden, ist bis heute jedoch zu keiner finalen und beschlussfähigen Version durchgedrungen. Bis dahin werden eben jene Richtlinien und die DSGVO zu Grunde gelegt, um Datenschutz für User zu gewährleisten.

Bei Verstößen gegen die geltenden Datenschutzgesetze können erhebliche Sanktionen und Bußgelder drohen. So musste beispielsweise der Betreiber einer französischen Gesundheits-Website kürzlich ein Bußgeld in Gesamthöhe von 380.000 EUR zahlen, weil er neben mehreren Verstößen gegen die DSGVO und nationalen Cookie-Regelungen, es auch versäumte, die notwendigen Einwilligungen für die Verarbeitung der User-Daten einzuholen. (vgl. datenschutzkanzlei)

Mit einer Consent Management Platform hätte er zumindest diesen Verstoß vermeiden können. Durch die Implementierung einer CMP kannst Du als Website-Betreiber:in sicherstellen, dass Du den Anforderungen der Datenschutzbestimmungen, insbesondere der DSGVO und der nationalen TTDSG gerecht wirst. So minimiert Du das Risiko rechtlicher Konsequenzen und stellst zudem Deinen Usern transparente Informationen zur Verarbeitung ihrer Daten zur Verfügung.

Werfen wir an dieser Stelle einen Blick auf die verschiedenen Funktionen und damit einhergehend auf verschiedene Funktionsweisen einer Consent Management Platform, um verstehen zu können, welche Möglichkeiten Dir die verschiedenen Tools am Markt bieten können.

• Einwilligungseinholung: Die wohl wichtigste Funktion, die eine Consent Management Platform zu erfüllen hat, ist die Einholung der Einwilligungen Deiner User zum Erheben ihrer Daten. Dies kann über ein einfaches Cookie-Banner bis hin zu detaillierten Einwilligungsdialogen, mit verschiedenen Kategorien von Cookies und Tracking-Technologien geschehen. Dazu bieten CMPs oftmals verschiedene Vorlagen und anpassbare Designs für die Einwilligungserklärung.

• Präferenzverwaltung: In vielen CMPs wird eine Benutzeroberfläche geboten, über die die User ihre Datenschutzpräferenzen verwalten können. Hier haben die Nutzer:innen die Möglichkeit, bestimmte Arten von Cookies und Tracking-Technologien eigenständig zu aktivieren oder eben zu deaktivieren. Darüber hinaus bieten einige CMPs auch die Option, Einstellungen für personalisierte Werbung vorzunehmen. Des Weiteren können die Präferenzen der User in einigen CMPs auch auf verschiedenen Geräten und über verschiedene Sitzungen hinweg synchronisiert werden.

• Dokumentation: Die Dokumentation der Einwilligungen der User ist elementar. Neben dem Speichern der Einwilligungserklärungen gilt es auch die Daten der einzelnen Vorgänge zu erfassen. Dazu gehören das Datum sowie die Uhrzeit der Erfassung wie auch die Informationen über die vorgelegten Präferenzen der User. Die Dokumentation ist aus datenschutzrechtlicher Perspektive enorm relevant. Daher sollte diese im Falle der Nachweispflicht klar und strukturiert aufgesetzt sein, sodass Datenschutzbehörden gegenüber schnell Auskunft gegeben werden kann.

• Benutzerfreundlichkeit: Insbesondere in Sachen Benutzerfreundlichkeit unterscheiden sich viele Consent Management Platforms voneinander. Während einige Lösungen am Markt mit einer intuitiven Oberfläche mit klaren Anweisungen und einfach auszuführenden Schritten daherkommen, sind andere CMPs deutlich komplexer und bieten mehr Konfigurationsmöglichkeiten, die ein höheres Maß an technischem Know How voraussetzen.

• Integrationen: Du solltest bei der Auswahl eines passenden CMPs auch unbedingt auf entsprechende Integrationsmöglichkeiten der Anwendung achten. Eine CMP kann beispielsweise in Dein Content-Management-System (CMS) integriert werden. Auch die Integration in Werbenetzwerke, in Analysetools oder in andere Drittanbieter-Tools kann entscheidend für Dich und Deine Webseite sein.

• Berichterstattung und Analyse: Einige CMPs bieten darüber hinaus auch ein eigenes Analyse- und Berichtswesen. Mit diesen kannst Du direkt einsehen, wie Deine User das CMP nutzen. Auf Grundlage dieser Erkenntnisse kannst Du Deine Einwilligungsstrategie stetig anpassen und weiterentwickeln, sodass Du das für Deine Webseite bestmögliche Ergebnis erzielen kannst.

Letztlich bestimmen Deine persönliche Präferenzen, Dein Know-How und Deine funktionalen Ansprüche darüber, welche Consent Management Platform für Dich und Deine Website die richtige ist. Am Markt finden sich zahlreiche Lösungen, die unterschiedliche Vor- und Nachteile mit sich bringen. Du solltest also bei der Auswahl unbedingt darauf achten, welche Funktionen für Dich sinnvoll sind und welche nicht. Schließlich willst Du für ungenutzte Funktionen nicht unnötig zahlen. Daher empfiehlt es sich, bereits im Vorfeld Überlegungen anzustellen, was Deine CMP unbedingt leisten muss und welche Funktionen darüber hinaus nice-to-have wären.

In letzter Zeit finden sich immer häufiger Webseiten, auf denen das sogenannte PUR-Modell zum Einsatz kommt. Hier haben User die Möglichkeit zu entscheiden, die Inhalte einer Webseite zu konsumieren und dabei personalisierte Werbung ausgespielt zu bekommen, oder aber einen fixen monatlichen Betrag zu zahlen, um die Inhalte werbefrei nutzen zu können.

Für Dich als Publisher ist das Ganze insofern interessant, als dass Du, egal wofür sich der User entscheidet, Geld mit Deinen Inhalten verdienen kannst.

Der contentpass ist eine der populärsten PUR-Modelle am Markt und findet sich auf zahlreichen Webseiten. Im Wesentlichen geht es beim contentpass darum, dem User entweder die Möglichkeit zu geben, die Inhalte einer Website mit personalisierter Werbung und Tracking oder durch ein Abo ohne diese zu konsumieren. Die Option für die User besteht darin, die Website fortan nur noch mit einer dieser Optionen nutzen zu können. Entweder man entrichtet eine Gebühr oder aber man zahlt mit seinen Daten. Entscheidet man sich als User für ein solches Abo, können nicht nur Deine Inhalte genutzt werden, sondern zudem alle Inhalte auf Webseiten, die ebenfalls den contentpass implementiert haben.

Die meisten User entscheiden sich jedoch gegen das Abomodell und sind in dem Fall bereit, mit ihren Daten “zu zahlen“. Für Dich als Publisher ist der contentpass also eine gute Möglichkeit, Geld mit Deiner Webseite und Deinen Inhalten verdienen zu können, vor allem dann, wenn Du hochwertigen und einmaligen Content anbietest.

Aus datenschutzrechtlicher Perspektive kommst Du nicht um eine Consent Management Platform (CMP) herum. Diese Anwendungen ermöglichen es Dir zum einen die Einwilligung Deiner User zur Nutzung und Speicherung ihrer Daten einzuholen, sondern helfen Dir auch, diese Einwilligungen bestmöglich zu verwalten. Am Markt finden sich heute zahlreiche verschiedene CMPs mit unterschiedlichem Funktionsumfang und Anpassungsmöglichkeiten.

Es kommt also darauf an, das perfekte System für Deine individuellen Bedürfnisse zu finden. Dabei gilt es nicht nur auf die Benutzerfreundlichkeit und den Funktionsumfang zu achten, sondern auch darauf, ob die gewählte Plattform mit Deinen anderen Tools und Systemen kompatibel ist. Das ist insofern wichtig, als dass auch hier langfristig Verbesserungspotenziale ausgemacht werden können, zumindest dann, wenn beispielsweise ein passendes Analysetool angebunden ist. Achte daher bei der Auswahl eines CMPs unbedingt darauf, wie Dich die Plattform auch langfristig unterstützen kann.