Was Consent-Management-Plattformen leisten

Für einen Großteil der Unternehmen in Deutschland ist das neue Datenschutzrecht weiterhin eine Herausforderung. „Bei der Umsetzung der DSGVO haben sich viele Unternehmen klar verschätzt. Für andere ist die komplette Umsetzung wohl kein zeitliches Problem, sondern ein Ideal, das gar nicht zu erreichen ist“, berichtet Susanne Dehmel, Geschäftsleiterin Recht und Sicherheit beim Digitalverband Bitkom. „Vielen ist offenbar auch erst im Lauf der Prüfung und Anpassung ihrer Prozesse bewusst geworden, was für einen Nachholbedarf sie beim Datenschutz haben.“

Anzeichen für diesen Nachholbedarf sowie für zahlreiche Unklarheiten im Datenschutz finden sich im betrieblichen Alltag schnell. Besonders klar treten die Missverständnisse zutage, die es hinsichtlich der Einwilligung als Rechtsgrund­lage der Verarbeitung personenbezogener Daten gab und immer noch gibt.

Wir erinnern uns: Je näher der 25. Mai 2018 und damit nach zweijähriger Übergangsfrist das endgültige Inkrafttreten der Datenschutz-Grundverordnung kam, desto mehr E-Mails und Anschreiben bekam man, mit der Bitte, die Einwilligung für Newsletter zu erteilen - für Newsletter wohlgemerkt, die man in der Regel schon Monate oder Jahre bezogen hatte.

Die Flut ging dann langsam zurück, doch einige dieser Aufforderungen zur Einwilligung sind immer noch im Umlauf. Die Unternehmen, die mit solchen E-Mails Einwilligungen einholen oder nachholen wollten, hatten in aller Regel die Datenschutz-Grundverordnung missverstanden oder waren schlecht beraten worden.

„Bereits im früheren Datenschutzrecht konnte eine Datenverarbeitung grundsätzlich auch auf eine Einwilligung gestützt werden“, stellt dazu der Bayerische Landesbeauftragte für den Datenschutz, Thomas Petri, klar. „Die Datenschutz-Grundverordnung (DSGVO) nennt weiterhin die Einwilligung als eine mögliche Grundlage für eine rechtmäßige Verarbeitung von personenbezogenen Daten.“

Die Einwilligung ist nicht „die“ Rechtsgrundlage für die Verarbeitung personenbezogener Daten, sondern eine der Möglichkeiten. Entsprechend muss nicht immer eine Einwilligung vorliegen, wenn personenbezogene Daten verarbeitet werden sollen. Artikel 6 der DSGVO (Rechtmäßigkeit der Verarbeitung) nennt noch fünf andere mögliche Rechtsgrundlagen.

Zum anderen ist die Einwilligung im Datenschutz nicht neu und keine Erfindung der DSGVO. Wer vor der DSGVO keine andere Rechtsgrundlage für den Versand eines Newsletters hatte, brauchte schon vor dem 25. Mai 2018 eine solche Einwilligung.

Eine Einwilligung kann man nicht nachholen, sie muss vorab erteilt sein.

Nicht zuletzt muss eine rechtsgültige Einwilligung mehrere Anforderungen erfüllen, die Artikel 7 DSGVO (Bedingungen für die Einwilligung) nennt: So muss eine Einwilligung zwar nicht in schriftlicher Form erfolgen, doch muss ein Unternehmen nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat (Nachweispflicht). Zudem muss die Einwilligung informiert erfolgen, die betroffene Person muss also über die Folgen der Einwilligung verständlich und umfassend informiert werden (informierte Einwilligung).

Um den verunsicherten Unternehmen eine Richtschnur an die Hand zu geben, hat der Bayerische Landesbeauftragte für den Datenschutz eine Reihe von Praxistipps rund um das Thema Einwilligung erarbeitet.

Zunächst einmal ist demnach besonders auf eine rechtzeitige und verständliche Information der betroffenen Personen zu achten. Die Information der betroffenen Personen muss überdies hinreichend klar über die geplante Verarbeitung unterrichten und umfasst auch die Belehrung über das Recht, eine erteilte Einwilligung jederzeit zu widerrufen. Zudem sollte jedes Unternehmen für eine sachgerechte Dokumentation der Einwilligungen Sorge tragen.

Für bereits vorliegende Einwilligungen sollte kritisch überprüft werden, ob diese auch unter der Datenschutz-Grundverordnung wirksam bleiben oder nach Maßgabe des neuen Rechts nochmals einzuholen sind.

Wann das der Fall sein könnte, lässt sich einem entsprechenden Beschluss des Düsseldorfer Kreises, eines Gremiums der obersten Datenschutzaufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich, entnehmen: Einwilligungen, die vor Anwendung der DSGVO erteilt wurden, gelten demnach fort, sofern sie der Art nach den Bedingungen der Datenschutz-Grundverordnung entsprechen. Bisher rechtswirksame Einwilligungen erfüllen grundsätzlich diese Bedingungen. Informationspflichten nach Artikel 13 Datenschutz-Grundverordnung müssen dafür nicht erfüllt sein.

Besondere Beachtung verdienen allerdings die folgenden Bedingungen der Datenschutz-Grundverordnung, denn sind diese Bedingungen nicht erfüllt, gelten bisher erteilte Einwilligungen nicht fort:

Zusätzlich zur Datenschutz-Grundverordnung müssen sich Unternehmen auch mit der geplanten E-Privacy-Verordnung (ePVO) befassen. Die E-Privacy-Verordnung ist eine spezielle Datenschutz-Verordnung im Bereich der elektronischen Kommunikation. Bei den Vorschriften dieser Verordnung spielt die Frage der Einwilligung eine wesentliche Rolle. Für den Online-Sektor besonders bedeutsam ist dabei die folgende Position der Datenschutzkonferenz, einem Gremium, das aus den Datenschutzbehörden des Bundes und der Länder gebildet wird:

„Es bedarf einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen, und bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung eingeholt werden muss, das heißt zum Beispiel, bevor Cookies platziert werden beziehungsweise auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.“

Auch wenn Wirtschafts- und Branchenverbände diese Position nicht teilen und darauf hoffen, dass die endgültige E-Privacy-Verordnung der EU davon abweichen wird, wird es in jedem Fall eine Reihe von Datenverarbeitungen geben, für die eine Einwilligung rechtsgültig vorliegen muss. Deshalb ist es für Unternehmen, die sich im Internet bewegen, sinnvoll und wichtig, sich mit dem richtigen Umgang mit Datenschutz-Einwilligungen - auch Consent genannt - zu befassen und vor allem auch die vielfältigen Möglichkeiten zu kennen, die spezielle Consent-Management-Plattformen (CMPs) dafür bieten.

Consent-Management-Plattformen sind im Kern nichts anderes als Software­-Lösungen oder Cloud-Services, mit denen sich Einwilligungen für die Verarbeitung personenbezogener Daten so einholen und verwalten lassen sollen, dass die Vorgaben der DSGVO und der geplanten E-Privacy-Verordnung erfüllt werden. Inzwischen gibt es eine ganze Reihe solcher Lösungen (siehe unten stehenden Kasten).

Wer für seine Website, seinen Online-Shop oder einen anderen Cloud-Dienst eine Consent-Management-Plattform einsetzen möchte, um rechtsgültige Einwilligungen zu erlangen, sollte neben den gesetzlichen Forderungen immer auch die Wünsche der Internetnutzer im Blick behalten. Es genügt nicht, wenn eine Lösung zwar rechtlich in Ordnung ist, aber von den Interessenten und Kunden nicht ausreichend akzeptiert wird. Tatsächlich stößt das übliche Vorgehen, eine Einwilligung für Cookies zu bekommen, auf wenig Gegenliebe bei den Online-Nutzern: Viele Webseitenbetreiber informieren mit Texthinweisen oder Bannern am unteren Rand einer Startseite über den Einsatz von Cookies.

Die Mehrheit der Internetnutzer (55 Prozent) ist von den Bannern genervt, so das Ergebnis einer Bitkom-Umfrage. Und vier von zehn Nutzern (39 Prozent) geben an, dass sie Cookie-Banner nicht beachten. Nur für knapp ein Drittel (31 Prozent) stellen Cookie-Banner eine wichtige Information dar. Fast jeder Fünfte (18 Prozent) dagegen bekannte, solche Hinweise auf Webseiten noch nie wahrgenommen zu haben.

„Wer sich an Cookie-Bannern stört, wird womöglich bald ein noch schlechteres Surferlebnis beklagen“, meint Bitkom-Managerin Susanne Dehmel, denn die geplante E-Privacy-Verordnung werde nach derzeitiger Planung der EU zu deutlich mehr Einwilligungsabfragen führen.

Eine Consent-Management-Plattform sollte daher unbedingt die Nachteile von Cookie-Bannern beachten und alternative Wege für die Einwilligung aufzeigen. Denn Internetnutzern ist es durchaus wichtig, dass ihre personenbezogenen Daten nicht ohne Einwilligung im Internet genutzt werden. Wie die „Consumer Privacy Survey“ des Identitätsmanagement-Spezialisten ForgeRock ergab, äußerten 89 Prozent der befragten Online-Nutzer Unmut bei der Vorstellung, dass Dritte ohne ihre Einwilligung auf ihre personenbezogenen Daten zugreifen können. „Wenn Unternehmen ihre Infrastruktur und Praktiken an die DSGVO anpassen, müssen sie bedenken, dass die Aufsichtsbehörden die Einwilligung zu einer der wichtigsten Anforderungen gemacht haben“, betont Nick Caley, VP Industries Financial & Regulatory bei ForgeRock. „Die Einwilligung ist nicht bei allen Kundeninteraktionen vorgeschrieben, aber angesichts der eindeutigen Vorteile, die die Einwilligung mit sich bringt, ist es immer vorzuziehen, sie zu haben.“

Gerade für die Werbeindustrie ist es entscheidend, das Einwilligungsmanagement richtig umzusetzen, da die Aufsichtsbehörden für den Datenschutz bei Online-Tracking und Profiling auf eine Einwilligung der betroffenen Personen pochen. Das Interactive Advertising Bureau (IAB) als Branchenvereinigung für Online-Werbung hat das „Transparency & Consent Framework“ veröffentlicht, das Online-Dienste und ihre Partner beim Consent-Management unterstützen soll. Setzt ein Online-Dienst diesen Standard ein, werden Internetnutzer darauf aufmerksam gemacht, dass der jeweilige Dienst nicht nur die personenbezogenen Daten des Nutzers verwenden will, sondern auch deren Verwendung durch Dritte zu Werbezwecken plant.

Consent-Management-Lösungen, die den Standard umsetzen, müssen über die vorgesehenen Dritten als Datenempfänger informieren. Sie speichern die Entscheidungen eines Benutzers bezogen auf diese Dritten und unterstützen die Weitergabe von Informationen nur an zugelassene Dritte.

„Das von uns entwickelte Framework bietet eine Möglichkeit, die Entscheidungen der Benutzer über die Verarbeitung ihrer Daten zu Werbe- und zu anderen Zwecken zu kommunizieren“, erläutert Alice Lincoln, Vice President Data Policy & Governance beim Technologie-Dienstleister MediaMath und Vorsitzende der ersten IAB-Europe-Arbeitsgruppe „Consent“. „Darüber hi­naus bietet das Framework technische Maßnahmen, die dazu beitragen, dass die Nutzerdaten sicher sind.“

Es reicht dabei nicht aus, ein Consent-Management für Websites zu haben, auch an Apps muss gedacht werden. „In-App-Werbung gewinnt immer mehr an Bedeutung“, betont Freddy Friedman, CPO von Smaato, einer Real-Time-Advertising- Plattform für mobile Publisher und App-Entwickler. „Der In-App-Bereich macht derzeit 96 Prozent der weltweiten Werbeausgaben auf unserer Plattform aus, weshalb wir stets nach Möglichkeiten suchen, mobile In-App-Publisher, Technologiepartner und Werbetreibende zu unterstützen“, so Freddy Friedman.

Smaato und das Interactive Advertising Bureau (IAB) haben aus diesem Grund eine In-App-Einwilligungslösung entwickelt. Diese Referenzimplementierung soll der gesamten In-App-Werbebranche - von Publishern über Technologie­konzerne bis hin zu Vermarktern - bei der Einhaltung der Regelungen der Europäischen Union zu Datenschutz und Privatsphäre helfen.

Die Integration in das Smaato-SDK ermöglicht Publishern das Einholen der erforderlichen Nutzerzustimmung für die Speicherung, Verarbeitung und Weitergabe personenbezogener Daten aus dem EU-Raum zu Werbezwecken. Das Open-Source-Framework Smaato GitHub (https://github.com/smaato/GDPR-Transparency-and-Consent-Framework) soll die Publisher dabei unterstützen, Einwilligungen an einer zentralen Stelle innerhalb einer App zu verwalten.

Ein Beispiel für eine Consent-Management-Plattform ist Usercentrics. Die Software-as-a-Service-Lösung ermöglicht es Werbetreibenden, Publishern, Agenturen und Technologie-Anbietern, die Einwilligung ihrer Nutzer zum Daten-Tracking mittels verschiedener Webtechnologien auf der Webseite datenschutzkonform einzuholen, zu verwalten und zu dokumentieren.

Auf Usercentrics setzt beispielsweise der Online-Videovermarkter ShowHeroes. „Die Kooperation ist für uns ein wichtiger Schritt, um weiter als transparenter und sicherer Videovermarkter am Markt zu gelten“, erklärt Ilhan Zengin, CEO von ShowHeroes. „Uns ist wichtig, dass auch unsere Kunden wissen, dass sie uns bei der Sicherheit ihrer Daten absolut vertrauen können.“

Usercentrics holt für ShowHeroes die Einwilligung des Nutzers ein und dokumentiert und verwaltet diese. Zusätzlich stellt die Plattform ein einfaches Opt-in und Opt-out zur Verfügung. Ein Widget auf der ShowHeroes-Website klärt die Nutzer darüber auf, welche Cookies gesetzt werden. Auf diese Weise kann jeder Besucher selbst bestimmen, welche Daten an das Unternehmen übermittelt werden und welche nicht.

Usercentrics kennt aber auch Negativbeispiele. Der CMP-Anbieter hat DAX-30-Webseiten auf DSGVO-Konformität analysiert und dabei eigenen Angaben zufolge teils gravierende Mängel festgestellt:

Datenweitergabe an Dritte ohne Einwilligung: Im Durchschnitt zählte Usercentrics auf den DAX-30-Seiten pro Webseite 24 Netzwerkanfragen an Dritte, bevor der Nutzer seine Einwilligung erklärt hatte.

Unzureichende Umsetzung der Informationspflicht: Obwohl die Informationspflicht in Deutschland auch schon vor der DSGVO verankert war, wurde sie bei zwölf der DAX-30-Unternehmen nach Meinung von Usercentrics nur unzureichend erfüllt.

Ein Cookie-Banner reicht nicht aus: Auch wenn 29 der 30 Unternehmen einen Cookie-Hinweis auf ihrer Homepage eingebunden hatten, unterschied sich die Einholung der Einwilligung (Opt-in) zur weiteren Datennutzung der User stark. Lediglich die Hälfte der DAX-30-Unternehmen bot laut Usercentrics einen „Akzeptieren“-Button. Bei der anderen Hälfte bestand diese Möglichkeit gar nicht oder die Zustimmung erfolgte nicht explizit.

Änderungen müssen jederzeit möglich sein: Zur Einwilligung gehört das Recht, sie jederzeit zu widerrufen. Ein Opt-out muss deshalb genauso leicht vorzunehmen sein wie ein Opt-in. Und hier stellt Usercentrics fest: Nur bei fünf von 30 Unternehmen war eine permanente Onpage-Option verfügbar.

Vor dem Hintergrund dieser Ergebnisse empfiehlt Mischa Rürup, Gründer von Usercentrics, nachdrücklich den Einsatz einer Consent-Management-Lösung: „Unternehmen sollten als Erstes ihre Datenstrategie festlegen und danach alles Weitere darauf aufbauen und abstimmen, etwa die Datenschutzerklärung oder die Abfrage der Einwilligung. Eine ganzheitliche Lösung, die Unternehmen nicht nur zur DSGVO-Konformität führt, sondern ihnen die Nutzung von User-Daten auch für die Zukunft ermöglicht, ist eine Consent-Management-Plattform.“