DSGVO inklusive: Was taugen L�sungen mit eingebautem Consent Management?

Bild: geralt / Pixabay

07.12.2020 - In mancher Software, von Shopl�sung �ber CMS bis zu Datenschutz-Tools, ist das Consent Management schon eingebaut: DSGVO inklusive quasi. Klingt gut und ist praktisch - aber kann das gutgehen? Ein �bersichtlicher Check.

von Sebastian Halm , Oliver Schonschek

Ohne ein datenschutzgerechtes Consent Management, eine informierte, dokumentierte Einwilligung nach Datenschutz-Grundverordnung (DSGVO), geht es im Online- Business nicht. Hierbei k�nnen Softwarel�sungen helfen. Neben speziellen Consent-Management- Plattformen (CMP) gibt es Consent- Management-Funktionen, die Teile von Onlineshop Software, Content- Management-Software (CMS), Datenschutzsoftware und Digital-Identity- L�sungen sind. Das kann Vor und Nachteile haben. Wir geben einen �berblick.

Sp�testens seit dem Urteil des Bundesgerichtshofs im Mai dieses Jahres kennen alle, die im Internet surfen, die sogenannten Cookie-Banner, so der Landesbeauftragte f�r Datenschutz und Informationsfreiheit Baden-W�rttemberg.

Aufsichtsbeh�rden pr�fen Tracking und Consent

Cookies und �hnliche Technologien erm�glichen es Website-Betreibern, f�r Seitenbesucher n�tzliche Funktionen bereitzustellen, zum Beispiel einen "Einkaufswagen" in einem Onlineshop - allein hierf�r w�re keine Einwilligung der Nutzer erforderlich. Allerdings erm�glichen Tracking-Technologien auch, Nutzer ger�te�bergreifend wiederzuerkennen und ein Nutzerprofil von ihnen anzulegen und zu speichern, so die Aufsichtsbeh�rde. Dieses Wissen k�nnte der Betreiber mit Dritten wie Werbedienstleistern oder Sozialen Netzwerken teilen.

Wof�r diese Datenprofile von den diversen Firmen genutzt werden, ist zumeist unklar. F�r diese Anwendungen bedarf es der Einwilligung des Nutzers; diese soll durch die Cookie-Banner eingeholt werden. Aber erf�llen die eingesetzten Cookie-Banner �berhaupt die Anforderungen der Datenschutz-Grundverordnung und geben sie den Nutzern eine freiwillige und tats�chlich informierte Wahl?

Ohne Consent Management ist Onlinemarketing nicht mehr m�glich

H�ufig leider nein, so m�ssen die Datenschutz-Aufsichtsbeh�rden der L�nder immer wieder feststellen. Der Landesbeauftragte f�r Datenschutz und Informationsfreiheit (LfDI) Baden- W�rttemberg pr�ft daher zeitgleich mit anderen deutschen Aufsichtsbeh�rden in einem gro� angelegten Verfahren Onlineangebote auf eine rechtskonforme Einbindung von Trackingtechnologien. Dabei spielt insbesondere die datenschutzkonforme Umsetzung des Einwilligungsmanagements, des Consent Managements eine zentrale Rolle.

Worauf bei Einwilligungen besonders zu achten ist

Die Aufsichtsbeh�rden f�r den Datenschutz haben mehrfach klargestellt, was unter einem DSGVOkonformen Consent Management zu verstehen ist. Da es in der Praxis oftmals noch Abweichungen davon gibt, haben die Datensch�tzer Punkte, die h�ufig falsch gemacht werden, besonders herausgestellt:

Website-Betreiber m�ssen sicherstellen, dass die Einwilligung die konkrete Verarbeitungst�tigkeit durch Tracking und Analyse und damit verbundene �bermittlungen des Nutzungsverhaltens an den Tracking- Dienstleister erfasst.

Ein blo�er Hinweis wie etwa "diese Seite verwendet Cookies, um Ihr Surferlebnis zu verbessern" oder "verwendet Cookies f�r Webanalyse und Werbema�nahmen" ist nicht ausreichend, sondern irref�hrend, weil die damit verbundenen Verarbeitungen nicht transparent gemacht werden.

Nutzer m�ssen aktiv einwilligen, das hei�t die Zustimmung darf nicht unterstellt und ohne Zutun des Nutzers voreingestellt sein. Ein Opt-Out- Verfahren reicht nicht aus, vielmehr muss der Nutzer durch aktives Tun (z. B. Anklicken eines Buttons) seine Zustimmung zum Ausdruck bringen.

Auch das blo�e Nutzen einer Website (oder einer App) stellt keine wirksame Einwilligung dar.

Vor einer aktiven Einwilligung des Nutzers d�rfen keine Daten erhoben werden.

Freiwillig ist die Einwilligung nur, wenn die betroffene Person Wahlm�glichkeiten und eine freie Wahl hat. Sie muss eine Einwilligung auch verweigern k�nnen, ohne dadurch Nachteile zu erleiden. Die Koppelung einer vertraglichen Dienstleistung an die Einwilligung zu einer f�r die Vertragserbringung nicht erforderlichen Datenverarbeitung kann gem�� DSGVO dazu f�hren, dass die Einwilligung nicht freiwillig und damit unwirksam ist.

Klare, nicht irref�hrende �berschrift - blo�e "Respektbekundungen" bez�glich der Privatsph�re reichen nicht aus. Es empfehlen sich �berschriften, in denen auf die Tragweite der Entscheidung eingegangen wird, wie beispielsweise "Datenverarbeitung Ihrer Nutzerdaten durch ".

Links m�ssen eindeutig und unmissverst�ndlich beschrieben sein - wesentliche Elemente/Inhalte insbesondere einer Datenschutzerkl�rung d�rfen nicht durch Links verschleiert werden.

Der Gegenstand der Einwilligung muss deutlich gemacht werden.

Der Zugriff auf das Impressum und die Datenschutzerkl�rung darf nicht verhindert oder eingeschr�nkt werden.

Viele Wege f�hren zum Consent Management

Wie ein solches Consent Management technisch genau umgesetzt wird, l�sst die DSGVO offen, das ist auch nicht die Aufgabe einer solchen Verordnung, die generell "technologieneutral" sein soll. Entsprechend gibt es auf dem Markt auch viele L�sungsm�glichkeiten, darunter spezielle Consent-Management- Plattformen (CMP).

Die Anforderungen an ein Consent Management lassen sich aber auch erf�llen, wenn zum Beispiel eine Onlineshop-Software, ein CMS (Content Management System), eine Datenschutz-Software oder eine L�sung aus dem Bereich IAM (Identity and Access Management) spezielle Consent-Management- Funktionen enth�lt, das Consent Management also integriert ist. Wie dies konkret aussehen kann, zeigen die folgenden Beispiele.

Viele Onlineshop-L�sungen sehen das Consent Management als Erweiterung vor, zum Beispiel �ber das econda Consent Management Plug-in bei bestimmten Shopware- Versionen, mit Gentics Consent Management, mit dem Trusted Shops Consent Manager auf Basis von Usercentrics oder bei Shopify �ber die App GDPR Cookie Bar +ePrivacy Page.

Bei xt:Commerce zum Beispiel steht mit dem Update auf Version 6.2.2 dagegen eine im Standard integrierte Cookie-Consent-L�sung zur Verf�gung. �ber das Plug-in xt_cookie_consent k�nnen die DSGVO-Anforderungen an das Cookie Management erf�llt werden, so der Anbieter.

Consent Management mit CMS, MDM und CRM

F�r CMS wie WordPress gibt es ebenso Plug-ins, die dem Consent Management dienen, wie zum Beispiel hellotrust. Auch bei L�sungen aus dem Bereich MDM (Master Data Management) gibt es integrierte Consent-Management-Funktionen, wie IBM InfoSphere MDM und Informatica Customer 360 zeigen.

Einwilligungen zusammen mit den Kundendaten zu verwalten ist nat�rlich ein bestechender Ansatz. Deshalb gibt es CRM-L�sungen (Customer Relationship Management), die auch Consent-Management Funktionen vorhalten, zum Beispiel bei Salesforce.

Consent Management als Teil einer Datenschutzsoftware

Ebenso ist es �blich, Consent Management als Teil weiterer Datenschutzaufgaben zu l�sen, also innerhalb spezieller Datenschutzsoftware wie Clarip oder Airlock Secure Access Hub. Solche Datenschutzl�sungen mit integriertem Consent Management holen die Einwilligungen nicht "f�r sich" ein, sondern f�r angeschlossene Applikationen, die �ber Schnittstellen verkn�pft werden, zum Beispiel Onlineshops. Im Unterschied zu reinen CMP bieten diese Datenschutz-Management- L�sungen aber weitere Privacy-Funktionen an.

Bild: CentralStationCRM / eRecht24

Consent Management mit einer IAM-L�sung

Da Einwilligungen stets mit Personen und ihren personenbezogenen Daten verkn�pft sind, ist es nicht verwunderlich, dass es auch bei L�sungen rund um die digitale Identit�t entsprechende Funktionen f�r ein Consent Management gibt. Da solche Identity-L�sungen grunds�tzlich Schnittstellen zu Anwendungen haben, f�r die die Identit�ten genutzt werden k�nnen, werden auch die Consent-Funktionen anderen Applikationen bereitgestellt, also zum Beispiel Webseiten und Webshops. Beispiele f�r entsprechende Identity- L�sungen sind ForgeRock, Akamai Identity Cloud, Ping Identity, Onegini Identity Cloud und iWelcome.

Was bei einem integrierten Consent Management zu beachten ist

Wer vor der Frage steht, ob eine ausgesprochene Consent-Management- Plattform (CMP) oder aber eine Consent-Management-Funktion als Teil einer anderen Softwarel�sung besser ist, sollte nicht nur an m�gliche Zusatzkosten denken, die zum Beispiel eine spezielle CMP mit sich bringen kann. Es gibt weitere Faktoren zu bedenken.

Insell�sung oder Offenheit: Consent Management ist nicht nur ein Thema f�r den Onlineshop oder die Website. Werden zum Beispiel Newsletter oder Apps angeboten, wird auch daf�r ein Consent Management ben�tigt. Deshalb stellt sich die Frage, ob das integrierte Consent Management auch f�r weitere Onlinedienste eingesetzt werden kann oder ob es sich um eine Insell�sung handelt. Generell sollte man bedenken: Eine Einwilligung gilt zwar jeweils nur f�r einen bestimmten Zweck und eine konkrete Datenverarbeitung, aber es ist trotzdem von Vorteil, wenn man das Thema Consent Management einheitlich l�st und nicht mittels einer Sammlung von Insell�sungen.

Kontrolle der Datenverarbeitung: Bevor der Nutzer einwilligt, sollte die Datennutzung verhindert werden, also ein Kennzeichen gespeichert werden, dass noch keine Einwilligung vorliegt. Nach der Einwilligung wird das Kennzeichen dann entsprechend ge�ndert, bei einem Widerruf der Einwilligung ebenso. Dabei stellt sich die Frage, ob es Systeme oder Dritte gibt, die �ber die Einwilligung oder den Widerruf informiert werden m�ssen, und wenn ja, ob und wie die Consent-Management- Funktion dies unterst�tzt.

Alle Softwaremodule m�ssen den DSGVO-Anforderungen entsprechen.

Ber�cksichtigung von Drittanbietern:
Analysedienste und Werbepartner sind die typischen Dritten, f�r die eine (zus�tzliche) Einwilligung erforderlich sein kann. Hier sollte es auch eine integrierte Consent-Management-Funktion erlauben, diese Partner mit deren Zwecken und Verarbeitungen zu beschreiben und f�r diese jeweils einzeln oder auf Wunsch des Betroffenen auch gesammelt die Einwilligung einzuholen.

Dokumentation der Einwilligungen: Es ist wichtig, dass die Einwilligungen dokumentiert werden. F�r den Betroffenen, damit dieser nicht laufend erneut einwilligen muss, aber auch f�r den Anbieter der Website oder der App, damit der Nachweis erbracht werden kann, dass es eine Einwilligung als Rechtsgrundlage gibt oder gab. Dabei stellt sich die Frage, ob und wie die Consent- Management-Funktion die Dokumentation vornimmt; wo, wie und wie lange zum Beispiel diese Information gespeichert wird.

Wirksame Funktion f�r den Widerruf: Ein Widerruf muss dazu f�hren, dass die Verarbeitung auf Basis der Einwilligung f�r diesen Betroffenen und zu diesem speziellen Zweck gestoppt wird. Dabei muss der Widerruf genauso einfach zu t�tigen sein wie die Einwilligung. Die Consent- Management-Funktion muss also auch den Widerruf rechtskonform abbilden, �ber einen Nutzerdialog, in der Dokumentation und in der weiteren Datenverarbeitung, die bei Widerruf beendet werden muss.

Es zeigt sich also: Wenn eine Applikation, wie zum Beispiel eine Shopsoftware, auch das Thema Consent Management ber�cksichtigt und bedient, ist dies durchaus hilfreich, da man keine spezielle Consent- Management-Plattform suchen muss. Allerdings gibt es hier einiges zu beachten: Wenn weitere Onlinedienste vorhanden sind, f�r die ein Consent Management abgebildet werden muss, ist entweder eine spezielle CMP gefragt, oder die integrierte Funktion muss offen genug sein, um auch dies zu unterst�tzen. Nicht zuletzt m�ssen auch Softwaremodule
und Funktionen f�r Consent Management alle Anforderungen aus der DSGVO erf�llen, ohne Abstriche, und nicht etwa nur die Spezialsoftwarel�sungen CMP.

Vortr�ge zum Thema:

Bild: Markus B�ckle

Markus B�ckle (econda GmbH)

Die Herausforderungen im Datenschutz 2023 bew�ltigen

Datenschutzkonforme Personalisierungs- und Analyticsl�sungen werden f�r die Zukunft immer wichtiger. Wir zeigen Dir, welche M�glichkeiten Du 2023 einsetzen musst, willst Du nicht mit der Zukunft Deines Unternehmens spielen.

Diese Herausforderungen gibt es 2023 durch den Datenschutz:
- Wie Personalisierung und Analysesoftware Dein Fachpersonal entlasten k�nnen.
- Wie Du das Kostenargument bew�ltigst
- Wieso 2023 der Einsatz von Google Analytics rechtlich bedenklich ist und von vielen Kunden auch schlicht abgelehnt wird.
- Wie Du Deinen Datenbestand datenschutzkonform selbst aufbaust statt ihn an US-Anbieter zu veschenken
Vortrag im Rahmen der Zukunftskonferenz 2023. Trends f�r ECommerce, Marketing und digitales Business am 07.12.22, 10:05 Uhr