Was ist Consent Management?

Cookies? Consent? DSGVO? – Warum du diese Begriffe kennen musst, um im Netz erfolgreich zu sein.

Haben Sie jemals auf einer Webseite den „Akzeptieren“-Button gedrückt, ohne wirklich zu wissen, worauf du Sie sich einlassen? Willkommen im Dschungel von Cookie-Bannern, Consent Management und Datenschutzgesetzen! Was früher einfache Hinweise zu Cookies waren, ist heute ein hochkomplexes System, das darüber entscheidet, wie Webseiten mit deinen Daten umgehen – und ob Unternehmen überhaupt rechtlich auf der sicheren Seite stehen.

Warum das alles? In Sachen Datenschutz hat sich in Europa in den letzten acht Jahren viel geändert, vor allem durch die Datenschutz-Grundverordnung (DSGVO), das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) und die ePrivacy-Verordnung. Darauf folgten weitere Länder wie die USA (auf Ebene einzelner Bundesstaaten), die Schweiz und Brasilien, die ebenfalls neue Datenschutzvorschriften für ihre Bürger erlassen haben. All diese Gesetze verändern die Art und Weise, wie Unternehmen mit der Verarbeitung personenbezogener Daten ihrer Nutzer umgehen dürfen.

Doch es steckt weit mehr dahinter: Warum sind „Cookie-Banner“ nicht mehr das, was sie einmal waren? Wie funktioniert modernes Consent Management? Und warum beeinflusst das nicht nur dein Online-Erlebnis, sondern auch den Erfolg eines jeden Unternehmens?

Wir tauchen tief ein, räumen mit Missverständnissen auf und zeigen Ihnen, was wirklich hinter diesen Begriffen steckt – und warum sie heute mehr als nur eine lästige Pflicht sind.

Herausforderung Datenschutz: Viele Gesetze, viele Anforderungen 

Das Internet hat sich in den letzten Jahrzehnten rasant weiterentwickelt. In der Anfangszeit standen vor allem die Funktionalität von Webseiten und Online-Shops im Mittelpunkt. Später traten Individualität und ansprechendes Design stärker in den Fokus. Mit der zunehmenden Zahl an Websites und Online-Shops wuchs jedoch auch die Konkurrenz. Als Funktionalität und Design schließlich zum Standard wurden, wurde schnell klar, dass dies allein nicht ausreicht, um sich gegen die Mitbewerber durchzusetzen. Es mussten clevere Strategien entwickelt werden, um Nutzer gezielt anzusprechen.

Hier sah Google seine Chance: Als meistgenutzte Suchmaschine bot das Unternehmen Unternehmen weltweit eine Möglichkeit, sich im Wettbewerb zu behaupten. Die Rede ist von Google Ads – der Monetarisierungsmöglichkeit über gezielte Werbeanzeigen. Unternehmen konnten nun nicht mehr nur auf traditionelle Marketingmaßnahmen wie E-Mail-Marketing setzen und auf deren Erfolg hoffen, sondern gezielt ihre Produkte oder Dienstleistungen bewerben, um ihre Zielgruppe direkt anzusprechen und die Wahrscheinlichkeit eines Erfolgs erheblich zu erhöhen.

Gleichzeitig ermöglichte Google mit Google Analytics die Auswertung von Marketingkampagnen. Mithilfe von Nutzerdaten konnten Unternehmen ihre Kampagnen frühzeitig anpassen und optimieren. Der große Vorteil dieser Form des Marketings lag darin, dass nicht mehr nur auf den Erfolg gehofft werden musste, sondern die zugrundeliegenden Daten eine detaillierte Analyse und zielgenaue Ansprache ermöglichten. Datenschutz spielte dabei anfangs nur eine untergeordnete Rolle, da das Feld des datengetriebenen Marketings noch relativ neu und dynamisch war.

Dies änderte sich jedoch grundlegend mit der Einführung strenger Datenschutzgesetze wie der DSGVO (Datenschutz-Grundverordnung). Plötzlich rückte der Schutz der Privatsphäre und der persönlichen Daten der Nutzer in den Mittelpunkt. Unternehmen standen vor der Herausforderung, die komplexen Vorgaben der DSGVO auf ihren Webseiten umzusetzen – oft verbunden mit erheblichen Einschränkungen. Diese neuen Anforderungen standen in klarem Kontrast zum florierenden datengetriebenen Marketing, und so stellte sich schnell die entscheidende Frage: Wie lässt sich datenschutzkonformes Tracking mit zielgerichtetem Marketing vereinen?

Für international agierende Unternehmen wird diese Aufgabe noch komplexer. Sie müssen nicht nur die DSGVO einhalten, sondern auch diverse Datenschutzgesetze aus Ländern wie den USA, Kanada, Brasilien oder Japan berücksichtigen. Diese Vielzahl an Vorschriften stellt Unternehmen vor die Herausforderung, den Überblick zu behalten und die Compliance sicherzustellen.

Hier kommt Consent Management ins Spiel. Dieser Prozess hilft Unternehmen, die Einhaltung verschiedener Datenschutzvorschriften effizient zu managen und gleichzeitig das Vertrauen ihrer Kunden zu stärken. Consent Management bietet eine Lösung, um bei den komplexen gesetzlichen Anforderungen den Überblick zu behalten und datenschutzkonformes Handeln sicherzustellen – ohne die eigenen Geschäftsziele aus den Augen zu verlieren.

Was ist Consent Management? 

Consent Management bezeichnet den Prozess, mit dem Unternehmen die Einwilligung von Nutzern für die Verarbeitung personenbezogener Daten einholen, verwalten und dokumentieren. Es ist ein zentraler Bestandteil der Einhaltung von Datenschutzvorschriften wie der DSGVO (Datenschutz-Grundverordnung). Ziel des Consent Managements ist es, Nutzern Kontrolle über ihre Daten zu geben und gleichzeitig sicherzustellen, dass Unternehmen die rechtlichen Anforderungen erfüllen.

Consent Management wird häufig durch sogenannte Consent Management Plattformen (CMPs) oder auch Consent Manager genannt, umgesetzt. Diese ermöglichen es Unternehmen, transparente Informationen über die Datenverarbeitung bereitzustellen und Nutzerinteraktionen wie die Zustimmung oder Ablehnung bestimmter Datenverarbeitungen zu erfassen. Beispiele hierfür sind die Einwilligung zur Verwendung von Cookies oder die Weitergabe von Daten an Drittanbieter wie Google Analytics.

Warum ist Consent Management wichtig?

Consent Management ist kein optionales Extra, sondern in vielen Ländern eine gesetzliche Pflicht. Insbesondere dann, wenn Sie personenbezogene Daten in Ländern verarbeiten, in denen eine aktive Einwilligung durch ein Opt-In oder das Angebot eines Opt-Outs erforderlich sind. Hierfür benötigen Sie eine Software, die Einwilligungspräferenzen verwaltet. Ein unzureichendes Consent Management kann nicht nur zu hohen Bußgeldern von bis zu 4 % (DSGVO) der Jahreseinnahmen führen, sondern auch weitere rechtliche Probleme nach sich ziehen.

Ein effektives Consent Management muss folgende Aspekte sicherstellen:

• Rechtmäßigkeit: Daten dürfen nur dann verarbeitet werden, wenn eine rechtliche Grundlage, wie etwa die Einwilligung der Nutzer, vorliegt (Artikel 6 DSGVO).
• Transparenz: Besucher müssen klar darüber informiert werden, welche Daten verarbeitet werden und zu welchem Zweck diese Daten genutzt werden.
• Datenminimierung: Es sollten ausschließlich die Daten erhoben und verarbeitet werden, die unbedingt notwendig sind – sogenanntes „Datenhamstern“ gilt es zu vermeiden.

Unzureichendes Management von Einwilligungspräferenzen zieht jedoch nicht nur rechtliche Konsequenzen und Bußgelder nach sich. Es gefährdet auch das Vertrauen Ihrer Besucher. Die Sensibilität gegenüber Datenschutz wächst stetig, und Nutzer erwarten heute, dass ihre Privatsphäre respektiert und geschützt wird. Consent Management bedeutet daher nicht nur, Vorschriften einzuhalten, sondern auch den Nutzern die Möglichkeit zu geben, fundierte Entscheidungen über ihre persönlichen Daten zu treffen.

Respektieren Sie das Recht Ihrer Besucher auf Privatsphäre und geben Sie ihnen die Kontrolle darüber, welche Informationen sie mit Ihnen teilen möchten. Gleichzeitig profitieren Sie selbst von korrekten und vollständigen Daten, die Sie erhalten, wenn die Nutzer Ihnen ihre Einwilligung erteilen. Diese qualitativ hochwertigen Daten ermöglichen Ihnen fundierte und detaillierte Analysen, die die Basis für bessere Geschäftsentscheidungen bilden können.

Consent Management, Cookie-Banner und Consent-Management-Plattformen (CMPs): Eine Historie

Consent Management, Cookie-Banner und Consent-Management-Plattformen (CMPs) sind eng miteinander verbunden, werden jedoch häufig missverstanden. Während Cookie-Banner einst ein simples Werkzeug zur Information über Cookies waren, stehen Consent Management und CMPs heute für umfassendere Lösungen, die weit über den ursprünglichen Zweck hinausgehen. Doch wie hängen sie zusammen?

Consent Management: Die Grundlage 

Abb.: Der Prozess Consent Management

Consent Management bezieht sich auf den gesamten Prozess der Einwilligungsverwaltung und -sicherstellung. Der Zweck des Consent Managements liegt darin, Transparenz zu schaffen und Nutzern die Kontrolle über ihre Daten zu geben. Dieser Prozess bildet die Basis, auf der Cookie-Banner und CMPs aufbauen.

Die Schritte des Consent Managements: 

1. Einwilligung einholen:
Der erste Schritt besteht darin, die Besucher transparent darüber zu informieren, welche Daten zu welchem Zweck erhoben und verwendet werden und wer Zugriff auf diese Daten hat (z. B. Drittanbieter). Es ist wichtig, eine aktive und ausdrückliche Erlaubnis einzuholen, die freiwillig, spezifisch, informiert und eindeutig erfolgen muss.

2. Einwilligung aufzeichnen:
Sobald die Einwilligung erteilt wurde, muss diese detailliert dokumentiert werden. Dazu gehört, festzuhalten, wann und wie die Einwilligung eingeholt wurde und ob Änderungen an den Einwilligungseinstellungen vorgenommen wurden. Diese Aufzeichnungen sind entscheidend, um die Einhaltung von Datenschutzvorschriften nachweisen zu können.

3. Einwilligung verwalten:
Besuchern sollte jederzeit die Möglichkeit gegeben werden, auf ihre Einwilligungspräferenzen zuzugreifen. Sie müssen in der Lage sein, ihre Einwilligung einzusehen, zu ändern oder zu widerrufen. Darüber hinaus sollten Aktualisierungen oder Änderungen an den Datenverarbeitungsaktivitäten und -richtlinien dokumentiert und den Besuchern zur Verfügung gestellt werden.

4. Prüfung und Einhaltung sicherstellen:
Es muss zu jedem Zeitpunkt eine klare Prüfspur für die Einwilligungsaktivitäten vorliegen. Dies dient dazu, die Einhaltung von Datenschutzbestimmungen wie der DSGVO zu gewährleisten und den Auskunftsanfragen betroffener Personen nachzukommen.

5. Löschen und aktualisieren:
Das Consent Management sollte stets aktuell gehalten werden. Bei wesentlichen Änderungen in der Nutzung oder Verarbeitung von Daten ist es erforderlich, die Nutzer erneut um ihre Einwilligung zu bitten. Auf Wunsch der Besucher sollten Daten gelöscht oder Einwilligungen widerrufen werden können, um den Datenschutzanforderungen gerecht zu werden.

Cookie-Banner: Der Ursprung 

In den Anfängen gab es noch keine fortschrittlichen Consent Manager, da das Thema Datenschutz damals noch in den Kinderschuhen steckte. Unternehmen standen vor der Herausforderung, die neuen Datenschutzanforderungen umsetzen zu müssen, und benötigten dringend eine Lösung. Hier kamen die ersten Cookie-Banner ins Spiel. Diese Banner beschränkten sich jedoch darauf, die Besucher einer Website lediglich über die Verwendung von Cookies zu informieren.

In vielen Fällen waren sie eher passiv und dienten mehr der Aufklärung, als dass sie den Nutzern tatsächlich die Möglichkeit gaben, der Nutzung von Cookies, geschweige anderen Datenverarbeitungsprozessen, aktiv zu widersprechen.

Abb.: Einfacher Cookie-Banner

Schnell wurde jedoch klar, dass solche einfachen Hinweise nicht ausreichen, um den Anforderungen der DSGVO gerecht zu werden. Es war eine Software notwendig, die die Datenverarbeitung gemäß den gesetzlichen Vorschriften steuert, Einwilligungen und Ablehnungen dokumentiert und die Nutzer umfassend über ihre Rechte in Bezug auf die Datenverarbeitung informiert.

Aus dieser Notwendigkeit heraus entstanden die Consent Manager, die genau diese Anforderungen erfüllen.

Consent Manager: Die Weiterentwicklung

Aus den Anforderungen der DSGVO heraus entstanden Consent Manager, die weit über die Funktionen eines Cookie-Banners hinausgehen. CMPs sind umfassende Tools, die:

• Datenverarbeitung regeln: Sie beziehen sich nicht nur auf Cookies, sondern auf jede Art der Verarbeitung personenbezogener Daten, wie z. B. die Nutzung von Analyse- und Marketingtools.
• Rechtssicherheit schaffen: Sie dokumentieren die Zustimmung der Nutzer und stellen sicher, dass alle Datenverarbeitungen den gesetzlichen Anforderungen entsprechen.
• Nutzerfreundlichkeit fördern: Sie bieten detaillierte Auswahlmöglichkeiten, damit Nutzer gezielt entscheiden können, welchen Verarbeitungen sie zustimmen möchten.

Abb.: Consent Manager

Der Begriff „Cookie-Banner“ wird heute oft synonym mit Consent Manager verwendet, was jedoch irreführend ist. Consent Manager lösen die Aufgaben eines Cookie-Banners und erweitern diese durch ihre umfangreichen Funktionen. Besucher können z.B. spezifischen Vorgängen zustimmen oder diese ablehnen, z.B. für Marketing oder für statische- oder Analyse-Zwecke. 

Cookie-Banner, Consent-Banner, Consent Manager, Consent Management Plattform (CMP)...

Nennen Sie es, wie Sie möchten – im Kern sollen all diese Tools eins leisten: die Einwilligung von Nutzern für die Verarbeitung ihrer Daten zu bestimmten Zwecken einholen und bis zu diesem Zeitpunkt die entsprechenden Technologien blockieren. Die einzige Unterscheidung, die man vielleicht vornehmen könnte, ist, dass ein Cookie-Banner als eine einfache Benachrichtigung betrachtet werden kann, die über die Datenverarbeitung mittels Cookies informiert, während ein Consent Manager als umfassende All-in-one-Lösung fungiert.

Mit der Zeit haben sich diese Technologien immer weiterentwickelt, und zahlreiche Anbieter haben sich auf dem Markt etabliert. Dabei bieten moderne Consent Manager heute oft zusätzliche Funktionen und Integrationen, wie etwa das Preference Management. Dadurch haben sie zwar weiterhin den gleichen Zweck, unterscheiden sich aber stark in ihrem Funktionsumfang.

Ein Consent Manager sollte im Kern folgende Funktionen erfüllen:

1. Verlässliche Blockierung: Technologien, die personenbezogene Daten erst nach ausdrücklicher Einwilligung verwenden dürfen, müssen beim Aufrufen der Seite verlässlich blockiert werden.
2. Gestaltungsrichtlinien: Der Consent Manager muss bestimmten Designvorgaben entsprechen und Pflichtinformationen enthalten, um rechtlich konform zu sein.
3. Aktivierung nach Einwilligung: Nach der Einwilligung sollten die entsprechenden Technologien vollständig funktionsfähig sein.
4. Rechtssichere Speicherung: Jede Einwilligung muss rechtssicher dokumentiert und gespeichert werden.
5. Löschung der Einwilligung: Anfragen zur Löschung einer Einwilligung müssen schnell und sicher umgesetzt werden können.
6. Performance: Das Programm sollte die Seitengeschwindigkeit oder andere Funktionalitäten der Webseite oder App nicht spürbar beeinträchtigen.

Wie funktioniert überhaupt ein Consent Manager? 

Ein Consent Manager sorgt dafür, dass vor der Speicherung oder Verarbeitung von personenbezogenen Daten die ausdrückliche Einwilligung der Nutzer eingeholt wird. Solange diese Zustimmung nicht erteilt wurde, blockiert der Consent Manager alle Cookie-Technologien und Tracking-Tools, die personenbezogene Daten verwenden könnten. Damit schützt der Consent Manager die Privatsphäre der Nutzer und stellt sicher, dass keine Daten ungewollt an Dritte weitergegeben werden.
Darüber hinaus informiert ein Consent Manager die Nutzer umfassend darüber, wie ihre Daten verwendet werden, sodass sie eine fundierte Entscheidung treffen können. Die erteilten Einwilligungen werden rechtssicher gespeichert, um sowohl den gesetzlichen Anforderungen als auch den Erwartungen der Nutzer gerecht zu werden.

Ein wichtiger Aspekt eines Consent Managers ist zudem, dass die Nutzer jederzeit das Recht haben, ihre Einwilligungen zu widerrufen. Ein gut gestalteter Consent Manager stellt sicher, dass dieser Prozess einfach und schnell durchgeführt werden kann, ohne die Nutzererfahrung zu beeinträchtigen.
Durch diese Funktionen trägt der Consent Manager nicht nur dazu bei, die Daten der Nutzer zu schützen, sondern schafft auch Transparenz und stärkt das Vertrauen der Besucher in die Webseite oder den Online-Shop.

Und was haben Cookies mit Consent Management zutun? 

Stellen wir uns vor, Sie besuchen eine Webseite oder einen Online-Shop. Das tun Sie über Ihren Webbrowser. Sobald Sie eine Website öffnen, sendet Ihr Browser eine HTTP-Anfrage (HTTP-Request) an den zuständigen Webserver, der die Inhalte der Webseite verwaltet. Vielleicht ist Ihnen schon einmal aufgefallen, dass Artikel im Warenkorb auch beim nächsten Besuch noch dort liegen oder dass Sie die Option „Eingeloggt bleiben“ wählen können, um nicht jedes Mal E-Mail und Passwort erneut eingeben zu müssen. All das wird durch sogenannte Cookies ermöglicht.

Cookies erlauben es Webseiten oder Online-Shops, bestimmte Informationen über Nutzer zu sammeln und zu speichern. Da diese Cookies oft personenbezogene Daten wie IP-Adressen, Namen oder E-Mail-Adressen enthalten, sind Unternehmen verpflichtet, eine aktive und informierte Einwilligung zur Erhebung und Verarbeitung dieser Daten von ihren Nutzern einzuholen. Genau hier kommt das Consent Management ins Spiel, welches eine zuverlässliche Lösung für die Datenschutzanforderungen bietet. 

Zwei Zustimmungsmodelle: Opt-in und Opt-out

Im Bereich des Datenschutzes können zwei Arten von Zustimmungen unterschieden werden: Opt-in und Opt-out. Welches Modell angewendet werden muss, hängt von den geltenden Gesetzen des jeweiligen Landes ab, in dem personenbezogene Daten der Bürger verarbeitet werden. 

Opt-in-Einwilligung: Eine klare Zustimmung erforderlich 

Die Opt-in-Einwilligung verlangt, dass Besucher aktiv ihre Zustimmung erteilen, bevor nicht unbedingt erforderliche Cookies gesetzt oder personenbezogene Daten erfasst werden. Dies geschieht üblicherweise durch Schaltflächen wie „Akzeptieren“ oder „Zulassen“, wie sie in einem Consent Manager eingesetzt werden.

Abb.: DSGVO-konformer Consent Manager mit Wahlmöglichkeiten 

Dieses Modell stellt sicher, dass Nutzer eine klare, aktive Handlung ausführen müssen, um der Verwendung von Cookies oder der Verarbeitung ihrer Daten zuzustimmen. In einigen Rechtsordnungen ist außerdem vorgeschrieben, dass die Zustimmung granular erfolgen muss, sodass Nutzer bestimmten Verwendungen ihrer Daten zustimmen können, während sie andere ablehnen. Dieses strenge Verfahren ist typisch für Datenschutzgesetze wie die DSGVO, die in Europa gilt.

Opt-out-Einwilligung: Eine aktive Ablehnung erforderlich

Die Opt-out-Einwilligung basiert auf der Annahme, dass Cookies oder andere Datenerfassungsmechanismen standardmäßig verwendet werden dürfen, sofern der Benutzer nicht aktiv widerspricht. Dieses Modell ist weniger streng als die Opt-in-Methode und wird beispielsweise im Rahmen des California Consumer Privacy Act (CCPA) angewandt. 

Abb.: Die Möglichkeiten für Opt-out-Einwilligung

Im Opt-out-Modell können Webseitenbesucher über einen Link oder Button, wie er häufig in einem Consent Manager integriert ist, den Verkauf ihrer personenbezogenen Daten untersagen – oft formuliert als „Do not share or sell my personal information“. Zusätzlich gibt es Schaltflächen, die es ermöglichen, die Verwendung sensibler Daten einzuschränken. Diese Funktion wird meist mit der Bezeichnung „Limit the use of my Sensitive Personal Information“ versehen. Dieses Modell wird derzeit überwiegend in den Vereinigten Staaten angewandt, und auch dort nur in einzelnen Bundesstaaten.

Trotz der grundsätzlichen Annahme, dass Opt-out-Verfahren weniger restriktiv sind, gibt es jedoch Ausnahmen, bei denen eine aktive Zustimmung erforderlich ist. Dies gilt insbesondere für die Verarbeitung sensibler Daten oder personenbezogener Daten von Kindern, die durch strengere Datenschutzvorgaben geschützt sind.

Welche Artikel der DSGVO gelten bei der Verarbeitung personenbezogener Daten? 

Insbesondere Artikel 6 der DSGVO ist für die Verarbeitung personenbezogener Daten von großer Bedeutung. Dieser Artikel regelt die Rechtmäßigkeit der Verarbeitung und definiert sechs mögliche Rechtsgrundlagen, auf denen eine Datenverarbeitung basieren kann:

1. Einwilligung (Artikel 6 Abs. 1 lit. a): Die betroffene Person hat der Verarbeitung ihrer Daten zugestimmt. Dies ist die häufigste Grundlage im Consent Management, insbesondere bei der Nutzung von Analyse- oder Marketing-Tools.

2. Vertragserfüllung (Artikel 6 Abs. 1 lit. b): Die Verarbeitung ist erforderlich, um einen Vertrag mit der betroffenen Person zu erfüllen, z. B. bei der Angabe einer Lieferadresse für den Versand.

3. Rechtliche Verpflichtung (Artikel 6 Abs. 1 lit. c): Die Verarbeitung ist notwendig, um einer rechtlichen Verpflichtung nachzukommen, wie z. B. die Überprüfung von Identitätsdaten zur Verhinderung von Geldwäsche.

4. Lebenswichtige Interessen (Artikel 6 Abs. 1 lit. d): Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen Person zu schützen. Ein Beispiel könnte im medizinischen Bereich liegen, etwa bei der Notfallversorgung.

5. Öffentliches Interesse (Artikel 6 Abs. 1 lit. e): Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt, wie z. B. Volkszählungen.

6. Berechtigtes Interesse (Artikel 6 Abs. 1 lit. f): Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Grundrechte und -freiheiten der betroffenen Person überwiegen. Dies ist oft eine Ermessensfrage und wird in der Praxis häufig diskutiert.

Diese Artikel schaffen die rechtliche Grundlage, um die Verarbeitung personenbezogener Daten transparent und rechtskonform zu gestalten, was im Zentrum des Consent Managements steht.

Herausforderungen bei der Umsetzung dieser Artikel

Einige der Formulierungen in der DSGVO sind klar und unmissverständlich. Artikel 6 Abs. 1 lit. a stellt beispielsweise ausdrücklich klar, dass personenbezogene Daten nur verarbeitet werden dürfen, wenn eine aktive Einwilligung vorliegt. Es führt also kein Weg an einer solchen Zustimmung vorbei.

Man könnte jedoch annehmen, dass der Begriff "Verarbeitung" sehr allgemein gehalten ist und eine reine Speicherung nicht darunterfällt. Doch auch hier bietet die DSGVO mit Artikel 4 (Begriffsbestimmungen) eine eindeutige Definition. Demnach umfasst "Verarbeitung" jeden Vorgang im Zusammenhang mit personenbezogenen Daten, einschließlich des Erhebens, Erfassen, Speicherns, Auslesens, Verwaltens, Übermittelns, Löschens und sogar der Einschränkung.

Vereinfacht gesagt: Jede Form der Interaktion mit personenbezogenen Daten gilt als Verarbeitung, wodurch die aktive Einwilligung unverzichtbar wird.

Eine größere Herausforderung liegt jedoch in der schwammigen Formulierung von Artikel 6 Abs. 1 lit. f ("berechtigtes Interesse"). Unternehmen könnten argumentieren, dass sie bestimmte Daten zwingend benötigen, um ihre Dienstleistungen anbieten zu können. Ob diese Argumentation im Streitfall vor Gericht Bestand hat, liegt jedoch im Ermessen des Richters.

Aus diesem Grund wird dringend empfohlen, immer eine aktive Einwilligung einzuholen, um sowohl rechtliche Sicherheit zu gewährleisten als auch das Vertrauen der Nutzer zu stärken.

Wer benötigt einen Consent Manager? 

Kurz gesagt: so ziemlich jeder. Jede Webseite oder jeder Online-Shop kommt in irgendeiner Form mit personenbezogenen Daten in Kontakt. Für kleinere Webseiten und Shops können einfache, abgespeckte Varianten eines Consent Managers ausreichen. Es mag sogar sein, dass lediglich funktionelle Cookies verwendet werden, für die keine Einwilligung erforderlich ist, wie etwa Cookies für den Warenkorb. Dennoch empfehlen wir jedem Unternehmen, unabhängig von der Größe, einen Consent Manager zu implementieren, um sich gegen mögliche Bußgelder abzusichern.

Sobald Sie jedoch Nutzerinteraktionen wie Conversions mithilfe von Analyse-Tools wie Google Analytics (GA4) tracken möchten, benötigen Sie zwingend eine Einwilligung. Glücklicherweise gibt es für jedes Unternehmen die passende Lösung. Für größere Unternehmen, insbesondere solche mit internationaler Ausrichtung, bieten komplexere Consent Manager erhebliche Vorteile. Viele Anbieter kombinieren heute auch Consent Manager mit zusätzlichen Funktionen wie einem Preference Manager, was für viele Unternehmen besonders sinnvoll ist.

Auch Google unterliegt inzwischen strengeren Datenschutzvorschriften, insbesondere durch den Digital Markets Act 2023. Dieser verlangt von Google, Maßnahmen zu ergreifen, wenn personenbezogene Daten unrechtmäßig verarbeitet werden. Das bedeutet im Umkehrschluss, dass Webseiten, die Tools wie Google Analytics 4 einsetzen, einen robusten Consent Manager benötigen. Um die Einhaltung dieser Anforderungen zu überwachen, hat Google den sogenannten Google Consent Mode entwickelt. Webseiten, die diesen nicht nutzen, könnten in naher Zukunft daran gehindert werden, Google-Produkte wie Google Ads oder Google Analytics zu verwenden.

Darüber hinaus hat Google eine Art Zertifizierungsprogramm entwickelt, um Consent Manager zu verifizieren, die den Google Consent Mode unterstützen. Es lohnt sich also, nicht irgendeinen Consent Manager auszuwählen, sondern einen, der von Google zertifiziert ist. So sichern Sie nicht nur die rechtliche Konformität Ihrer Webseite, sondern auch die volle Funktionsfähigkeit der eingesetzten Google-Produkte.

Was macht einen guten Consent Manager aus? 

Ein guter Consent Manager kann sich durch eine breite Funktionalität und eine reibungslose Anwendung auszeichnen. Es gibt dutzende Merkmale die ein guter Consent Manager erfüllen sollte, davon sind aber einige Punkte besonders wichtig:

Ein Consent Manager sollte einen Kundenservice bieten

Jede Webseite ist anders. Ein Consent Manager sollte sich daher immer an die Gegebenheiten jeder Webseite anpassen können. Hierfür ist häufig ein guter Kundenservice wichtig. Sowohl um die richtigen Preise für den Service zu vermitteln als auch für eine technisch einwandfreie Einpflege. Auf diese Weise kann der Plattformanbieter sicher sein, dass die Funktionen voll funktionsfähig sind und der Webseitenbetreiber spart sich Kosten und Mühen beim Debugging. 

Ein Consent Manager sollte Zertifizierungen besitzen

Wie schon angesprochen, ist dafür vor allem die Consent Mode Zertifizierung von Google wichtig. Aber darüber hinaus sollte es weitere Zertifizierungen geben. Eine weitere wichtige Zertifizierung ist die IAB TCF v2.2. Diese garantiert, dass der Consent Manager einem hohen industriellen Standard entspricht. 

Ein Consent Manager sollte das Leben einfach machen

Das bedeutet, dass beispielsweise schon viele vorformulierte Texte für die Einpflege zur Verfügung stehen. Da sich Nutzer vor ihrer Einwilligung auch die Möglichkeit haben müssen, über die jeweilige Technologie Informationen zu sammeln, ist eine vorformulierte Auswahl besonders wichtig. Usercentrics (ein Anbieter für Consent Manager) hat beispielsweise über 2000 rechtssichere Texte als Vorlage verfügbar. 

Ein Consent Manager muss Analysemöglichkeiten bieten

Daten über die Einwilligung selbst zu erheben und zu analysieren ist sehr wichtig. So können bestimmte wichtige Cookies sortiert und so strategisch optimal platziert werden. Zudem lassen sich so Rückschlüsse über die aktuelle Datenqualität und weitere wichtige KPIs treffen. 

Ein Consent Manager sollte dabei helfen viele Gesetze einhalten zu können

In Europa und Deutschland ist die DSGVO der entscheidende Gesetzestext für die Funktionalitäten eines Consent Managers. Allerdings haben auch viele andere Länder eigene Gesetzestexte, die eine Variation der angewandten Maßnahmen erfordern. Je mehr Länder eine Plattform abdecken kann, desto einfacher ist die Anwendung der Webseite in verschiedenen Märkten.