Nutzer-Consent richtig verwalten und dokumentieren durch Consent Management Platforms: 4 Basis-Tipps
Als Onlinehändler haben Sie sich in den letzten Jahren bestimmt schon viel an der DSGVO und ePrivacy Verordnung erfreut. Jetzt gibt es einige Neuerungen, die beim Einhalten der Gesetzeslage und vor allem dem Aufbauen von Kundenvertrauen helfen. Vor allem nach dem Urteilsspruch des BGHs vom 28.05.2020, in dem entschieden wurde, dass Webseitenbetreiber eine Cookie-Einwilligung einholen müssen, ist die Relevanz dieses Themas nicht von der Hand zu weisen. Falls das Thema für Sie neu ist, lassen Sie uns mit einem kurzen Überblick starten.
Seit dem 25. Mai 2018 ist die DSGVO rechtsverbindlich. Dementsprechend ist es nicht mehr ausreichend, den Nutzer lediglich darüber zu informieren, was mit seinen Daten passiert. Grundlegend ist, dass es dem User in bestimmten Fällen nun auch möglich sein muss, einer Verarbeitung seiner personenbezogenen Daten zuzustimmen oder diese abzulehnen. Im Wesentlichen geht es dabei um die Verarbeitung der Nutzerdaten durch 3rd-Party Cookies und Tracking.
Datenschutzbehörden wünschen sich, dass alle auf der Webseite eingebundenen Technologien die Daten der User nur dann verwenden dürfen, wenn tatsächlich eine Zustimmung vorliegt. Die ePrivacy Verordnung, welche parallel zur DSGVO laufen soll, soll neben diesem strengen datenschutzrechtlichen Ansatz Cookies regeln, die die DSGVO nur indirekt abdeckt. Die ePrivacy Verordnung wurde allerdings bis heute nicht verabschiedet und wird frühestens 2024 in Kraft treten.
Die Frage ist nun: Wie bekommen diese Technologien der Werbetreibenden, Dienstleister und Technologieanbieter diese Informationen und wissen, dass sie dazu berechtigt sind, bestimmte Daten zu nutzen? Da der Nutzer-Consent — damit ist die Einwilligung des Nutzers gemeint — jederzeit nachweisbar sein muss, gibt es nun so genannte Consent Management Platforms (CMP). Sie dienen der Dokumentation und Verwaltung dieser Einwilligungen.
Das Interactive Advertising Bureau Europe (IAB) ist ein auf europäischer Ebene agierender Verband, der Standardisierungen im Rahmen des digitalen Marketing und der Werbung im Fokus hat. Das IAB hat nun mit dem Transparency and Consent Framework (TCF) einen Standard zur Datenverarbeitung und Einwilligung festgelegt, den bereits eine Vielzahl von CMPs erfüllen. TCFs sind die Mustertexte, mit denen zum Beispiel die Einwilligung eingeholt werden kann, diese bilden auch die Grundlage für das Einwilligungssignal. Trotz aller DSGVO-Konformität können Unterschiede hinsichtlich Sicherheit oder Nutzererfahrung bei den aufwändig implementierten CMPs aufkommen. Deshalb haben wir für Sie vier Basis-Tipps vorbereitet, worauf Sie bei einer CMP im Allgemeinen achten sollten.
1. Prüfen, ob der CMP-Anbieter beim TCF des IAB Europe registriert ist
Wie schon eben erwähnt, hat sich der vom IAB festgelegte Standard bereits auf dem deutschen Markt etabliert. Deshalb sollte der von Ihnen gewählte CMP-Anbieter beim Transparency and Consent Framework registriert sein. Auch im programmatischen Anzeigenhandel ist personalisierte Werbung nur noch mit einer Consent-ID aussteuerbar. TrustArc oder Sourcepoint sind beispielsweise zwei namhafte CMP-Anbieter, die diesen Standard vertreten.
2. CMP-Lösung durch TCF v.2.0 unterstützen
Die Unterstützung durch TCF v1.1 wird ab dem 30. Juni 2020 nicht mehr gewährleistet. Neue CMP-Lösungen mit der nächsten Version, TCF v.2.0, wurden bereits auf den Weg gebracht. Sollten Sie mit einer nicht registrierten CMP arbeiten, ist diese in TCF v.2.0 ebenfalls nicht mehr gültig, auch wenn sie das neue Signal technologisch unterstützt. Mit TCF v.2.0 können Verbraucher nun auch ihr Widerspruchsrecht gegen die verarbeiteten Daten geltend machen sowie entscheiden, ob und wie Anbieter bestimmte Funktionen der Datenverarbeitung nutzen dürfen. Betreiber von Websites erlangen mehr Kontrolle und Flexibilität über die Integration und Zusammenarbeit mit ihren Technologiepartnern. Neue Funktionen ermöglichen eine stärkere Kontrolle darüber, ob und wie (Dritt-)Anbieter wiederum Daten von der Website verarbeiten dürfen.
3. EU-Richtlinien sicherstellen
Stellen Sie sicher, dass das Hosting-System der CMP innerhalb der EU stattfindet bzw. auf den EU-Raum eingeschränkt ist. Durch die Stabilität der EU als Rechtsraum aufgrund der eindeutigen Rechtsgrundlagen kann so eine sichere CMP gewährleistet werden.
4. Datenvermeidung (Privacy-by-Design)
Privacy-by-Design bedeutet, dass der Datenschutz durch die Technikgestaltung gewährleistet wird. Schon bei der Konzipierung und Entwicklung von Soft- und Hardware zur Datenverarbeitung wird also der Datenschutz miteinbezogen. Benutzerfreundliche Voreinstellungen machen es möglich, dass nur Daten erhoben werden, die wirklich erforderlich sind. Um zu verhindern, dass die CMP zur nächsten Datenkrake wird, sollten die Daten des Endnutzers gleich nach dem Verarbeitungsprozess einzeln für jede Website angelegt werden, auf welcher die CMP verwendet wird. Beachten Sie, dass der User-Consent zu einer Technologie aufgrund der Zweckgebundenheit nicht einfach auf andere Websites übertragen werden kann.
Fazit: Wie Sie sehen, tut sich aktuell viel rund um das Thema Datenschutz. Deshalb ist jetzt genau der richtige Zeitpunkt, sich um eine geeignete CMP-Lösung zu kümmern und somit das Nutzervertrauen zu stärken und durch Transparenz zu überzeugen.
