Obwohl die Datenschutz-Grundverordnung (DSGVO) nun bereits seit fast 3 Jahren gültig ist, sind nach wie vor Lücken auf Websites und Unklarheiten bei Betreibern vorhanden. Uns fällt dies meist im Zuge der technischen Pflege sowie bei der Abstimmung mit den Datenschutzbeauftragten unserer Kunden auf. Kunden stellen häufig die Frage, ob Website-Nutzer zu Cookies und auch externen Diensten wie YouTube ihr Einverständnis geben müssen. Unsere Antwort in Kurzfassung: Ja – und dies sollte im besten Fall über eine sogenannte Consent Management Platform (CMP) realisiert werden.

Zustimmung zu Cookies und Diensten

Die aktive Zustimmung der Nutzer zum Einsatz von Cookies ist nichts Neues (wir berichteten). So ist schon seit längerem die alleinige Informierung über die Nutzung von Cookies via Datenschutzerklärung oder per Cookie-Banner nicht mehr zulässig. Aber auch eine indifferente, allgemeine Zustimmung (Opt-in) zu allen verwendeten Cookies über einen Cookie-Banner ist eine rechtliche Grauzone.

Hinzu kommt, dass Nutzer die Möglichkeit haben sollten, neben Cookies auch andere externe Dienste selektiv an- oder abzuwählen. Externe Dienste, die Nutzerdaten erfassen und dafür eine Einwilligung benötigen, sind beispielsweise YouTube-Videos oder interaktive Karten von Google Maps. Diese Dienste dürfen beim Besuch der Website nicht automatisch geladen werden, sondern der Nutzer muss seine explizite Zustimmung erteilen.

Consent Management Platform „Klaro“ auf unserer Website
Consent Management Platform „Klaro“ auf unserer Website

CMP ermöglicht die mustergültige Lösung

Eine Consent Management Platform (CMP) ist eine Anwendung, welche die Zustimmung zu Cookies und Diensten zentral auf einer Website verwaltet. Für den Nutzer wird die CMP meist durch ein Pop-up dargestellt. Auch wenn dieses Pop-up oft „Cookie-Box“ genannt wird, kann der Nutzer hier nicht nur seine gewünschten Einstellungen zu Cookies, sondern auch zu den angesprochenen externen Diensten anpassen.

Weitere Funktionen, die eine CMP haben sollte, um der aktuellen Rechtssprechung nachzukommen, sind unter anderem:

  • Gruppierung der Cookies/Dienste nach Themen
  • Selektive Aktivierung einzelner Cookies/Dienste
  • Nachträgliche Änderung der Einstellungen zur Datenschutzerklärung (Opt-out)
  • Dokumentation der Einwilligung des Nutzers („Consent“)
  • Erstmalige Aktivierung von Cookies/Diensten nach Opt-in des Nutzers
  • Möglichkeit zu „Privacy by Default“ (standardmäßig keine Häkchen ausgewählt)
  • Kontextuelle Zustimmung (z. B. bei eingebundenen Videos oder Social Media Posts)

Kontextuelle Zustimmung zur Aktivierung von YouTube-Videos bei Bedarf
Kontextuelle Zustimmung zur Aktivierung von YouTube-Videos bei Bedarf

Verschiedene CMP-Anbieter und Ansätze

Welchen Anbieter soll ich für meine Consent Management Platform nutzen? Die Lösungen der etablierten Dienstleister, die z. B. für gängige Content-Management-Systeme (CMS) vorgefertigte Plug-ins liefern, können wir nicht pauschal empfehlen. Denn die korrekte Implementierung ist nach wie vor dem Administrator der Website überlassen. Zudem fallen in der Regel einstellige monatliche Kosten für die Bereitstellung des CMP an, denn die Zustimmung der Website-Besucher wird oft zentral beim Anbieter der CMP gespeichert und dokumentiert.

Unser Ansatz ist die Nutzung einer kostenfreien Open-Source-Lösung. Hier ist Klaro der Branchenstandard und unser Favorit. Diese Consent Management Platform können wir in die verschiedensten Websites einbinden und nach Belieben inhaltlich sowie optisch anpassen. Je nach verwendeten Cookies und Diensten ist eine Implementierung bereits ab 2 Stunden Arbeitsaufwand möglich. Laufende Kosten fallen keine an. Die Dokumentation der Zustimmung erfolgt lokal beim Nutzer – entsprechend sind keine Server von Dritten für die Konsens-Speicherung involviert.

Unsere Website ist ein gutes Beispiel für die Nutzung von Klaro. Über unsere Datenschutzerklärung kann das Klaro-Pop-up erneut geöffnet werden. Bei nicht gesetzter Zustimmung (z. B. zu YouTube) werden an Stellen, wo Videos eingebunden sind, entsprechende kontextuelle Hinweise zur Zustimmung angezeigt.

Zusammenfassung und Ausblick

Kommen auch auf Ihrer Website Cookies oder Dienste zum Einsatz, die Nutzerdaten oder personenbezogene Daten erfassen und verarbeiten? Dann empfehlen wir die Nutzung einer Consent Management Platform. Gerne können wir Ihre Website dahingehend prüfen und mit Ihnen bzw. Ihrem Datenschutzbeauftragten eine entsprechende Lösung erarbeiten. Falls keine Cookies und externe Dienste zum Einsatz kommen, besteht natürlich kein Bedarf.

Auch in Hinblick auf das demnächst inkrafttretende TTDSG (Telekommunikations-Telemedien-Datenschutzgesetz), welches der europäischen ePrivacy-Verordnung in vielen Punkten vorgreift, ist eine weitere Beobachtung des Themas angebracht.