Als die Datenschutz-Grundverordnung (DSGVO) der EU vor knapp zwei Jahren in Kraft trat, verbreitete sich mediale Panik: Unzählige Schlagzeilen berichteten über Rekord-Abmahnungen und prophezeiten das Ende von Google Analytics. Zum Glück ist die Welle der Panik seit einiger Zeit abgeebbt, doch eine gewisse Unsicherheit bleibt … wie du Besucherströme denn jetzt tatsächlich gesetzeskonform tracken und auswerten kannst. Wir erklären die Datenschutz-Grundlagen und zeigen, wie Consent Management Provider dabei helfen können.

Sinn und Zweck der DSGVO

Fangen wir für ein besseres Verständnis beim Ursprung an. Die DSGVO verfolgt ein hehres Ziel: Sie soll die persönlichen Daten der EU-Bürger wirksam schützen. Dabei will sie auch ein Rahmenwerk schaffen, das dennoch einen freien Verkehr dieser Daten ermöglicht. Abs. 2, Art. 1 der DSGVO sagt explizit:

„Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.“[tweet]

Die Regelungen der DSGVO beziehen sich dabei, so regelt es Artikel 2, auf die folgenden allgemeinen Anwendungsfälle für personenbezogene Daten:

• Ganz oder teilweise automatisierte Verarbeitung
• Nichtautomatisierte Verarbeitung, wenn die Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen

Explizit von den DSGVO-Artikeln nicht betroffen sind dagegen persönliche oder familiäre Tätigkeiten. Auch sicherheits- und strafrelevante Vorgänge durch Behörden sowie spezielle Anwendungsfälle außerhalb des Unionsrechts sind Ausnahmen. Das bedeutet aber auch: Die Verarbeitung personenbezogener Daten durch Websites im Rahmen von Tracking kann in den Anwendungsbereich der DSGVO-Vorschriften fallen – ganz einig sind sich Experten und gängige Rechtsprechung dabei allerdings noch nicht. Aber schauen wir uns doch mal an, was die Regelungen der DSGVO eigentlich besagen.

Was schreibt die DSGVO genau vor?

Von zentralem Interesse ist hier die sogenannte Rechtmäßigkeit der Verarbeitung. Die DSGVO sieht die Datenverarbeitung gemäß Artikel 6 unter anderem dann als rechtmäßig an, wenn sie eine der folgenden Bedingungen erfüllt:

• Die betroffene Person hat eine Einwilligung gegeben.
• Die Verarbeitung ist zur Vertragserfüllung oder zur Durchführung vorvertraglicher Maßnahmen erforderlich.

Darüber hinaus gibt es weitere Legitimationsgründe, die jedoch für Website-Betreiber in aller Regel nicht greifen. Interessant ist der zweite Punkt: Wenn die Erfüllung des Vertrags mit dem Kunden die Datenverarbeitung erfordert, braucht es keine separate Einwilligung. So müssen Anwender einer SaaS-Anwendung z.B. regelmäßig nicht in das Setzen von Cookies einwilligen, die zur Nutzung zwingend erforderlich sind.

Alles darüber hinaus ist technisch nicht zur Vertragserfüllung notwendig und verlangt daher potenziell eine Einwilligung. Ob die häufig anzutreffende Opt-out-Lösung für Tracking-Cookies daher ausreichend ist, darüber gibt es bisher keine eindeutigen Erkenntnisse. Wer ganz auf Nummer sicher gehen möchte, fragt in jedem Fall zuvor nach der Einwilligung des Nutzers.

Wie muss die Einwilligung gestaltet sein?

Die DSGVO definiert, wie eine solche wirksame Einwilligung des Nutzers aussieht. Erwägungsgrund 32, Satz 1 sagt dazu:

Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist […].

Das ist kompliziertes Juristendeutsch, und Artikel 7 enthält weitere Regelungen. Daher vereinfachen wir das Ganze – wirklich wichtig sind sieben Kriterien für wirksame Einwilligungen:

• Freiwillig: Es gibt keinen Zwang zur Einwilligung, deine Website ist auch ohne die Einwilligung nutzbar.
• Informiert: Der Nutzer wird vorab in Kenntnis darüber gesetzt, wer und zu welchem Zweck welche Daten verarbeiten möchte.
• Granular: Die einzelnen Zwecke der Datenerhebung werden detailliert erläutert. Eine allgemeine Einwilligung in alle Cookies erfüllt die Anforderungen nicht.
• Explizit: Der Nutzer willigt aktiv ein, eine implizite Zustimmung reicht nicht aus. Die häufig anzutreffende Formulierung „das weitere Verwenden der Website“ stellt keine wirksame Einwilligung des Besuchers dar!
• Vorab: Der Nutzer willigt ein, bevor die Datenverarbeitung beginnt – das macht alle Opt-out-Ansätze obsolet.
• Widerrufbar: Nicht nur die Einwilligung selbst, auch die Rücknahme derselben ist für den Nutzer einfach und transparent.
• Dokumentiert: Als Websitebetreiber kannst du nachweisen, dass der Nutzer wirksam eingewilligt hat.

Die sieben Grundsätze wirksamer Einwilligung nach DSGVO

Du möchtest dich genauer über die Regelungen der DSGVO informieren? Unter dsgvo-gesetz.de findest du eine sehr gut aufbereitete Onlineversion der Verordnung.

Was bedeutet das für meine Website?

Da sich die Rechtsprechung bisher noch nicht explizit festgelegt hat und es auch wenig Präzedenzfälle gibt, lässt sich hier noch kein definitives Urteil fällen. Je nach befragtem Experten kann eine explizite Einwilligung für jede Art von Tracking erforderlich sein oder eine milde Opt-out-Variante auch schon ausreichen. Zum jetzigen Zeitpunkt lässt sich nur festhalten: Wer auf Nummer sicher gehen will, implementiert eine Einwilligungslösung für alle nicht-funktionalen Cookies nach DSGVO-Ansatz.

Das klingt alles relativ schwammig, und wer sich für ein vollständiges Opt-in-Verfahren entscheidet, wird schnell merken: Auch die Umsetzung ist nicht trivial. Aber zum Glück gibt es eine neue Gattung an Anbietern, die uns die Einhaltung aller Vorschriften erleichtern: Die sogenannten Consent Management Provider (CMP). Schauen wir uns das mal an.

Was sind Consent Management Provider?

Ein Consent Management Provider nimmt dir die zentrale Arbeit ab und kümmert sich um ein DSGVO-konformes Ausspielen der Cookies. Der Anbieter informiert den Nutzer über alle zu setzenden Cookies, dieser kann auf Wunsch auch feinteilige Einwilligungen erklären. Erst nach erfolgter und dokumentierter Einwilligung lädt der Provider die Drittanbieter-Tools nach. Zudem kann der Nutzer die erteilten Einwilligungen jederzeit leicht widerrufen.

Zusammengefasst:

Consent Management Provider ermöglichen DSGVO-konforme Einwilligungen und steuern den Einsatz der Cookies entsprechend der Entscheidung des Besuchers.[tweet]

Aus technischer Sicht bindest du hierfür meist ein Skript des CMP ganz oben auf der Website ein, welches das Laden weiterer Tools kontrolliert und nach Bedarf unterbindet. Die CMP-Lösungen stellen auch die Benutzeroberfläche für Information, Einwilligung und Widerruf bereit. In den meisten Fällen ist diese relativ leicht an das Design der Website anpassbar.

Funktionsweise eines Consent Management Providers

Das IAB Transparency and Consent Framework

Im April 2018, kurz vor dem Start der DSGVO, wurde auf europäischer Ebene das IAB Transparency and Consent Framework (kurz: IAB TCF) ins Leben gerufen. Es handelt sich hierbei um einen technischen Standard für den Austausch von Einwilligungen zwischen Werbetreibenden („Advertiser“), Websitebetreibern („Publisher“) und Werbeanbietern wie Google oder Criteo („Vendor“). Hierzu werden sogenannte Consent Strings erzeugt und zwischen den verschiedenen Parteien durch ein standardisiertes Verfahren ausgetauscht. Da auch Google dem IAB TCF beigetreten ist, werden in Zukunft auch populäre Dienste wie Google Ads und Google AdSense eine TCF-konforme Consent-Lösung unterstützen.

Die gute Nachricht: Zwar nicht alle, aber viele Consent Management Provider bieten bereits jetzt eine IAB-Zertifizierung an und integrieren das Framework in den übrigen Workflow, sodass sich für Websitebetreiber keine großen Hürden auftun.

Wie wähle ich einen passenden Consent Management Provider?

Wer sich für den Einsatz eines Consent Management Providers entscheidet, findet eine Vielzahl an Anbietern. Viele der Lösungen sind initial kostenlos, aber begrenzt z.B. in der Anzahl an Domains, Unterseiten oder monatlichen Besuchern – hier lohnt sich im Zweifel ein Kostenvergleich. Fast alle Anbieter bieten zudem kostenlose Testversionen an, um beispielsweise die Integration auf der eigenen Website besser evaluieren zu können.

Zu den populäreren Anbietern gehören unter anderem Cookiebot, Usercentrics, Quantcast und Consent Manager, aber die Liste potenziell interessanter Tools ist lang. Bei der Auswahl solltest du darauf achten, ob sich das Styling an deine Website anpassen lässt – häufig geht das erst ab einer kostenpflichtigen Version. Darüber hinaus solltest du auch prüfen, ob es sich um eine IAB-zertifizierte Lösung handelt, um optimal für die Zukunft gerüstet zu sein.

Was ist eigentlich mit Apps?

Guter Einwand! Zwar beziehen sich unsere bisherigen Erläuterungen primär auf Websites, aber die DSGVO-Regelungen betreffen alle Lebensbereiche der EU-Bürger. Und damit potenziell auch das User-Tracking innerhalb von Smartphone-Apps. Einige CMPs bieten passend dazu App-SDKs an, mit denen sich vollständiges Consent Management auch in native Apps integrieren lässt.

TL;DR

Leider gibt es, wie bei so vielen rechtlichen Themen, keine eindeutige Antwort auf die Frage, wie das Setzen von Cookies DSGVO-konform gestaltet sein muss. Experten sind unterschiedlicher Auffassung, und es mangelt an einschlägiger Rechtsprechung und Präzedenzfällen.

Wer auf Nummer sicher gehen möchte und eine Einwilligung nach DSGVO für alle Marketing- und Analysecookies einholt, der wird von Consent Management Providern dabei wirksam unterstützt. Die Tools können ohne großen technischen Aufwand in Websites eingebunden werden und kümmern sich um das Informieren des Nutzers, das Einholen der Einwilligung und die entsprechende Einbindung der Drittanbieter-Cookies.

Noch Fragen? Melde dich gerne bei uns, und wir versuchen, dich in deinem Anliegen zu unterstützen. Eine rechtliche Beratung können und dürfen allerdings auch wir nicht bieten.

Übrigens. Einen sehr spannenden Artikel über Website Tracking erwartet euch hier.