Datenschutz im Marketing

DSGVO inklusive: Was taugen Lösungen mit eingebautem Consent Management?

07.12.2020 - In mancher Software, von Shoplösung über CMS bis zu Datenschutz-Tools, ist das Consent Management schon eingebaut: DSGVO inklusive quasi. Klingt gut und ist praktisch - aber kann das gutgehen? Ein übersichtlicher Check.

von Sebastian Halm , Oliver Schonschek

Ohne ein datenschutzgerechtes Consent Management, eine informierte, dokumentierte Einwilligung nach Datenschutz-Grundverordnung (DSGVO), geht es im Online- Business nicht. Hierbei können Softwarelösungen helfen. Neben speziellen Consent-Management- Plattformen (CMP) gibt es Consent- Management-Funktionen, die Teile von Onlineshop Software, Content- Management-Software (CMS), Datenschutzsoftware und Digital-Identity- Lösungen sind. Das kann Vor und Nachteile haben. Wir geben einen Überblick.

Spätestens seit dem Urteil des Bundesgerichtshofs im Mai dieses Jahres kennen alle, die im Internet surfen, die sogenannten Cookie-Banner, so der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg.

Aufsichtsbehörden prüfen Tracking und Consent

Cookies und ähnliche Technologien ermöglichen es Website-Betreibern, für Seitenbesucher nützliche Funktionen bereitzustellen, zum Beispiel einen "Einkaufswagen" in einem Onlineshop - allein hierfür wäre keine Einwilligung der Nutzer erforderlich. Allerdings ermöglichen Tracking-Technologien auch, Nutzer geräteübergreifend wiederzuerkennen und ein Nutzerprofil von ihnen anzulegen und zu speichern, so die Aufsichtsbehörde. Dieses Wissen könnte der Betreiber mit Dritten wie Werbedienstleistern oder Sozialen Netzwerken teilen.

Wofür diese Datenprofile von den diversen Firmen genutzt werden, ist zumeist unklar. Für diese Anwendungen bedarf es der Einwilligung des Nutzers; diese soll durch die Cookie-Banner eingeholt werden. Aber erfüllen die eingesetzten Cookie-Banner überhaupt die Anforderungen der Datenschutz-Grundverordnung und geben sie den Nutzern eine freiwillige und tatsächlich informierte Wahl?

Ohne Consent Management ist Onlinemarketing nicht mehr möglich

Häufig leider nein, so müssen die Datenschutz-Aufsichtsbehörden der Länder immer wieder feststellen. Der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden- Württemberg prüft daher zeitgleich mit anderen deutschen Aufsichtsbehörden in einem groß angelegten Verfahren Onlineangebote auf eine rechtskonforme Einbindung von Trackingtechnologien. Dabei spielt insbesondere die datenschutzkonforme Umsetzung des Einwilligungsmanagements, des Consent Managements eine zentrale Rolle.

Worauf bei Einwilligungen besonders zu achten ist

Die Aufsichtsbehörden für den Datenschutz haben mehrfach klargestellt, was unter einem DSGVOkonformen Consent Management zu verstehen ist. Da es in der Praxis oftmals noch Abweichungen davon gibt, haben die Datenschützer Punkte, die häufig falsch gemacht werden, besonders herausgestellt:

  • Website-Betreiber müssen sicherstellen, dass die Einwilligung die konkrete Verarbeitungstätigkeit durch Tracking und Analyse und damit verbundene Übermittlungen des Nutzungsverhaltens an den Tracking- Dienstleister erfasst.

  • Ein bloßer Hinweis wie etwa "diese Seite verwendet Cookies, um Ihr Surferlebnis zu verbessern" oder "verwendet Cookies für Webanalyse und Werbemaßnahmen" ist nicht ausreichend, sondern irreführend, weil die damit verbundenen Verarbeitungen nicht transparent gemacht werden.

  • Nutzer müssen aktiv einwilligen, das heißt die Zustimmung darf nicht unterstellt und ohne Zutun des Nutzers voreingestellt sein. Ein Opt-Out- Verfahren reicht nicht aus, vielmehr muss der Nutzer durch aktives Tun (z. B. Anklicken eines Buttons) seine Zustimmung zum Ausdruck bringen.

  • Auch das bloße Nutzen einer Website (oder einer App) stellt keine wirksame Einwilligung dar.

  • Vor einer aktiven Einwilligung des Nutzers dürfen keine Daten erhoben werden.

  • Freiwillig ist die Einwilligung nur, wenn die betroffene Person Wahlmöglichkeiten und eine freie Wahl hat. Sie muss eine Einwilligung auch verweigern können, ohne dadurch Nachteile zu erleiden. Die Koppelung einer vertraglichen Dienstleistung an die Einwilligung zu einer für die Vertragserbringung nicht erforderlichen Datenverarbeitung kann gemäß DSGVO dazu führen, dass die Einwilligung nicht freiwillig und damit unwirksam ist.

  • Um die Anforderungen einer wirksamen Einwilligung auf Websites oder in Apps umzusetzen, sind insbesondere folgende Gestaltungshinweise der Aufsichtsbehörden zu beachten:
  • Klare, nicht irreführende Überschrift - bloße "Respektbekundungen" bezüglich der Privatsphäre reichen nicht aus. Es empfehlen sich Überschriften, in denen auf die Tragweite der Entscheidung eingegangen wird, wie beispielsweise "Datenverarbeitung Ihrer Nutzerdaten durch ".

  • Links müssen eindeutig und unmissverständlich beschrieben sein - wesentliche Elemente/Inhalte insbesondere einer Datenschutzerklärung dürfen nicht durch Links verschleiert werden.

  • Der Gegenstand der Einwilligung muss deutlich gemacht werden.

  • Der Zugriff auf das Impressum und die Datenschutzerklärung darf nicht verhindert oder eingeschränkt werden.

Viele Wege führen zum Consent Management

Wie ein solches Consent Management technisch genau umgesetzt wird, lässt die DSGVO offen, das ist auch nicht die Aufgabe einer solchen Verordnung, die generell "technologieneutral" sein soll. Entsprechend gibt es auf dem Markt auch viele Lösungsmöglichkeiten, darunter spezielle Consent-Management- Plattformen (CMP).

Die Anforderungen an ein Consent Management lassen sich aber auch erfüllen, wenn zum Beispiel eine Onlineshop-Software, ein CMS (Content Management System), eine Datenschutz-Software oder eine Lösung aus dem Bereich IAM (Identity and Access Management) spezielle Consent-Management- Funktionen enthält, das Consent Management also integriert ist. Wie dies konkret aussehen kann, zeigen die folgenden Beispiele.

Viele Onlineshop-Lösungen sehen das Consent Management als Erweiterung vor, zum Beispiel über das econda Consent Management Plug-in bei bestimmten Shopware- Versionen, mit Gentics Consent Management, mit dem Trusted Shops Consent Manager auf Basis von Usercentrics oder bei Shopify über die App GDPR Cookie Bar +ePrivacy Page.

Bei xt:Commerce zum Beispiel steht mit dem Update auf Version 6.2.2 dagegen eine im Standard integrierte Cookie-Consent-Lösung zur Verfügung. Über das Plug-in xt_cookie_consent können die DSGVO-Anforderungen an das Cookie Management erfüllt werden, so der Anbieter.

Consent Management mit CMS, MDM und CRM

Für CMS wie WordPress gibt es ebenso Plug-ins, die dem Consent Management dienen, wie zum Beispiel hellotrust. Auch bei Lösungen aus dem Bereich MDM (Master Data Management) gibt es integrierte Consent-Management-Funktionen, wie IBM InfoSphere MDM und Informatica Customer 360 zeigen.

Einwilligungen zusammen mit den Kundendaten zu verwalten ist natürlich ein bestechender Ansatz. Deshalb gibt es CRM-Lösungen (Customer Relationship Management), die auch Consent-Management Funktionen vorhalten, zum Beispiel bei Salesforce.

Consent Management als Teil einer Datenschutzsoftware

Ebenso ist es üblich, Consent Management als Teil weiterer Datenschutzaufgaben zu lösen, also innerhalb spezieller Datenschutzsoftware wie Clarip oder Airlock Secure Access Hub. Solche Datenschutzlösungen mit integriertem Consent Management holen die Einwilligungen nicht "für sich" ein, sondern für angeschlossene Applikationen, die über Schnittstellen verknüpft werden, zum Beispiel Onlineshops. Im Unterschied zu reinen CMP bieten diese Datenschutz-Management- Lösungen aber weitere Privacy-Funktionen an.


Consent Management mit einer IAM-Lösung

Da Einwilligungen stets mit Personen und ihren personenbezogenen Daten verknüpft sind, ist es nicht verwunderlich, dass es auch bei Lösungen rund um die digitale Identität entsprechende Funktionen für ein Consent Management gibt. Da solche Identity-Lösungen grundsätzlich Schnittstellen zu Anwendungen haben, für die die Identitäten genutzt werden können, werden auch die Consent-Funktionen anderen Applikationen bereitgestellt, also zum Beispiel Webseiten und Webshops. Beispiele für entsprechende Identity- Lösungen sind ForgeRock, Akamai Identity Cloud, Ping Identity, Onegini Identity Cloud und iWelcome.

Was bei einem integrierten Consent Management zu beachten ist

Wer vor der Frage steht, ob eine ausgesprochene Consent-Management- Plattform (CMP) oder aber eine Consent-Management-Funktion als Teil einer anderen Softwarelösung besser ist, sollte nicht nur an mögliche Zusatzkosten denken, die zum Beispiel eine spezielle CMP mit sich bringen kann. Es gibt weitere Faktoren zu bedenken.

Insellösung oder Offenheit: Consent Management ist nicht nur ein Thema für den Onlineshop oder die Website. Werden zum Beispiel Newsletter oder Apps angeboten, wird auch dafür ein Consent Management benötigt. Deshalb stellt sich die Frage, ob das integrierte Consent Management auch für weitere Onlinedienste eingesetzt werden kann oder ob es sich um eine Insellösung handelt. Generell sollte man bedenken: Eine Einwilligung gilt zwar jeweils nur für einen bestimmten Zweck und eine konkrete Datenverarbeitung, aber es ist trotzdem von Vorteil, wenn man das Thema Consent Management einheitlich löst und nicht mittels einer Sammlung von Insellösungen.

Kontrolle der Datenverarbeitung: Bevor der Nutzer einwilligt, sollte die Datennutzung verhindert werden, also ein Kennzeichen gespeichert werden, dass noch keine Einwilligung vorliegt. Nach der Einwilligung wird das Kennzeichen dann entsprechend geändert, bei einem Widerruf der Einwilligung ebenso. Dabei stellt sich die Frage, ob es Systeme oder Dritte gibt, die über die Einwilligung oder den Widerruf informiert werden müssen, und wenn ja, ob und wie die Consent-Management- Funktion dies unterstützt.

Alle Softwaremodule müssen den DSGVO-Anforderungen entsprechen.

Berücksichtigung von Drittanbietern:
Analysedienste und Werbepartner sind die typischen Dritten, für die eine (zusätzliche) Einwilligung erforderlich sein kann. Hier sollte es auch eine integrierte Consent-Management-Funktion erlauben, diese Partner mit deren Zwecken und Verarbeitungen zu beschreiben und für diese jeweils einzeln oder auf Wunsch des Betroffenen auch gesammelt die Einwilligung einzuholen.

Dokumentation der Einwilligungen: Es ist wichtig, dass die Einwilligungen dokumentiert werden. Für den Betroffenen, damit dieser nicht laufend erneut einwilligen muss, aber auch für den Anbieter der Website oder der App, damit der Nachweis erbracht werden kann, dass es eine Einwilligung als Rechtsgrundlage gibt oder gab. Dabei stellt sich die Frage, ob und wie die Consent- Management-Funktion die Dokumentation vornimmt; wo, wie und wie lange zum Beispiel diese Information gespeichert wird.

Wirksame Funktion für den Widerruf: Ein Widerruf muss dazu führen, dass die Verarbeitung auf Basis der Einwilligung für diesen Betroffenen und zu diesem speziellen Zweck gestoppt wird. Dabei muss der Widerruf genauso einfach zu tätigen sein wie die Einwilligung. Die Consent- Management-Funktion muss also auch den Widerruf rechtskonform abbilden, über einen Nutzerdialog, in der Dokumentation und in der weiteren Datenverarbeitung, die bei Widerruf beendet werden muss.

Es zeigt sich also: Wenn eine Applikation, wie zum Beispiel eine Shopsoftware, auch das Thema Consent Management berücksichtigt und bedient, ist dies durchaus hilfreich, da man keine spezielle Consent- Management-Plattform suchen muss. Allerdings gibt es hier einiges zu beachten: Wenn weitere Onlinedienste vorhanden sind, für die ein Consent Management abgebildet werden muss, ist entweder eine spezielle CMP gefragt, oder die integrierte Funktion muss offen genug sein, um auch dies zu unterstützen. Nicht zuletzt müssen auch Softwaremodule
und Funktionen für Consent Management alle Anforderungen aus der DSGVO erfüllen, ohne Abstriche, und nicht etwa nur die Spezialsoftwarelösungen CMP.

Ihr Guide im New Marketing Management - ab 6,23 im Monat!

Hat Ihnen diese Beitrag weiter geholfen? Dann holen Sie sich die ONEtoONE-Premium-Mitgliedschaft. Sie unterstützen damit die Arbeit der ONEtoONE-Redaktion. Sie erhalten Zugang zu allen Premium-Leistungen von ONEtoONE, zum Archiv und sechs mal im Jahr schicken wir Ihnen die aktuelle Ausgabe.

Vorträge zum Thema:

  • Bild: Markus Bückle
    Markus Bückle
    (econda GmbH)

    Die Herausforderungen im Datenschutz 2023 bewältigen

    Datenschutzkonforme Personalisierungs- und Analyticslösungen werden für die Zukunft immer wichtiger. Wir zeigen Dir, welche Möglichkeiten Du 2023 einsetzen musst, willst Du nicht mit der Zukunft Deines Unternehmens spielen.

    Diese Herausforderungen gibt es 2023 durch den Datenschutz:

    • Wie Personalisierung und Analysesoftware Dein Fachpersonal entlasten können.
    • Wie Du das Kostenargument bewältigst
    • Wieso 2023 der Einsatz von Google Analytics rechtlich bedenklich ist und von vielen Kunden auch schlicht abgelehnt wird.
    • Wie Du Deinen Datenbestand datenschutzkonform selbst aufbaust statt ihn an US-Anbieter zu veschenken

    Vortrag im Rahmen der Zukunftskonferenz 2023. Trends für ECommerce, Marketing und digitales Business am 07.12.22, 10:05 Uhr

www.hightext.de

HighText Verlag

Mischenrieder Weg 18
82234 Weßling

Tel.: +49 (0) 89-57 83 87-0
Fax: +49 (0) 89-57 83 87-99
E-Mail: info@onetoone.de
Web: www.hightext.de

Kooperationspartner des

Folgen Sie uns:



Besuchen Sie auch:

www.press1.de

www.ibusiness.de

www.neuhandeln.de