Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier
Ratgeber
23. März 2022

Consent-Management-Tools für Webseiten

Gratis
Consent Management Platform / Cookie-Banner: Eine typische Einwilligungsabfrage für Webseiten
4,50 (2)
Einwilligung
Eine Einwilligung auf einer Webseite abzufragen, geschieht meist über Cookie-Banner. Für solche Abfragen gibt es Tools ver­schiedener Anbieter. Was ist bei ihrem Einsatz zu beachten?

Jeder kennt die oft als nervig empfundenen Cookie-Pop-ups, auch als Consent-Abfrage oder Cookie-Tool bezeichnet. Diese Begriffe beschreiben im Endeffekt den gleichen Vorgang, nämlich die Abfrage einer Einwilligung des Besuchers einer Webseite.

Für solche Einwilligungsabfragen haben sich Consent-Management-Tools etabliert, auch bekannt als Consent-Management-Plattform oder CMP. „Tool“ ist dabei ein Synonym für einen Dienst, den der Betreiber auf seiner Webseite einbindet.

Das tun die Consent-Tools

Eine CMP fragt nicht nur eine Einwilligung ab, sondern verwaltet sie auch. So kann ein Verantwortlicher einer Person gegenüber besser nachweisen, dass sie zum Zeitpunkt X eine Einwilligung erteilt hat. Eine CMP soll zudem einwilligungspflichtige Vorgänge unterdrücken, bis tatsächlich eine Einwilligung der Webseitenbesucherin oder des -besuchers vorliegt.

Einwilligung für Cookies

Als einwilligungspflichtiger Vorgang wird oft allein das Verwenden von Cookies wahrgenommen. So begründet sich auch der Begriff des Cookie-Popups.

Tatsächlich entstehen Cookies nicht von selbst, sondern werden immer von Diensten erzeugt. Ein bekannter Dienst ist beispielsweise Google reCAPTCHA.

Die Einwilligungspflicht für Cookies regelt § 25 Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG, siehe dazu Eckhardt, Heft 12/21, S. 16–18, abrufbar auch unter https://ogy.de/dp-ttdsg-tracking).

Einwilligung in Datentransfers in unsichere Drittländer

Neben Cookies gibt es andere Datenverarbeitungen, die typischerweise erst nach Einwilligung stattfinden dürfen. Dazu gehören Datentransfers in unsichere Drittländer. Die Fälle, in denen ein Vertrag oder eine andere Rechtsgrundlage als die Einwilligung vorliegen, betrachten wir hier der Einfachheit halber nicht weiter, ohne dass die Allgemeingültigkeit der Aussagen wesentlich darunter leiden würde.

Das Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) hat die Problematik des Datentransfers in unsichere Drittländer ins Bewusstsein gehoben. Art. 49 Abs. 1 DSGVO beschreibt, für welche Fälle eine Einwilligung vorliegen muss, bevor ein Datentransfer in die USA oder andere unsichere Drittländer stattfinden darf.

Einwilligung in den Dateienabruf von Dritten

Oft sind Dateien so auf Webseiten eingebunden, dass sie von Dritten abgerufen werden. Auch dafür ist dann eine Einwilligung erforderlich. Beispiele sind Bilddateien, Hilfsbibliotheken oder Schriftarten.

Nicht selten ist es allerdings möglich, diese Dateien einfach herunterzuladen und dann lokal auf der eigenen Webseite einzubinden. Das gebietet jedenfalls Art. 5 Abs. 1 Buchst. c DSGVO, der eine Datenminimierung fordert. Und es macht darüber hinaus eine Einwilligungsabfrage für diese Zwecke überflüssig.

Informationspflichten erfüllen

Consent-Management-Tools erfüllen nach Wahrnehmung vieler verantwortlicher Webseitenbetreiber neben den genannten Funktionen weitere Aufgaben. Hierzu gehört, die Pflichtinformationen gemäß Art. 13 DSGVO zur Verfügung zu stellen. Und zwar in verkürztem, aber ausreichendem Umfang. Zu diesem Zweck liefern die Anbieter von Consent-Tools oft Mustertexte, um Dienste und Cookies zu beschreiben.

Die Frage ist nun, in welchem Maß Consent-­Management-Tools die Erwartungen erfüllen können und worauf Sie besonders achten müssen.

Beispiel

Kostenloses CMP-Tool

Für einen Grüne-Wiese-Ansatz findet sich ein kostenfreies Consent-Tool des Autors unter https://dr-dsgvo.de/consent. Das Tool hilft, Unsicherheiten zu erkennen, und löst das Problem mit unzuverlässig blockierten Script-Dateien.

So funktionieren Consent-Tools

Consent-Tools lassen sich über ein Script einbinden. Typischerweise kommt das Script vom Anbieter des Tools. In anderen Varianten können Webseitenbetreiber das Script als lokales Plug-in verwenden.

Ein Consent-Tool arbeitet für gewöhnlich in mehreren Phasen:

  • In der ersten Phase scannt es die zu schützende Webseite. Dabei versucht der Scanner, alle Ladevorgänge zu erkennen, die Cookie-behaftet sind.
  • In der zweiten Phase präsentiert das Consent-Tool das Ergebnis. Der Webseitenbetreiber kann daraufhin in seinem Kundenbereich Anpassungen vornehmen. Beispielsweise kann er das Aussehen der Einwilligungsabfrage gestalten. Und er kann die Pflichtinformationen bearbeiten.
  • In der dritten Phase wird das Script des Consent-Tools in die Webseite, die es schützen soll, eingebunden. Ruft dann eine Person eine Seite im Browser auf, versucht das Consent-Script, die Dienste zu blockieren, die es als einwilligungspflichtig erkannt hat. Erst nachdem die betroffene Person eine Einwilligung erteilt hat, so die Theorie, hebt das Tool die Blockierung für die Dienste, die nun durch Einwilligung legitimiert sind, auf. Die Seite lädt die Dienste tatsächlich und führt sie aus.

Handlungsempfehlungen

Diese typische Arbeitsweise von Cookie-Tools weist einige Unwägbarkeiten auf. Daraus ergeben sich Empfehlungen für datenschutzkonforme Webseiten.

Scripte tatsächlich automatisch blockieren

Eingebundene Plug-ins automatisch zu blockieren, funktioniert technisch generell nicht zuverlässig. Eine Untersuchung des Autors belegt dies (mehr dazu unter https://ogy.de/dr-dsgvo-cookie-popups). Kurz gesagt: Moderne Browser laden mehrere Scripte gleichzeitig. Bevor sie das Consent-Script fertig geladen haben, können weitere Scripte von anderen Tools bereits im Ladevorgang begriffen sein, obwohl dies nicht gewünscht ist.

Um dieses Problem zu entschärfen, empfiehlt es sich, zu blockierende Scripte entweder erst nach der Einwilligung oder inaktiv auszuspielen. Für ersteres eignen sich vorgefertigte Plug-ins, die auf bestimmte Tools ausgerichtet sind, aber auch ein deaktivierter Programmcode. Ein solcher Programmcode verwendet die Direktive data-src statt src (src steht für Source = Quelle und ist Bestandteil des Script-Befehls).

Datenschutzhinweise individualisieren

Raten Sie, Datenschutztexte auf Consent-Pop-ups unbedingt unter die Lupe zu nehmen und ggf. zu überarbeiten. Der Aufhänger sollten in der Regel die eingebundenen Tools sein und nicht die Cookies. Sie sind den Tools nämlich untergeordnet. Consent-Tools, die den Begriff „Cookie“ in ihrem Produktnamen führen, machen sich verdächtig, dieses Prinzip nicht ausreichend zu berücksichtigen.

Benennen Sie v.a. die Risiken bei potenzieller Übermittlung von Daten in die USA (Art. 49 Abs. 1 Buchst. a DSGVO). Achten Sie darauf, die Dienstanbieter mit Firmennamen, Adresse und Land des Sitzes anzugeben. Pro Dienst sollten zu jedem Cookie dessen Name, Zweck und Lebensdauer deklariert werden.

Prüfen Sie, ob der Cookie-Scanner alle Cookies zum Dienst finden konnte. Hierfür ist eine Anfrage beim Dienstanbieter hilfreich, falls Internet-Recherche oder technische Untersuchung nicht weiterhelfen. Bitte beachten Sie, dass beispielsweise bei Google-Diensten mehr Cookies ins Spiel kommen, wenn der Besucher der Webseite währenddessen an einem Google-Dienst angemeldet ist.

Dateiabrufe, die Cookie-Tools nicht berücksichtigen können, etwa Schriftarten wie Google Fonts, sollten Webseitenbetreiber zudem möglichst durch lokale Kopien ersetzen.

Praxis-Tipp
Niemand sollte Consent-Management-Tools für Webseiten unreflektiert einbinden. Es reicht nicht aus, ein Consent-Script einzubauen und auf ein Wunder zu hoffen. Verantwortliche müssen ihre Webseiten oft technisch anpassen, um datenschutzkonform zu sein. Dazu gehört insbesondere,

  • Ladeanweisungen für einwilligungspflichtige Dienste nur in inaktivem Zustand auszuspielen oder gar
  • Ladeanweisungen erst auszuspielen, wenn die Nutzerin oder der Nutzer eingewilligt hat.
  • Empfehlen Sie, keinesfalls darauf zu vertrauen, dass das Consent-Script die Dienste automatisch blockiert.
  • Zu einer sauberen Webseite gehört es zudem, technisch nicht notwendige Dateiabrufe von Dritten durch lokale Dateiabrufe zu ersetzen. In diese Kategorien gehören Bilder, Schriftarten oder Tag-Manager, sofern kein gültiger Auftragsverarbeitungsvertrag existiert.

Außerdem gilt: Datenschutzhinweise lassen sich nur rechtssicher gestalten, wenn bekannt ist, wie ein eingesetzter Dienst Daten verarbeitet und welche Cookies welchen Zweck erfüllen.

Dr. Klaus Meffert

Dr. Klaus Meffert
Verfasst von
Dr. Klaus Meffert
Dr. Klaus Meffert
Dr. Klaus Meffert ist Diplom-Informatiker und seit 30 Jahren in der IT-Beratung und Software-Entwicklung tätig. Kunden wie T-Systems, Fresenius und SAP begleitete er über viele Jahre. Seit 2017 ist er im digitalen Datenschutz tätig und berät Datenschutzbeauftragte, Internet-Agenturen sowie Endkunden.
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.