Was sind Consent Tools (CMP) und wer braucht sie?

Bereits in der zweiten Jahreshälfte 2019 entschied der Europäische Gerichtshof EuGH in einem Urteil, dass Internet-User der Speicherung sogenannter Cookies aktiv zustimmen müssen, bevor diese gesetzt werden dürfen.

Bis dato nutzten viele Webseiten nur Hinweisbanner, die auf die Nutzung von Cookies hinwiesen und stellten in der Datenschutzerklärung Links zur Verfügung, über welche man die Cookies der einzelnen Dienste deaktivieren konnte. Beim Laden der Seite wurden die Cookies also bereits gesetzt und Dienste wie Google Analytics wurden geladen ohne den User vorher um seine Zustimmung fragen. Das nannte man auch „Opt Out Verfahren“, denn der User hatte erst nachträglich die Möglichkeit, zu widersprechen.

Beispiel eines bisherigen, nicht mehr rechtskonformen Hinweisbanners:

Seit dem Urteil des EuGH und spätestens nach der Bestätigung durch den Bundesgerichtshof (BGH) Mitte 2020 hat sich dies geändert: User müssen zeitlich vor dem Laden der Dienste von Drittanbietern (Google Analytics, Google Maps, Youtube, Facebook, etc.), nach Ihrer Zustimmung (= Consent) gefragt werden. Dies wird auch als „Opt In“ Verfahren bezeichnet.

Dazu werden in der Regel Consent Tools von Drittanbietern verwendet, um die Rechtskonformität sicherzustellen. Die Tools werden als Consent Management Provider (CMP) bezeichnet

Der Consent Banner eines solchen Tools muss vor dem Laden von Cookies oder von Drittanbieterdiensten die Möglichkeit bieten, alle einzelnen Dienste zu aktivieren oder zu deaktivieren.

Beispiel eines aktuellen Consent Banners von Usercentrics:

Der Klick auf „Mehr“ öffnet die Einstellungen für die einzelnen Dienste:

Welche Cookies darf man ohne Einwilligung setzen?

Technische Cookies, die bestimmte Einstellungen des Nutzers speichern (z.B. den Warenkorb, Spracheinstellungen oder Log-In-Daten) benötigen keine Zustimmung des Users. Verwendet man nur solche Cookies, benötigt man kein Consent Tool und auch keinen Hinweis Banner.

Welche Cookies dürfen nicht ohne Zustimmung des Users gesetzt werden:

Dazu gehören die meisten Statistik und Marketing Cookies bzw. Pixel von Drittanbietern.
Bekannte Beispiele sind:

• Google Analytics
• Google Adwords
• Google Maps
• Youtube
• Facebook Connect
• Awin Affiliate Pixel

Setzen Sie solche Dienste ein, dann benötigen Sie ein Consent Tool (CMP).

Was ist mit dem Open Source Statistik Tool Matomo?

Bei einem selbst gehosteten Matomo werden zwar keine Daten an Dritte weitergegeben, aber dennoch werden ohne Nachfrage technisch nicht erforderliche Tracking Cookies gesetzt. Wir empfehlen daher Matomo in der Einstellung ohne Cookies zu betreiben, auch wenn das Tracking sicher etwas darunter leidet.

Was ist mit Youtube nocookie-Videos?

Youtube bietet seine Videos auch unter der URL youtube-nocookie.com an , ohne Cookies zu setzen. Da man aber nicht weiß, ob nicht andere Tracking Technologien eingesetzt werden, sollte man sich besser auch hier die Zustimmung des Users holen. Generell ist die Nutzung der Youtube-nocookie Domain aus Datenschutzgründen sicher zu bevorzugen.

Welche Consent Tools gibt es?

• Usercentrics
  
  Wir können die Usercentrics Lösung sehr empfehlen, da die Einbindung mit vergleichsweise wenigen Eingriffen möglich ist. Der Preis für die Business Variante kann sich bei trafficstarken Websites allerdings schnell über 200 €/Monat bewegen.
  Usercentrics bietet sein Tool in abgespeckter Version jedoch auch über Partner an wie erecht24.de oder trustedshops.de. Diese Light Versionen haben nur reduzierte Features, reichen aber in der Regel aus und sind zum Beispiel bei einer Mitgliedschaft bei erecht24.de kostenlos.

• Borlabs Cookies
  
  
  Borlabs Cookies ist eine günstige und einfach zu installierende Wordpress Lösung

• Consentmanager.net
  
  
  Sehr individuell einstallbares Tool mit eigenem Cookie Crawler, der auf nicht blockierte Cookies hinweist.
  
  
• Klaro Open Source Lösung
  
  
  Kalro.js ist eine Javascript Datei, die zusammen mit einer Config Datei auf der eigenen Webseite abgelegt wird. Das Tool ist kostenlos und eine gute Alternative, wenn man keinen kommerziellen Anbieter einsetzen möchte.
  Die Einbindung an sich ist sehr einfach. Es müssen aber alle Dienste wie Google Analytics usw. selbst in der Config Datei beschrieben werden. Das macht die Nutzung etwas aufwendiger.

IAB Transparency und Consent Framework (TCF)

2018 wurde das „IAB Transparency and Consent Framework“ von der IAB (internationaler Wirtschaftsverband der Onlinewerbebranche) gestartet, um die Werbewirtschaft zu unterstützen, die Datenschutzgrundverordnung (DSGVO) und die ePrivacy Richtlinie zu erfüllen.
Anbieter der Werbewirtschaft wie Google, Facebook, AWIN u.v.a sind innerhalb des IAB TCF als Vendors mit ausführlichen mehrsprachigen Beschreibungen und Datenschutzinformationen erfasst.

Vorteile IAB zertifizierter Consent Tools:

• Setzt man als Webseiten Betreiber ein IAB zertifiziertes Consent Tool ein, so braucht man sich in der Regel um aktuelle Beschreibungen der Drittanbieter Dienste (Vendors) nicht mehr zu kümmern, denn das übernimmt das Consent Tool.
  Der Implementierungsaufwand ist daher vergleichsweise gering
• Die Rechtskonformität der eingesetzten Banner ist zumindest deutlich wahrscheinlicher als bei eigenen oder nicht IAB TCF konformen Lösungen
  
  

Nachteile:

• Beim Consent Tool selbst handelt es sich um einen Drittanbieter, der zwar ohne vorherige Einwilligung geladen werde darf, aber der Anbieter sollte in der Datenschutzerklärung erwähnt werden
• Die Tools sind in der Regel kostenpflichtig

Unsere Meinung zum Thema:

Das Zeitalter des sorglosen Weitergebens von Daten an Drittanbieter ist vorbei.

Viele Werbetreibende werden das sehr bedauern, denn erfahrungsgemäß geben nur ca. 30-60 Prozent der User die Zustimmung, zum Beispiel zu Google Analytics. Google Analytics Daten werden jedoch meistens verwendet, um den Erfolg von Werbemaßnahmen, zum Beispiel mit Google Ads zu messen. Der Erfolg von Werbekampagnen und Affiliate Links lässt sich nur noch recht ungenau messen und kann teilweise nur noch hochgerechnet werden. Die Zielerreichungen einer Werbemaßnahme wäre beispielsweise wie folg hochzurechnen:
Conversions gesamt = (Gesamtbesucherzahl / Besucher mit Consent) x Conversions der Besucher mit Consent.

Strategie für mehr Consent:

Die Zustimmung lässt sich erhöhen, indem man ein Betreten der Seite beinahe oder fast verhindert, sofern der User nicht seine Zustimmung gibt. Diese Strategie ist interessant für starke Brands, deren User unbedingt auf die Webseite wollen und die Zustimmung in der Regel geben werden. Schwächere Marken werden ein Erzwingen des Consents tendenziell eher vermeiden, da dies mit höheren Absprungraten verbunden sein kann.

Das genaue Vorgehen beim Einsatz der Consent Tools und der Gestaltung des Consent Banners will also gut überlegt sein. Viele Tools bieten auch A/B Testing für verschiedene Consent Banner Versionen an, um die Zustimmung der Varianten zu testen und zu vergleichen.
Generell raten wir dazu, die eigene Webseite zu überprüfen und alle Drittanbietertools, die nicht benötigt werden, von der Webseite zu entfernen.

Bei Verwarnung durch die Aufsichtsbehörde, bringt unserer Meinung nach der Einsatz eines Consent Tools den Willen des Seitenbetreibers zum Ausdruck, die Daten seiner User zu schützen. Sollte es an der ein oder anderen Stelle zu Beanstandungen kommen, wird der Seitenbetreiber hoffentlich die Chance zur Nachbesserung erhalten ohne gleich ein Bußgeld bezahlen zu müssen.

Technische Umsetzung und Implementierung eines CMP:

die Implementierung unterschiedet sich je nach eingesetztem CMP und wird von den CMP Anbietern entsprechend dokumentiert.

Blockieren von Javascript
Generell muss bei allen Anbietern beim Laden von Drittanbietertools per Javascript in den Code eingegriffen werden, um das automatische Laden der Scripts beim Laden der Seite zu unterbinden.
Dazu wird der script type angepasst von application/javascript zu text/plain:
Beispiel:
<script type="application/javascript" …>
wird zu:
<script type="text/plain" …>

Außerdem wird dem CMP mitgeteilt, um welchen Vendor es sich handelt.
Hier unterscheiden sich die Vorgehensweisen je nach CMP.

Bei Usercentrics geschieht das mit dem Vendornamen, der der Dokumentation zu entnehmen ist.
Beispiel AWIN Affiliate Pixel:
<script type="text/plain" data-usercentrics="AWIN" async="" src="Bei Consentmanager.net wird dazu eine Vendor-ID verwendet. Außerdem wird eine Klasse „cmplazyload“ angegeben und „src“ wird zu „data-cmp-src“. Die Skripte müssen async fähig sein.
Aus dem Aufruf:
<script async src="https://www.googletagmanager.c..."></script>

wird bei Consentmanager.net folgender Aufruf:
<script data-cmp-vendor="s26" class="cmplazyload" data-cmp-src=https://www.googletagmanager.c...? id=UA-XXXXXX async ></script>

Wichtig:
noscript Alternativen sollten nicht mehr eingesetzt werden, da hierüber das CMP umgangen werden könnte.

Blockieren von IFrames:
IFrames für Youtube oder Google Maps werden bei Consentmanager.net ähnlich blockiert, wie die Script Aufrufe. Das „src“ Attribut muss auch hier geändert werden in „data-cmp-src“, um ein automatisches Laden des Frames beim Laden der Seite zu verhindern.

Bei Usercenrics dagegen wird dies über einen PrivacyProxy übernommen, der im <head> Bereich der Seite eingebunden wird:
<meta data-privacy-proxy-server = "https://privacy-proxy-server.u...">
<script type="application/javascript" src="
Dienste wie Youtube oder Google Maps werden damit automatisch blockiert und erst nach Consent durch den User geladen.

Unser Fazit der CMPs bzgl. Implementierung:

Usercentrics ist aus unserer Sicht aktuell das Tool mit dem geringsten Aufwand zur Implementierung bei den meisten Webseiten.

Mit Consentmanager.net lässt sich sehr flexibel das automatische Laden beliebiger Dienste blockieren. Die Implementierung ist dafür etwas aufwendiger

Borlabs Cookie für WordPress:
Unser Tipp für Worpress Seiten ist aktuell die Plugin Lösung von Borlabs