DSGVO-konforme Website mit Usercentrics: 10 Auswahlkriterien für die CMP

• Kriterium 1: Design & UI/UX individuell gestalten

Die CMP sollte es ermöglichen, das Banner-Design individuell an die bestehende Unternehmens-CI anzupassen. Dies hat massiven Einfluss auf die Opt-in Rate. Denn: Cookie-Nachrichten sollen den User weder irritieren noch verärgern. Im Idealfall werden sie als Element der Webseite wahrgenommen und fügen sich CI-konform in die Benutzeroberfläche ein.

Im Einzelnen bedeutet das:
✅ Eigenes CSS kann hinerlegt werden: So können Schriftarten & Button-Rundungen auf den Elementen exakt angepasst werden.
✅ Verschiedene Banner-Varianten vorhanden: So kann sowohl eine “Privacy Wall”, als auch ein Banner am Rand realisiert werden.
✅ Einfacher Test: Um die bestmögliche Einwilligungsquote zu erreichen, sollte man schnell und einfach mit verschiedenen Bannern experimentieren können.

• Kriterium 2: Rechtliche Flexibilität

Ändert sich ein Gesetz oder wird die Datenschutzstrategie geändert, sollte das Laden von Cookies / Plugins über die CMP kontrolliert werden können.

Denn: Es herrscht Unsicherheit über den 100% konformen Cookie-Banner. Einige Technologien fallen in den Graubereich “Einwilligung vs. berechtigtes Interesse”. Sobald die Rechtslage im Hinblick auf ePrivacy strenger wird, muss ein schneller Wechsel zu der Einstellung möglich sein.

Im Einzelnen bedeutet das:

✅ CMP ist flexibel: Pro Technologie und Kategorie lassen sich Plugins mit einem Klick ändern.

✅ Art der Einwilligung wird wertfrei unterstützt: Wird die Einwilligung (noch) nicht explizit, sondern implizit eingeholt, sollte dies für den Webseitenbetreiber ohne Einschränkungen möglich sein. (Ermessensentscheidung)

• Kriterium 3: Keine Pauschaleinwilligungen, sondern Granularität

Die CMP sollte in der Lage sein, die Einwilligung für einzelne Betreiber (z.B. Google, Facebook, …) und Zwecke (z.B. Retargeting, Tracking, Profiling …) separat einzuholen. Denn: Ein generelles “OK zu Cookies” kann nicht rechtswirksam gegeben werden, da die DSGVO diese verbietet. Die Einwilligung muss spezifisch erfolgen. Ein weiterer Grund, warum ein herkömmliches Cookie-Banner nicht mehr ausreicht.

Im Einzelnen bedeutet das:

✅ Selektion ist möglich: Technologie-Betreiber müssen einzeln im Frontend aufgeführt werden, so dass der User seine Einwilligung granular auf Technologieebene geben und widerrufen kann.

✅ Unterstützung diverser Technologien: Einwilligung kann je nachdem, welche Technologien tatsächlich verwendet werden, konfiguriert werden.

• Kriterium 4: Kompatibilität mit dem IAB TCF 1.0 und 2.0

Das IAB Transparency and Consent Framework (TCF) ist der erste Industriestandard, der ein technisches Format aufstellt, wie die Einwilligung programmatisch von Webseite zu “Vendor” übergeben werden kann. Alle großen AdTech Unternehmen wie Criteo, Adobe und Outbrain sind bereits Teil des Standards.* Denn: Google ist dem Standard im März 2020 beigetreten (inkl. Werbekundeneinwilligung). Alle Webseiten, die Google Produkte wie Retargeting/Remarketing verwenden, sind angehalten, dringend eine IAB-zertifizierte CMP zu implementieren.

Im Einzelnen bedeutet das:

✅ Unterstützung des IAB Standards mit explizierter IAB-Zertifizierung ist notwendig.

✅ Seit August 2019 muss die CMP die Aktualisierung des Standards, das TCF 2.0 berücksichtigen. Ein Zertifikat hierüber sollte Ihnen als Nutzer bereitgestellt werden.

• Kriterium 5: Auditsichere Dokumentation und Speicherung

Die DSGVO verlangt in Artikel 7, die Nutzer-Einwilligung zu dokumentieren. Daraus ergibt sich eine der zentralen Daseinsberechtigungen für die Implementierung einer CMP. Denn: Der Webseitenbetreiber trägt die Beweislast, dass er die Nutzereinwilligung konform eingeholt hat.

Im Einzelnen bedeutet das:

✅ CMP sollte Einwilligungen serverseitig UND auf dem Endgerät des Nutzers abgelegt werden.

✅ Export der Einwilligungen sollte aus der CMP leicht möglich sein.

✅ Bei Cloudanbietern sollten die Einwilligungsdaten auf EU-Servern gespeichert sein.

• Kriterium 6: Unterstützung von Cookies, Plugins, etc.

Das EuGH Urteil zum Facebook Like Button zeigt: Sämtliche Web-Technologien wie Plugins und integrierte Inhalte z.B. eingebettete YouTube-Videos, Google Maps und Social Media Like oder Sharing Buttons fallen im Rahmen der DSGVO unter die Einwilligungspflicht. Denn: Der Einsatz einer Lösung, die ausschließlich auf Cookies spezialisiert ist, ist nicht ausreichend. Sie haben dann nach wie vor eine offene Flanke und Ihre Webseite ist nicht datenschutzkonform. Doppelter Aufwand verursacht durch die Nutzung mehrerer Tools muss nicht sein und verursacht unnötige neue Probleme!

Im Einzelnen bedeutet das:

✅ CMP sollte das Ausspielen von Plugins beim ersten Besuch der Webseite/App solange blockieren, bis eine Einwilligung vorliegt.

✅ Die Einwilligung sollte sowohl über die generelle initiale Consent Notice (Banner oder Pop-up) erfolgen können, als auch im entsprechenden Kontext, wenn der jeweilige Inhalt angezeigt wird.

✅ Bei YouTube Videos kann dies z.B. über einen Overlay gelöst werden, welcher über dem Video liegt. So kann das Video erst nach vorliegender Nutzer-Einwilligung abgespielt werden. Idealerweise zieht sich die CMP dabei das Vorschaubild von YouTube, um die Opt-in-Rate weiter zu steigern.

• Kriterium 7: Rechtstexte & Integration in die Datenschutzerklärung

Eine gute CMP liefert notwendige Rechtstexte: Gemäß DSGVO müssen alle relevanten Informationen zur Datenerhebung und -verarbeitung z.B. durch Cookies und Plugins bereits zum Zeitpunkt der Einwilligung verfügbar sein. Denn: Der Webseitenbetreiber muss unabhängig von der Rechtsgrundlage seiner Informationspflicht nachkommen. Insbesondere die Vollständigkeit von Informationen lässt sich einfach von jedermann – auch von extern – überprüfen und bietet so ggfs. eine offene Flanke für Abmahnungen und Bußgelder.

Im Einzelnen bedeutet das:

✅ “Zum Zeitpunkt der Einwilligung” bedeutet: mit erstmaligem Aufruf der Webseite. Im Idealfall stellt die CMP eine Datenbank mit allen notwendigen Informationen als Template für sämtliche Technologien und Datenverarbeitungsdienste zur Verfügung, die gesteuert werden. Der User kann sich so über die Schaltfläche der CMP weiter informieren – ohne dabei bereits die Webseite zu benutzen.

✅ Eine eigene Textdatenbank wird außerdem angeraten, da Informationen von der CMP auch für den Dokumentationsnachweis der Einwilligung versioniert abgelegt werden sollten.

✅ Diese Rechtstexte müssen sich selbstverständlich mit dem decken, was in der Datenschutzerklärung aufgeführt wird. Daher ist es sinnvoll, die Texte der CMP (automatisch) in die allgemeine Datenschutzerklärung integrieren zu können, z.B. durch iFrame oder Embed.

• Kriterium 8: Features für Opt-in Reporting und Optimierung

Nicht jeder Nutzer wird seine Einwilligung geben, wenn er vor die freiwillige Entscheidung gestellt wird. Diese Tatsache macht die Einwilligungsquote bzw. die Opt-in Rate zur wichtigen neuen KPI für jeden Marketer und Webseitenbetreiber. Denn: Durch die Opt-in Rate lassen sich Rückschlüsse auf die eigene Wahrnehmung der Brand in Bezug auf Transparenz und Trust beim Nutzer bieten. Je höher das Vertrauen des Nutzers in die Marke, desto höher die Opt-in Rate.(Quelle: Harvard Studie)

Im Einzelnen bedeutet das:

✅ Eine Dashboard Übersicht gibt in Echtzeit Aufschluss über die Opt-in Rate.

✅ Auch A/B Testing mit der Möglichkeit, verschiedene Konfigurationen gegeneinander laufen zu lassen, ist essentiell.

✅ Um die Opt-in Rate nach Einbau der CMP stetig zu optimieren, ist auch ein Feature wie “Contextual Opt-in” sehr hilfreich. Denn der Nutzer ist am ehesten bereit, einzuwilligen, wenn er im aktuellen Kontext einen Mehrwert darin sieht.

✅ Beim “Contextual Opt-in” werden dynamische Seiteninhalte (YouTube Videos, Google Maps, Social Sharing Buttons) erst nach einer gültigen Einwilligung geladen und die Daten an den Dienst weitergegeben. (Vgl. auch EuGH Urteil zum Facebook Like Button)

• Kriterium 9: Widerrufbarkeit und Änderung der Präferenzen

Der Widerruf der Einwilligung bzw. der Widerspruch zur Datenverarbeitung ist ein wesentliches Recht des Nutzers und muss vom Webseiten- und App-Betreiber jederzeit ermöglicht werden. Denn: Gegen die spanische Airline Vueling wurde im Oktober 2019 ein Bußgeld von über 30.000€ verhängt, da sie argumentierte, dass der Opt-out von Cookies über die generellen Einstellungen im Browser möglich sei. Die spanische Datenaufsichtsbehörde sah darin hingegen einen Verstoß gegen das nationale E-Commerce-Gesetz. Good to know: am Ende musste die Airline nur 18.000€ zahlen, da sie schnell und kooperativ reagierte.

Im Einzelnen bedeutet das:

✅ Die CMP muss die Datenweitergabe bei Opt-out des Users unterbinden können – und das sofort.

✅ Es reicht dabei aus, wenn die Datenweitergabe ab dem nächsten Page Reload gestoppt wird. Streng genommen, kann dieser auch erzwungen werden, unterbricht damit aber auch den User Flow.

✅ Der Opt-out muss granular pro Technologie / Vendor möglich sein, sodass ein User z.B. nur aus Facebook Custom Audiences aus-opten könnte.

• Kriterium 10: Einbindung in Apps und die weitere Systemlandschaft

Auch in Apps und auf anderen Kanälen werden relevante personenbezogene Daten gesammelt und Technologien zur Analyse oder Personalisierung des Erlebnisses eingesetzt. Denn: Mit einem ganzheitlich gedachten Consent Management werden neue User Journeys möglich: z.B. könnte von einem eingeloggten Shop-Besucher gleichzeitig auch die Einwilligung zum Erhalt des Newsletters eingeholt werden oder seine Einwilligung zu Personalisierung im CRM mit den Bestelldaten verheiratet werden.

Im Einzelnen bedeutet das:

✅ Da auch für die Verarbeitung personenbezogener Daten in Apps eine Einwilligung nötig sein kann, macht es Sinn, dass eine CMP auch in Apps eingebunden werden kann. Dies lässt sich zum Beispiel für Native Apps über ein sogenanntes Mobile SDK abwickeln. Wenn also das mobile Erlebnis über die App besonders wichtig ist, sollte der Shopbetreiber speziell nach einer Mobile bzw. In-App CMP Ausschau halten.

✅ Die CMP sollte vielseitige Schnittstellen (API) und eine technische Dokumentation hierzu bieten, damit die eigene IT die CMP ggf. mit weiteren Systemen und Datensilos verknüpfen kann. Unser Partner Usercentrics gehört zu den Anbietern, die dieses Kriterium erfüllen. Besuchen Sie unsere Website, um mehr zu erfahren: Jetzt schlaumachen!