Consent-Tools: Consent-Management-Tools für Webseiten
Passende Arbeitshilfen
Jeder kennt die oft als nervig empfundenen Cookie-Pop-ups, auch als Consent-Abfrage oder Cookie-Tool bezeichnet. Diese Begriffe beschreiben im Endeffekt den gleichen Vorgang, nämlich die Abfrage einer Einwilligung des Besuchers einer Webseite. Für solche Einwilligungsabfragen haben sich Consent-Management-Tools etabliert, auch bekannt als Consent-Management-Plattform oder CMR. «Tool» ist dabei ein Synonym für einen Dienst, den der Betreiber auf seiner Webseite einbindet.
Das tun die Consent-Tools
Eine CMP fragt nicht nur eine Einwilligung ab, sondern verwaltet sie auch. So kann ein Verantwortlicher einer Person gegenüber besser nachweisen, dass sie zum Zeitpunkt X eine Einwilligung erteilt hat. Eine CMP soll zudem einwilligungspflichtige Vorgänge unterdrücken, bis tatsächlich eine Einwilligung der Webseitenbesucherin oder des -besuchers vorliegt.
Einwilligung für Cookies
Als einwilligungspflichtiger Vorgang wird oft allein das Verwenden von Cookies wahrgenommen. So begründet sich auch der Begriff des Cookie-Pop-ups. Tatsächlich entstehen Cookies nicht von selbst, sondern werden immer von Diensten erzeugt. Ein bekannter Dienst ist beispielsweise Google reCAPTCHA. Die Einwilligungspflicht für Cookies regelt § 25 Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG, siehe dazu Eckhardt, Heft 12/21, S. 16–18, abrufbar auch unter https://ogy.de/dpttdsg-tracking).
Einwilligung in Datentransfers in unsichere Drittländer
Neben Cookies gibt es andere Datenverarbeitungen, die typischerweise erst nach Einwilligung stattfinden dürfen. Dazu gehören Datentransfers in unsichere Drittländer. Die Fälle, in denen ein Vertrag oder eine andere Rechtsgrundlage als die Einwilligung vorliegen, betrachten wir hier der Einfachheit halber nicht weiter, ohne dass die Allgemeingültigkeit der Aussagen wesentlich darunter leiden würde.
Das Schrems-Il-Urteil des Europäischen Gerichtshofs (EuGH) hat die Problematik des Datentransfers in unsichere Drittländer ins Bewusstsein gehoben. Art. 49 Abs. 1 DSGVO beschreibt, für welche Fälle eine Einwilligung vorliegen muss, bevor ein Datentransfer in die USA oder andere unsichere Drittländer stattfinden darf.
Einwilligung in den Dateienabruf von Dritten
Oft sind Dateien so auf Webseiten eingebunden, dass sie von Dritten abgerufen werden. Auch dafür ist dann eine Einwilligung erforderlich. Beispiele sind Bilddateien, Hilfsbibliotheken oder Schriftarten. Nicht selten ist es allerdings möglich, diese Dateien einfach herunterzuladen und dann lokal auf der eigenen Webseite einzubinden. Das gebietet jedenfalls Art. 5 Abs. 1 Buchst. c DSGVO, der eine Datenminimierung fordert. Und es macht darüber hinaus eine Einwilligungsabfrage für diese Zwecke überflüssig.
Informationspflichten erfüllen
Consent-Management-Tools erfüllen nach Wahrnehmung vieler verantwortlicher Webseitenbetreiber neben den genannten Funktionen weitere Aufgaben. Hierzu gehört, die Pflichtinformationen gemäss Art. 13 DSGVO zur Verfügung zu stellen, und zwar in verkürztem, aber ausreichendem Umfang. Zu diesem Zweck liefern die Anbieter von Consent-Tools oft Mustertexte, um Dienste und Cookies zu beschreiben. Die Frage ist nun, in welchem Mass Consent-Management-Tools die Erwartungen erfüllen können und worauf Sie besonders achten müssen.
Passende Produkt-Empfehlungen
So funktionieren Consent-Tools
Consent-Tools lassen sich über ein Script einbinden. Typischerweise kommt das Script vom Anbieter des Tools. In anderen Varianten können Webseitenbetreiber das Script als lokales Plug-in verwenden.
Ein Consent-Tool arbeitet für gewöhnlich in mehreren Phasen:
- In der ersten Phase scannt es die zu schützende Webseite. Dabei versucht der Scanner, alle Ladevorgänge zu erkennen, die Cookie-behaftet sind.
- In der zweiten Phase präsentiert das Consent-Tool das Ergebnis. Der Webseitenbetreiber kann daraufhin in seinem Kundenbereich Anpassungen vornehmen. Beispielsweise kann er das Aussehen der Einwilligungsabfrage gestalten. Und er kann die Pflichtinformationen bearbeiten.
- In der dritten Phase wird das Script des Consent-Tools in die Webseite, die es schützen soll, eingebunden. Ruft dann eine Person eine Seite im Browser auf, versucht das Consent-Script, die Dienste zu blockieren, die es als einwilligungspflichtig erkannt hat. Erst nachdem die betroffene Person eine Einwilligung erteilt hat, so die Theorie, hebt das Tool die Blockierung für die Dienste, die nun durch Einwilligung legitimiert sind, auf. Die Seite lädt die Dienste tatsächlich und führt sie aus.
Handlungsempfehlungen
Diese typische Arbeitsweise von Cookie-Tools weist einige Unwägbarkeiten auf. Daraus ergeben sich Empfehlungen für datenschutzkonforme Webseiten.
Scripte tatsächlich automatisch blockieren
Eingebundene Plug-ins automatisch zu blockieren, funktioniert technisch generell nicht zuverlässig. Eine Untersuchung des Autors belegt dies (mehr dazu unter https://ogy.de/dr-dsgvo-cookie-popups). Kurz gesagt: Moderne Browser laden mehrere Scripte gleichzeitig. Bevor sie das Consent-Script fertig geladen haben, können weitere Scripte von anderen Tools bereits im Ladevorgang begriffen sein, obwohl dies nicht gewünscht ist.
Um dieses Problem zu entschärfen, empfiehlt es sich, zu blockierende Scripte entweder erst nach der Einwilligung oder inaktiv auszuspielen. Für Ersteres eignen sich vorgefertigte Plug-ins, die auf bestimmte Tools ausgerichtet sind, aber auch ein deaktivierter Programmcode. Ein solcher Programmcode verwendet die Direktive data-src statt src (src steht für Source = Quelle und ist Bestandteil des Script-Befehls).
Datenschutzhinweise individualisieren
Raten Sie, Datenschutztexte auf Consent-Pop-ups unbedingt unter die Lupe zu nehmen und ggf. zu überarbeiten. Der Aufhänger sollten in der Regel die eingebundenen Tools sein und nicht die Cookies. Sie sind den Tools nämlich untergeordnet. Consent-Tools, die den Begriff «Cookie» in ihrem Produktnamen führen, machen sich verdächtig, dieses Prinzip nicht ausreichend zu berücksichtigen.
Benennen Sie vor allem die Risiken bei potenzieller Übermittlung von Daten in die USA (Art. 49 Abs. 1 Buchst. a DSGVO). Achten Sie darauf, die Dienstanbieter mit Firmennamen, Adresse und Land des Sitzes anzugeben. Pro Dienst sollten zu jedem Cookie dessen Name, Zweck und Lebensdauer deklariert werden.
Prüfen Sie, ob der Cookie-Scanner alle Cookies zum Dienst finden konnte. Hierfür ist eine Anfrage beim Dienstanbieter hilfreich, falls Internetrecherche oder technische Untersuchung nicht weiterhelfen. Bitte beachten Sie, dass beispielsweise bei Google-Diensten mehr Cookies ins Spiel kommen, wenn der Besucher der Webseite währenddessen an einem Google-Dienst angemeldet ist.
Dateiabrufe, die Cookie-Tools nicht berücksichtigen können, etwa Schriftarten wie Google Fonts, sollten Webseitenbetreiber zudem möglichst durch lokale Kopien ersetzen.
Niemand sollte Consent-Management-Tools für Webseiten unreflektiert einbinden. Es reicht nicht aus, ein Consent-Script einzubauen und auf ein Wunder zu hoffen. Verantwortliche müssen ihre Webseiten oft technisch anpassen, um datenschutzkonform zu sein. Dazu gehört insbesondere,
- Ladeanweisungen für einwilligungspflichtige Dienste nur in aktivem Zustand anzuspielen oder gar
- Ladeanweisungen erst anzuspielen, wenn die Nutzerin oder der Nutzer eingewilligt hat.
Empfehlen Sie, keinesfalls darauf zu vertrauen, dass das Consent-Script die Dienste automatisch blockiert. Zu einer sauberen Webseite gehört es zudem, technisch nicht notwendige Dateiabrufe zu ersetzen. In diese Kategorien gehören Bilder, Schriftarten oder Tag-Manager, sofern kein gültiger Auftragsverarbeitungsvertrag existiert. Ausserdem gilt: Datenschutzhinweise lassen sich nur rechtssicher gestalten, wenn bekannt ist, wie ein gesetzter Dienst Daten verarbeitet und welche Cookies welchen Zweck erfüllen.