Consent Management Lösungen

Cookie- oder Consent Management Plattformen (CMP) – ein Erfahrungsbericht

Update 03.11.2019. Die von mir am 19.11.2019 verfasste Ausgangslage zu diesem Artikel war juristisch dünn – um es salopp auszudrücken. Logisch, denn ich bin kein Jurist. Sie begann mit den Worten „Ausdrücklich ist dieser Artikel nicht im Sinne einer Rechtsberatung zu verstehen. Ich bin kein Jurist“. Nun hat mein Artikel eine Aufwertung erfahren, wofür ich Rechtsanwalt Christian Schlundt von der Kanzlei https://whitefield.legal herzlich danken möchte. Er war auf meinen Artikel gestoßen und wir hatten ein interessantes Telefonat. Der Abschnitt „Ausgangslage“ stammt nun von ihm und ist juristisch deutlich präziser als meine ursprüngliche Textpassage.

Ausgangslage

Am 01.10.2019 hat der Europäische Gerichtshof im Urteil EuGH C-40/17 ein unter Datenschützern lange diskutiertes Thema entschieden. Im Kern geht es um folgenden Sachverhalt: Die Verwendung nicht technisch notwendiger Cookies beim Betrieb einer Website stellt eine Verarbeitung personenbezogener Daten im Sinne der DSGVO dar. Strittig war in diesem Rahmen ob hierfür die Einwilligung des Websitebesuchers erforderlich ist.

Die Datenschutzgrundverordnung regelt – wie der Name schon verrät – viele Bereiche lediglich in Grundzügen. Die konkrete Umsetzung der Normen sollte den Rechtsanwendern (Unternehmen, Aufsichtsbehörden und Gerichte) überlassen werden. Dieses gesetzgeberische „Konzept“ führte bei vielen Frage zu einer vollkommen ungeklärten Rechtslage. Hiergegen sollte teilweise die E-Privacy- Verordnung der EU Abhilfe schaffen. Diese sollte konkrete Fragen wie die vorliegende klären.

Diesem gesetzgeberischen Akt hat nun der EuGH vorgegriffen. Er hat hierbei nicht seine Kompetenzen überschritten, denn mit dem Urteil wurde kein neues Gesetz geschaffen, sondern lediglich ein bestehendes Gesetz (DSGVO) konkretisiert. Genau dies ist Aufgabe eines Gerichts. Natürlich kann der EU-Gesetzgeber in der E-Privacy- Verordnung eine andere Regelung treffen. Doch ist bereits jetzt absehbar, dass auch in dieser Verordnung für die Verwendung von nicht notwendigen Cookies eine aktive Einwilligung des Users erforderlich ist. Damit hat der EuGH also eine in Deutschland bereits jetzt verbindliche Rechtslage geschaffen. Die Umsetzung in nationales (deutsches) Recht ist hierbei nicht erforderlich. Dies sollte die meisten Websitebetreiber vollkommen überrascht haben. Bislang ist man davon ausgegangen, noch zwei bis drei Jahre aufgrund der Übergangsfrist der E-Privacy-Verordnung Zeit zu haben.

Welche konkreten juristischen Folgen hat dieses Urteil für alle Websitebetreiber? Bereits heute ist die Verwendung von technisch nicht erforderlichen Cookies ohne Einwilligung rechtswidrig. Das bedeutet, in diesem Fall läge ein Verstoß gegen Art. 6 DSGVO vor.

Welche Konsequenzen kann ein solcher Verstoß mit sich bringen? Sollte die Aufsichtsbehörde hiervon erfahren wird dieser Verstoß mit einem Bußgeld geahndet. Dies kann jederzeit geschehen, wenn sich z.B. ein unzufriedener Kunde „abreagieren“ möchte und die fehlende Einwilligung bei der Aufsichtsbehörde anzeigt. Die Höhe des Bußgeldes bemisst sich nach mehreren Faktoren und ist im Wesentlichen vom Jahresumsatz des Unternehmens abhängig. Ein kleines Rechenbeispiel: Für ein Unternehmen mit einem Jahresumsatz von 3 Mio EUR würde das Bußgeld mindestens 11.400 EUR betragen. Wichtig: dies gilt für jeden einzelnen Websitebesucher, da stets von jedem neuen Besucher eine neue Einwilligung eingeholt werden müsste.

Da Unternehmen, welche derartige Verstöße zu verantworten haben, meist über kein ausreichendes Datenschutzmanagement verfügen, gesellen sich in der Regel weitere Bußgeldtatbestände hinzu wie z.B. ein fehlendes Verarbeitungsverzeichnis, fehlende TOM, keine ausreichende Dokumentation, fehlende DSE, fehlende AVV etc. Auf all diese Sachverhalte wird die Aufsichtsbehörde normalerweise erst in Zusammenhang mit der erwähnten Anzeige eines unzufriedenen Kunden aufmerksam.

Welche technischen Lösungen bieten sich nun an, um die erforderliche Einwilligung einzuholen? Wie der Name schon sagt, kann ein Lösungsansatz der Einsatz einer Consent Management Plattform sein.

Was muss eine Cookie- oder Consent Management Plattform nach der neuesten Gesetzeslage können?

Vorab: Wenn Du nur notwendige Cookies auf Deiner Seite speicherst, brauchst Du Dich nicht weiter um das neue Gesetz zu kümmern. Notwendige Cookies sind z.B. Warenkorb-Cookies, Sprachauswahl-Cookies oder Cookies für Long-Ins – also sogenannte First Party Cookies.

Wenn Du Software im Einsatz hast, wie Analyse-Tools (z.B. Google Analytics), oder Werbung schaltest mit Google Ads oder Facebook und ein Tracking-Pixel nutzt, oder Re-Marketing Kampagnen durchführst, oder ein Marketing-Automation-Tool einsetzt, oder auf Deiner Website Filme oder Werbemittel einsetzt, die von Dritten stammen, dann benötigst Du eine Cookie- oder Consent-Lösung, die folgendes regelt:

  • eine explizite Einwilligung vom Nutzer einholt für das setzen von Cookies. Der Nutzer muss diese Einwilligung aktiv erteilen. Sie darf nicht schon per Default voreingestellt (angekreuzt) sein (das haben einfache Cookie-Scripte ja bisher auch getan). ABER – Cookies dürfen erst gesetzt werden, NACHDEM die Einwilligung erfolgt ist. Das haben einfache Cookie-Scripte oft nicht getan. Einfache Cookie-Scripte haben oft nur als Benachrichtigungsinstrument fungiert und bieten kein sofortiges Opt-out. Das Setzen von Cookies ohne Einwilligung wird von einfachen Cookie-Scripten nicht verhindert.
  • Demnach muss ein gesetzeskonformes Tool vor der Einwilligung alle Cookies (bis auf das eigene Cookie des Consent Tools) blocken. Die bis Dato gängigen Cookie-Scripte leisten das nicht – und genau hier der Knackpunkt.
  • Im Idealfall scanned das CMP die Website und klassifiziert die gefundenen Cookies. Nicht identifizierte Cookies können manuell einer Kategorie zugewiesen werden. Die Klassifizierung erfolgt u. a. nach Zweck – denn genau dazu sieht das Gesetz ja eine Informationspflicht vor.
  • Der Webseiten-Betreiber muss zwingend zu Detailinformationen über die eingesetzten Cookies, deren Lebensdauer und deren Zweck informieren. Ferner muss transparent gemacht werden, ob Dritte Zugriff auf den Cookie erhalten (das leisten die bis Dato gängigen Cookie-Script nicht. Die Aktualisierung dieser Infos ist im Normalfall auch eher komplex). CMPs müssen derartige Informationen bereitstellen. Die meisten CMPs bieten daher in der Einwilligungsbox einen Link der zu derartigen Informationen führt. Nun wird auch deutlich, warum der zuvor genannte Scan so wichtig ist. Ohne Scan gibt es keine Detailinformationen.
  • Die Einwilligungen können (nach aktuellem Stand) in Gruppen zusammengefasst sein und müssen nicht für jedes Tool einzeln erklärt werden. Die meisten Tools orientieren sich dabei am Zeck des Cookies. Eine sinnvolle Gruppierung ist z.B. : Präferenzen/Funktional, Statistik, Marketing. Auch die Orientierung am IAB-Standard (Interactive Advertising Bureau) kann, je nach Website, sinnvoll sein.
  • Webseiten-Besucher sollten ihre Zustimmung nachträglich widerrufen oder Detaileinstellungen ändern können.
  • Im Idealfall verfügt das CMP über Mechanismen, die ein hohe Zustimmungsrate fördern. Beispielsweise A/B-Testings unterschiedlich gestalteter Einwillugungsmeldungen.

Große Unterschiede bei den am Markt erhältlichen Lösungen


Die Vielfalt der CMP-Lösungen ist groß. Praktisch aus jedem europäischen Land gibt es eine oder mehrere Lösungen. Hinzu kommen noch Lösungen aus den USA, die ebenfalls auch explizit Anforderungen aus dem europäischen Rechtsraum bedienen. Zumindest werben sie damit. Das was diese Systeme letztlich leisten und auch was sie kosten, unterscheidet sich sehr deutlich. Auch die Wurzeln der Systeme sind sehr unterschiedlich.

Vor allem aber ist die Qualität und das Pricing sehr unterschiedlich. Manche Systeme sind ihr Geld nicht wert – andere haben mich auf Anhieb überzeugt. Ich habe Systeme gefunden, die haben ein tolles Frontend, haben aber in meinen Tests nicht einen einzigen Cookie vor der Zustimmung blockiert. Manche Scanner haben bestimmte Cookies gar nicht gefunden, manche Lösungen waren von der Bedienung her eine Katastrophe, machen Systeme waren in Punkto Implementierung extrem aufwändig (so, dass es keinen Spaß mehr gemacht hat damit zu arbeiten). In der folgenden Tabelle stelle ich einmal ein paar wichtige Unterschied gegenüber. Die Spannbreite dazwischen ist oft aber sehr groß.

PreisKostenfrei oder OpenSource
oder ab 8 Euro pro Monat
ab 1250 Euro in der Starterversion
HerkunftEigens erstellte Lösung für
den Bereich Cookie-Managment
Ergänzendes Produkt oder besser
„Neben-Produkt“, welches nur einen
kleinen Baustein im gesamten
Produktportfolio des Unternehmens
bietet.
FunktionsumfangNur Consent-Meldung in einem
Standardformat und
Cookie-Managment
Ergänzend zum Cookie-Management
werden auch Generatoren zur Erzeugung
von AGBs oder Datenschutzhinweisen
angeboten oder Scipte, die zumindest
die Infos der Kategorie „Cookies in einem
Datenschutzhinweis automatisiert
erzeugen. Ich habe auch Systeme
gefunden, die Generatoren für
Betroffenenanfragen anbiten.
Ferner ein Scanning von
verwendeten Cookies und ausgefeilte
Gestaltungsmöglichkeiten für die
Consen-Meldung (Hintergrund: Man
möchte natürlich von möglichst vielen
Besuchern die Akzeptanz von Cookies
einholen). Es gibt auch Syteme, die bieten
ein Scanning völlig losgelöst von der
Consentlösung an.
Doku- und SupportKlare und gute Dokumentation, die einen
nicht -ITler in die Lage versetzt, das Tool
erfolgreich und gesetzeskonform zu
einzurichten.
Verwirrende Dokumentation und ein
Support, der entweder kurzsilibig oder
gar nicht antwortet.
Implementierungs-
aufwand
3 Stunden und alles
läuft wie es soll
2 Tage, und immer noch
ungewiss ob alles
gesetzeskonform
eingerichtet ist

Hier nun meine Notizen zu den betrachteten Tools. Einige habe ich sehr intensiv getestet und auf Live-Webs eingesetzt (bzw. noch heute im Einsatz). Andere sind früh ausgeschieden, weil der Service schlecht war oder die Nutzerführung und Bedienung zu kompliziert war.

www.consentmanager.de
Herkunft: Schweden
Preisgefüge: Freie Version (bis 10000 PIs und max. 1 Website, Standardpaket € 50 / Monat, Enterprise € 695 / Monat
Art: Plattform mit Backend zur Einrichtung, aber auch zum Monitoring. Cookie-Scans erfolgen regelmäßig und werden in Berichten dokumentiert.
Positves: Einfache Bedienung. Nach dem Log-In waren die Scripte in weniger als drei Stunden angepasst und live (über GTM). Für WordPress existiert zur Einrichtung der Scripte für die eigentliche Cookie-Meldung ein Plug-in. Hilfe und Doku gut.
Nicht so gut: Service war eher kurzsilbig. Keine Integration der Drittanbieter-Blockierung über vorgefertigte Templates im Google Tag Manager. Einrichtung muss manuell erfolgen über umständlich über eine manuelle Modifikation der GTM-Tags.

www.cookiebot.com/de/
Herkunft: Dänemark
Preisgefüge: Freie Version für 1 Domain mit max. 100 Setien. Dann Steffelungen für €9, € 21 und € 37/Monat.
Art: Kleine aber feine Plattform mit Backend zur Einrichtung, aber auch zum Monitoring. Cookie-Scans erfolgen regelmäßig und werden in Berichten dokumentiert.
Bedienung : Einfache Bedienung. Nach dem Log-In waren die Scripte in weniger als zwei Stunden angepasst und live. Noch besser – auch die Blockierung der Cookies war geregelt. Das lag im Kern daran, ich die Lösung über GTM implementiert habe und das Unternehmen vorgefertigte GTM-Templates anbietet. Total abgefahren. Bei anderen Anbietern braucht man um die Blockierung korrekt einzurichten echt lange. Stunden – oder wenn viele Cookies im Einsatz sind auch mal einen Tag. Bei Cookiebot war in 2 Std. alles erledigt. Auch abgefahren – Cookiebot bietet ein zweites Scipt, welches eine Cookie-Erklärung generiert, die man z. B. in die Datenschutzerklärung (Bereich Cookies) einbauen kann. Diese ist dynamisch, wird automatisch regelmäßig aktualisiert und enthält alle Informationen über verwendete Cookies, die man sich nur vorstellen kann. Eine derartige Funktion habe ich bisher nur bei Cookiebot gefunden. Auch ein Link zur Änderung oder Widerrufung der individuellen Einwilliung ist Bestandteil der Cookie-Erklärung.
Nicht so gut: eMails werden nur sehr schleppend beantwortet.

usercentrics.com
Herkunft: Deutschland
Preisgefüge: keine Angaben auf Website
Nicht so gut: Zwar wird auf der Website zur Vereinbarung einer Demo eingeladen, bei mir hat sich das Unternehmen diesbezüglich aber nach 5 Tagen nicht gemeldet. Mein Anruf landete in einem externen Büroservice und ein Rückruf erfolgte nicht. Daher habe ich diese Lösung nicht weiter verfolgt und werde sie auch niemandem empfehlen. Update: Nach über einer Woche meldete sich dann jemand aus dem Sales und bot einen Webinar-Termin an. Einzelne Demos würden aufgrund der hohen Anfragen aktuell nicht mehr gemacht. Das System richtet sich wohl primär an High-End Webseiten-Betreiber. Das erklärt auch, warum es keine Preisinfos auf der Website gibt. Einen Self-Service soll es aber in einigen Monaten geben, so der Sales-Mitarbeiter (Stand 15.11.2019)

www.conversantmedia.eu
Herkunft: UK
Preise: Keine Angaben auf der Website.
Nicht so gut: Das Thema Cookie Managment ist für Conversantmedia nur ein Nebenkriegsschauplatz. Das Unternehmen ist im Werbegeschäft und bietet zahlreiche Lösungen. Deren Consent-Tool habe ich lange suchen müssen und schließlich unter www.conversantmedia.eu/consent-tool gefunden. Hatte nur danach gesucht, weil ich einem Artikel gelesen hatte, dass das Unternehmen ein kostenfreies Cosent-Tool anbietet. Ich habe das Formular ausgefüllt, aber nie eine Antwort bekommen. Im Kern prüft die Lösung von Conversantmedia, die auf dem Framework des IAB Europe basieren, ob ein Nutzer zugestimmt hat sowie für welche Zwecke und welche Anbieter (Vendoren) ein User zugestimmt hat. Daraus wird ein sogenannter Consent-String generiert und in ein Cookie gepackt. Andere CMP können dann auslesen, ob bereits ­eine Einwilligung des Users vorliegt.

quantcast.com
Herkunft: USA
Preisgefüge: Kostenfreie Lösung (Choice) und kostenpflichtige Premium Lösung (Choice Premium, ab $ 1250 pro Monat)
Art: Quantcast ist ein Unternehmen mit über 700 Mitarbeitern. Consent-Managment ist nur ein kleiner Angebotsbaustein des Unternehmens. Man muss auf der Hoempage einige Zeit suchen, um die Lösung zu finden (www.quantcast.com/gdpr/consent-management-solution/). Im Reiter „Produkte“ ist diese nämlich nicht mal verlinkt. In der freien Version wird kein Reporting angeboten.
Bedienung : Nachdem man über das Formulare auf www.quantcast.com/gdpr/quantcast-choice-self-serve/ die Cookie-Meldung angepasst hat, kann man das Script herunter laden und implementieren. Das geht über manuell oder über GTM bzw. andere Tagmanager. Für WordPress existiert ein Plug-In.
Nicht so gut: kein Cookie-Scanning in der freien Version und damit keine Auflistung der aktuell verwendeten Cookies (Stand 11/2019). Ob das in der Premium-Version der Fall ist, habe ich nicht untersucht. Nachdem ein Benutzer eine Einwilligungsentscheidung getroffen hat, teilt Quantcast Choice diese Einwilligung und überträgt sie an Drittanbieter im IAB-Framework. Deren Tags werden dann basierend auf den Zustimmungsentscheidungen des Benutzers ausgelöst. Qantcast Coice ist meiner Meinung nach extrem stark auf das Werberumfeld konzentriert und blockt beispielsweise keine Statistik-Cookies. Ich habe das Tool mittels WordPress-Plugin ( https://de.wordpress.org/plugins/tags/quantcast-choice/ ) implementiert, was bedeutet das sein Code vor dem GTM-Code ausgeführt werden müsste. Dennoch wurde – auch wenn ich die Ausführung von Statistik-Cookies verweigert habe – auch GA-Code ausgeführt. Vordergründig ist Quandcast Choice eine tolle Lösung. Wenn man genau hinsieht… na ja.

www.cookiepro.com
Herkunft: USA
Preisgefüge: Die Starter-Version geht bei $ 10 pro Domain los. Sie ist auf Webseiten mit maximal 500 Seiten limitiert. Die Standard-Version kostet $ 30 pro Monat und die Enterprise-Version kostet $ 45 im Monat. Typisch für Lösungen aus den USA ist, dass der Funktionsumfang und nicht nur die Quantität bei den teureren Paketen steigt.
Erfahrungen: Die Website macht zunächst einen guten und aufgeräumten Eindruck. Auch das System sieht nach dem Log-In sehr modern aus. Es wird eine Lösung für die Cookie-Einwilligung und eine für Betroffenenanfragen geboten. Vor jeder Lösung ist ein Erklärvideo geschaltet, welches zunächst einmal grob die Optionen der jeweiligen Lösung erläutert. Typisch für Lösungen aus den USA ist der extrem werbliche Charakter dieser Videos. Ein Klick weiter und man ist im Backend der Lösung zur Cookie-Einwilligung. Wie bei vielen anderen Lösungen auch, startet der Prozess mit einem initialen Scan der verwendeten Cookies. Diesen habe ich für eine meiner Webseiten initiiert. Der wurde am 20. November 2019 auch promt terminiert für den 13. Februar 2020. An dieser Stelle bin ich ausgestiegen. Ich hatte mich vier Tage lang gewundert, das nichts passierte in dem Tool. Dann endlich entdeckte ich den Grund. Man kann das Tool einsehen und erahnen, wie man damit arbeiten könnte – aber wirklich testen kann man es aufgrund der langen Terminierung für die Scans nicht.

www.iubenda.com
Herkunft: Italien
Preisgefüge: Es gibt eine kostenfreie Basisversion, die wg. einer Limitierung auf 25000 Pageviews für kleinere Webseiten ausreichen könnte. Die Pro-Version kostet $ 27 pro Jahr und die Ultra-Version $ 129 p. a..
Erfahrungen: Die Website sieht sehr modern aus. Gewundert habe ich mich über Preise in US-Dollar. In der italienischen Sprachversion erscheinen die Preise dann aber in Euro. Das angebotene Leistungsspektrum ist durchaus vielfältig. Neben einer Cookie-Lösung wird auch eine Constent-Lösung, ein Generator für Nutzungsbedingungen in acht Sprachen und eine Lösung für das interne Privacy Managment angeboten. Bei der Beschäftigung mit der kostenfreien Lösung musste ich leider feststellen, dass nach wenigen Klicks ständig Aufforderungen zur Buchung eines Kostenpflichtigen Paketes eingeblendet werde. Das nervt total. Außerdem habe ich nirgends Detailinformationen zur Lebensdauer von Cookies finden können und zu deren genauem Zweck. Daher habe ich mich mit dieser Lösung nicht mehr näher beschäftigt.


Aktuell teste ich noch weitere Lösungen. Dieser Artikel wird also in Kürze eine Fortsetzung erhalten. Weiter unten findest Du eine Liste der Tools, die ich mir noch ansehen werde. Vielleicht hast Du ja Lust, meinen Newsletter zu abonnieren oder bei Gelegenheit nochmal vorbei zu sehen…

Coming soon…. Eindrücke und Test-Erlebnisse zu den Tools:

www.oiljs.org, von Axel Springer

www.trustarc.com

traffective.com, Deutschland

campaign.onetrustpro.com/onetrustpro

Faktor.io, Niederlande

Didomi, FR 

sourcepoint.com, UK

truendo.com, Österreich

www.ccm19.de, Deutschland

de.borlabs.io/borlabs-cookie – Plug-In nur für WordPress. Die Vorgängerversion war ziemlich cool. Kürzlich kam die 2.1. raus. Werde ich mir auf jeden Fall auch ansehen und berichten. Allerdings – ist nur für Webseiten auf Basis von WordPress interessant. Eine Standalone-Version oder Versionen für andere Systeme gibt es nicht und sind auch nicht geplant.

Schlagworte:
2 Kommentare
    • Erwin Lammenett
      Erwin Lammenett sagte:

      Danke Johannes für Deine Rückmeldung. Ich werde Klaro auch noch auf meine Liste setzten. Aktuell habe ich meine Researcharbeiten aber geparkt, da ich derzeit an den Neuauflagen bzw. Aktualisierungen meiner Bücher arbeite. Die muss ich bis Jan. Feb. 2020 fertig haben 🙂 VG Erwin

      Antworten

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.