Finger weg von Consent-Management-Tools!

Sie wachsen wie Pilze aus dem Boden: Junge Start-Ups und alte Platzhirsche entwickeln beinahe wöchentlich neue Angebote für Consent-Management-Tools. Alle haben eins gemeinsam: Sie können nicht erklären, worin der Vorteil ihrer Lösung gegenüber ein paar eigenen Zeilen JavaScript liegt. In diesem Artikel erkläre ich die Funktionsweise von Consent-Management-Tools bzw. Einwilligungsmanagement-Werkzeugen, stelle ihre Nachteile dar (neben dem Preis) und biete eine funktionierende Alternative.

Mit dem Urteil zu Planet49 hat sich die Online-Marketingwelt verändert. Keine Web-Agentur in Europa bindend weiterhin Google Analytics und ähnliche Dienste auf Kunden-Webseiten ein, ohne vorab vom Nutzer eine Einwilligung abzuverlangen. Und da kommen nun Consent-Management-Tools (CMT) ins Spiel. Gegen eine "geringe" Gebühr von 50$ bis zu 160€ pro Jahr und Domain werden von unterschiedlichen Consent-Management-Providern Code-Zeilen bereitgestellt, die vorab anfragen, ob der Webbesucher mit der Nutzung dieer externen Tools einverstanden ist.

Nur haben Consent-Management-Tools einen entschiedenen Nachteil! Sie bauen eine Verbindung mit einem externen Dienstleister auf, um den Webbesucher zu fragen, ob er möchte, dass Verbindungen mit externen Dienstleistern hergestellt werden dürfen. Das ist so, als ob man den Teufel mit dem Beelzebub austreiben möchte. Es ist schon verwunderlich, dass so viele Unternehmen und Webagenturen auf diesen billigen Trick mit der Bußgeld-Angst reinfallen. Frei mach dem IT-Motto: "Gibt es da kein Tool für?" wird erstmal gegoogelt und direkt gefunden. Consent-Management-Tools werden als Allheillösung für kleines Geld angepriesen.

Neben dem "kleinen" Preis, der bei 20 Domänen schonmal teurer werden kann und der fraglichen Einbindung externer Tools ohne Einwilligung (nämlich dem Consent-Manager selber), haben diese Werkzeuge zwei weitere Nachteile.

1. Sie sind definitiv nicht einfach zu integrieren. Es ist fremder Java-Code, der meistens schlecht dokumentiert ist. Diesen einzubinden bedarf meist viel Programmieraufwand und ist häufig je nach externem Tool - das geblockt werden soll - unterschiedlich.

2. Consent-Manager sind häufig nicht für alle eingesetzten, personenbezogenen Cookies verfügbar. Wenn Ihre Marketing-Abteilung also ein neues Tools evaluiert, welches dann eingebunden werden soll, werden diese ggfs. von den proprietären Consent-Managern nicht unterstützt.

Mein Tipp: Vermeiden Sie diese Nachteile und programmieren Sie mit einer switch-case Funktion ihre eigene Einwilligung nach der DSGVO. Ihre eigene Lösung sollte folgende Aspekte beinhalten:

  1. Fordern Sie die Einwilligung klar und deutlich ab.
  2. Informieren Sie über Widerrufsmöglichkeiten (mit Wirkung für die Zukunft!).
  3. Verwenden Sie die Sprachen, in denen auch Ihre Webseite erscheint.
  4. Verweisen Sie auf Ihre Datenschutzerklärung, in denen die eingesetzten Cookies erläutert werden.
  5. Nutzen Sie eine JavaScript API, die eine Speicherung von Cookies VOR Einwilligung unterbindet.
  6. Speichern Sie die Auswahl der Einwilligung / Nicht-Einwilligung als Domänen-Cookie ab.
  7. Wenn JavaScript deaktiviert ist, sollten Cookies nicht eingebunden werden.
  8. Dokumentieren Sie Ihre Lösung. Weisen Sie nach, dass personenbezogene Cookies nur nach Einwilligung verarbeitet werden.

Sie haben Fragen? Wenden Sie sich gerne an mich.

Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz & Informationssicherheit
Aachen

P.S. Ich freue mich über Ihre Kommentare, am liebsten wenn Sie einen anderen Standpunkt vertreten als ich.