Wie funktioniert eine Consent Management Platform (CMP) und was ist das?

First-Party Cookies sind für jede Web Page sehr wichtig. Sie erlauben es, Infos von Usern zu speichern. Auch helfen sie bei der Analyse von Data. Für AdTech aber sind Third-Party Cookies das A und O. So wird es Publishern erlaubt, Geld auf den Web Pages und mit ihrer Marke zu schaffen. Auch helfen sie, Maßnahmen für Werbung und Marketing zu machen.

Die DSGVO der EU hat aber viel Wirkung auf beide Arten von Cookies. Sie legt fest, wie Firmen die Cookies sammeln, speichern und nutzen. Die DSGVO bezieht sich auf Cookies, die Data über Personen speichert. Das ist jedes Teil der Data oder Info, die es erlaubt, einen User zu erkennen.

Der Artikel 6 der DSGVO schreibt vor, dass die Regeln zur Verarbeitung von Data zu beachten sind. Dies trifft für alle Bürger der EU und der EWR zu. Daher müssen Publisher und Betreiber von Web Pages den Content der User holen. Dieser muss frei erteilt, informiert, spezifisch und klar sein. Dann dürfen Cookies zum Zweck des Marketings und der Werbung gesammelt und genutzt werden.

Der Prozess muss gut verwaltet sein. Das ist sehr wichtig, besonders bei Web Pages, auf die jeden Tag viele User gehen. Mit einer Consent Management Platform (CMP), wird das Einholen von Consent einfach. Auch ist die Einhaltung der DSGVO so sicher.

Was ist eine Consent Management Platform (CMP)?

Das Verwalten von Consent ist wichtig für Web Pages. Nur so halten sie die EU Verordnung zum einholen von Consent ein. Mit einer CMP können Web Pages den Usern sagen, welche Art von Data sie sammeln. Dazu holen sie den Consent für bestimmte Zwecke der Verarbeitung von der Data.

Mit CMPs werden rechtliche Pflichten leichter gemacht. Diese sind:

• Den Usern Consent Pop-Ups und Widgets zeigen.

• Das Einholen und Speichern vom Consent der User. Auch das speichern von Änderungen an diesem.

• Das Einholen von Data, die vorab genehmigt wurde mit erlaubten Tags, bevor der User den Consent gab.

• Das Verwalten und Einholen von Data anfragen. Also das bearbeiten von Anfragen der Besucher im Bezug auf Zugang, Änderung, Verschiebung und Löschung ihrer Data.

Wie läuft das Einholen von User Content ab?

Das Erfassen und Speichern von User Consent ist anders je nach dem Tool, das genutzt wird. Hier ist ein Beispiel, wie dies aussehen kann:

Die technische Sicht von dem Erfassen und Speichern vom User Consent.

Braucht meine Web Page eine CMP?

Wenn eine Web Page die Data von EU und EWR Bürgern verarbeitet, muss sie die Gesetze erfüllen. Da ist es egal, ob die Firma ihren Sitz in der EU hat oder nicht. Sonst drohen der Firma strafen.

Die DSGVO schreibt den Betreibern von Web Pages vor, wie sie persönliche Data nutzen dürfen. Das fragen von Consent der User ist dabei die größte Pflicht.

Die DSGVO ist schon länger in Kraft. Dennoch machen viele große AdTech Anbieter, auch Google, es nicht möglich, dass über sie DSGVO konformer Consent eingeholt und verwaltet werden kann.

Zur gleichen Zeit verpflichten sie Firmen, die Produkte von Google nutzen, das sie Usern die Nutzung der Data mitteilen müssen. Auch müssen sie den Consent der User einholen. So sind Third-Party Consent Management Lösungen nötig. Eine davon ist der Piwik PRO Consent Manager. Sie holt den Consent zur Verarbeitung von Data ein. So ist es Usern möglich, die Rechte über ihre Data zu nutzen.

Liegt eine dieser Nutzungen vor, braucht eine Web Page ein CMP:

• Die Nutzung von persönlicher Data: Die Nutzung für Behavioral Advertising, Remarketing, Analyse, Personalisierung von Inhalten und E-Mail Marketing.

• Automatisierte Entscheidungsfindung: Das ist zum Beispiel das erstellen von Profilen des Verhaltens.

• Data Transfer ins Ausland: Sammeln Firmen Data von EU Bürgern und nutzen diese nicht in der EU.

Firmen, die mit Usern zu tun haben, brauchen den Consent der User. Nur so können sie Legal Data nutzen. Sonst kann dies weitreichende Folgen mit sich bringen.

So ist für die Nutzung im Bereich Marketing und Werbung das einholen von Consent nötig. Das betrifft Dinge wir E-Mail Marketing, Remarketing, Personalisierung und Profiling. Also alles das, wo die Data genutzt wird.

Hier gibt es aber auch Ausnahmen. Denn nicht für jede Nutzung muss der Consent der User geholt werden. Für die legale Nutzung von Data gibt es fünf Gründe, ohne, dass der User seinen Consent geben muss.

Wann wird der User Consent nicht gebraucht?

Der Consent ist einer von sechs legalen wegen, um persönliche Data zu nutzen. Die DSGVO bietet aber noch fünf weitere Arten dafür an. Bei diesen muss der User seinen Consent auch nicht geben, damit die Data völlig genutzt werden darf. Dazu gehören diese:

• Wenn ein Vertrag dies nötig macht: Braucht eine Person Waren oder den Dienst einer Firma, ist der Consent nötig. So kann die Bestellung gemacht werden. Zum Beispiel will eine E-Commerce Web Page Waren an eine Person schicken. Dazu braucht sie die Adresse.

• Verpflichtungen vom Gesetz her: Wenn das Nutzen der Data gesetz ist. Das kann zum Beispiel die Verarbeitung bei dem Auszug des Strafregisters sein.

• Zum Schutz des Lebens: Falls mit der Data ein Leben gerettet werden kann. Versicherungen und das Gesundheitswesen müssen den Consent nicht holen.

• Wenn öffentliche Aufgaben zu erfüllen sind: Behörden müssen die Bedingungen zum einholen von Content nicht erfüllen. Das sind zum Beispiel Schulen, Krankenhäuser, die Polizei und Behörden vom Staat. Sie müssen ihre Aufgaben machen, die dem öffentlichen Interesse dienen.

• Legitimes Interesse: Wenn die Nutzung von persönlicher Data ohne den Consent zu holen einen Grund hat. Bei der Auslegung dessen kann es verschiedene Ansichten geben. Ein Beispiel ist die Frage nach dem Alter in einem Web Shop, der Alkohol verkauft.

Bei machen dieser Fälle muss das Interesse der Person mit dem von dem Bearbeiter der Data abgewogen werden. Dieses darf nicht größer sein, als die Auswirkungen auf die Freiheit und Rechte der Person. Für alle ist dies aber nicht klar. Es gibt AdTech Firmen, die es als Ausrede nutzen. So nutzen sie das legitime Interesse, um persönliche Data zu holen. Dann können sie es für Profiling und Targeting nutzen. Dabei geht der Artikel 6 der DSGVO direkt darauf ein:

Hat der Controller oder eine Third-Party ein legitimes Interesse, ist der Verarbeitung der Data nötig. Es sei denn, die Rechte und Freiheiten der Person wiegen mehr als das Interesse. Das gilt besonders, wenn die Person ein Kind ist.

Die Hauptrolle der CMP

Eine gut laufende CMP sollte alle Aspekte des Users abdecken. Das ist nicht nur den Consent holen, wenn der User neu ist. Dazu zählt auch das Bearbeiten von der Anfrage zu seiner Data.

Das Einholen von Consent

Den Usern muss gesagt werden, dass ihre Data genutzt wird. Genaue Info sollte in der Privacy Policy oder einer Pop-Up Notiz stehen. Aber der User muss immer selbst wählen, ob er mit dem Zweck der Nutzung seiner Data genehm ist, oder nicht.

Die DSGVO gibt keinen klaren Standard vor, wie die Frage nach dem Consent sein muss. Pop-Up Boxen sind aber die Norm, und werden meist genutzt.

Ein Formular reicht aus, wenn der Consent für einen Zweck geholt wird. Hier: Analytik (Quelle: Piwik PRO Consent Manager)

Der User muss den Consent von selbst geben wollen. Das heißt, der Zugang zu einer Web Page darf nicht gesperrt sein, wenn der User Consent für das Remarketing nicht gibt. Der Consent muss auch einzeln gegeben werden können. Der User muss einzeln wählen können, für was seine Data genutzt wird. Das sind zum Beispiel die Art des Trackings, der Analyse oder anderer nutzen.

Hier ist ein Beispiel zu einem erweiterten Formular für den Consent. Der User kann einzeln wählen, wo er zustimmt. Das sind Arten der Nutzung der Data, wie zum Beispiel Analyse, Remarketing oder personalisierter Content. (Quelle: Piwik PRO Consent Manager)

Um sicher zu stellen, dass die Auswahl des Users gespeichert und respektiert wird, gibt es CMPs. So kann die Data nur zu dem Zweck genutzt werden, zu dem der User seinen Consent gab.

Ein First-Party Cookie speichert die Info über die Wahl des Users. Das heißt, dass der User erneut den Consent geben muss, wenn er die Cookies in dem Browser löscht. Aber auch dann, wenn er an einem neuem Gerät oder Browser ist.

Der Inhaber einer Web Page kann die Database mit dem Consent von allen Usern auf dem Admin Panel des CMP sehen. Die Entscheidung zum Consent kann für eine bestimmte Zeit gespeichert werden. Das hängt von den Settings der CMP ab. Auch kann der User stets erinnert werden, seinen Consent zu geben, falls er dies noch nicht getan hat.

Das Speichern von gesammelter Data

Die CMP macht das Verarbeiten der Anfragen von Usern über ihre Data leichter. Bei der Prüfung, ob alles DSGVO Konform ist, wird die Last auf das System kleiner. Die Behörden für Datenschutz können fordern, dass Sie nachweisen, dass der Consent der User Legal geholt wurde. Hier müssen diese Dokumente gespeichert werden:

• Wer gab den Consent: Also der Name der Person oder eine Art der Kennung. Das ist zum Beispiel eine E-Mail Adresse, ein Cookie oder die Geräte-ID.

• Wann wurde der Consent gegeben: Ein Online Record mit Timestamp.

• Wozu gab der User den Consent: Eine Liste mit Punkten, zu denen der User eingewilligt hat, wofür die Data genutzt werden kann.

• Ob und falls der Consernt widerrufen oder geändert wurde: Das ist auch ein Online Record mit Timestamp.

CMPs haben nicht nur Widgets und Pop-Ups, die den Usern gezeigt werden. Im Admin Panel können alle Consents und Anfragen der User zu ihrer Data gesehen werden. (Quelle: Piwik PRO Consent Manager)

Das Speichern der Info über den Consent hat zwei nutzen. Data Processor und Controller können es nutzen als:

• Dass sie den Behörden zeigen können, dass es ein System gibt, wo die Info über den Consent ist.

• Dass bei der Verarbeitung der Data die Rechte der User gemäß der DSGVO beachtet werden. Das sind das Recht auf Auskunft (Artikel 15), das Recht auf Berichtigung (Artikel 16), das Recht auf Löschung oder das vergessen werden (Artikel 17), das Recht zur eingeschränkten Verarbeitung (Artikel 18), das Recht zur Übertragbarkeit der Data (Artikel 20) und das Recht zum Widerspruch der Verarbeitung (Artikel 21).

Das Verschieben der Data und Usern die Option geben, den Consent zu ändern

Die DSGVO gibt dem Data Controller mehr Pflichten, als nur das Holen von Consents. Dem User muss es möglich sein, ihr Recht auf Änderung oder Löschung der Data nutzen zu können. Das heißt also, dass sie den Consent widerrufen können oder den Status des Consent ändern, wenn sie dies wollen. Das kann eine CMP bieten.

CMPs machen es möglich, mit Änderungen am Consent umzugehen.

Das Management des Status vom Consent der User wird mit einer CMP möglich. (Quelle: Piwik PRO Consent Manager).

Ein Zugang zu dem Consent Pop-Up ist für den User mit einer CMP möglich. So kann der User den Consent für jeden Zweck geben, und sein Rechte zu jeder Zeit ausüben.

Will ein User seine Data sehen, muss er eine Anfrage senden. Gemäß der DSGVO muss es dem User in einer strukturierten, gängigen und maschinell lesbaren Form gezeigt werden. Das wird auch Recht auf den Zugang von Data genannt. Dem User muss es auch möglich sein, diese Data einem anderen Controller zu geben.

Welche Vorteile gibt es noch, wenn eine CMP genutzt wird?

Das CMP bietet ein Admin Panel im Backend, das es dem Data Controller erlaubt, drei Ziele zu erreichen:

Ändern der Art, wie Tracking Tags auf einzelnen Seiten genutzt werden

Das Einhalten der DSGVO kann auf einer Seite entfernt werden. Ein neuer User auf dieser Seite erhält stets den Status Opt-In.

Entscheiden, welche Art von Tracking Codes den Consent brauchen

Der Data Controller kann wählen, wann ein Script dem User gezeigt wird. Das ist von selbst möglich, oder erst dann, wenn der User seinen Consent gegeben hat.

Eine Pop-Up Message schreiben

Das CMP sollte es dem Data Controller möglich machen, ein Pop-Up zu erstellen, dass dem Design der Web Page entspricht. Dies geht mit einem Editor, der leicht zu nutzen ist. Das Pop-Up wird gezeigt, wenn ein User zum ersten Mal auf die Web Page geht. Aber auch dann, wenn er vorher noch nicht den Status des Consents gewählt hat.

Das DSGVO Transparency und Consent Framework (TCF) der IAB

Das DSGVO TCF der IAB wird von AdTech Anbietern genutzt. Es ist dafür da, damit sie die Infos vom Consent austauschen können. Auch schlägt es vor, wie die Infos eingeholt werden können.

So wird der Prozess, wie der Consent für das Nutzen der Data von Usern geholt wird, geeicht. Es regelt auch, wie diese Info später für die Werbung genutzt werden darf. Aber dieses Framework ist nicht sehr genau. Zum Beispiel, wie mit der Anfrage von Usern und dem Speichern von Consent umzugehen ist. Das bezieht sich zum Beispiel auf die Rechte auf Auskunft, Änderung, Löschung usw.

Einige Worte zum Ende

Für Firmen ist das Einholen von Consent sehr wichtig. So können sie die Privatsphäre der User und die DSGVO beachten. Absolutes nutzen von User Data, sowie Analysen und Werbung sind ohne Cookies nicht mehr möglich. Das war für AdTech früher normal.

Das Einholen vom User Consent ist die Basis, um die Data Legal zu nutzen. Sie ist quasi für jede Art von Marketing und Werbung nötig. Um mit der DSGVO Konform zu sein, ist die CMP der beste Weg für eine Firma.