datenschutz.org logo

Ihr Ratgeberportal zum Datenschutz im Internet- und Arbeitsrecht

Datenschutz.org mobile logo

Mit Consent Management sichern sich Webseiten gegen Datenschutzverstöße ab

  • Von Gitte H.
  • Letzte Aktualisierung am: 7. September 2024
Geschätzte Lesedauer: 4 Minuten

Das Wichtigste zum Consent Management in Kürze

Was ist ein Consent-Management-System?

Bei einem Consent-Management-System handelt es sich um eine Software, die den Datenschutz im Internet gewährleisten soll. Sie verhindert, dass Webseiten die Daten von Nutzern ohne deren ausdrückliche Zustimmung verarbeiten können.

Ist Consent Management auf Webseiten Pflicht?

Ja. Sofern Sie auf Ihrer Webseite nicht-essentielle Cookies nutzen (und das tut beinahe jede Webseite), sind Sie als Betreiber verpflichtet, die Zustimmung der Nutzer einzuholen.

Was ist beim Consent Management zu beachten?

Stellen Sie sicher, dass das Consent-Management-Tool, das Sie nutzen, tatsächlich datenschutzkonform ist. Sowohl die Gesetzesgrundlage als auch die Rechtsprechung haben verschiedene Bestimmungen definiert, wie ein rechtskonformes Consent-Banner auszusehen hat. Ausführliche Informationen dazu finden Sie an dieser Stelle.

„Bitte einwilligen” – Ohne Consent Management geht es (fast) nicht mehr

Consent Management ist für viele Webseitenbetreiber Pflicht.
Consent Management ist für viele Webseitenbetreiber Pflicht.

Mehr zum Consent Management

Consent Management Provider Consent Tool für WordPressconsentmanager

Wenn Sie eine Webseite aufrufen, besteht eine hohe Wahrscheinlichkeit, dass diese bestimmte Daten von Ihnen speichern und verarbeiten möchte. Dahinter können unterschiedliche Absichten stehen, wie z. B.:

  • Analyse der Zugriffe auf die eigene Webseite
  • Unterscheidung zwischen menschlichem Nutzer und Bots
  • Angebot von Funktionen der sozialen Medien
  • Speicherung der vom Nutzer ausgewählten Einstellungen
  • Möglichkeit zum automatischen Ausfüllen von Formularfeldern
  • Personalisierung von Werbung
  • Weiterverkauf der Daten an Partner (z. B. für Werbung, Analysen)

Vor allem die beiden letzten Zwecke sind ein Grund, warum sich viele Nutzer nicht wohl dabei fühlen, wenn ihre Daten von Webseiten verarbeitet werden. Zum Glück sind sie diesbezüglich von der Datenschutz-Grundverordnung (DSGVO) geschützt, denn diese legt in Artikel 6 fest, dass die Verarbeitung von personenbezogenen Daten nur unter ganz bestimmten Bedingungen rechtmäßig ist. Wenn Sie z. B. eine Webseite aufrufen, kann es nötig sein, bestimmte Daten von Ihnen zu erheben, damit die Seite überhaupt richtig funktioniert bzw. Ihnen die Dienste anbieten kann, die Sie angefordert haben. In einem solchen Fall ist die Datenverarbeitung rechtmäßig. Oftmals sammeln Webseiten Daten aber auch zu nicht-essentiellen bzw. nicht-funktionalen Zwecken, was dann in der Regel nur unter einer einzigen Voraussetzung erlaubt ist: Der Nutzer stimmt dem ausdrücklich zu.

Da Webseitenbetreiber sehr hohe Bußgelder fürchten müssen, wenn sie gegen die DSGVO verstoßen – es sind Beträge bis zu 20 Millionen Euro möglich! –, bemühen sich viele, diese Einwilligung ordnungsgemäß einzuholen. Dazu hat es sich als gängige Praxis etabliert, dem Nutzer beim Aufrufen einer Webseite ein Banner zu präsentieren, über das er seine Einwilligung in die Datenverarbeitung geben kann. Dieses Vorgehen wird als „Consent Management” (zu Deutsch: „Verwaltung der Einwilligung”) bezeichnet.

So funktioniert Consent Management!

Stellen Sie sicher, dass Ihr Consent-Management-Tool wirklich rechtskonform ist.
Stellen Sie sicher, dass Ihr Consent-Management-Tool wirklich rechtskonform ist.

Um Consent Management zu betreiben, muss der Webseitenbetreiber in der Regel ein Consent-Management-Tool nutzen. Hierfür sind auch andere Begriffe geläufig wie „Consent-Management-Provider” oder „Consent-Management-Plattform”. Doch egal wie Sie es bezeichnen, es steckt immer das Gleiche dahinter: eine Software, die es dem Webseitenbetreiber ermöglicht, die datenschutzrechtliche Einwilligung der Nutzer einzuholen. In der Regel wird dazu ein Pop-up oder Banner eingeblendet, wenn die Webseite zum ersten Mal aufgerufen wird (erster HTTP-Request). Erst wenn der Nutzer hierüber der Erfassung seiner Daten zustimmt, erfolgt diese auch tatsächlich. Ohne die ausdrückliche Einwilligung wird die Datensammlung im Webseiten-Skript nicht ausgeführt.

Es gibt verschiedene Anbieter, die Consent-Management-Tools zur Verfügung stellen. Manche davon sind kostenlos, andere können nur gegen Bezahlung genutzt werden. Webseitenbetreiber sind hier gut beraten, sich nach seriösen Anbietern umzusehen und deren Software gegebenenfalls auch von ihrem Datenschutzbeauftragten überprüfen zu lassen. Denn nicht jede Software, die im Internet angeboten wird, ist tatsächlich auch datenschutzkonform.

Achtung! Sollte das Consent-Management-Tool, das Sie nutzen, unzureichend sein, können Sie sich nicht aus der Verantwortung ziehen, indem Sie die Schuld allein auf den Anbieter abwälzen. Unter bestimmten Umständen können auch Sie als Webseitenbetreiber dafür haftbar gemacht werden, wenn die genutzte Software gegen die Bestimmungen der DSGVO verstößt. Dies zeigt ein Urteil des Europäischen Gerichtshofs aus dem Jahr 2019 (EuGH, 29.07.2019 – C-40/17).

Rechtliche Bestimmungen zum Consent Management

Damit eine Consent-Management-Lösung rechtskonform ist, muss sie bestimmte Kriterien erfüllen. Einige davon ergeben sich direkt aus den gesetzlichen Grundlagen, andere wurden in den letzten Jahren durch die Rechtsprechung definiert:

  • Das bloße Surfen bzw. Scrollen auf der Webseite gilt nicht als Einwilligung in die Datenverarbeitung. Diese muss aktiv erfolgen, z. B. indem der Nutzer einen entsprechenden Button auf einem Banner anklickt.
  • Es muss sich um eine informierte Einwilligung handeln. Das heißt, der Nutzer muss über das Banner bzw. das Pop-Up erfahren können, welche Daten von ihm verarbeitet werden und zu welchem Zweck dies geschieht.
  • Der Nutzer muss die Möglichkeit haben, eine erteilte Einwilligung in die Datenverarbeitung zu widerrufen. Dies sollte genauso einfach sein wie die Erteilung der Einwilligung.
  • Der Nutzer muss über sein Widerrufsrecht aufgeklärt werden.
  • Die Consent-Banner müssen so gestaltet sein, dass der Nutzer nicht unbewusst manipuliert wird, eine bestimmte Entscheidung zu treffen (Vermeidung sog. „dark patterns”) . So darf z. B. der „Zustimmung“-Button nicht besser sichtbar sein als der „Ablehnen”-Button.
  • Das Consent-Banner muss die Möglichkeit bieten, die Datenverarbeitung bzw. das Setzen unnötiger Cookies abzulehnen.
  • Es darf auch keine Voreinstellungen im Banner geben, also z. B. dass bei „Ich stimme zu” bereits ein Haken in der Checkbox gesetzt ist, den der Nutzer erst deaktivieren muss, um die Datenverarbeitung abzulehnen.
Die Rechtsprechung hat inzwischen einige Bestimmungen zum Consent Management definiert.
Die Rechtsprechung hat inzwischen einige Bestimmungen zum Consent Management definiert.

Selbst wenn ein Webseitenbetreiber fast alle oben genannten Bedingungen einhält und nur gegen eine einzige verstößt, ist das Consent Management nicht mehr rechtskonform. Die Einwilligung der Nutzer wird damit ungültig und die Verarbeitung ihrer Daten stellt einen Datenschutzverstoß dar.

Den Gerichten ist es dann üblicherweise auch egal, dass sich der Webseitenbetreiber großteils an die Bestimmungen gehalten hat: Ein Consent-Banner ist entweder komplett rechtskonform oder gar nicht. Abstufungen werden hier nur insofern gemacht, als dass sie eventuell bei der Bemessung der Bußgeldhöhe berücksichtigt werden.

Bußgelder sind übrigens nicht das einzige, was Webseitenbetreiber bei Datenschutzverstößen fürchten müssen. Kommt das Gericht zu dem Schluss, dass Nutzerdaten ohne gültige Zustimmung erhoben und verarbeitet wurden, kann es unter Umständen den Betreiber dazu verurteilen, alle Daten rückwirkend zu löschen. Für manche Unternehmen kann das enorm geschäftsschädigend sein und stellt eine schlimmere Sanktion dar als das verhängte Bußgeld.

Quellen und weiterführende Links

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (24 Bewertungen, Durchschnitt: 4,08 von 5)
Loading ratings...Loading...

Weiterführende Suchanfragen

Das könnte Sie auch interessieren:

Über den Autor

Gitte
Gitte H.

Gitte ist seit 2017 Teil der Redaktion von datenschutz.org. In ihren Beiträgen befasst sie sich unter anderem mit der gesetzeskonformen Vernichtung von Daten, aber auch der Datenrettung und Datensicherheit.

Bildnachweise

Leser-Interaktionen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

✖ Anzeige
Haben Sie eine Rechtsfrage zum Thema DSGVO / Datenschutz?
Finden Sie jetzt mit Klugo einen Fachanwalt und lassen sich helfen!
Kostenlose Ersteinschätzung
X
Bleiben Sie über alle Änderungen sowie Tipps & Tricks informiert
Jetzt kostenlos per E-Mail abonnieren:
Mit dem Absenden akzeptieren Sie unsere Datenschutzerklärung.