Consent Management in Europa – ein Überblick über die Lage in Deutschland, Frankreich und Großbritannien

09. Juli 2021 | 210 0

Wenn es um Datenschutz geht, dann dreht sich bei Marketers gleichzeitig viel um die Frage des Consent Managements. Gerade für international aufgestellte Unternehmen und deren Marketingabteilungen ist es häufig nicht einfach, einen genauen Überblick über geltende Datenschutzregelungen in verschiedenen Ländern zu behalten. Klar ist: Den Standard setzt die DSGVO. Lassen Sie uns darüber hinaus einen Blick auf die unterschiedlichen Auslegungen der DSGVO sowie die Datenschutzregelungen in Deutschland, Frankreich und Großbritannien werfen.

Consent ist der neue Dreh- und Angelpunkt für datengestütztes Marketing

Das Thema Consent nimmt weiter Fahrt auf und auch die Relevanz datenschutzkonform eingeholter Einwilligungen sowie der richtige Umgang damit steigt nach wie vor. Unternehmen und ihre Marketingteams kommen nicht darum herum, sich mit diesem Thema zu befassen. Sie müssen Lösungen finden, um die eingeholten Einwilligungen managen und im Ernstfall sogar nachweisen zu können.

In diesem Zusammenhang müssen sich Unternehmen den Problemen und Fragestellungen rund um das Thema Einwilligung stellen. Wie lassen sich die scheinbaren Gegensätze Performance-getriebenes Online-Marketing und der besondere Schutz personenbezogener Daten durch datenschutzkonforme Opt-ins entschärfen? Die Marken, die international tätig sind, stehen zusätzlich vor der Herausforderung, den jeweiligen Bestimmungen vor Ort gerecht werden zu müssen. 

  • Wie legt der BGH in seinen Rechtsprechungen in Deutschland den Datenschutz aus?
  • Was beinhaltet das neue Bundesdatenschutzgesetz?
  • Was hat es in Frankreich mit der CNIL auf sich?
  • Wie ist der Datenschutz in Nicht-EU-Mitgliedstaaten wie Großbritannien geregelt? 

Mit der Beantwortung dieser Fragen und dem besonderen Fokus in Marketingabteilungen auf den Datenschutz kann konkret der Grundstein für ein Online-Marketing gelegt werden, das nicht nur Performance-getrieben ist, sondern Consent Management auch als zentrales Element betrachtet.

Consent Management in Deutschland

In Deutschland basieren Datenschutz und damit verbunden auch Consent Management auf dem im Grundgesetz eingeräumten Recht auf informelle Selbstbestimmung. In diesem Rahmen verabschiedete der Bundestag am 20. Mai 2021 einen Gesetzesentwurf mit dem Namen “Telekommunikation-Telemedien- Datenschutzgesetz” (TTDSG), der zum Ziel hat, das Telekommunikationsgesetz (TKG) und das Telemediengesetz (TMG) zu novellieren und so beide Gesetze im Sinne der ePrivacy-Richtlinie der EU an die DSGVO anzupassen. Dieses Vorgehen ist unter anderem nach dem Urteil des BGH vom 28. Mai 2020 notwendig, nach dem die europäische Cookie-Richtlinie nicht vollständig in geltendes Recht umgesetzt wurde. Das TTDSG soll zum 1. Dezember 2021 in Kraft treten. Verstöße werden mit bis zu 300.000 € Strafe geahndet.

Hinsichtlich des Consent Managements ist die Stellungnahme des Bundesrats zu § 24 des TTDSG-Entwurfs höchst interessant: Während die stärkere Anlehnung des § 24 TTDSG-E an Art. 5 Abs. 3 der ePrivacy-Richtlinie begrüßt wird, wird gleichzeitig die einfache Gestaltung der Cookie-Banner mit zwei Buttons „Einwilligen“ und „Ablehnen“ als „zielführend“ empfohlen. Dies ist dahingehend spannend, da der Art. 5 Abs. 3 der ePrivacy-Richtlinie die Sicherstellung fordert, “[…] dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen […] seine Einwilligung gegeben hat.” In diesem Sinne hat auch der EUGH im Jahr 2019 im sogenannten Planet 49-Urteil entschieden und verdeutlicht, dass eine explizite Einwilligung weder bei einer vorausgewählten Checkbox, noch bei verallgemeinerten und mehrere Cookies betreffenden Info-Bannern wie “Surfen Sie weiter und profitieren Sie von den Vorteilen unserer Website” vorliegt.  

Ob und in welcher Ausgestaltung die Empfehlung des Bundesrats zu einer tendenziell strikten Auslegung des expliziten Opt-ins durch EuGH und BGH sowie der Diskussion um ein explizites Opt-in auch für technische Cookies passt und wie diese Stellungnahme umgesetzt werden könnte, bleibt daher noch abzuwarten. Das BMWi erklärt diesbezüglich in einer Pressemitteilung Folgendes: 

“Mit Blick auf Cookies soll mit dem TTDSG auch ein nutzerfreundliches und wettbewerbskonformes Einwilligungsmanagement erreicht werden, das anerkannte Dienste, Browser und Telemedienanbieter einbeziehen soll. Die nähere Ausgestaltung dieser neuen Strukturen soll im Wege einer Regierungsverordnung erfolgen, deren Erfolge die Bundesregierung beobachten und evaluieren wird (§ 26 TTDSG).”

Das Thema „Nudging“ oder auch: das Tricksen mit den Opt-in-Bannern

Der Begriff „Nudging” beschreibt den Versuch der Beeinflussung eines Websitebesuchers, um ihn zur Abgabe einer Einwilligung zu bewegen. Diese kleinen Tricks bei der optischen Ausgestaltung von Bannern sind aktuell möglich vor dem Hintergrund, dass es (noch) keine eindeutige gesetzliche Regelung oder Rechtsprechung dazu gibt.

Ein typisches Beispiel für dieses Phänomen ist die Verwendung von Bannern mit großen grünen Schaltflächen für die Funktion „Alle Cookies akzeptieren“ und einem kleineren blass-grauen Äquivalent für die Option „Cookies ablehnen“. Eine weitere wiederkehrende Praxis ist, dass Besucher sich durch eine Reihe von Einstellungen klicken müssen, um Cookies abzulehnen, während die Option zum Annehmen von Cookies direkt verfügbar ist.

Allerdings haben einige kürzliche Entscheidungen verschiedener Gerichte befunden, dass man es nicht zu bunt treiben sollte: Laut einer Veröffentlichung der niedersächsischen Aufsichtsbehörde führt „übermäßiges“ Nudging zur Unwirksamkeit der Einwilligung, da dem Nutzer keine echte Wahl gelassen wird. Auch ein Urteil des Landgerichts Rostock unterstützt diese Aussage. Dennoch sind bisher weder Verfahren noch Bußgelder bekannt, welche das Thema Nudging konkret aufgreifen. Hier wird es in Zukunft sicherlich noch weitere Entwicklungen geben. 

 

Und wie sieht es mit Newsletter-Tracking aus?

Ein weiteres wichtiges Thema in puncto Consent Management ist das Handling von Daten für den Versand von Newslettern. Die Notwendigkeit eines Double Opt-In ist mittlerweile eine bekannte und weitestgehend akzeptierte Voraussetzung. Problematisch wird es allerdings bei der Verarbeitung der Daten im Hintergrund der versendeten Newsletter, beispielsweise zu Analysezwecken.

Der rechtliche Rahmen zum Thema Tracking von Informationen wie dem Öffnen des Newsletters, Klicks auf enthaltene Links oder dem Öffnen enthaltener Dokumente ist bisher noch nicht detailliert geregelt. Klar ist: Auch für diese Verarbeitungen sollte wohl eine separate Einwilligung eingeholt werden. Unklar ist hingehen, wann diese Einwilligung am sinnvollsten eingeholt werden kann. Als praktikabelste Möglichkeit erscheint aktuell ein Hinweistext beim “ersten Opt-In“, das heißt zum Zeitpunkt, wenn ein User das Anmeldeformular des Newsletters ausfüllt. Eine konkrete Lösung hat sich in der Praxis jedoch noch nicht durchgesetzt. Auch dieses Thema muss daher weiterhin von Unternehmen und deren Marketers verfolgt werden, um wie bei allen Fragen rund um das Consent-Management auf dem aktuellsten Stand aller Regelungen und Rechtsprechungen zu bleiben

Ein modernes Online-Marketing kommt aufgrund einer immer komplizierter werdenden Datenschutzlandschaft nicht mehr um die EInführung einer Consent Management Plattform herum. Wichtig ist in diesem Zusammenhang, die Begriffe Datenschutzerklärung und Consent Management Plattform (CMP) klar voneinander zu trennen. Während die Datenschutzerklärung zur Erfüllung der Informationspflichten dient (Welche Daten werden erhoben und weiterverarbeitet? An wen werden diese unter Umständen weitergegeben?), geht es bei der CMP um die datenschutzkonforme Einholung einer wirksamen Einwilligung. Eine CMP hilft Website-Betreibern somit bei der korrekten Ausgestaltung und Ausspielung von Opt-in-Bannern.

Setzen Sie Ihr Consent Management mit unserem TrustCommander professionell und datenschutzkonform um!

Good to know:
A/B-Tests sind ein wichtiger Verbündeter bei der Optimierung Ihrer Opt-in Raten!

Sie merken schon: Das Thema Consent-Management hat aus Sicht von Marketers viel damit zu tun, Consent-Banner einerseits datenschutzkonform zu gestalten und andererseits so zu optimieren, dass die Opt-in-Rate möglichst hoch ausfällt. Zur Ermittlung geeigneter Opt-in-Bannerformate sind A/B-Tests prädestiniert! Überlassen Sie nichts dem Zufall und analysieren Sie durch das Ausspielen verschiedener Varianten in einem bestimmten Zeitraum genau, welche Bannerformate auf Ihre Website eine möglichst hohe Consent-Rate generieren! 

Unser aktuelles Datenschutz-Barometer zeigt beispielsweise, dass Consent-Banner am häufigsten in Form von Pop-ins (72%) dargestellt werden, um ein zu 100% explizites Opt-in einzuholen. Außerdem geben wir Ihnen 5 praktische Tipps mit an die Hand, um Ihre Consent-Banner möglichst effektiv zu gestalten. Das Gute daran: Diese Tipps orientieren sich an den Vorgaben der französischen Datenschutzbehörde CNIL, die bei der Interpretation  eines expliziten Opt-ins sogar noch einen Schritt weiter geht, als dies aktuell in Deutschland der Fall ist! 

Hier geht’s zum aktuellen Privacy-Barometer!

Consent Management in Frankreich

Die französische Datenschutzbehörde CNIL (Commission Nationale de l’Informatique et des Libertés) veröffentlichte im Oktober 2020 eine Richtlinie zu Cookies und anderen Trackern, die bis Ende März 2021 von allen Website-Betreibern umgesetzt werden musste. Zentrale Aspekte, die darin erläutert werden, sind die DSGVO-konforme Einwilligung, die Abschaltung von Opt-Out-Mechanismen, bei denen definitionsgemäß kein explizite Einwilligung vorherrscht, die Einhaltung der Transparenzanforderungen, eine einfache Möglichkeit zum Widerruf der Opt-Ins, sowie die Nachweisbarkeit aller Opt-Ins. Diese Cookie- und Tracking-Richtlinie ist sehr detailliert und gibt Informationen von der technischen bis hin zur rein optischen Gestaltung des Consent Managements auf Websites.

Ein besonderes Augenmerk legt die CNIL in ihrer Richtlinie auf die Fristen bezüglich der Speicherung von Cookies. So empfiehlt sie eine Lebensdauer von Cookies (d.h. wie lang ein gesetzter Cookie aktiv Daten sammeln darf) begrenzt auf einen Zeitraum, der einen relevanten Vergleich der Zielgruppen in dieser Zeit erlaubt, führt allerdings eine maximale Lebensdauer von 13 Monaten an. Die maximale Aufbewahrungsdauer der über diese Cookies gesammelten Informationen setzt die CNIL bei 25 Monaten an. Ein erneuter Besuch einer Website durch einen bereits getrackten Besucher stellt keine automatische Verlängerung dieser Laufzeit dar. Die von der CNIL genannten Laufzeit- und Speicherfristen sind einer periodischen Überprüfung zu unterziehen, um ihre Angemessenheit sicherzustellen.

Ablehnung und Widerruf des Consents

Zum Thema Ablehnung von Cookies legt die CNIL ebenfalls eindeutige Richtlinien fest. Hierbei stellt sie klar den Nutzer in den Vordergrund und macht deutlich, dass eine Ablehnung auf dem gleichen Bildschirm angezeigt und ebenso zugänglich sein muss wie die Einwilligung. Grafisch gesehen muss der Aufbau der Erklärungen „Alles akzeptieren“ und „Alles ablehnen“ gleich sein. Die Nutzung von unterschiedlichen Farben und die visuelle Hervorhebung des “Akzeptieren-Buttons”, wie im Kapitel “Nudging” beschrieben, ist in Frankreich daher in dieser Form nicht mehr zulässig. Darüber hinaus muss bei der Interpretation des Nutzerverhaltens ein „Fortfahren ohne akzeptieren“ als Ablehnung verstanden werden und der Website-Komfort des Benutzers darf nicht von der Einwilligung abhängig sein.

Der Widerruf der Einwilligung muss laut Richtlinie der CNIL jederzeit möglich und  genauso einfach gestaltet sein wie die Einwilligung selbst. Die Information über die Möglichkeit und das Vorgehen zum Widerruf muss sogar vor Erteilung der Einwilligung ersichtlich sein. Unternehmen müssen außerdem sicherstellen, dass der Widerruf der Einwilligung jederzeit funktionsfähig ist.

Transparenz als oberste Priorität

Alles in Allem stellt die CNIL in ihrer Richtlinie den Nutzer und seine Interessen klar in den Vordergrund. Dementsprechend spielt Transparenz eine übergeordnete Rolle und alle Informationen, die gesammelt werden, müssen deutlich und für den Nutzer verständlich dargestellt werden. Die nachfolgende Grafik gibt einen Überblick über verschiedene Informationstypen und wie diese dem Nutzer gegenüber präsentiert werden müssen:

Welche Cookies gelten in Frankreich aktuell als nicht einwilligungspflichtig?

Wie bereits angesprochen lässt sich zwischen technisch notwendigen und Analyse-Cookies (z.B Tracking- oder Affiliate-Cookies) unterscheiden. Generell gilt laut der ePrivacy-Richtlinie, dass alle technischen Cookies, die zum Betreiben einer Website erforderlich sind, keine explizite EInwilligung benötigen. Um aber herauszufinden, welche Cookies bzw. Tracker genau als “technisch notwendig” eingestuft werden, muss wieder einer genauer Blick auf nationale Auslegungen und Rechtsprechungen geworfen werden. In Frankreich fallen folgende Typen unter “nicht einwilligungspflichtig”: 

  • Tracker, welche die vom Nutzer geäußerte Entscheidung aufzeichnen
  • Tracker für die Authentifizierung bei einem Dienst und zur Gewährleistung der Sicherheit des Authentifizierungsmechanismus, z.B. durch Begrenzung verdächtiger Zugriffsversuche 
  • Tracker, die dazu bestimmt sind, den Inhalt eines Einkaufswagens auf einer eCommerce-Website zu speichern oder dem Benutzer gekaufte Produkte in Rechnung zu stellen
  • Tracker für die Anpassung der Benutzeroberfläche (z.B. für die Wahl der Sprache oder der Ansicht)
  • Tracker, die einen Lastausgleich ermöglichen
  • Tracker, die es kostenpflichtigen Websites ermöglichen, den freien Zugang auf Inhalte zu begrenzen
  • Bestimmte Tracker zur Messung der Besucher

Dennoch empfiehlt die CNIL, auch über von der Einwilligung freigestellte Cookies und deren Zwecke zu informieren, selbst wenn dafür keine generelle Einwilligungserfordernis gilt. Auch bestimmte Analyse-Cookies können in Frankreich von der Einwilligungserfordernis ausgenommen sein. Dazu müssen allerdings laut CNIL bestimmte Voraussetzungen erfüllt werden: 

  • Ohne Einwilligung können Analyse-Cookies verwendet werden, deren Tracking rein der Messung der Besucherzahlen dient.
  • Ebenfalls keine explizite Einwilligung ist erforderlich, wenn keine Verfolgung über verschiedene Anwendungen oder Websites hinweg stattfindet.
  • Als letzten Punkt führt die CNIL die Qualität der erhobenen Daten an. Dabei ist es erlaubt, Daten ohne Opt-in zu analysieren, wenn sie ausschließlich mit dem Ziel der Erstellung anonymer statistischer Daten verwendet werden, oder wenn kein Abgleich der Daten mit anderen Verarbeitungsvorgängen sowie  keine Weitergabe an Dritte stattfindet.

Consent Management im Vereinigten Königreich

Zu guter Letzt möchten wir auch einen kurzen Überblick zu den Anforderungen des Consent Managements nach britischer Auslegung geben. Das Vereinigte Königreich fährt datenschutzrechtlich trotz Austritt aus der Europäischen Union einen Kurs, der sich stark an der EU und damit an der DSGVO orientiert. Daher ergeben sich insbesondere im Zusammenhang mit Cookies wenige Unterschiede zu der EU, mit der Ausnahme, dass das Information Commissioner’s Office (ICO) als zuständige Behörde nicht nur finanzstark aufgestellt ist, sondern auch als deutlich strenger und  aktiver gilt, als dies beispielsweise bei deutschen Behörden aktuell der Fall ist.

So akzeptiert das ICO nur wenige Ausnahmen vom klar expliziten Einwilligungserfordernis. Cookies, die auch ohne Opt-in gesetzt werden können, müssen also nach einer maximal engen Auslegung „strictly necessary“ (technisch absolut notwendig) sein. Beispiele dafür sind Cookies, die es erlauben, einen Warenkorb für die nächste Sitzung zu speichern, oder die dazu dienen, z.B. die Sicherheit beim Online-Banking zu gewährleisten. Darunter fallen auch Cookies, die der Unterstützung beim Laden von Websites dienen. Eindeutig nicht dazu zählen Analyse-Cookies, Cookies zur Erkennung bestimmter Website-Besucher oder auch Cookies, die First-, Second- und/oder Third-Party-Daten zu Werbezwecken sammeln.

Analysedienste – ein europaweit umstrittener Aspekt

Der derzeit wohl umstrittenste Aspekt beim Consent Management auf Websites dreht sich um die Frage der Notwendigkeit von Analysediensten wie zum Beispiel Google Analytics und damit gleichzeitig um die Frage, ob diese Dienste eines expliziten Opt-ins bedürfen. 

Auch in diesem Zusammenhang basiert die Debatte auf dem bereits angesprochenen Art. 5 Abs. 3 der ePrivacy-Richtlinie, die die Regelungen für den Umgang mit Cookies auf EU-Ebene vorschreibt. Zwei Aspekte werden dabei allerdings unterschiedlich beantwortet:

  1. Gilt Art. 5 Abs. 3 der ePrivacy-Richtlinie auch für „cookieless“-Technologien?
  • Weder der BGH in Deutschland noch  der EuGH auf europäischer Ebene haben sich bisher diesbezüglich positioniert.
  • Frankreich und Großbritannien sehen die Anwendbarkeit des Art. 5 Abs. 3 der ePrivacy-Richtlinie auch für „cookieless“-Technologien.
  1. Sind Analysedienste als „technisch notwendig“ bzw. “strictly necessary“ gemäß Art. 5 Abs. 3 S. 2 der ePrivacy-Richtlinie anzusehen?
  • Deutschland hat sich bisher nicht positioniert.
  • Frankreich sieht „harmlose“ Analysedienste als „technisch notwendig“ an, allerdings ohne eindeutig zu erläutern, was genau darunter zu verstehen ist.
  • Großbritannien vertritt hierbei die strengste Ansicht und sieht alle Analysedienste als strikt einwilligungspflichtig an.

Das Ergebnis zeigt, dass die Verwendung von Analysediensten ohne eine wirksame Einwilligung ein höchst umstrittenes Thema ist. Trotz unklarer Lage ist auch in Deutschland von einer Verwendung von Analysediensten ohne eine wirksame Einwilligung tendenziell abzuraten.

Europäische Zusammenarbeit: Transparency & Consent Framework 2.0

Ein weiterer wichtiger Rahmen für das Consent Management ist das IAB-TCF 2.0, das in September 2020 eingeführt wurde. Einwilligungsmanagement nach dem Transparency & Consent Framework (TCF) von IAB Europe funktioniert über das Verzahnen von sogenannten Verarbeitungszwecken und Vendoren. Die Beschreibungen dieser Verarbeitungszwecke sind genau vorgegeben. Dabei geht das TCF schichtweise vor. So ist die Wiedergabe des „rechtlichen Volltexts“ verpflichtend. Es reicht nach den Regularien aber aus, auf einer ersten Ebene den „benutzerfreundlichen“ Text darzustellen und den „rechtlichen Volltext“ erst auf einer zweiten Ebene des Consent-Banners. Dabei darf an keiner Stelle von den offiziellen Textbausteinen und deren offiziellen Übersetzungen abgewichen werden.

Neben den Listen für Publisher, Content Management Systeme (CMS) sowie Werbetreibende und Agenturen, gibt die Vendoren-Liste des IAB-TCF 2.0 einen genauen Überblick darüber, welche E-Commerce-Shops unter das TCF 2.0 fallen. Die Umsetzung des TCF soll so einen Beitrag zur Verbesserung der Transparenz im Anbieter-Dschungel sowie zur Einhaltung der DSGVO leisten. Wichtig ist aber, dass das TCF nicht für sich allein die Einhaltung der DSGVO gewährleistet. Ob die DSGVO mit der Umsetzung des TCF tatsächlich eingehalten wird, ist juristisch separat und gegebenenfalls  im Einzelfall zu prüfen.

Aktuell gibt es viel Kritik am TCF 2.0. Kern dieser Kritik sind vor allem abweichende Anforderungen an Cookie-Banner im Vergleich zur DSGVO. Sie können hier mehr zu dieser Thematik erfahren.

Wir sehen: Die Situation ist komplex. Es ist als international agierendes Unternehmen nötig, sich stets zu informieren, um in allen Märkten datenschutzkonform zu agieren und lokale Besonderheiten zu berücksichtigen.

Sie möchten Ihre Herangehensweise an das Thema Consent Management überdenken und eine Consent Management Platform in Ihrem Unternehmen einführen oder konkrete Vorschläge zur Ausgestaltung Ihrer Cookie-Banner erhalten?

 Sprechen Sie uns an und machen Sie ein unverbindliches Beratungsgespräch mit uns aus! :)

Wir danken Dr. Christoph Bauer von der ePrivacy GmbH für die gute Zusammenarbeit im Zuge unseres gemeinsamen Webinars sowie bei der Erstellung dieses Artikels.

Zum Co-Autor Dr. Christoph Bauer: 

Christoph Bauer hat über 20 Jahre in der Medienindustrie als CFO und COO in namhaften Unternehmen wie Bertelsmann und AOL gearbeitet. Wunderloop hat unter seiner Leitung das ULD- und das EuroPriSe-Siegel für vorbildliche Einhaltung des deutschen und europäischen Datenschutzes erhalten. 

Christoph Bauer ist für Verbände in Arbeitskreisen und im Bereich Datenschutz tätig und berät führende Online-Marketing-Unternehmen in Fragen des Datenschutzes und der Gestaltung von Business-Modellen. Er wurde beim Landesdatenschutzzentrum Kiel (ULD) für Datenschutz-Siegel (BDSG a.F.) als Gutachter akkreditiert und lehrt als Professor an der HSBA (Hamburg School of Business Administration) in den Bereichen Finanzen, Medienwirtschaft und Entrepreneurship. Als CEO der ePrivacy GmbH erläutert er auf dem Unternehmens-Blog regelmäßig aktuelle Datenschutztrends.

 

Bleiben Sie regelmäßig über alle Neuigkeiten und Events von Commanders Act informiert und abonnieren Sie unseren Newsletter!