Datenschutzerklärung für Consent Management Provider

(4 Bewertungen, 3.75 von 5)

Was macht der Consent Management Provider?

Consent Management Provider ist ein Consent Management Tool, mit dem Webseitenbetreiber die Zustimmung ihrer User in die Datenverarbeitung einholen, verwalten und dokumentieren können. So fragt das Plugin beispielsweise die Verwendung von Tracking Cookies ab. Dabei ermittelt es auch, welche Designvariante bei Besuchern am besten funktioniert. Auf diese Weise können Seitenbetreiber hohe Zustimmungsraten erreichen. Advertiser und andere Partner können über eine standardisierte API abfragen, ob eine Zustimmung zu Werbemaßnahmen vorliegt.

Der Punkt "Consent Management Provider" muss Bestandteil Ihrer Datenschutz­erklärung sein!

Ihre Nutzer müssen in Ihrer Datenschutz­erklärung bei Verwendung dieses Dienstes informiert werden.

Datenschutz­erklärung kostenlos erstellen

Mit dem eRecht24 Datenschutz-Generator erstellen Sie im Handumdrehen eine DSGVO-konforme Datenschutz­erklärung.

Darum ist Consent Management Provider datenschutzrechtlich relevant

Consent Management Provider sammelt zahlreiche Daten zu Webseitenaufrufen und den gewählten Präferenzen zur Datenerhebung. Dabei erhebt das Tool zum Beispiel Daten zum verwendeten Browser und Details zu den spezifischen Einwilligungen der User, wie den Zeitstempel, Datenumfang und Datenattribute. Webseitenbetreiber müssen daher verschiedene Pflichten erfüllen, um den Anforderungen der Datenschutz-Grundverordnung (DSGVO) und des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) gerecht zu werden.

Consent Management Provider datenschutzkonform verwenden

Um Consent Management Provider datenschutzkonform zu verwenden, müssen Seitenbetreiber diese Pflichten erfüllen:

Datenschutzerklärung aktualisieren

Unternehmen müssen in ihrer Datenschutzerklärung über den Einsatz des Tools aufklären. Dabei müssen sie aufführen,

  • warum sie Daten zu den gewählten User-Präferenzen erheben,
  • wie lange sie diese Daten speichern,
  • welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 lit. c DSGVO) und
  • dass Nutzer der Datenerhebung widersprechen können.

Vertrag zur Auftragsverarbeitung schließen

Artikel 28 DSGVO gibt vor: Seitenbetreiber müssen mit Consent Management Provider einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) abschließen. Denn: Mit Consent Management Provider erhält ein Dritter Zugriff auf die Userdaten, um diese weisungsgebunden zu verarbeiten. Der Vertrag sollte dabei aufführen,

  • welche Nutzerdaten Consent Management Provider wie lange speichert,
  • warum und wie Consent Management Provider diese Daten verarbeitet und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Seitenbetreiber, die diesen gesetzlichen Vorgaben nicht nachkommen, müssen mit einem Bußgeld rechnen. Dabei gibt Artikel 83 Abs. 4 lit. DSGVO vor: Das Bußgeld kann bei bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes liegen.

Cookie-Einordnung anpassen

Consent Management Provider verfügt über einen Cookiescanner. Dieser erkennt automatisch die Tools von Seitenbetreibern, die Cookies verwenden. Consent Management Provider sortiert die Cookies dann in die entsprechenden Kategorien – essenzielle oder nicht essenzielle Cookies – ein. Seitenbetreiber müssen jedoch selbst noch einmal überprüfen, ob diese Einordnung richtig ist.  

Rechtsprechung zur Verwendung von Consent Management Provider

Zu Consent Management Provider liegt bisher – soweit ersichtlich – keine Rechtsprechung vor. Zwei Datenschutzbehörden haben jedoch bereits Bußgelder für einen fehlenden AV-Vertrag mit Dienstleistern ausgesprochen: 

Datenschutzbehörde Hamburg zum AV-Vertrag

Erhält ein Dritter Zugriff auf die Daten von Webseitenbesuchern, um diese weisungsgebunden zu verarbeiten, müssen Seitenbetreiber mit diesem einen AV-Vertrag schließen. Das stellte die Datenschutzbehörde Hamburg am 17.12.2018 fest, als sie ein Bußgeld gegen ein Versandunternehmen aussprach. Dies hatte keinen AV-Vertrag mit einem beauftragten Dienstleister geschlossen. Das Versandunternehmen musste daher eine Strafe in Höhe von 5250 Euro zahlen.

Datenschutzbehörde Baden-Württemberg zum AV-Vertrag

Dass Unternehmen mit Dienstleistern einen AV-Vertrag schließen müssen, bekam auch der Fußballclub VfB Stuttgart zu spüren. Dieser hatte zwischen 2016 und 2018 Mitgliederdaten an Dritte zur weisungsgebundenen Verarbeitung weitergegeben. Ein AV-Vertrag lag dafür jedoch nicht vor. Die Datenschutzbehörde Baden-Württemberg kam daher zu dem Schluss: Der Verein hat gegen Art. 28 DSGVO verstoßen. Die Behörde sprach daher im März 2021 ein Bußgeld in Höhe von 300.000 Euro aus.

eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details
Datenschutzerklärung kostenlos erstellen
Erstellen Sie kostenlos eine Datenschutzerklärung für Ihre Website
  • Rechtssichere Datenschutzerklärung - in nur 3 Minuten
  • Kostenlos und anonym
Datenschutzerklärung erstellen
(5334 Bewertungen, 4.35 von 5)