Datenschutzerklärung für Consent Management Provider

Darum ist Consent Management Provider datenschutzrechtlich relevant

Consent Management Provider sammelt zahlreiche Daten zu Webseitenaufrufen und den gewählten Präferenzen zur Datenerhebung. Dabei erhebt das Tool zum Beispiel Daten zum verwendeten Browser und Details zu den spezifischen Einwilligungen der User, wie den Zeitstempel, Datenumfang und Datenattribute. Webseitenbetreiber müssen daher verschiedene Pflichten erfüllen, um den Anforderungen der Datenschutz-Grundverordnung (DSGVO) und des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) gerecht zu werden.

Consent Management Provider datenschutzkonform verwenden

Um Consent Management Provider datenschutzkonform zu verwenden, müssen Seitenbetreiber diese Pflichten erfüllen:

Datenschutzerklärung aktualisieren

Unternehmen müssen in ihrer Datenschutzerklärung über den Einsatz des Tools aufklären. Dabei müssen sie aufführen,

• warum sie Daten zu den gewählten User-Präferenzen erheben,
• wie lange sie diese Daten speichern,
• welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 lit. c DSGVO) und
• dass Nutzer der Datenerhebung widersprechen können.

Vertrag zur Auftragsverarbeitung schließen

Artikel 28 DSGVO gibt vor: Seitenbetreiber müssen mit Consent Management Provider einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) abschließen. Denn: Mit Consent Management Provider erhält ein Dritter Zugriff auf die Userdaten, um diese weisungsgebunden zu verarbeiten. Der Vertrag sollte dabei aufführen,

• welche Nutzerdaten Consent Management Provider wie lange speichert,
• warum und wie Consent Management Provider diese Daten verarbeitet und
• welche Rechte und Pflichten die Verantwortlichen haben.

Seitenbetreiber, die diesen gesetzlichen Vorgaben nicht nachkommen, müssen mit einem Bußgeld rechnen. Dabei gibt Artikel 83 Abs. 4 lit. DSGVO vor: Das Bußgeld kann bei bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes liegen.

Cookie-Einordnung anpassen

Consent Management Provider verfügt über einen Cookiescanner. Dieser erkennt automatisch die Tools von Seitenbetreibern, die Cookies verwenden. Consent Management Provider sortiert die Cookies dann in die entsprechenden Kategorien – essenzielle oder nicht essenzielle Cookies – ein. Seitenbetreiber müssen jedoch selbst noch einmal überprüfen, ob diese Einordnung richtig ist.  

Rechtsprechung zur Verwendung von Consent Management Provider

Zu Consent Management Provider liegt bisher – soweit ersichtlich – keine Rechtsprechung vor. Zwei Datenschutzbehörden haben jedoch bereits Bußgelder für einen fehlenden AV-Vertrag mit Dienstleistern ausgesprochen: 

Datenschutzbehörde Hamburg zum AV-Vertrag

Erhält ein Dritter Zugriff auf die Daten von Webseitenbesuchern, um diese weisungsgebunden zu verarbeiten, müssen Seitenbetreiber mit diesem einen AV-Vertrag schließen. Das stellte die Datenschutzbehörde Hamburg am 17.12.2018 fest, als sie ein Bußgeld gegen ein Versandunternehmen aussprach. Dies hatte keinen AV-Vertrag mit einem beauftragten Dienstleister geschlossen. Das Versandunternehmen musste daher eine Strafe in Höhe von 5250 Euro zahlen.

Datenschutzbehörde Baden-Württemberg zum AV-Vertrag

Dass Unternehmen mit Dienstleistern einen AV-Vertrag schließen müssen, bekam auch der Fußballclub VfB Stuttgart zu spüren. Dieser hatte zwischen 2016 und 2018 Mitgliederdaten an Dritte zur weisungsgebundenen Verarbeitung weitergegeben. Ein AV-Vertrag lag dafür jedoch nicht vor. Die Datenschutzbehörde Baden-Württemberg kam daher zu dem Schluss: Der Verein hat gegen Art. 28 DSGVO verstoßen. Die Behörde sprach daher im März 2021 ein Bußgeld in Höhe von 300.000 Euro aus.