Was macht Usercentrics?
Usercentrics ist ein Consent Management Tool, über das Unternehmen die Zustimmung ihrer Nutzer in die Datenverarbeitung plattformübergreifend einholen, verwalten und dokumentieren können. In der Regel binden Unternehmen dafür ein Pop-up-Fenster auf ihrer Webseite ein, das nach der Datenerhebung fragt. Usercentrics ermöglicht es dabei, die Erlaubnis für verschiedene Verarbeitungszwecke, wie zum Beispiel für das Setzen von Tracking Cookies, einzuholen und so die Vorgaben der Datenschutz-Grundverordnung (DSGVO) sowie des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG (ehemals TTDSG)) zu erfüllen.
Ihre Nutzer müssen in Ihrer Datenschutzerklärung bei Verwendung dieses Dienstes informiert werden.
Datenschutzerklärung kostenlos erstellen
Warum ist Usercentrics datenschutzrechtlich relevant?
Um die Präferenzen der User bezüglich der Datenerhebung abzuspeichern, sammelt Usercentrics unter anderem Daten
- zum Logfile
- zum verwendeten Browser und
- zur Cookie-Einwilligung (ja oder nein, Zeitstempel, Datenumfang, Datenattribute, ControllerID, ProzessorID und EinwilligungID).
Unternehmen müssen daher verschiedene Pflichten erfüllen, um den Datenschutz zu wahren.
Usercentrics datenschutzkonform verwenden
Um Usercentrics datenschutzkonform zu verwenden, müssen Webseitenbetreiber diesen Pflichten nachkommen:
Vertrag zur Auftragsverarbeitung schließen
Webseitenbetreiber müssen mit Usercentrics einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) abschließen. Denn: Usercentrics erhält Zugriff auf Kundendaten der Webseitenbetreiber. Für so einen Fall schreibt Art. 28 DSGVO vor: Erhalten Dritte Zugriff auf personenbezogene Daten, müssen Seitenbetreiber mit diesen einen AV-Vertrag eingehen.
Webseitenbetreiber erhalten von Usercentrics auf Anfrage einen entsprechenden Vertrag. Sie sollten darauf achten, dass der Vertrag klärt,
- welche Kundendaten Usercentrics wie lange speichert,
- warum und wie Usercentrics diese Daten verarbeitet und
- welche Rechte und Pflichten die Verantwortlichen haben.
Kommen Unternehmen dieser Pflicht nicht nach, riskieren sie ein Bußgeld. Das kann bei bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes liegen. Dieses Strafmaß gibt Art. 83 Abs. 4 lit. a DSGVO vor.
Datenschutzerklärung aktualisieren
Seitenbetreiber müssen in ihrer Datenschutzerklärung aufführen,
- warum sie die oben genannten Daten erheben,
- wie lange sie diese Daten speichern,
- welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 lit. c DSGVO),
- dass sie mit Usercentrics einen AV-Vertrag geschlossen haben und
- dass Kunden die Datenerhebung durch eine entsprechende Einstellung im Browser verhindern können.
Cookie-Einordnung anpassen
Seitenbetreiber müssen selbst überprüfen, ob ein Cookie Consent Tool Cookies richtig einsortiert. Usercentrics verfügt über einen Cookie-Scanner, der Programme mit Cookies erkennt. Seitenbetreiber müssen die Cookies dann lediglich in die Kategorien „Essenzielle Cookies“ und „Nicht essenzielle Cookies“ einsortieren. Worauf Seitenbetreiber sonst noch achten müssen, wenn sie Cookie-Einwilligungen mit Usercentrics einholen, zeigen wir in unserem Artikel „Anleitung: Consent Management mit Usercentrics einbinden“.
Rechtsprechung zur Verwendung von Usercentrics
Bisher liegt – soweit ersichtlich – keine Rechtsprechung zur Verwendung von Usercentrics vor. Datenschutzbehörden haben jedoch bereits Strafen für einen fehlenden AV-Vertrag mit Dienstleistern ausgesprochen:
Datenschutzbehörde Baden-Württemberg zum AV-Vertrag
Der Fußballclub VfB Stuttgart musste im März 2021 ein Bußgeld in Höhe von 300.000 Euro zahlen. Er hatte es versäumt, mit Dienstleistern, die mit der Verarbeitung von mehreren tausend Mitgliederdaten beauftragt waren, einen AV-Vertrag zu schließen.
Datenschutzbehörde Hamburg zum AV-Vertrag
Am 17.12.2018 sprach die Datenschutzbehörde Hamburg ein Bußgeld gegen ein deutsches Versandunternehmen aus. Dies hatte mit einem beauftragten Dienstleister keinen AV-Vertrag geschlossen. Die Folge: Das Unternehmen musste eine Strafe in Höhe von 5250 Euro zahlen.