BP 4.12: Consent Management in der Praxis

Consent Management ist kein neues Thema. Um genau zu sein, war es auch bei uns schon einmal als Ding des Monats dabei und zieht sich zudem wie ein roter Faden durch unsere News-Folgen. Diesmal haben wir uns aber um eine andere Perspektive bemüht und beleuchten zusammen mit unserem Gast Tilman Herbrich von Spirit Legal Aspekte wie die Anforderungen an Consent Management, was man auch ohne Consent tun kann… und ein paar technische und rechtliche Hürden.

Ding des Monats: Consent Management in der Praxis

Da wir unter anderem über die Gestaltung der verschiedenen Layers („Klick-Ebenen“) eines Consent-Dialogs sprechen, hat uns Tilman freundlicherweise folgende Abbildung zur Orientierung zur Verfügung gestellt. Und Nein; der eher im Scherz erwähnte 4. Layer mit Infos zu nachgeladenen Tags, den man sich bei manchen Anbietern dazu wünscht, ist hier nicht berücksichtigt.

• Website Spirit Legal
• Tilman Herbrich (LinkedIn)
• Drei Typen: 
  • Gar nichts machen 
  • Jeder Empfehlung des Datenschutzbeauftragen folgen 
  • Bis ans Limit mit eigener Rechtsauslegung 
• Ausgewählte Takeaways:
  • Bot Erkennung mit externen Anbietern kann ggf. auch ohne Consent erfolgen; ebenso Chatbots (siehe unten)
  • Nicht nach Consent fragen, was keinen benötigt (klar trennen zwischen Dingen, die in die Datenschutzhinweise müssen vs. Dinge, die in den Consent gehören)
  • Matomo mit Cookie oder Fingerprint ist eigentlich wurscht
  • Die Consent-Frage hat Grauzonen und ist daher immer auch eine Frage des Risikomanagements
  • 13 Monate sind eine akzeptable Lebensdauer für Identitäten, oberhalb von 24 Monaten endet offenbar die Argumentierbarkeit
  • Individuelle Umsetzungen erfordern individuelle Einschätzung
  • GA kann unter den richtigen Bedingungen auch ohne Zustimmung Empfänger von Webanalyse-Daten sein
• Publikationen der CNIL: https://www.cnil.fr/en/media;
  •  insbesondere: Zur Zulässigkeit lokal auf eigenen Servern „on premises“ implementierter Tools: https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000038783337, bestätigt 2020 durch https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000042388179
• Guidelines und Report der DCP Ireland (ebenso angesprochen):
  • Guidance note on cookies and other tracking technologies.pdf
  • Report by the DPC on the use of cookies and other tracking technologies.pdf
• Weitere Studien:
  • Studie zu Consent Management im Auftrag des Bundesministerium der Justiz und für Verbraucherschutz: https://www.bmjv.de/SharedDocs/Downloads/DE/Service/Fachpublikationen/090620_Datenschutz_Einwilligung.pdf?__blob=publicationFile&v=1
  • Eine kritische internationale Perspektive: https://arxiv.org/pdf/2009.10194.pdf
  • Studie zu Dark Patterns der Stiftung neue Verantwortung: https://www.stiftung-nv.de/sites/default/files/dark.patterns.pdf
  • Zum Consent Management:
    • Grundlegend: Europäischer Datenschutzausschuss: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf
    • Datenschutzkonferenz (bundesweit) speziell zu Google Analytics: https://www.datenschutzkonferenz-online.de/media/dskb/20200526_beschluss_hinweise_zum_einsatz_von_google_analytics.pdf
    • Handreichung rechtskonforme Consent Layer der Aufsichtsbehörde aus Niedersachsen: https://lfd.niedersachsen.de/startseite/themen/internet/datenschutzkonforme-einwilligungen-auf-webseiten-anforderungen-an-consent-layer-194906.html

Kontakt

• Direktes Feedback
• Bewertungen und Besprechungen auf iTunes https://itunes.apple.com/de/podcast/beyond-pageviews-termfrequenz/id1167361629?mt=2
• Liken der FB-Seite https://www.facebook.com/beyondpageviews/
• Kommentare, Anregungen und Fragen auf termfrequenz.de https://www.termfrequenz.de/podcast/beyond-pageviews-podcast/
• Soundcloud: https://soundcloud.com/termfrequenz-podcast/
• Du findest uns auch auf Spotify oder Deezer
• Mails? podcast@analytrix.de