Im Interview erläutert IT-Experte Dr. Johann Sell, warum die Zeiten einfacher Cookie-Banner vorbei sind und wie Unternehmen durch Consent Orchestration dafür Sorge tragen, dass Datenschutz und Nutzerfreundlichkeit effektiv umgesetzt werden.
Dr. Johann Sell ist Doktor der Informatik und seit Ende 2022 Team Lead der Softwareentwicklung bei der mip Consult GmbH in Berlin.
mip Consult GmbH
springerprofessional.de: Herr Dr. Sell, personenbezogene Daten fließen heute durch nahezu jeden digitalen Prozess – welche Risiken sind damit verbunden?
Dr. Johann Sell: Eines der prominentesten Risiken sind sicherlich die Datenschutzverletzungen – das heißt zum Beispiel ein unbefugter Zugriff auf personenbezogene Daten durch Hacker, interne Mitarbeiter oder technische Fehler. Durch unzureichende IT-Sicherheit entstehen Schwachstellen in der Infrastruktur. Daraus wiederum gehen schwerwiegende Folgen hervor. Es kommt zu Identitätsdiebstahl, finanziellem Schaden, Vertrauensverlust oder Bußgeldern. Auch der anschließende Missbrauch von Daten ist ein großes Risiko, indem diese Daten für Werbung, Profiling oder sogar politische Manipulationen genutzt werden, Stichwort: "Cambridge Analytica". Für Verbraucher bedeutet das einen schwerwiegenden Eingriff in die Privatsphäre bis hin zur Diskriminierung und dem Verlust der Kontrolle über die eigenen Daten. Außerdem ergibt sich für Nutzer ein weiteres Problem: die unzureichende Transparenz. Oft ist nicht bekannt, welche Daten erhoben, gespeichert und verarbeitet werden. Gerade gegenüber großen Plattformen entsteht ein Ohnmachtsgefühl in Form von intransparenter Entscheidungsfindung, welche durch Algorithmen beeinflusst ist. Heute treffen KI-gestützte Systeme bedeutsame Entscheidungen auf Basis personenbezogener Daten bei wichtigen Prozessen wie Kreditvergaben oder Bewerbungen. Aufgrund von fehlerhaften oder voreingenommenen Datenmodellen kommt es so immer wieder zu ungerechtfertigter Benachteiligung. Ebenso bewegen sich Unternehmen auf schwierigem Terrain: Sie laufen Gefahr, gesetzliche Vorgaben wie etwa die Datenschutz-Grundverordnung (DSGVO) nur mangelhaft einzuhalten, da sie teils gegen gesetzliche Pflichten zur Datenspeicherung, -verarbeitung und -löschung verstoßen. Konsequenzen sind nicht nur hohe Bußgelder oder rechtliche Verfahren, sondern auch Reputationsschäden. Es kann außerdem zu staatlicher oder unternehmensbezogener Überwachung durch die systematische Sammlung und Auswertung personenbezogener Daten kommen – mit der Folge der Einschränkung von Freiheitsrechten.
Welche Rolle spielt eine moderne Consent-Management-Plattform (CMP) in diesem Kontext?
Eine solche Lösung stellt sicher, dass eine ausdrückliche und informierte Einwilligung der Nutzer zur Datenverarbeitung rechtssicher, nachweisbar und widerrufbar eingeholt wird. Im Fokus steht die Einhaltung gesetzlicher Vorgaben wie zum Beispiel DSGVO, TDDDG und ePrivacy. Außerdem informiert die CMP Besucher einer Website klar und verständlich über die erhobenen Daten, den Zweck der Erhebung und welchen Zugriff Drittanbieter bekommen. Die Plattform kontrolliert, welche Skripte und Cookies erst nach der Zustimmung geladen werden und verhindert so ungewollte oder illegale Datenübertragungen. Bei der Verwaltung und beim Widerruf von Einwilligungen nehmen CMP auch eine wichtige Rolle ein: Beides lässt sich jederzeit durchführen, die CMP speichert diese Entscheidungen und stellt sicher, dass sie technisch umgesetzt werden. Dabei protokolliert und archiviert die Plattform die Einwilligungen von Nutzern sowie deren Entstehungsort und -kontext revisionssicher, was besonders im Fall von Prüfungen oder Beschwerden wichtig ist. Insgesamt schafft die Integration von CMPs in Business-Prozesse vor allem Vertrauen. Eine professionelle CMP zeigt, dass ein Unternehmen Datenschutz ernst nimmt, was die Kundenbeziehung verbessert.
Was sollten Unternehmen bei der Integration einer CMP in ihre Systeme beachten?
Bei der Realisierung haben Unternehmen auf Barrierefreiheit und, je nach Zielgruppe und Region, auf eine lokalisierte Umsetzung zu achten. Audit-Logs und Einwilligungshistorie müssen sie revisionssicher und DSGVO-konform speichern. Entsprechende Einwilligungsraten mit verschiedenen Formulierungen und Designs lassen sich im Anschluss analysieren. Diese geleisteten Einwilligungen müssen freiwillig, informiert, explizit und nachweisbar erfolgen. Die User müssen zudem für jeden Zweck einzeln zustimmen können, vor allem muss Opt-in statt Opt-out gelten. Über ein Icon oder einen Link im Footer sollte jederzeit eine Widerrufsmöglichkeit bestehen. Im Zusammenhang mit der technischen Architektur gibt es ebenfalls einige Dinge zu beachten. Zum einen dürfen nur nach Einwilligung Tracking- und Marketing-Tags aktiviert werden. Um Ladezeiten nicht negativ zu beeinflussen, sollten CMPs asynchron und performant eingebunden werden. Es muss geprüft werden, ob die CMP auf verschiedenen Devices wie Desktop, Tablet und Smartphone gleichermaßen zuverlässig funktioniert. CMPs, vor allem, falls sie als Consent and Preference Management Platform (CPMP) fungieren, sollten möglichst nur dann sichtbar werden, wenn der Nutzer sie braucht. Daher muss die Plattform über gut modellierte Schnittstellen (APIs) mit allen anderen Systemen kommunizieren und die notwendigen Informationen im richtigen Moment bereitstellen sowie jederzeit entgegennehmen können. Ebendiese Kompatibilität mit vorhandenen Systemen muss geprüft werden – also die Verfügbarkeit von APIs sowie die Integrierbarkeit von API-Aufrufen zum richtigen Zeitpunkt. Zum anderen sind regelmäßige Updates sowie rechtliche Anpassungen elementar. Für die User hat zudem eine benutzerfreundliche Gestaltung eine hohe Relevanz: Das Design muss klar und verständlich sein, die User sollten spezifisch wählen können zwischen beispielsweise Statistik oder Marketing. Weiterhin müssen Zustimmung und Ablehnung gleichwertig dargestellt werden. Das bedeutet, dass "Alle akzeptieren" nicht hervorgehoben sein darf – Ablehnung muss genauso leicht möglich sein.
Viele Unternehmen betrachten Consent-Management noch als Pflichtübung – wo liegen die Vorbehalte?
Themen sind rechtliche Unsicherheit, unklare Anforderungen durch die DSGVO, TDDDG oder ePrivacy sowie ständige Gesetzesänderungen und Urteile. Dazu gesellen sich fehlendes Datenschutz-Know-how im Unternehmen und technische Komplexität. Diese Umstände sorgen dafür, dass sich viele Verantwortliche bei der Realisierung schwertun. Sie empfinden die Integration in Websites, Apps und Enterprise Resource Planning (ERP) oder ins Customer-Relationship-Management-System (CRM) als aufwendig und haben Sorge vor schlechter Performance oder UX-Problemen. Potenzielle technische Fehler, intensive Wartungsaufwände sowie der zugehörige Kosten- und Ressourcenaufwand sehen Entscheider ebenfalls zu oft noch als Hürde, insbesondere bei kleinen und mittleren Unternehmen (KMU). In Kombination mit der Angst vor Daten- und Umsatzverlust sowie der Befürchtung, dass viele Nutzer Cookies ablehnen, bestehen in diesem Zusammenhang eine Menge Bedenken. Tatsächlich entstehen durch das Thema auch innerhalb von Unternehmen Konflikte, die sich wiederum negativ auf die Performance auswirken. Ein Beispiel: Das Marketing möchte so viele Daten wie möglich, Rechtsabteilung und IT dagegen maximalen Datenschutz. Gibt es in der Folge keine einheitliche Strategie, kommt es zur ineffizienten Umsetzung. Oft wird das Thema auch einfach wegdelegiert, weil eine CMP nicht als geschäftskritisch eingestuft wird. Datenschutz gilt dann nur als Pflicht, nicht als Chance. Es herrscht insgesamt ein geringes Bewusstsein für Trust und Transparenz als Markenwert.
Welche Abteilungen im Unternehmen würden am stärksten von modernen CMPs profitieren?
Generell lässt sich sagen, dass CMPs für viele Abteilungen von Vorteil sind. Besonders profitieren etwa die Rechtsabteilung beziehungsweise Datenschutzbeauftragte sowie das Compliance-Management. Aber auch die IT-Abteilung zieht ihren Nutzen aus den Plattformen, ebenso wie Marketing und Digital Analytics. Sei es in Form der Vermeidung von Abmahnungen, Bußgeldern und Imageschäden oder in Form einer verbesserten Datenqualität.
