Mit dem iCompetence Best Practice zum datenschutzkonformen Usercentrics Setup
Die Datenschutzorganisation noyb hat im ersten Quartal diesen Jahres erneut Beschwerde gegen hunderte Websites mit irreführenden Cookie-Bannern eingelegt. Während bislang nur Unternehmen mit der Consent Management-Lösung OneTrust betroffen waren, sollen laut Angaben von noyb nun auch jene, die andere Lösungen nutzen, wie z.B. die des iCompetence-Partners Usercentrics
Während die Organisation mit den bisherigen Beschwerden auch gleich ein Best Practice für OneTrust mitschickte, gibt es diese seitens noyb für Usercentrics oder andere Anbieter noch nicht zum Download. In diesem Beitrag finden sich die wichtigsten Eckpunkte für ein datenschutzkonformeres Usercentrics Setup.
Wichtig: Usercentrics ist mittlerweile in zwei Versionen verfügbar: CMP V1 und CMP V2. Die CMP V2 bietet Vorteile, wie z.B. eine stark reduzierte Dateigröße und schnellere Ladezeiten, eine Performance optimierte UI, sowie neue Features wie TCF 2.0, AMP & Cross Device Consent Sharing. In diesem Beitrag gehen wir auf beide Versionen ein.
“Violation Types” nach noyb
Die Datenschutzorganisation noyb hat mit ihrem Whitepaper eine Guideline für OneTrust User:innen veröffentlicht. Die darin aufgeführten möglichen Verstöße gliedern sie in Kategorien (A-Z) bzw. in sogenannte “Violation Types.
Diese lassen sich unseres Erachtens nach in den meisten Fällen auch auf andere Consent Management Tools übertragen. Hier eine Auswahl der möglichen datenschutzrechtlichen Verstöße (laut noyb):
Verstoß Typ A: Keine “Ablehnen“-Option auf der ersten Ebene
noyb weist darauf hin, dass direkt im ersten Layer des Consent Management Banners ein “Ablehnen”-Button verfügbar sein sollte. Über das Usercentrics Interface (CMP V2) ist dies leicht zu konfigurieren:
- wähle den Menüpunkt “Appearance” aus
- aktiviere die Checkbox “Show 'Deny All' Button"
- dies sollte sowohl auf dem First Layer, als auch auf dem Second Layer aktiviert werden
Verstoß Typ B: Vorab angekreuzte Kästchen auf der zweiten Ebene
noyb weist in ihrem aktuellen Whitepaper darauf hin, über OneTrust keine vorab angekreuzte Kästchen auf der zweiten Ebene zu aktivieren. Bei Usercentrics ist dies ohnehin nur durch individuelle Konfiguration möglich. Jedoch gilt: User:innen sollte in jedem Fall die Möglichkeit geboten werden, auf der zweiten Ebene (dem Second Layer) - ihren Consent bzw. die Auswahl (auch im Nachhinein) anzupassen.
Verstoß Typ C: Irreführendes Linkdesign, sowie Verstoß Typ D und E: Irreführende Button-Farben und Button-Kontrast
Innerhalb der OneTrust CMP-Lösung ist das werkseinstellige Linkdesign (laut noyb) irreführend. So werden “Ablehnen”-Buttons häufig als kleinere versteckte Links dargestellt, um den “Accept all”-Button mehr Gewicht zu geben. Hiervon rät noyb ab. Im Usercentrics Interface wird ohnehin nativ mit Buttons gearbeitet. Achte jedoch darauf, dass sich die Buttons durch ein prägnantes Styling vom Website Hintergrund abheben und somit nicht irreführend sind:
- wähle den Menüpunkt “Appearance” aus
- klicke auf den reiter “Styling”
- und konfiguriere in diesem Interface die Button Styles
Verstoß Typ I: Ungenaue Klassifizierung von Cookies
Die Klassifizierung von Cookies ist eine der zentralen Aufgaben bei der Konzeption und Konfiguration von Consent Management Plattformen. Usercentrics bietet von Haus aus einige Hilfestellungen bei der Klassifizierung und Kategorisierung an. grundsätzlich empfiehlt es sich, an dieser Stelle ein Klassifizierungs-Konzept mit allen relevanten Stakeholdern im Unternehmen - insbesondere mit der hauseigenen Datenschutzabteilung abzustimmen. In Usercentrics selbst (CMP V2) ist die Klassifizierung über die Service Setting konfigurierbar:
- wähle den Menüpunkt “Service Settings” aus
- klicke auf den Reiter “Data processing Services”
- wähle die aufgeführten Services aus und weise ihnen jeweils eine entsprechende Kategorie zu
- Good to know: Über dieses Interface können zudem auch Custom Data Processing Services hinzugefügt und kategorisiert werden
Resümee: Consent ist King - jedoch nicht um jeden Preis
CMP Plattformen haben sich in den letzten zwei Jahren (vor allem nach dem BGH Urteil vom Mai 2020) sowohl im Funktionsumfang, als auch hinsichtlich der Datenschutzvorgaben weiterentwickelt. Usercentrics geht mit gutem Beispiel voran und bietet Unternehmen zum einen individuelle Konfigurationsmöglichkeiten - zum anderen jedoch auch ein solides Fundament, um den geltenden Datenschutzbestimmungen gerecht zu werden. Ja - der Consent ist mittlerweile eine der wichtigsten KPI’s für das Marketing geworden. Der Wille zur Zustimmung stagniert bei Website Besucher:innen jedoch immer weiter. Daher ist es umso wichtiger, mit einem gut durchdachten und vor allem transparenten Konzept auf ihre Besucher:innen und Kund:innen zuzugehen.
