Consent Management

Consent Management bezeichnet die systematische Erfassung, Speicherung, Verwaltung und Durchsetzung der Einwilligungen von Nutzern zur Datenerhebung und -verarbeitung – eine rechtliche und technische Grundvoraussetzung für datenschutzkonformes digitales Marketing.

Rubrik: Online-Marketing & Content · Unterrubrik: Performance Marketing · Niveau: Fortgeschritten

Was ist Consent Management?

Seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 ist das Einholen einer gültigen Nutzereinwilligung für die meisten Tracking- und Marketing-Technologien in Europa Pflicht. Consent Management ist die operative und technische Umsetzung dieser Anforderung.

Ein Consent Management Platform (CMP) ist die Software, die auf einer Website oder App den sogenannten Cookie-Banner (korrekte Bezeichnung: Consent-Banner) verwaltet, die Einwilligungen der Nutzer speichert und sicherstellt, dass Tracking-Technologien nur aktiviert werden, wenn eine gültige Einwilligung vorliegt.

Laut einer Studie des Instituts für Demoskopie Allensbach (2023) lehnen rund 58 % der deutschen Internetnutzer alle Cookies ab, wenn sie die Wahl haben. Für Werbetreibende ist ein gut konfiguriertes CMP daher sowohl eine Datenschutz- als auch eine Marketingoptimierungsaufgabe.

Erklärung

DSGVO und ePrivacy: Rechtliche Grundlagen

Die DSGVO (EU-Verordnung 2016/679) und die ePrivacy-Richtlinie (2002/58/EG, in Deutschland durch das TTDSG umgesetzt) bilden die rechtliche Grundlage für Consent Management in der EU.

Kernanforderungen der DSGVO an Einwilligungen (Art. 7 DSGVO):

1. Freiwilligkeit: Einwilligung darf nicht erzwungen werden (kein „Cookie-Wall" der den Zugang verweigert, ohne DSGVO-konforme Alternative).
2. Informiertheit: Nutzer müssen klar und verständlich informiert werden, wozu sie einwilligen.
3. Spezifität: Einwilligung für jeden Zweck (z. B. Analytics, Marketing, Personalisierung) separat.
4. Eindeutigkeit: Kein vorangekreuztes Kästchen, keine Einwilligung durch Weiternutzung.
5. Widerruflichkeit: Einwilligung muss jederzeit genauso einfach zu widerrufen sein wie zu erteilen.

Der Europäische Gerichtshof hat in mehreren Urteilen (Planet49, 2019; Facebook Like Button, 2019) klargestellt: Vorangekreuzte Kästchen und passives Verhalten sind keine gültige Einwilligung.

IAB Transparency and Consent Framework (TCF) 2.2

Das IAB TCF ist ein branchenweiter Standard des Interactive Advertising Bureau Europe, der die technische Kommunikation von Consent-Signalen zwischen CMPs, Publishern, Werbetreibenden, DSPs und SSPs im Programmatic-Ökosystem standardisiert.

TCF 2.2 (veröffentlicht Mai 2023) – wichtige Neuerungen:

• Vendor-spezifische Einwilligungen (Nutzer können einzelnen Technologie-Anbietern zustimmen oder ablehnen)
• Stärkere Trennung zwischen Consent und Legitimate Interest (berechtigtem Interesse)
• Schärfere Anforderungen an die Darstellung von Zwecken
• Verpflichtende Einbindung eines neutral dargestellten „Reject All"-Buttons

Wie TCF funktioniert: Nutzer erteilt/verweigert Einwilligung in der CMP → CMP kodiert Consent-Signal als TC String → TC String wird an alle angebundenen Technologie-Anbieter weitergegeben → Anbieter respektieren das Signal und aktivieren/deaktivieren ihre Technologien.

Google CMP-Anforderungen (Google Consent Mode v2)

Seit März 2024 verlangt Google, dass alle Werbetreibenden, die Google Ads, Google Analytics 4 und ähnliche Google-Produkte in Europa nutzen, eine Google-zertifizierte CMP mit Consent Mode v2 implementiert haben.

Google Consent Mode v2:

• Zwei neue Parameter: ad_user_data (Nutzung von Nutzerdaten für Werbezwecke) und ad_personalization (personalisierte Werbung)
• Bei fehlender Einwilligung: Conversion-Modellierung über maschinelles Lernen schätzt ausgefallene Conversions
• Ohne korrekte CMP-Integration: Verlust von Remarketing-Audiences, eingeschränkte Conversion-Messung

Google zertifiziert CMPs, die seine Anforderungen erfüllen. Bekannte Google-zertifizierte CMPs: Usercentrics, CookieBot (OneTrust), Didomi, consentmanager.net.

Aufbau einer CMP

Eine CMP besteht typischerweise aus:

1. Layer 1 (Banner): Erste, kurze Darstellung mit mindestens „Alle akzeptieren" und „Alle ablehnen" (oder gleichwertig auffälligen Optionen). Laut Bundesgerichtshof-Urteil (Cookie-Banner II, 2024) muss der Ablehnen-Button genauso prominent sein wie der Akzeptieren-Button.
2. Layer 2 (Einstellungen): Detailansicht mit allen Kategorien (Notwendig, Präferenzen, Statistiken, Marketing) und einzelnen Anbietern. Möglichkeit zur granularen Verwaltung.
3. Privacy Manager: Jederzeit erreichbar (z. B. über Link im Footer), um Einstellungen zu ändern oder zu widerrufen.
4. Consent Log: Alle erteilten/verweigerten Einwilligungen mit Zeitstempel werden protokolliert und für Nachweiszwecke gespeichert.

Beispiele

1. E-Commerce – Usercentrics Integration: Ein Online-Shop implementiert Usercentrics als CMP. Marketing-Cookies (Meta Pixel, Google Ads) werden nur gesetzt, wenn der Nutzer einwilligt. Conversion-Messung wird durch Google Consent Mode v2 partiell auch ohne Consent modelliert.
2. Nachrichtenportal – Consent-or-Pay-Modell: Eine Tageszeitung bietet Nutzern die Wahl: Einwilligung in personalisierte Werbung oder kostenpflichtige Abo-Option ohne Tracking. Das Modell wurde 2023 vom Europäischen Datenschutzausschuss prinzipiell als zulässig eingestuft.
3. Mobile App – ATT und CMP: Eine App kombiniert Apples App Tracking Transparency (ATT) mit einer CMP. Zunächst fragt iOS, ob Tracking erlaubt ist; dann zeigt die App ihr eigenes CMP für andere Cookie-Kategorien.
4. Publisher – IAB TCF 2.2: Ein Verlagshaus mit programmatischer Werbung implementiert IAB TCF 2.2, damit Consent-Signale korrekt an alle DSPs, SSPs und AdTech-Partner weitergegeben werden. Ohne TCF-Signal können viele AdTech-Anbieter keine personalisierte Werbung ausspielen.
5. Internationales Unternehmen – Multi-Jurisdiktion CMP: Ein Unternehmen mit Nutzern in EU, UK und USA konfiguriert seine CMP so, dass EU-Nutzer eine DSGVO-konforme Einwilligung sehen, UK-Nutzer ein UK-GDPR-Setup und US-Nutzer ein CCPA-konformes Opt-out.

In der Praxis

Consent Rate Optimierung: Durch Design und Formulierung des Consent-Banners kann die Rate der Einwilligungen erheblich beeinflusst werden. Dark Patterns (irreführende Gestaltung) sind jedoch DSGVO-widrig. Empfohlen: klare Sprache, symmetrische Button-Gestaltung, ehrliche Kommunikation des Mehrwerts.

Consent Rate als KPI: Viele Unternehmen messen ihre Opt-in-Rate als wichtigen Marketing-KPI. Höhere Consent Rates = mehr Tracking-Daten = bessere Kampagnenoptimierung.

Consent-Management bei Headless-Setups: Bei modernen Headless-CMS- und SPA-Architekturen muss die CMP-Integration sorgfältig geplant werden, da Standard-Tag-Manager-Implementierungen nicht immer funktionieren.

Vergleich & Abgrenzung

Häufige Fragen (FAQ)

Ist ein Cookie-Banner wirklich für jede Website Pflicht? Cookies und ähnliche Technologien, die nicht technisch notwendig für den Betrieb der Website sind (z. B. Analytics, Marketing-Tracking), benötigen eine Einwilligung. Rein informationelle Websites ohne Tracking-Tools können auf einen Banner verzichten. In der Praxis setzen aber fast alle Websites irgendeine Form von Tracking ein.

Was passiert, wenn ich keine CMP oder eine fehlerhafte CMP habe? Datenschutzbehörden können Bußgelder verhängen. Im EU-Raum wurden seit 2018 Bußgelder in Milliardenhöhe verhängt (Meta: 1,2 Mrd. € in 2023, Amazon: 746 Mio. € in 2021). Kleineren Unternehmen drohen im Wiederholungsfall Bußgelder bis zu 4 % des weltweiten Jahresumsatzes. Zudem verlieren Werbetreibende ohne korrekte CMP-Integration den Zugang zu Google-Remarketing-Audiences.

Verwandte Einträge

• First-Party Data
• Cookieless Future
• Retargeting

Weiterführend

• Datenschutzkonferenz (DSK) Deutschland (2023). Orientierungshilfe Consent-Management.
• IAB Europe (2023). Transparency and Consent Framework 2.2 Specification.
• Chaffey, D. & Ellis-Chadwick, F. (2022). Digital Marketing (7. Aufl.). Pearson.
• Google (2024). Consent Mode v2 Implementation Guide.