{"id":23356,"date":"2023-05-11T05:05:05","date_gmt":"2023-05-11T05:05:05","guid":{"rendered":"https:\/\/e-cens.com\/?p=23356"},"modified":"2023-05-29T11:19:57","modified_gmt":"2023-05-29T11:19:57","slug":"datenschutz-auf-dem-vormarsch-teil-2-wie-funktoniert-eine-cmp","status":"publish","type":"post","link":"https:\/\/e-cens.com\/de\/blog\/datenschutz-auf-dem-vormarsch-teil-2-wie-funktoniert-eine-cmp\/","title":{"rendered":"Datenschutz auf dem Vormarsch: Teil 2 &#8211; Wie funktoniert eine CMP?"},"content":{"rendered":"\n<p>Im ersten Teil dieser Serie &#8222;<a href=\"https:\/\/e-cens.com\/de\/datenschutz-auf-dem-vormarsch-teil-1-einfuehrung-und-risikoanalyse\/\">Einf\u00fchrung und Risikoanalyse<\/a>&#8222;, haben Sie einen \u00dcberblick dar\u00fcber erhalten, welche Datenschutzregularien es gibt, welche Anforderungen Sie zur DSGVO-konformen Datenerhebung erf\u00fcllen m\u00fcssen und welche Konsequenzen sich daraus ergeben.<\/p>\n\n\n\n<p>In diesem Teil wenden wir uns der Frage zu, wie eine CMP technisch gesehen funktioniert.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-why-do-i-see-consent-banners-over-and-over-again\">Warum werden wir die Consent-Banner immer wieder angezeigt?<\/h2>\n\n\n\n<p>Vielleicht haben Sie sich auch schon einmal gefragt, warum Ihnen auf einer Website immer wieder das Consent-Banner angezeigt wird, obwohl Sie Ihre Entscheidung doch bereits kundgetan haben? Nun, das kann unterschiedliche Ursachen haben. <\/p>\n\n\n\n<p>Von den Sonderf\u00e4llen einmal abgesehen, ist die wahrscheinlichste jedoch, dass Sie die Website mit unterschiedlichen Ger\u00e4ten bzw. Browsern besuchen. Denn wie bei den meisten Webanalyse-Systemen auch, kann die CMP einen Nutzer \u00fcber verschiedene Browser oder Ger\u00e4te nicht wiedererkennen. Schauen wir uns gemeinsam einmal an, wie die CMP funktioniert.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Benutzer sind Browser-Instanzen<\/h2>\n\n\n\n<p>Wenn also ein Nutzer die Seite einer Website besucht, wird bei korrekter Implementierung der CMP dieselbige involviert.<\/p>\n\n\n\n<p>Im Klartext hei\u00dft das: besucht der Nutzer die Website zum ersten Mal oder der zum wiederholten Male, ohne bislang eine explizite Entscheidung getroffen zu haben, wird das entsprechende Consent-Banner angezeigt.<\/p>\n\n\n\n<p>Hat der Nutzer bei einem seiner vorigen Besuche bereits eine explizite Entscheidung getroffen, wird diese ber\u00fccksichtigt und die Technologien ausgespielt, denen der Nutzer zugestimmt hat.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"853\" height=\"480\" src=\"https:\/\/e-cens.com\/wp-content\/uploads\/2023\/05\/Data-Privacy-Regulations-Browser-Instance-CMP.gif\" alt=\"\" class=\"wp-image-23333\"><\/figure>\n\n\n\n<p>Wie unterscheidet nun die CMP den Nutzer und woher wei\u00df die CMP, welcher Technologie der Nutzer zugestimmt hat?<\/p>\n\n\n\n<p>Zun\u00e4chst werfen wir einen Blick darauf, wie die CMP einen Nutzer identifiziert. Dabei betrachten wir die CMPs von <strong>Usercentrics<\/strong>und <strong>OneTrust<\/strong>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Usercentrics<\/h2>\n\n\n\n<p>Sobald eine Webseite im Browser aufgerufen wird, in der Usercentrics implementiert ist, wird eine sogenannte <strong><em>controllerId<\/em><\/strong> erzeugt und in der <strong><em>Local Storage<\/em><\/strong> des Browsers gespeichert.<\/p>\n\n\n\n<p>Dabei spielt es zun\u00e4chst keine Rolle, ob der Nutzer der Verwendung von Technologien explizit zustimmt oder nicht \u2013 die <strong><em>controllerId<\/em><\/strong> dient lediglich dem Zweck der Wiedererkennung des Nutzers respektive der Browser-Instanz.<\/p>\n\n\n\n<p>Im Kontext dieser <strong><em>controllerId<\/em><\/strong>, werden jedoch auch die explizite Zustimmung oder Ablehnung von Technologien durch den Nutzer gespeichert.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"853\" height=\"480\" src=\"https:\/\/e-cens.com\/wp-content\/uploads\/2023\/05\/Data-Privacy-Regulations-CMP-Usercentrics-ControllerID.gif\" alt=\"\" class=\"wp-image-23337\"><\/figure>\n\n\n\n<p>Der wesentliche Vorteil, die <strong><em>controllerId<\/em><\/strong> sowie die explizite Zustimmung\/Ablehnung im <strong><em>Local Storage<\/em><\/strong> zu speichern, liegt prim\u00e4r darin, dass dieser \u2013 anders als Cookies \u2013 nicht ohne weiteres automatisch gel\u00f6scht werden kann.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">OneTrust<\/h2>\n\n\n\n<p>Ruft ein Nutzer nun eine Webseite im Browser auf, in welcher OneTrust implementiert ist, wird eine sogenannte <strong><em>consentId<\/em><\/strong> generiert. Diese wird dann jedoch \u2013 anders als bei Usercentrics \u2013 nicht in der Local Storage des Browsers gespeichert, sondern vielmehr als <strong><em>Cookie<\/em><\/strong>.<\/p>\n\n\n\n<p>\u00c4hnlich wie bei Usercentrics ist es auch hier nicht von Bedeutung, ob der Nutzer der Verwendung von Technologien explizit zustimmt oder nicht, denn die <strong><em>consentId<\/em><\/strong> dient ebenfalls der Wiedererkennung des Nutzers bzw. der Browser-Instanz.<\/p>\n\n\n\n<p>Im Kontext dieser <strong><em>consentId<\/em><\/strong> werden zudem die explizite Zustimmung zu bzw. Ablehnung von Kategorien durch den Nutzer gespeichert.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"853\" height=\"480\" src=\"https:\/\/e-cens.com\/wp-content\/uploads\/2023\/05\/Data-Privacy-Regulations-CMP-OneTrust-consentId.gif\" alt=\"\" class=\"wp-image-23341\"><\/figure>\n\n\n\n<p>Diese Daten in einem Cookie zu speichern, birgt da Risiko, dass diese beim L\u00f6schen von Cookies (z. B. \u00fcber das Browser-Einstellungen) logischerweise mit gel\u00f6scht werden und der Nutzer sodann wieder mit dem Consent-Banner konfrontiert wird.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Zum zweiten oder wiederholten Mal die Website besuchen<\/h2>\n\n\n\n<p>Sobald nun der Nutzer die Website zum zweiten oder wiederholten Male besucht, liest die CMP die gespeicherten Informationen hinsichtlich der gegebenen oder verweigerten Zustimmung aus und stellt diese Informationen dann in der Datenschicht des Browsers zur Verf\u00fcgung.<\/p>\n\n\n\n<p>Diese Informationen k\u00f6nnen dann von der entsprechenden Technologie genutzt werden, um ein Tag auszuspielen oder eben auch nicht. Somit stellen Sie sicher, dass die consent-pflichtigen Tags tats\u00e4chlich nur dann ausgespielt werden, wenn der Nutzer auch wirklich seine Zustimmung gegeben hat.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Verwendung der durch die CMP bereitgestellten Daten<\/h2>\n\n\n\n<p>Schauen wir uns nun einmal an, wie wir von der CMP zur Verf\u00fcgung gestellten Informationen mit dem Google Tag Manager nutzen k\u00f6nnen.<\/p>\n\n\n\n<p>In erster Linie stellt die CMP bei Initialisierung die von Nutzer gegebenen Zustimmungen im DataLayer des GTM zur Verf\u00fcgung. Wie dies geschieht, h\u00e4ngt in erster Linie von der verwendeten CMP ab.<\/p>\n\n\n\n<p>So stellt beispielsweise die CMP von Usercentrics die Zustimmung zu jeder konfigurierten Technologie granular im DataLayer zur Verf\u00fcgung:<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"960\" height=\"540\" src=\"https:\/\/e-cens.com\/wp-content\/uploads\/2023\/05\/Data-Layer-Values-for-Usercentrics.jpg\" alt=\"Usercentrics liefert detaillierte Informationen: F\u00fcr jede Technologie wird angegeben, ob der Nutzer zugestimmt hat oder nicht.\" class=\"wp-image-23345\" srcset=\"https:\/\/e-cens.com\/wp-content\/uploads\/2023\/05\/Data-Layer-Values-for-Usercentrics.jpg 960w, https:\/\/e-cens.com\/wp-content\/uploads\/2023\/05\/Data-Layer-Values-for-Usercentrics-600x338.jpg 600w, https:\/\/e-cens.com\/wp-content\/uploads\/2023\/05\/Data-Layer-Values-for-Usercentrics-300x169.jpg 300w, https:\/\/e-cens.com\/wp-content\/uploads\/2023\/05\/Data-Layer-Values-for-Usercentrics-768x432.jpg 768w\" sizes=\"auto, (max-width: 960px) 100vw, 960px\" \/><\/figure>\n\n\n\n<p>Die CMP von OneTrust hingegen, fasst mehrere Technologien in Kategorien zusammen und schreibt somit lediglich die Kategorie-Nummer in den DataLayer, zu welcher auch eine Zustimmung vorhanden ist:<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"960\" height=\"540\" src=\"https:\/\/e-cens.com\/wp-content\/uploads\/2023\/05\/Data-Layer-Values-for-OneTrust.jpg\" alt=\"OneTrust stellt Informationen \u00fcber die Zustimmung zur Verf\u00fcgung, indem es Kategorien anzeigt, in denen die Zustimmung der Nutzer organisiert und gespeichert ist.\" class=\"wp-image-23349\" srcset=\"https:\/\/e-cens.com\/wp-content\/uploads\/2023\/05\/Data-Layer-Values-for-OneTrust.jpg 960w, https:\/\/e-cens.com\/wp-content\/uploads\/2023\/05\/Data-Layer-Values-for-OneTrust-600x338.jpg 600w, https:\/\/e-cens.com\/wp-content\/uploads\/2023\/05\/Data-Layer-Values-for-OneTrust-300x169.jpg 300w, https:\/\/e-cens.com\/wp-content\/uploads\/2023\/05\/Data-Layer-Values-for-OneTrust-768x432.jpg 768w\" sizes=\"auto, (max-width: 960px) 100vw, 960px\" \/><\/figure>\n\n\n\n<p>Beide Ans\u00e4tze haben ihre Vor- und Nachteile, auf die ich jedoch zu einem sp\u00e4teren Zeitpunkt n\u00e4her eingehen m\u00f6chte.<\/p>\n\n\n\n<p>Die im DataLayer vorhandenen Informationen k\u00f6nnen nun in eine Datenschichtvariable \u00fcbergeben werden und in den Triggern zu den jeweiligen Tags entsprechend verwendet werden.<\/p>\n\n\n\n<p>Wollen Sie also beispielsweise den Trigger zum Ausspielen des Google-Analytics-Tags anpassen, w\u00fcrden Sie den Trigger nur dann ausl\u00f6sen, wenn im DataLayer folgende Inhalte zu finden w\u00e4ren: Bei der Verwendung von<\/p>\n\n\n\n<ol class=\"wp-block-list\" type=\"a\">\n<li>Usercentrics der Wert &#8222;Google Analytics: true&#8220; bzw.<\/li>\n\n\n\n<li>OneTrust der Wert &#8222;C0002&#8220; in &#8222;OnetrustActiveGroups&#8220;.<\/li>\n<\/ol>\n\n\n\n<h2 class=\"wp-block-heading\">M\u00f6gliche Probleme<\/h2>\n\n\n\n<p>Die geschilderte Vorgehensweise kann jedoch auch zu sogenannten Race Conditions f\u00fchren.<\/p>\n\n\n\n<p>Eine Race Condition ist eine unerw\u00fcnschte Situation, die auftritt, wenn der GTM versucht, zwei oder mehr Trigger gleichzeitig auszul\u00f6sen, diese aber aufgrund von Ereignisreihenfolge bzw. fehlender Daten im Data Layer fehlschlagen.<\/p>\n\n\n\n<p>Daher muss sichergestellt werden, dass die bereitgestellten Informationen und Ereignisse in der richtigen Reihenfolge ausgef\u00fchrt werden k\u00f6nnen. Ein probates Mittel beim GTM ist beispielsweise der Einsatz von Trigger-Gruppen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Brauchen Sie Hilfe?<\/h2>\n\n\n\n<p>Wenn Sie sich nicht sicher sind, ob bei Ihnen eine Race Condition vorliegt, oder wenn Sie mit der Durchf\u00fchrung eines CMP nicht vertraut sind, k\u00f6nnen Sie sich gerne <a href=\"https:\/\/e-cens.com\/contact\"><strong>an e-CENS<\/strong><\/a> wenden &#8211; wir sind f\u00fcr Sie da.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Demn\u00e4chst<\/h2>\n\n\n\n<p>Der n\u00e4chste Teil der Serie wird sich damit befassen, wie die L\u00fccken ausgeglichen werden k\u00f6nnen, die durch die fehlende Zustimmung entstanden sind&#8230;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Im ersten Teil dieser Serie &#8222;Einf\u00fchrung und Risikoanalyse&#8222;, haben Sie einen \u00dcberblick dar\u00fcber erhalten, welche Datenschutzregularien es gibt, welche Anforderungen Sie zur DSGVO-konformen Datenerhebung erf\u00fcllen m\u00fcssen und welche Konsequenzen sich daraus ergeben. In diesem Teil wenden wir uns der Frage zu, wie eine CMP technisch gesehen funktioniert. Warum werden wir die Consent-Banner immer wieder angezeigt? [&hellip;]<\/p>\n","protected":false},"author":7,"featured_media":23366,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_eb_attr":"","content-type":"","ub_ctt_via":"","footnotes":""},"categories":[219,214,215],"tags":[185,198,186,184,188,223,224],"class_list":["post-23356","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-andere","category-cmp-de","category-datenschutz","tag-cmp-2","tag-consent-2","tag-consent-management-platform-2","tag-datenschutz","tag-dsgvo-2","tag-onetrust-de","tag-usercentrics-de"],"acf":[],"featured_image_src":"https:\/\/e-cens.com\/wp-content\/uploads\/2023\/05\/e-cens_datenschutz-auf-dem-vormarsch_banner-2.png","author_info":{"display_name":"Holger Tempel","author_link":"https:\/\/e-cens.com\/de\/author\/holger\/"},"_links":{"self":[{"href":"https:\/\/e-cens.com\/de\/wp-json\/wp\/v2\/posts\/23356","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e-cens.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e-cens.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e-cens.com\/de\/wp-json\/wp\/v2\/users\/7"}],"replies":[{"embeddable":true,"href":"https:\/\/e-cens.com\/de\/wp-json\/wp\/v2\/comments?post=23356"}],"version-history":[{"count":0,"href":"https:\/\/e-cens.com\/de\/wp-json\/wp\/v2\/posts\/23356\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e-cens.com\/de\/wp-json\/wp\/v2\/media\/23366"}],"wp:attachment":[{"href":"https:\/\/e-cens.com\/de\/wp-json\/wp\/v2\/media?parent=23356"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e-cens.com\/de\/wp-json\/wp\/v2\/categories?post=23356"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e-cens.com\/de\/wp-json\/wp\/v2\/tags?post=23356"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}