Consent Management: Die Phasen eines Consent Audits und ihre Vorteile

In der heutigen digitalen Landschaft ist das Consent Management - die Verwaltung von Einwilligungen zur Datenverarbeitung - unerlässlich, um rechtlichen Anforderungen gerecht zu werden und das Vertrauen von Nutzer*innen zu gewinnen. Ein Consent Audit stellt dabei einen systematischen Prozess dar, mit dem Unternehmen ihre Datenschutzpraktiken regelmäßig überprüfen, aktualisieren und gezielt optimieren können.

In diesem Beitrag erfahren Sie:

• aus welchen Phasen sich ein Consent Audit - wie wir ihn bei FELD M durchführen - zusammensetzt
• warum es sinnvoll ist, die Technologien Ihrer Anwendungen regelmäßig zu evaluieren
• welche Anforderungen dabei eine Rolle spielen
• wie die Ergebnisse des Audits bestmöglich genutzt werden können

Was ist ein Consent Audit und wozu dient er?

Digitale Angebote werden in der Regel fortlaufend weiterentwickelt: Neue Dienste und Features kommen hinzu, während die Abläufe und Wechselwirkungen der miteinander verzahnten Komponenten nicht immer planbar oder transparent sind. Risk Mitigation und Compliance sind also keine abgeschlossenen Projekte, sondern brauchen von Zeit zu Zeit einen frischen, ganzheitlichen Blick von außen.

Gleichzeitig ist auch die Gesetzgebung und Rechtsprechung in anhaltendem Wandel. So entstehen stetig neue Best Practices und zusätzlicher Regelungsbedarf, um Webshops und Webapplikationen datenschutzkonform zu betreiben - und zugleich alle rechtlichen Möglichkeiten zur Nutzung von Nutzerdaten auszuschöpfen.

Um die Entstehung neuer Gaps zu vermeiden, empfehlen wir, Websites und Apps regelmäßig - idealerweise in einem Halbjahres- oder Jahreszyklus - einem Re-Audit zu unterziehen. So lässt sich ein größeres Auseinanderdriften von Soll- und Ist-Zustand vorbeugen und mögliche Lücken können zeitnah geschlossen werden. Gleichzeitig hält sich der Aufwand für Folge-Audits in Grenzen - vorausgesetzt, der Erst-Audit wurde gut dokumentiert. 

Auf der Suche nach mehr Klarheit und Sicherheit im Consent Management? Wir begleiten Sie dabei.

Vorteile eines Audits

• Transparenz über Technologien: Ein Audit verschafft einen vollständigen Überblick über die in einer Website oder App eingesetzten Tools und Dienste. 
  -> Gerade bei historisch gewachsenen digitalen Angeboten wissen Verantwortliche oft nicht, was im Detail verbaut ist.
  -> Häufig waren zudem externe Parteien wie Agenturen oder Freelancer an der Entwicklung beteiligt.
  -> Besonders ein Erst-Audit bringt daher häufig zuvor unbekannte oder übersehene Technologien ans Licht, die das Unternehmen nicht (oder nicht mehr) auf dem Schirm hatte.
• Rechtssicherheit: Unternehmen können damit dafür sorgen, dass ihre Datenverarbeitung den geltenden Compliance-Anforderungen entspricht.
• Fundierte Entscheidungen: Die Bestandsaufnahme ermöglicht es, kritisch zu prüfen, ob bestimmte Services überhaupt noch benötigt werden. Technologien, die keinen oder nur geringen Mehrwert bieten, können identifiziert und gegebenenfalls ausgebaut werden.
• Optimierung von Performance und UX: Aufräumarbeiten im Technologie-Stack reduzieren nicht nur rechtliche Risiken, sondern verbessern auch Ladezeiten, Nutzererlebnis und Suchmaschinen-Ranking.

Umsetzung des Consent Audits in 4 Phasen

FELD M hat bei der Umsetzung von Consent Audits sehr gute Erfahrungen mit einem schrittweisen Vorgehen gemacht. Besonders hilfreich erweisen sich dabei klare Prozesse und eindeutig definierte Verantwortlichkeiten, um alle beteiligten Personen, Abteilungen und Dienstleister in das Audit einzubeziehen.

Die einzelnen Phasen gestalten wir wie folgt:

1. Ist-Zustand erfassen

Der erste Schritt in einem Consent Audit besteht darin, den aktuellen Zustand der implementierten Technologien zu erfassen. Zu Beginn gilt es also, den Scope zu klären und einen Überblick über die relevanten Domains und Subdomains zu verschaffen. Dabei sollten sämtlichen gesetzten Cookies sowie alle Anfragen an Dritte erfasst werden.

Idealerweise wird bereits in dieser Phase geprüft, ob und an welche Arten von Consent diese Cookies und Requests gebunden sind. Ergänzend empfiehlt sich ein Mapping, um nachvollziehen zu können, welche Cookies und Requests übergeordneten Diensten zugeordnet werden können – etwa Google Fonts-Requests, die durch ein Google Maps-Embedding ausgelöst werden.

Für die Erhebung dieser Informationen können Crawler wertvolle Unterstützung leisten. Allerdings stoßen diese je nach Setup an Grenzen, da sie fehleranfällig sein können oder login-geschützte Bereiche nicht erfassen. Deshalb ist es unerlässlich, die Crawler-Ergebnisse durch menschliche Validierung abzusichern. Dies sollte in Form von Stichproben über alle betroffenen Domains und Subdomains erfolgen. Besondere Aufmerksamkeit verdienen dabei typische Seitentypen, etwa Produktdetailseiten, Suchergebnisseiten oder Checkout-Seiten im E-Commerce-Kontext.

2. Abgleich mit Ist-Informationen

Im zweiten Schritt erfolgt der Abgleich der gefundenen Cookies und Requests mit den Informationen in den Consent-Bannern und der Datenschutzerklärung. Hierbei ist es wichtig, zu prüfen, ob für alle Dienste korrekt Consent eingeholt oder ob fehlender Consent schlüssig begründet wird, beispielsweise durch Ausnahmeregelungen des TDDDG oder anderen Rechtsgrundlagen der DSGVO.

Wenn im Zuge der Analyse Cookies und Dienste identifiziert werden, die bisher nicht in den Consent-Bannern oder der Datenschutzerklärung dokumentiert sind, sollte hier nachgeforscht werden. Oftmals können Cookie-Datenbanken wie Cookiepedia zur Aufklärung beitragen. Andernfalls muss im Detail untersucht werden, wodurch die Requests ausgelöst oder Cookies gesetzt werden, und welche Skripte dafür verantwortlich sind.

3. Prüfung der Consentlösung

In dieser Phase wird die Consent-Lösung selbst einer gründlichen Analyse unterzogen. Zunächst gilt es zu prüfen, ob das Erteilen und Widerrufen von Einwilligungen sowie der Widerspruch gegen berechtigte Interessen technisch korrekt umgesetzt sind.

Darüber hinaus sollten auch die Texte und gestalterischen Elemente bewertet werden – insbesondere im Hinblick auf Klarheit und Benutzerfreundlichkeit. So lässt sich sicherstellen, dass keine sogenannten sogenannten Dark Patterns eingesetzt werden, die Nutzer*innen in ihren Entscheidungen beeinflussen könnten. 

4. Schließen der Gaps

Durch den Abgleich von Soll- und Ist-Informationen werden häufig Lücken sichtbar, oft in Form von Diensten, die im Consent Management nicht erfasst sind. 

Die Gründe dafür sind vielfältig: Häufig wird die Website-Entwicklung ausgelagert, wobei Agenturen oder Third-Party-Entwickler möglicherweise nicht ausreichend auf Datenschutz achten. Auch Anpassungen von Third-Party-Skripten können dazu führen, dass neue Dienste nachgeladen werden, ohne dass das Unternehmen davon weiß. Zudem fehlen in vielen Fällen klare interne Prozesse, die regeln, wie Tools eingebunden werden und wann der Datenschutzbeauftragte einzubeziehen ist.

Um diese Gaps zu schließen, können verschiedene Maßnahmen ergriffen werden:

• Tool-Check: Prüfen, ob ein Tool überhaupt noch benötigt wird. Das Prinzip „erstmal haben“ kann täuschen, da unnötige Tools Ladezeiten und Nutzererfahrung belasten.
• Rechtsgrundlage prüfen: Muss für das Tool wirklich Consent eingeholt werden? Manche Einsätze lassen sich über andere Rechtsgrundlagen der DSGVO (z. B. berechtigtes Interesse) rechtfertigen. In jedem Fall sollten Consent-Banner und Datenschutzerklärung entsprechend informieren.
• CMP-Anbindung: Tools an die Consent Management Platform anbinden, sodass Requests und Cookies erst nach gegebenem Consent ausgelöst werden. 
• Alternativen nutzen: Tools durch andere Lösungen ersetzen oder Ressourcen direkt vom eigenen Server laden, etwa Schriftarten lokal statt über Google Fonts.

Sind Sie bereit, die Vorteile eines Consent Audits für Ihr Unternehmen nutzbar zu machen?   

Zu Beginn unserer Consent-Management-Projekte steht stets eine sorgfältige Überprüfung des bestehenden Setups sowie die Einarbeitung in die vorhandene Infrastruktur. Dies kann zugleich als Ausgangspunkt für die Optimierung interner Prozesse oder die Umsetzung einer Data-Governance-Strategie dienen, wie wir es beispielsweise für unseren Kunden, die SBB, realisiert haben.

Die Case Study dazu finden Sie hier.

 

FELD M hilft bei der Umsetzung Ihrer Auditierung. Die Spezialisten unseres Privacy und Consent Teams beraten Sie gern.