ConsentManager und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber ConsentManager ein, verarbeitet er Webserver-Protokolldaten, Endgeräte-Daten, Browserinformationen, grobe Standortdaten sowie Consent-Cookies bzw. LocalStorage-Einträge zum Zweck der Einholung, Dokumentation und Verwaltung von Einwilligungen nach § 25 TDDDG und Art. 7 DSGVO. Diese Seite erläutert in kompakter Form, welche Datenverarbeitungen mit ConsentManager typischerweise verbunden sind und welche Pflichtangaben dazu in die Datenschutzerklärung der Webseite gehören.

Die nachfolgenden Ausführungen beruhen auf den öffentlich zugänglichen Angaben des Anbieters und auf öffentlich recherchierbaren Quellen; sie ersetzen keine Einzelfallprüfung.

A. Zweck und Funktionsweise von ConsentManager

ConsentManager ist eine Consent-Management-Platform (CMP), die Webseitenbetreibern erlaubt, Einwilligungen ihrer Webseitenbesucher in Cookies und sonstige Speichervorgänge auf dem Endgerät sowie in nachgelagerte Datenverarbeitungen einzuholen, zu dokumentieren und zu verwalten. Technisch wird ein vom Anbieter bereitgestelltes JavaScript im <head> der Webseite eingebunden (typischerweise von der Domain cdn.consentmanager.net ausgeliefert). Beim Seitenaufruf blendet das Skript ein Consent-Banner ein, ermittelt die Auswahl des Nutzers und stellt diese Auswahl anderen Skripten und Tag-Managern auf der Webseite zur Verfügung.

ConsentManager unterstützt nach Anbieterangaben das IAB Transparency & Consent Framework (TCF v2.x), den Google Consent Mode v2, geräteübergreifende Consent-Synchronisation sowie Schnittstellen für mobile Apps (iOS, Android, Flutter) und CTV/HbbTV. Diese Seite beschränkt sich auf die typische Einbindung der CMP als Skript in eine Webseite (Web-Integration). Andere Funktionen wie App-SDKs werden hier nicht behandelt.

ConsentManager fällt in die Tool-Kategorie Consent Management. Die CMP ist – anders als z.B. ein Tracking- oder Marketing-Tool – nicht selbst Marketing-Werkzeug, sondern dient der Erfüllung gesetzlicher Pflichten des Webseitenbetreibers im Zusammenhang mit Einwilligungs- und Transparenzanforderungen.

B. Pflichtangaben zu ConsentManager in der Datenschutzerklärung

Die DSGVO verlangt, dass die Datenschutzerklärung neben allgemeinen Angaben zum Webseitenbetreiber, den Rechten der betroffenen Person und der zuständigen Aufsichtsbehörde in Bezug auf jedes eingesetzte Tool bestimmte Pflichtangaben enthält. Speziell für den Einsatz von ConsentManager sind das insbesondere:

• die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• die Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• bei einer Stützung auf Interessenabwägung zusätzlich die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO),
• die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (Art. 13 Abs. 1 lit. e DSGVO),
• ggf. eine Drittlandübermittlung und deren Grundlage (Art. 13 Abs. 1 lit. f DSGVO),
• die Speicherdauer oder die Kriterien zur Festlegung der Speicherdauer (Art. 13 Abs. 2 lit. a DSGVO),
• bei nicht direkt beim Betroffenen erhobenen Daten zusätzlich die Kategorien der verarbeiteten personenbezogenen Daten (Art. 14 Abs. 1 lit. d DSGVO).

Die nachfolgenden Abschnitte schlüsseln diese Pflichtangaben für ConsentManager auf.

Zugleich sei darauf hingewiesen, dass es nicht erforderlich ist, jedes einzelne Tool – also auch nicht ConsentManager – mit einem eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Die in vielen anwaltlichen Mustern verbreitete Praxis, für jeden eingesetzten Dienst einen eigenen Absatz zu pflegen, hat sich als schlechte Manier etabliert: Sie führt zu langen, schwer lesbaren und kaum pflegbaren Datenschutzerklärungen, die das Transparenzgebot des Art. 12 Abs. 1 DSGVO eher unterlaufen als erfüllen. Vorzugswürdig ist ein themenorientierter Ansatz, der die Verarbeitungen übergreifend nach Themen wie Serverbetrieb, Newsletter, Tracking, Verkauf und Consent Management beschreibt und die konkret eingesetzten Dienstleister – darunter ConsentManager – im Anhang als Empfänger benennt.

C. Anbieter von ConsentManager

Vertragspartner für den Einsatz von ConsentManager ist nach den öffentlich zugänglichen Angaben des Anbieters:

• Firma: consentmanager AB
• Anschrift: Haltegelvägen 1b, 72348 Västerås, Schweden
• Sitzland: Schweden (EU/EWR)
• Datenschutzbeauftragter: Rechtsanwalt Peter Hense (erreichbar über das vom Anbieter bereitgestellte Kontaktformular)

Die consentmanager AB hat ihren Sitz in einem EU-Mitgliedstaat; es findet nach Anbieterangaben kein Drittlandtransfer statt, weil die Datenverarbeitung und Speicherung ausschließlich auf Servern in Europa erfolgt. Nach Anbieterangaben werden die Server in Deutschland bei der PlusServer GmbH (Köln) betrieben. Eine US-Muttergesellschaft besteht nach öffentlich zugänglichen Angaben nicht; eine DPF-Zertifizierung ist daher für die Datenverarbeitung im Rahmen der CMP nicht relevant.

Die Datenschutzhinweise des Anbieters sind unter https://www.consentmanager.net/de/datenschutz/ abrufbar; Informationen zur Auftragsverarbeitung finden sich unter https://www.consentmanager.net/dpa/.

D. ConsentManager – Datenverarbeitung in Schritten

1. Erhebung: Beim Aufruf einer Seite, die ConsentManager einbindet, lädt der Browser des Nutzers das CMP-Skript von einer Anbieter-Domain (z.B. cdn.consentmanager.net). Der Anbieter erhält dabei die für jede HTTP-Anfrage typischen Webserver-Protokolldaten. Anschließend ermittelt das Skript Endgeräte- und Browserinformationen, blendet das Consent-Banner ein und nimmt die Auswahl des Nutzers entgegen.
2. Speicherung: Die getroffene Consent-Auswahl wird als Consent-String und/oder Consent-Cookie im Browser des Nutzers (LocalStorage und/oder Cookie) abgelegt. Der Anbieter speichert die Consent-Einträge zudem in seiner Infrastruktur zur späteren Nachweisführung und stellt nach eigenen Angaben Server in Europa (Deutschland) bereit.
3. Nutzung: Andere Skripte und Tag-Manager auf der Webseite des Webseitenbetreibers fragen den Consent-Status ab und richten ihr Verhalten danach aus (z.B. Aktivierung oder Blockade von Tracking-Skripten). Der Anbieter selbst stellt dem Webseitenbetreiber Reporting-Funktionen, Statistiken und Schnittstellen zur Verfügung.
4. Weitergabe: Eine Weitergabe der Consent-Daten an Dritte ist nach Anbieterangaben nicht vorgesehen, soweit es die CMP-Funktion betrifft. Subprozessoren werden für ergänzende Dienste eingesetzt; eine Weitergabe an externe Werbenetzwerke erfolgt nicht.
5. Löschung: Der typische Consent-Lebenszyklus endet mit Ablauf der Cookie-/LocalStorage-Lebensdauer (häufig zwölf Monate, danach erneute Abfrage) oder mit dem Widerruf der Einwilligung durch den Nutzer. Der Anbieter gibt an, Consent-Nachweise für die Dauer der gesetzlichen Nachweispflicht aufzubewahren.

E. Erhobene Daten bei Einsatz von ConsentManager

Bei Einsatz von ConsentManager werden bei Webseitenbesuchern typischerweise folgende Daten verarbeitet: die IP-Adresse zum Zeitpunkt der Banner-Anzeige und der Einwilligungsabgabe, ein Zeitstempel der Auswahl, die getroffene Auswahl selbst (Consent-String, ggf. im IAB-TCF-Format), eine pseudonyme Kennung in einem Consent-Cookie bzw. LocalStorage-Eintrag, sowie technische Daten zum Browser und Endgerät (User-Agent, Betriebssystem, Sprache, Bildschirmgröße). Über die IP-Adresse kann der Anbieter den groben Standort des Nutzers (Stadt-/Regionsebene) ableiten.

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: Daten, die der Webserver des Anbieters bei jeder Anfrage automatisch erhält, insbesondere IP-Adresse, Datum, Uhrzeit und Zeitzone, URL des angefragten Inhalts (Skript), Referrer, Informationen zu Browser, Betriebssystem und Gerät sowie ergänzende technische Metadaten.
• Endgeräte-Daten: Angaben zum Endgerät des Nutzers, z.B. Gerätetyp, Betriebssystem, Bildschirmauflösung und Bildschirmgröße.
• Browserinformationen: Informationen über den verwendeten Browser, z.B. Browsername und Browserversion.
• Grobe Standortdaten: Anhand der IP-Adresse abgeleiteter grober Standort des Nutzers auf Stadt- oder Regionsebene; relevant insbesondere für die Frage, ob ein Banner überhaupt anzuzeigen ist (Geo-Targeting auf EU/EWR).
• Consent-Daten (als spezielle Ausprägung von Cookies/LocalStorage und Nutzungskonto-ähnlichen Kennungen): pseudonyme Consent-Kennung, getroffene Auswahl, Zeitstempel, Banner-Version und Sprachfassung, ggf. der vollständige TCF-Consent-String.

Eine Verknüpfung dieser Daten mit unmittelbar identifizierenden Angaben (Name, E-Mail) findet im Rahmen der CMP-Funktion nach Anbieterangaben nicht statt.

F. Nutzungszwecke beim Einsatz von ConsentManager

Der Webseitenbetreiber nutzt die durch ConsentManager verarbeiteten Daten dafür, Einwilligungen rechtskonform einzuholen, dem Nutzer eine Auswahl zu ermöglichen, die Auswahl serverseitig und clientseitig durchzusetzen sowie die Erteilung der Einwilligung zu dokumentieren. Daneben werden technische Daten zur Bereitstellung des Banners selbst, zur Fehlererkennung und zum Schutz gegen Missbrauch verarbeitet.

Die mit ConsentManager typisch verfolgten Zwecke lassen sich in folgende standardisierte Nutzungszweck-Klassen einordnen:

• Funktionsbereitstellung: Anzeige des Consent-Banners, Entgegennahme und technische Durchsetzung der Auswahl, Bereitstellung der Consent-Information an nachgelagerte Skripte sowie Fehlererkennung und Fehlerbehebung im Banner-Lebenszyklus.
• Sicherheit und Missbrauchsschutz: Erkennung und Abwehr automatisierter Missbrauchsversuche (z.B. wiederholtes Auslösen der Banner-Logik durch Bots), Sitzungssteuerung und Authentifizierung gegenüber dem CMP-Backend.
• Compliance: Einhaltung der gesetzlichen Pflichten zur Einholung und Verwaltung von Einwilligungen nach § 25 TDDDG und Art. 6 Abs. 1 lit. a, Art. 7 DSGVO, insbesondere Information des Nutzers und Steuerung der Tag-Auslösung.
• Erfüllung von Aufbewahrungspflichten: Vorhalten der Consent-Nachweise zur Erfüllung der Nachweispflicht nach Art. 7 Abs. 1 DSGVO.
• Rechtsdurchsetzung: Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, z.B. Nachweis einer erteilten Einwilligung im Streit- oder Aufsichtsverfahren.

Eine Nutzung der Daten zur Nutzerprofil-Erstellung, zum nutzerindividuellen Marketing oder zur allgemeinen Produktverbesserung im Sinne klassischer Tracking-Tools findet beim Einsatz von ConsentManager als reine Consent-Lösung nicht statt.

G. Rechtsgrundlagen für ConsentManager

ConsentManager fällt in die Tool-Kategorie Consent Management. Die CMP dient der Erfüllung gesetzlicher Pflichten des Webseitenbetreibers nach § 25 TDDDG (Einwilligung in Speichervorgänge auf dem Endgerät) und Art. 7 DSGVO (Einholung und Nachweis von Einwilligungen) sowie dem Transparenzgebot nach Art. 12, 13 DSGVO.

Als Rechtsgrundlagen für den Einsatz von ConsentManager kommen nach den allgemein anerkannten Maßstäben typischerweise in Betracht:

• Art. 6 Abs. 1 lit. c DSGVO – rechtliche Verpflichtung: Soweit die Verarbeitung erforderlich ist, um eine gesetzliche Pflicht zu erfüllen (insbesondere Nachweis der Einwilligung nach Art. 7 Abs. 1 DSGVO sowie Ausgestaltung der Einwilligung nach § 25 TDDDG).
• Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse: Soweit eine spezifische gesetzliche Verpflichtung nicht greift, wird das Betreiben einer CMP regelmäßig auf ein berechtigtes Interesse des Webseitenbetreibers an Compliance, Sicherheit, Missbrauchsschutz und Rechtsausübung gestützt; hierzu zählt insbesondere das Interesse, die Einhaltung datenschutzrechtlicher Vorgaben technisch sicherzustellen und nachweisen zu können.
• § 25 Abs. 2 Nr. 2 TDDDG: Für das Setzen und Auslesen des Consent-Cookies bzw. LocalStorage-Eintrags der CMP selbst wird verbreitet vertreten, dass dies unbedingt erforderlich ist, um den vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung zu stellen (nämlich die Speicherung seiner Auswahl); eine Einwilligung in den Consent-Speichervorgang selbst ist danach nicht zusätzlich erforderlich.

Die einschlägige Rechtsgrundlage ist fallabhängig und im Einzelfall durch den Webseitenbetreiber zu prüfen. Bei einer Stützung auf Art. 6 Abs. 1 lit. f DSGVO sind die berechtigten Interessen in der Datenschutzerklärung konkret zu benennen.

H. Besonderheiten und Hinweise zu ConsentManager

• EU-Sitz und EU-Hosting: Vertragspartner ist nach Anbieterangaben die consentmanager AB mit Sitz in Schweden; die Datenverarbeitung erfolgt nach Anbieterangaben auf Servern in Deutschland. Es findet nach diesen Angaben kein Drittlandtransfer statt; ein DPF-Status ist insoweit nicht relevant.
• AVV/Auftragsverarbeitung: Der Anbieter tritt für die Verarbeitung der Consent-Daten typischerweise als Auftragsverarbeiter auf und stellt einen entsprechenden Auftragsverarbeitungsvertrag zur Verfügung. Der Abschluss eines AVV nach Art. 28 DSGVO ist regelmäßig zwingend; Webseitenbetreiber sollten den AVV vor Produktivnutzung schließen und dokumentieren.
• Subprozessoren: Der Anbieter setzt für Hosting und ergänzende Dienste Subprozessoren ein (u.a. PlusServer GmbH als Hoster). Webseitenbetreiber sollten die Subprozessor-Liste regelmäßig auf Aktualisierungen prüfen.
• Opt-Out und Widerruf: Der Nutzer kann seine Einwilligung jederzeit über das CMP-Banner bzw. ein vom Anbieter bereitgestelltes „Privacy"-Symbol widerrufen oder anpassen. Ein gesondertes Opt-Out beim Anbieter ist für die CMP-Funktion nicht erforderlich, weil die CMP gerade dem Widerruf dient.
• Einstellungen für den Webseitenbetreiber: Wesentliche datenschutzrelevante Konfigurationen sind insbesondere die Auswahl der eingebundenen Vendoren und Zwecke (TCF), die Geltung des Banners (z.B. nur EU/EWR), die Lebensdauer der Consent-Speicherung, die korrekte Voreinstellung „nicht eingewilligt" sowie die Verknüpfung mit Tag-Managern und Google Consent Mode v2.
• Abgrenzung der Funktionen: Diese Seite behandelt die Web-Integration als CMP-Skript. Mobile-SDKs (iOS/Android/Flutter) und CTV/HbbTV-Integrationen folgen demselben Grundkonzept, werfen aber zusätzliche Fragen (z.B. ATT auf iOS) auf, die hier nicht behandelt werden.

I. FAQ zu ConsentManager und Datenschutz

J. Fazit und Call-to-Action

ConsentManager ist eine in der EU ansässige Consent-Management-Platform mit europäischem Hosting, die Webseitenbetreibern bei der Einholung, Durchsetzung und Dokumentation von Einwilligungen unterstützt. Die im Rahmen der CMP-Funktion verarbeiteten Daten beschränken sich nach Anbieterangaben im Wesentlichen auf technische Zugriffsdaten und die Consent-Auswahl selbst; ein klassischer Tracking- oder Marketing-Charakter ist mit der reinen Consent-Funktion nicht verbunden. Vertragspartner, AVV-Inhalt, Subprozessoren und Hosting-Standort sind vom Webseitenbetreiber im Einzelfall zu verifizieren.

Für die Datenschutzerklärung selbst gilt: Es ist meist wenig sinnvoll, jedes einzelne Tool – auch ConsentManager – mit einem eigenen Textbaustein aufzunehmen. Das macht die Datenschutzerklärung lang, unübersichtlich und schwer pflegbar und widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO. Sachgerechter ist ein strukturierter, themenorientierter Ansatz, der Verarbeitungen nach Themenblöcken (Serverbetrieb, Newsletter, Tracking, Verkauf, Consent Management …) übergreifend erläutert und die konkret eingesetzten Dienstleister – darunter ConsentManager – im Anhang als Empfänger auflistet. Genau diese Methodik verfolgt der matterius-Generator.

K. Kurator