OneTrust Consent Management Platform und Datenschutz – Was Webseitenbetreiber wissen müssen

Nutzt ein Webseitenbetreiber OneTrust als Consent Management Platform (CMP), verarbeitet OneTrust Daten zum Zweck der Verwaltung von Benutzereinwilligungen und Datenschutz-Compliance auf Basis von berechtigten Interessen und teilweise auf Basis von Einwilligung. OneTrust ist eine Datenschutz- und Compliance-Plattform, die Webseitenbetreibern ermöglicht, Cookies, Tracking-Tools und andere datenverarbeitende Services zu verwalten und Einwilligungsnachweise zu dokumentieren. Diese Datenschutzerklärung richtet sich an Webseitenbetreiber und erläutert, welche Angaben zu OneTrust rechtlich in die eigene Datenschutzerklärung gehören.

A. Zweck und Funktionsweise von OneTrust CMP

Eine Consent Management Platform (CMP) ist ein Tool, das Webseitenbetreibern hilft, Einwilligungen von Besuchern zu verwalten. OneTrust zeigt auf einer Website ein Consent-Banner (Cookie-Banner) an, das den Besucher fragt, welche Cookies und Tracking-Tools er erlaubt. OneTrust speichert die Antwort des Besuchers und teilt diese Einwilligungen anderen Tools (z. B. Google Analytics, Advertising Networks) mit.

OneTrust wird integriert, indem ein JavaScript-Tag auf der Website eingebunden wird. Dieses Tag lädt das OneTrust-Banner, erfasst Besucher-Interaktionen mit dem Banner und speichert die Einwilligungsentscheidungen.

Neben dem Banner bietet OneTrust auch:

• Einwilligungsverwaltung: Speicherung und Verwaltung von Einwilligungsnachweisen
• Mapping zu Datenschutz-Frameworks: Integration mit IAB TCF (Transparency and Consent Framework)
• Audit-Trails: Dokumentation von Einwilligungen für Compliance-Zwecke
• Cookie-Scanning: Automatische Erkennung von Cookies und Services auf der Website

Die Besonderheit von OneTrust: OneTrust selbst verarbeitet Daten (Einwilligungsdaten), was bedeutet, dass OneTrust nicht nur ein Tool ist, sondern selbst als Datenverarbeiter fungiert und in die Datenschutzerklärung aufgenommen werden muss.

B. Pflichtangaben in der Datenschutzerklärung zu OneTrust

Nach DSGVO Art. 13 Abs. 1 lit. c muss ein Webseitenbetreiber die Zwecke der Verarbeitung offenlegen. Art. 13 Abs. 1 lit. d verlangt die Rechtsgrundlagen, Art. 13 Abs. 1 lit. e die Empfänger oder Kategorien von Empfängern. Art. 13 Abs. 1 lit. f fordert, dass Drittlandtransfers offengelegt und begründet werden.

Besonderheit: OneTrust verarbeitet auch selbstständig Einwilligungsdaten, daher muss OneTrust sowohl als Auftragsverarbeiter (für die Verwaltung von Einwilligungen im Namen des Webseitenbetreibers) als auch als eigenständiger Datenverantwortlicher (für die Speicherung von Einwilligungsnachweisen und Audit-Trails) gekennzeichnet werden.

Ein themenorientierter Ansatz ist hier empfohlen: Ein Abschnitt „Einwilligungsverwaltung und Datenschutz-Compliance" sollte erläutern, dass OneTrust zur Verwaltung von Besucher-Einwilligungen eingesetzt wird.

C. Anbieter von OneTrust: OneTrust LLC

Juristischer Name: OneTrust LLC
Anschrift: 1200 Abernathy Road, Building 1200, Suite 1500, Atlanta, GA 30328, USA
Sitzland: USA (Georgia)
EU-Niederlassung: OneTrust hat auch Niederlassungen in Europa (z. B. Irland)
Rolle: Auftragsverarbeiter (für Einwilligungsverwaltung) und eigenständiger Datenverantwortlicher (für Einwilligungsnachweise und Compliance-Daten)

DPF-Status: OneTrust LLC ist nicht auf der DPF-Liste zertifiziert. Daher beruht die Datenübermittlung in die USA auf Standard Contractual Clauses (SCC). Der Webseitenbetreiber sollte vor der Nutzung prüfen, ob und auf welcher Basis OneTrust Daten in die USA übermittelt (vom Betreiber zu verifizieren).

Datenschutzerklärung: https://www.onetrust.com/privacy-notice/

Data Processing Addendum (DPA/AVV): OneTrust stellt ein DPA bereit, das Webseitenbetreiber mit OneTrust abschließen sollten. Das DPA regelt die Verarbeitung personenbezogener Daten (insbesondere Einwilligungsdaten), Subprozessoren und Drittlandtransfers.

D. Datenverarbeitung durch OneTrust – Ablauf

E. Erhobene Daten beim Einsatz von OneTrust

OneTrust erfasst automatisch Daten, die für die Einwilligungsverwaltung und Compliance erforderlich sind.

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: IP-Adresse, Datum/Uhrzeit, URL, Referrer, Browser/OS/Gerät, technische Metadaten
• Geräte- und Browserinformationen: Browser-Typ, Browser-Version, Betriebssystem, Geräte-Identifier
• Eindeutige Identifikatoren: Cookies, Geräte-ID, Besucher-ID, die OneTrust zur Identifikation des Besuchers nutzt
• Einwilligungsdaten: Welche Cookies erlaubt wurden, welche abgelehnt, Datum/Uhrzeit der Entscheidung, Einwilligungstext, den der Besucher sah
• Benutzerinteraktionen: Klicks auf Banner-Buttons (Akzeptieren, Ablehnen, Einstellungen), Mausbewegungen, Scrollbewegungen
• Grobe Standortdaten: IP-basierter grober Standort auf Land-/Regionsebene
• Konfigurationsdaten: Welche Services auf der Website sind, welche Cookies verwendet werden (wenn OneTrust Cookie-Scanning aktiv ist)

Diese Information beruht auf Anbieterangaben und öffentlich zugänglichen Quellen (OneTrust dokumentiert seine Datenerfassung in technischen Dokumentationen und der Datenschutzerklärung).

F. Nutzungszwecke beim Einsatz von OneTrust

OneTrust wird in der Regel zu folgenden Zwecken eingesetzt:

• Einwilligungsverwaltung: Erfassung, Speicherung und Verwaltung von Besucher-Einwilligungen für Cookies und Tracking-Tools
• Compliance: Nachweis von Einwilligungen für DSGVO-Compliance, Einhaltung von Vorschriften
• Rechtsdurchsetzung: Einwilligungsnachweise als Beweis gegenüber Behörden oder in Rechtsstreitigkeiten
• Integration mit IAB TCF: Teilnahme am IAB Europe Transparency and Consent Framework
• Produktentwicklung: Interne Auswertungen zur Verbesserung der OneTrust-Plattform und Sicherheit
• Sicherheit und Missbrauchsschutz: Erkennung von Bot-Angriffen oder Anomalien

G. Rechtsgrundlagen für OneTrust

OneTrust ist ein Compliance- und Einwilligungsverwaltungs-Tool. Für die Datenverarbeitung sind folgende Rechtsgrundlagen relevant:

1. Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Der Webseitenbetreiber hat ein berechtigtes Interesse, Einwilligungen zu verwalten und nachzuweisen. Dies ist für die DSGVO-Compliance notwendig. Eine Interessenabwägung zeigt typischerweise, dass dieses Interesse überwiegt.

2. Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Für die Verwaltung von Einwilligungen in Compliance mit DSGVO und TDDDG ist die Datenverarbeitung durch OneTrust teilweise rechtlich verpflichtet.

3. Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Soweit OneTrust Daten für andere Zwecke nutzt (z. B. Produktentwicklung, Sicherheit), kann OneTrust auch auf Einwilligung angewiesen sein.

Hinweis: Eine Einzelfallprüfung ist notwendig. OneTrust-Nutzung wird hauptsächlich über berechtigte Interessen und rechtliche Verpflichtungen begründet, aber OneTrust benötigt möglicherweise auch Einwilligung für bestimmte Sekundärnutzungen.

H. Besonderheiten und Hinweise zu OneTrust

• Duale Rolle: OneTrust fungiert als Auftragsverarbeiter (für die Einwilligungsverwaltung im Auftrag des Webseitenbetreibers) und als eigenständiger Datenverantwortlicher (für die Langzeit-Speicherung von Einwilligungsnachweisen und Audit-Trails).
• Fehlende DPF-Zertifizierung: OneTrust LLC ist nicht DPF-zertifiziert. Die Datenübermittlung in die USA erfolgt auf Basis von Standard Contractual Clauses (SCC). Der Webseitenbetreiber sollte dies klären (vom Betreiber zu verifizieren).
• IAB TCF Integration: OneTrust integriert sich mit IAB Europe's Transparency and Consent Framework (TCF), was bedeutet, dass Einwilligungsdaten auch an andere TCF-Partner weitergegeben werden können.
• Langzeit-Speicherung: OneTrust speichert Einwilligungsnachweise oft für mehrere Jahre (teilweise 7+ Jahre), um Audit-Anforderungen zu erfüllen.
• Subprozessoren: OneTrust nutzt Subprozessoren (z. B. für Hosting, Sicherheit, Datenanalyse). Eine aktuelle Liste sollte im DPA verfügbar sein.
• Datensicherheit: OneTrust ist ISO 27001 zertifiziert und implementiert Verschlüsselung, Zugriffskontrollen und weitere Sicherheitsmaßnahmen.
• Benutzerrechte: Besucher können ihre Einwilligungen jederzeit widerrufen und ihre Einwilligungsdaten bei OneTrust anfragen.

I. FAQ zu OneTrust CMP

J. Fazit und Empfehlungen zu OneTrust

OneTrust ist ein unverzichtbares Compliance-Tool für Websites, die Cookie-Einwilligungen verwalten müssen. Datenschutzrechtlich ist OneTrust besonders interessant, weil das Tool selbst Daten verarbeitet und daher in der Datenschutzerklärung erwähnt werden muss.

Webseitenbetreiber sollten beachten, dass OneTrust nicht nur als Auftragsverarbeiter fungiert (für die Verwaltung im Namen des Betreibers), sondern auch als eigenständiger Datenverantwortlicher (für die Speicherung von Einwilligungsnachweisen und Audit-Trails). Ein Data Processing Addendum (DPA) mit OneTrust ist erforderlich.

Ein themenorientierter Ansatz in der Datenschutzerklärung, der unter „Einwilligungsverwaltung und Compliance" erklärt, dass OneTrust zur Verwaltung von Einwilligungen eingesetzt wird, ist ausreichend. Ein Empfänger-Anhang zur Datenschutzerklärung erhöht die Klarheit zusätzlich.

Webseitenbetreiber sollten prüfen, ob die Speicherungsdauer von Einwilligungsnachweisen mit ihren Compliance-Anforderungen übereinstimmt und ob die Weitergabe an IAB TCF-Partner akzeptabel ist.