Usercentrics CMP und Datenschutz – Was Webseitenbetreiber wissen müssen

Setzt ein Webseitenbetreiber die Consent Management Platform (CMP) von Usercentrics ein, verarbeitet er Einwilligungsdaten und technische Daten seiner Website-Nutzer zum Zweck der Einwilligungsverwaltung und des Compliance-Nachweises auf Basis berechtigter Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO. Usercentrics wird dabei als Auftragsverarbeiter tätig. Diese Information beruht auf Anbieterangaben und öffentlich zugänglichen Quellen.

A. Zweck und Funktionsweise von Usercentrics CMP

Usercentrics ist eine Consent Management Platform (CMP) – eine Softwarelösung zur Erhebung, Verwaltung und Dokumentation von Einwilligungen Website-Besucher für die Verarbeitung ihrer personenbezogenen Daten. Die CMP wird als JavaScript-Code in die Website eingebettet und wird damit zur Rechtsgrundlage für die Verwendung weiterer Cookies und Tracking-Tools auf der Website (wie Google Analytics, Facebook Pixel, etc.).

Integrationsfunktion: Der Betreiber integriert das Usercentrics Banner (Consent Management Banner) in seine Website. Nutzer sehen beim Besuch der Website ein Consent-Banner, in dem sie der Verarbeitung ihrer Daten widersprechen oder zustimmen können. Usercentrics speichert diese Einwilligung und stellt dem Betreiber eine Einwilligungsnachweis-API bereit, damit andere Tools auf der Website nur nach erfolgter Einwilligung aktiviert werden.

B. Pflichtangaben in der Datenschutzerklärung zu Usercentrics

Nach DSGVO muss der Betreiber folgende Informationen zu Usercentrics in seiner Datenschutzerklärung offenlegen:

• Zweck (Art. 13 Abs. 1 lit. c): Einwilligungsverwaltung, Compliance-Dokumentation
• Rechtsgrundlage (Art. 13 Abs. 1 lit. a, Art. 6 Abs. 1 lit. f): Berechtigte Interessen des Betreibers an Rechtskonformität
• Empfänger (Art. 13 Abs. 1 lit. e): Usercentrics GmbH als Auftragsverarbeiter
• Drittlandtransfer (Art. 13 Abs. 1 lit. f): Vom Betreiber zu verifizieren; Usercentrics sitzt in München (EWR)
• Speicherdauer (Art. 13 Abs. 2 lit. a): Bis Einwilligung widerrufen wird; technische Umsetzung vom Betreiber zu verifizieren

Hinweis: Toolspezifische Textbausteine ("Datenschutzerklärung für Usercentrics") sind schlecht – sie orientieren sich nicht an den Datenverarbeitungszielen des Betreibers, sondern an Produktmerkmalen. Besser: Themenorientierter Aufbau (z.B. Kapitel "Einwilligungsverwaltung") mit Aufzählung der Datenempfänger im Anhang.

C. Anbieter von Usercentrics: Usercentrics GmbH

• Juristischer Name: Usercentrics GmbH
• Sitz: Sendlinger Straße 7, 80331 München, Deutschland
• Sitzland: Deutschland (Europäischer Wirtschaftsraum)
• Privacy Policy: https://usercentrics.com/privacy-policy/
• DPF-Status: Nicht erforderlich (Sitz im EWR)
• AVV/DPA: Verfügbar; gemäß Vorabinfo liegen DPA-Muster vor (https://usercentrics.com/de/wp-content/uploads/sites/2/2024/12/Usercentrics_DPA_August-2024.pdf)

D. Datenverarbeitung durch Usercentrics – Ablauf

E. Erhobene Daten beim Einsatz von Usercentrics

Usercentrics erfasst bei der Einwilligungsverwaltung verschiedene Arten von Nutzerdaten. Diese lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: IP-Adresse, Datum/Uhrzeit/Zeitzone, Request-URL, Referrer, Geräteinformationen
• Browserinformationen: Browser-Typ, Browserversion, User-Agent-String
• Endgeräte-Daten: Gerätetyp (Desktop/Tablet/Mobil), Betriebssystem, Displayauflösung, Spracheinstellung
• Interaktionsdaten: Klicks im Banner (Alle akzeptieren / Ablehnungsbutton / Präferenzen), Verweildauer im Banner, Scroll-Bewegungen
• Nutzerkonto-Daten: Falls Nutzer sich anmelden: Benutzername, E-Mail-Adresse (verschlüsselt), Login-Status
• Einwilligungsdaten: Welche Kategorien akzeptiert/abgelehnt (z.B. "Statistische Cookies", "Marketing-Cookies"), Zeitstempel der Entscheidung, Widerrufsstatus

F. Nutzungszwecke beim Einsatz von Usercentrics

Die Daten werden für folgende Zwecke verarbeitet:

• Compliance: Nachweis der Einwilligung gegenüber Aufsichtsbehörden und im Kontrollfall (Art. 7 Abs. 1 DSGVO)
• Rechtsdurchsetzung: Dokumentation von Nutzer-Entscheidungen für potenzielle Rechtsstreite
• Funktionsbereitstellung: Technische Aktivierung/Deaktivierung von Cookies und Tracking-Tools auf der Website nach Nutzer-Entscheidung
• Allgemeine Produktverbesserung: Analyse, welche Nutzersegmente welche Einwilligungen geben, um die CMP zu optimieren
• Sicherheit und Missbrauchsschutz: Erkennung verdächtiger Aktivitäten, Botnetze, Cookie-Manipulation

G. Rechtsgrundlagen für Usercentrics

Schritt 1 – Kategorisierung: Usercentrics ist eine Compliance-Infrastruktur – der Betreiber nutzt sie, um Einwilligungen rechtmäßig einzuholen.

Schritt 2 – Rechtsgrundlage:

• Für den Betrieb der CMP selbst (Einwilligungsverwaltung durch den Betreiber): Berechtigte Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO. Der Betreiber hat ein berechtigtes Interesse, rechtmäßig Einwilligungen einzuholen und zu dokumentieren – dies ist nicht optional unter DSGVO Art. 7.
• Für Usercentrics als Auftragsverarbeiter: Auftragsverarbeitungsverhältnis gemäß Art. 28 DSGVO mit Datenverarbeitungsvertrag (DPA).

Hinweis: Usercentrics selbst benötigt keine separate Einwilligung von Nutzern für den Betrieb (Consent-Free), da die CMP-Software selbst Teil der Rechtsgrundlage-Nachweisführung ist. Jedoch sollte dies klar in der Datenschutzerklärung kommuniziert werden.

H. Besonderheiten und Hinweise zu Usercentrics

• Auftragsverarbeitungsverhältnis erforderlich: Der Betreiber MUSS einen Datenverarbeitungsvertrag (AVV/DPA) mit Usercentrics abschließen. Vorlage: https://usercentrics.com/de/wp-content/uploads/sites/2/2024/12/Usercentrics_DPA_August-2024.pdf
• Subprozessoren: Usercentrics nutzt Cloud-Infrastruktur-Anbieter. Diese müssen im DPA-Anhang offengelegt sein.
• Drittlandtransfers: Die meisten Subprozessoren sind US-Unternehmen (AWS, Google Cloud). Datenschutzfolgeabschätzung erforderlich; Standard Contractual Clauses (SCC) oder ähnliche Schutzmechanismen müssen vorhanden sein.
• Rechenschaftspflicht: Der Betreiber muss dokumentieren, dass der DPA abgeschlossen ist (Art. 5 Abs. 2 DSGVO).
• Nutzerrechte: Nutzer können Einwilligung jederzeit widerrufen; Usercentrics muss dies sofort umsetzen.

I. FAQ zu Usercentrics

J. Fazit und Empfehlung zu Usercentrics

Zusammenfassung: Usercentrics ist eine notwendige Infrastruktur für DSGVO-konformes Cookie- und Tracking-Management. Der Betreiber muss jedoch ein Auftragsverarbeitungsverhältnis mit Usercentrics etablieren (DPA) und Subprozessoren-Transfers dokumentieren.

Häufiger Fehler: Betreiber erstellen separate "Usercentrics Datenschutzklauseln" für ihre Datenschutzerklärung, orientieren sich dabei aber an Produktmerkmalen statt an Datenverarbeitungszielen. Dies ist nicht DSGVO-konform nach Art. 12 Abs. 1 DSGVO (Transparenzgebot). Besser: Themenorientierter Aufbau (Compliance → Einwilligungsverwaltung) mit Aufzählung aller Empfänger im Anhang.