Canva - Marco GriepConsent Management Platform (CMP), IAB-TCF und DSGVO: Alles, was du wissen musst
Veröffentlicht:Jeder Websitebetreiber muss sich früher oder später mit dem Thema Cookie-Consent-Banner beschäftigen. Recht schnell stößt man dabei auf Anbieter wie Cookiebot, die z. B. von eRecht24 als Consent Management Platform empfohlen werden.
Doch was genau ist eine Consent Management Platform (CMP) eigentlich – und worin unterscheidet sie sich von einem einfachen Cookie-Banner?
Was ist eine CMP?
Eine Consent Management Platform (CMP) ist ein Tool, das Webseitenbetreiber dabei unterstützt, die Einwilligung von Nutzern zur Datenverarbeitung rechtskonform einzuholen, zu dokumentieren und zu verwalten. Sie ist ein zentrales Werkzeug zur Umsetzung der Datenschutz-Grundverordnung (DSGVO) und der ePrivacy-Richtlinie – insbesondere wenn es um Cookies und Tracking-Technologien geht.
Typischerweise zeigt eine CMP beim ersten Besuch einer Website das wohlbekannte Cookie-Banner bzw. einen sogenannten Consent Layer. Doch eine CMP ist mehr als nur ein Banner:
- Sie protokolliert Einwilligungen und erlaubt deren Widerruf.
- Sie scannt automatisch die Website nach Cookies und Drittanbieterdiensten.
- Sie klassifiziert Cookies in Kategorien (z. B. funktional, Marketing, Statistik).
- Sie hilft dabei, z. B. das Google AdSense-Cookie korrekt zu erfassen und einzuordnen.
Eine gute CMP erfüllt damit folgende gesetzliche Anforderungen:
- Transparenzpflicht: Nutzer:innen werden klar über Zwecke und Dienste informiert.
- Einwilligungspflicht: Sie können aktiv zustimmen oder ablehnen.
- Widerrufsrecht: Die Entscheidung kann jederzeit geändert werden.
Kommerzielle vs. Open-Source CMPs
Es gibt sowohl kostenlose Open-Source-Lösungen als auch kommerzielle CMP-Anbieter auf dem Markt. Allerdings dominieren kommerzielle Anbieter ganz klar – insbesondere, wenn es um Funktionen wie Cookie-Scanning, IAB-TCF-Unterstützung, regelmäßige rechtliche Updates oder die Integration mit Werbenetzwerken geht. Wer auf eine kostenlose Lösung setzen möchte, sollte sorgfältig prüfen, ob diese den eigenen technischen und rechtlichen Anforderungen genügt. Für einfache Websites ohne Werbung kann das durchaus ausreichen – bei komplexeren Setups oder Monetarisierung über Werbung stößt man jedoch schnell an funktionale oder rechtliche Grenzen.
Kommerzielle CMPs
Diese Anbieter bieten meist eine vollumfängliche Lösung, die insbesondere für große oder werbefinanzierte Websites konzipiert ist.
Typische Merkmale:
- Unterstützung des IAB-TCF 2.2
- Automatische Cookie-Scans und Klassifizierungen
- Integration mit AdTech-Partnern (Google, Meta etc.)
- A/B-Testing, Consent Analytics und rechtliche Updates
Vorteile:
- Professionelle Betreuung und Wartung
- Rechtssicher bei korrekter Konfiguration
- Kompatibel mit Werbenetzwerken und Consent Chains
Nachteile:
- Kostenpflichtig und oft nicht günstig
- Eingeschränkte Anpassbarkeit (je nach Plan)
Prominente Anbieter:
- Cookiebot
- Consentmanager
- Borland Constent
- OneTrust
- Usercentrics
- Didomi
- Sourcepoint
Open-Source CMPs
Für technisch versierte Betreiber oder kleinere Projekte sind auch Open-Source-Lösungen verfügbar.
Beliebte Beispiele:
1. Klaro!
- Leichtgewichtig, modular und anpassbar
- Unterstützt viele Dienste out-of-the-box
- DSGVO- und ePrivacy-konform (kein IAB-TCF)
2. Tarteaucitron.js
- Französisches Projekt mit starker Fokussierung auf Datenschutz
- Viele vorkonfigurierte Dienste
- Kein IAB-TCF, aber nutzerfreundlich
Vorteile:
- Kostenlos und quelloffen
- Datenschutzfreundlich
- Vollständig anpassbar
Nachteile:
- Kein IAB-TCF (wichtig für Werbefinanzierung)
- Kein Support oder rechtlicher Rückhalt
- Erfordert technisches Know-how und Wartung
Was ist das IAB-TCF?
Das IAB Transparency and Consent Framework (TCF) ist ein Branchenstandard, der vom IAB Europe entwickelt wurde. Ziel ist es, dass Websites, Adserver und Werbenetzwerke Consent-Informationen standardisiert austauschen können.
Der Standard ist besonders in der AdTech-Branche wichtig – zum Beispiel für:
- Google AdSense, Google Ad Manager
- Criteo, Xandr, The Trade Desk
- Programmatic Advertising und Real-Time Bidding
TCF regelt u. a.:
- Welche Zwecke zur Datenverarbeitung angegeben werden
- Welche „Vendoren“ beteiligt sind
- Auf welcher Rechtsgrundlage (Einwilligung oder berechtigtes Interesse) Daten verarbeitet werden
Wichtig: Das IAB-TCF ist kein gesetzliches Erfordernis, sondern ein technischer Standard. Es ist nicht automatisch DSGVO-konform, wird aber häufig als Branchenlösung verwendet.
Entscheidungsmatrix: Brauche ich IAB-TCF?
| Frage | Antwort | IAB-TCF notwendig? |
|---|---|---|
| Nutze ich Google AdSense, Ad Manager oder andere Ad-Netzwerke? | ✅ Ja | ✅ Ja |
| Verwende ich Programmatic Advertising / RTB? | ✅ Ja | ✅ Ja |
| Habe ich ausschließlich eigene Tools (z. B. Matomo ohne Cookies)? | ✅ Ja | ❌ Nein |
| Betreibe ich nur Content ohne Werbung (z. B. Corporate Site)? | ✅ Ja | ❌ Nein |
| Möchte ich vollautomatisch mit Vendoren über Consent kommunizieren? | ✅ Ja | ✅ Ja |
| Habe ich technische Ressourcen für eigenes Consent-Management? | ❌ Nein | ✅ Ja (kommerziell) |
| Ist Datenschutz-UX für meine Marke besonders sensibel? | 🔄 Kommt drauf an | 🔄 Optional |
Warum Open-Source CMPs oft nicht ausreichend
Open-Source CMPs sind ideal für einfache Websites oder Projekte, die keine Werbung oder externe AdTech-Dienste nutzen. Wenn jedoch folgende Anforderungen ins Spiel kommen, stoßen sie an ihre Grenzen:
| Herausforderung | Problem bei Open Source CMPs |
|---|---|
| Werbung / Real-Time Bidding | Kein IAB-TCF = keine Einbindung von Werbepartnern |
| Komplexe Cookie-Szenarien | Manuelles Mapping und Klassifizierung erforderlich |
| Consent-Protokollierung | Nur begrenzt oder gar nicht vorhanden |
| Juristische Absicherung | Kein Update-Service bei Gesetzesänderungen |
| Multi-Domain oder Multilingual | Komplexe Konfiguration notwendig |
Übersicht: Consent Management Plattformen (CMPs)
| Anbieter | Typ | Website | IAB-TCF-Unterstützung | Bemerkung |
|---|---|---|---|---|
| Cookiebot | Kommerziell | cookiebot.com | ✅ Ja | Automatischer Scan, einfache Integration |
| Usercentrics | Kommerziell | usercentrics.com | ✅ Ja | Marktführer im DACH-Raum, viele Integrationen |
| OneTrust | Kommerziell | onetrust.com | ✅ Ja | Enterprise-Fokus, umfassende Suite |
| Didomi | Kommerziell | didomi.io | ✅ Ja | Starke API, guter Multi-Domain-Support |
| Sourcepoint | Kommerziell | sourcepoint.com | ✅ Ja | Fokus auf Publisher & Medienhäuser |
| Klaro! | Open Source | klaro.kiprotect.com | ❌ Nein | Leichtgewichtig, gut anpassbar |
| Tarteaucitron.js | Open Source | GitHub | ❌ Nein | Frankreich-basiert, viele Dienste vorkonfiguriert |
| Osano (ehem. OSS) | Kommerziell | osano.com | ✅ Ja | War früher Open Source, jetzt SaaS-only |
Zusammenfassung
- Eine CMP ist für jede Website Pflicht, sobald Cookies oder Tracking zum Einsatz kommen. Was eigentlich immer der Fall ist. Selbst bei meiner Static-Page gibt es Cookies und ich nutze keine Tracking oder AdSense Anbieter.
- Open-Source CMPs wie Klaro oder Tarteaucitron sind ideal für kleine Projekte ohne Werbung und um kosten zu sparen.
- Wer auf Werbefinanzierung setzt, kommt an einem IAB-TCF-kompatiblen, meist kommerziellen CMP kaum vorbei. Hier muss abgewogen werden ob die Werbeeinnahmen überhaupt die kosten für eine CMP Decken. Gerade bei kleinen Blogs ist dies oft nicht der Fall.
- Das IAB-TCF ist nicht gesetzlich vorgeschrieben, aber de facto ein Standard in der AdTech-Welt.
Was ich mir wünschen würde
Ich persönlich halte die aktuelle Lösung mit Cookie-Bannern für unzureichend und nutzungsfeindlich. Sie beeinträchtigen nicht nur die User Experience, sondern haben auch klare technische und datenschutzrechtliche Nachteile:
- Sie verlangsamen die Ladezeit der Website.
- Sie erhöhen oft die Absprungrate, weil sie Nutzer:innen beim Einstieg stören.
- Sie führen zu einem paradoxen Effekt: Ausgerechnet die Plattformen, die den Datenschutz verwalten sollen (CMPs), senden selbst Daten an Dritte (nämlich an die CMP Plattform selbst)
- Und nicht zuletzt: Um die Entscheidung der Nutzer:innen zu speichern, werden wiederum Cookies gesetzt – was die Ironie der Situation unterstreicht.
- Nutzer sind abgenervt von den Banner und klicken aus Resignation auf "Alle akzeptieren" Button.
Was ich mir stattdessen wünsche, ist eine einheitliche, browserbasierte Lösung. Ähnlich wie es schon die "Do Not Track"-Einstellung versucht hat, aber umfassender und verbindlicher. Nutzer:innen könnten dabei in ihrem Browser einmal zentral festlegen, ob sie Tracking, Marketing-Analyse oder andere Datenverarbeitungszwecke zulassen möchten – unabhängig von der jeweiligen Website.
Websites könnten diese Präferenzen dann einfach auslesen, ohne überhaupt ein Banner anzeigen zu müssen. Technisch notwendige Cookies, die ohnehin nicht abwählbar sind, würden dabei außen vor bleiben.
Diese Lösung hätte viele Vorteile:
- Klare, konsistente Einstellungen für Nutzer:innen – ohne ständiges Klicken.
- Weniger Tracking-Umwege, weniger Datenweitergabe an CMPs.
- Mehr Vertrauen durch echte Kontrolle auf Seiten der Nutzer:innen.
- Und vor allem: Bessere Performance und Nutzererlebnis für alle.
Solange eine solche Lösung nicht existiert, bleibt uns nur der Kompromiss zwischen rechtlicher Pflicht und technischer Realität – und der Versuch, ihn mit möglichst fairen, transparenten CMPs umzusetzen.Die Logik eines CMP (Bekannte Cookies zu ermitteln) könnte man in einem Vorinstallierten Browserplugin anzeigen, sodass die Nutzer über die Browserfunktion einsehen könnten welche Cookies existieren bei Bedarf diese dann Whitelisten.
Was ist Eure Meinung zu dem Thema? Schreibt es gern in die Kommentare.