Wiki

Consent Management Provider

Von Jasmin Kunkel ·Veröffentlicht am 4. Juni 2026 ·5 Min. Lesezeit

Ein Consent Management Provider (kurz: CMP, deutsch: Einwilligungsverwaltungsanbieter) ist ein Dienstleister oder eine Softwarelösung. Er ermöglicht Betreibern von Websites und Apps, Nutzereinwilligungen zur Datenverarbeitung rechtskonform einzuholen, zu speichern und zu verwalten. CMPs stellen in der Regel eine grafische Benutzeroberfläche bereit. Diese wird häufig als Cookie-Banner oder Consent-Layer bezeichnet. Über sie können Nutzer ihre Zustimmung erteilen oder verweigern.

Rechtlicher Hintergrund und Entstehung

Die Notwendigkeit eines Consent Management Providers ergibt sich unmittelbar aus dem europäischen Datenschutzrecht. Mit der Datenschutz-Grundverordnung (DSGVO), die im Mai 2018 in Kraft trat, wurde die Verarbeitung personenbezogener Daten grundsätzlich an eine Einwilligung geknüpft. Diese muss ausdrücklich, freiwillig und informiert erfolgen – sofern keine andere Rechtsgrundlage greift. Parallel dazu verlangt die europäische ePrivacy-Richtlinie (Richtlinie 2002/58/EG), dass das Setzen nicht zwingend erforderlicher Cookies ebenfalls einer vorherigen Einwilligung bedarf.

Vor diesem Hintergrund entstanden spezialisierte Anbieter. Sie unterstützen Unternehmen bei der technischen und organisatorischen Umsetzung dieser Anforderungen. Bereits in der Vorbereitungsphase auf die DSGVO entwickelten sich erste CMP-Lösungen. Der Begriff „Consent Management Provider“ wurde zudem durch IAB Europe im Rahmen des Transparency and Consent Framework (TCF) standardisiert.

CMPs sind heute ein zentrales Instrument der datenschutzkonformen Gestaltung digitaler Angebote. Gleichzeitig sind sie Voraussetzung für viele Formen des datengetriebenen Marketings.

Funktionsweise eines Consent Management Providers

Ein CMP arbeitet als Schnittstelle zwischen dem Nutzer, dem Website-Betreiber und eingesetzten Drittanbieter-Diensten. Der typische Ablauf verläuft dabei in mehreren Schritten.

Consent Management Provider: Kernkomponenten im Überblick

Beim ersten Besuch einer Website erscheint dem Nutzer eine Einwilligungsabfrage. Diese informiert darüber, welche Daten zu welchem Zweck und von welchen Anbietern verarbeitet werden. Der Nutzer kann seine Präferenzen granular festlegen. Er kann bestimmten Verarbeitungszwecken zustimmen und andere ablehnen. Die Entscheidung speichert der CMP in einem sogenannten Consent-String – einer komprimierten, codierten Zeichenfolge. Dieser String wird anschließend an eingebundene Technologien und Dienste weitergegeben.

Technisch umfasst ein CMP typischerweise folgende Komponenten:

  • Consent-UI (User Interface): Die sichtbare Oberfläche für die Einwilligung. Sie erscheint häufig als Banner, Modal oder Layer.
  • Consent-Speicherung: Die persistente Ablage der Nutzerentscheidung, meist in einem First-Party-Cookie oder im Local Storage.
  • Consent-Signal-Übertragung: Die Weitergabe des Einwilligungsstatus an Tags, Pixel und Drittdienste – oft über standardisierte APIs wie die CMP API des TCF.
  • Consent-Datenbank und Audit-Trail: Eine serverseitige Protokollierung der Einwilligungen. Sie dient dem Nachweis gegenüber Datenschutz-Aufsichtsbehörden.

Viele CMP-Lösungen sind mit einem Tag-Management-System (TMS) integriert. Darüber steuern sie, welche Tracking-Tags aktiviert werden dürfen und welche nicht.

Anforderungen und Standards

Damit eine CMP-Einwilligung datenschutzrechtlich wirksam ist, muss sie bestimmten Voraussetzungen genügen. Art. 7 DSGVO verlangt: Die Einwilligung muss freiwillig, spezifisch, informiert und unmissverständlich erteilt werden. Nutzern darf kein Nachteil entstehen, wenn sie die Einwilligung verweigern. Sogenannte Cookie-Walls – also Angebote, die nur nach Zustimmung zugänglich sind – gelten daher in vielen Konstellationen als unzulässig.[1]

Im digitalen Werbemarkt hat sich das Transparency and Consent Framework (TCF) von IAB Europe als branchenweiter Standard etabliert. Es regelt, wie Einwilligungen zwischen CMPs, Publishern und Werbetechnologie-Plattformen ausgetauscht werden. CMPs, die das TCF implementieren, müssen sich bei IAB Europe registrieren und zertifizieren lassen.

Nationale Datenschutzbehörden wie die deutsche Datenschutzkonferenz (DSK) und die französische CNIL haben zudem konkrete Anforderungen an die Gestaltung von Einwilligungsformularen formuliert. Besonders die gleichwertige Darstellung von Zustimmungs- und Ablehnungsoptionen steht dabei im Mittelpunkt der Aufsicht.[2]

Einsatzbereiche

Consent Management Provider werden überall dort eingesetzt, wo digitale Angebote Nutzerdaten verarbeiten. Besonders verbreitet sind sie in folgenden Bereichen:

  • Online-Publishing und Medien: Nachrichtenwebsites und Portale nutzen CMPs für Analyse- und Werbetools wie Drittanbieter-Werbenetze.
  • E-Commerce: Online-Shops setzen CMPs ein, um Tracking-Pixel und Retargeting-Dienste rechtssicher zu betreiben.
  • Programmatic Advertising: Im Ökosystem des Programmatic Advertising ist ein valider Consent-String Voraussetzung für personalisierte Werbung.
  • Apps und mobile Dienste: Mobile Anwendungen benötigen eigene Einwilligungsmechanismen. Neben TCF kommen hier auch Apples App Tracking Transparency (ATT) zum Einsatz.

Auch die Anforderungen der E-Privacy-Regulierung machen den Einsatz eines CMP für praktisch jeden kommerziell betriebenen Webauftritt in der EU relevant.

Abgrenzung zu verwandten Konzepten

Der Begriff Consent Management Provider wird gelegentlich mit ähnlichen Konzepten verwechselt. Die folgende Tabelle zeigt die wichtigsten Abgrenzungen:

Begriff Bedeutung Abgrenzung zum CMP
Tag Management System (TMS) Verwaltung und Ausspielung von Code-Snippets (Tags) auf einer Website Ein TMS aktiviert Tags; ein CMP liefert die Einwilligungsgrundlage dafür
Privacy Management Platform (PMP) Plattform zur Verwaltung datenschutzrechtlicher Pflichten (z. B. Auskunftsersuchen) Ein CMP konzentriert sich auf Einwilligungen; PMPs decken den gesamten Compliance-Bereich ab
Cookie-Banner Sichtbare Einwilligungsabfrage auf einer Website Das Banner ist nur die UI-Komponente eines CMP, nicht das gesamte System
Identity Resolution Technologie zur nutzerübergreifenden Identifizierung über Geräte hinweg Ein CMP verwaltet Einwilligungen; Identity-Lösungen nutzen diese als Datengrundlage

Die Abgrenzung ist praktisch wichtig. Fehler in der Integration – etwa ein CMP-Signal, das nicht korrekt an ein TMS weitergegeben wird – können Datenschutzverstöße verursachen. Dies gilt selbst dann, wenn formal eine Einwilligung vorliegt.

Marktüberblick und bekannte Anbieter

Der Markt für Consent Management Provider wuchs nach Inkrafttreten der DSGVO erheblich. Bekannte Anbieter sind unter anderem Usercentrics, OneTrust, Cookiebot (von Cybot), Consentmanager und TrustArc. Auch Google bietet mit dem Google Consent Mode eine eigene Lösung. Bei der Auswahl eines CMP spielen TCF-Zertifizierung, Integrationstiefe und rechtskonformer Datenspeicherort eine zentrale Rolle.

Seit Anfang 2024 ist der Google Consent Mode v2 für die vollständige Nutzung von Google-Werbeprodukten erforderlich. Er verlangt, dass Einwilligungssignale strukturiert an Googles Infrastruktur übermittelt werden. Die Verfügbarkeit valider First-Party-Data hängt damit direkt von einem funktionierenden CMP ab.

Für Publisher im Umfeld des Real Time Bidding ist ein TCF-zertifizierter Consent Management Provider faktisch obligatorisch. Viele Demand Side Platforms lehnen die Schaltung von Werbung ohne gültigen Consent-String ab.

Kritik und Grenzen

Trotz ihrer Rolle als Compliance-Instrument stehen Consent Management Provider in der Kritik. Datenschutzbehörden haben wiederholt festgestellt, dass viele CMP-Implementierungen sogenannte Dark Patterns einsetzen. Dabei handelt es sich um Gestaltungsmuster, die Nutzer in Richtung Zustimmung drängen – etwa durch farblich hervorgehobene Akzeptieren-Buttons oder schwer auffindbare Ablehnungsoptionen. Eine solche Gestaltung untergräbt die Freiwilligkeit der Einwilligung und ist nach DSGVO unzulässig.

Hinzu kommt die technische Komplexität der Implementierung. Fehler in der Konfiguration, veraltete Vendor-Listen oder inkonsistente Consent-Signale können dazu führen, dass Tracking-Tools trotz verweigerter Einwilligung aktiv bleiben. Die rechtliche Haftung trägt dabei stets der Website-Betreiber. Ein Consent Management Provider entbindet Unternehmen somit nicht davon, die korrekte Umsetzung regelmäßig zu überprüfen.

Literaturempfehlungen

  • Niko Härting: Datenschutz-Grundverordnung. Otto Schmidt, Köln 2016, ISBN 9783504385330.
  • Jürgen Kühling, Benedikt Buchner (Hrsg.): DS-GVO / BDSG – Kommentar. C.H. Beck, München 2020.

Verwandte Begriffe

Fußnoten

  1. Consent-Management: Rechtliche und technische Grundlagen, Anforderungen an Einwilligungen und Cookie-Walls (t3n)
  2. Consent & Tag Manager DSGVO-konform einrichten – rechtliche Grundlagen und Gestaltungsvorgaben (OMR)