Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Die Crownpeak Universal Consent Platform (UCP, früher Evidon) ist eine in den USA betriebene Consent-Management-Plattform (CMP), die TCF 2.2-konforme Banner, geografisch differenzierte Richtlinien, einen Cookie-Scanner und ein Präferenzzentrum bereitstellt. Sie schreibt ein technisch notwendiges Consent-Cookie auf die Publisher-Domain und speichert Audit-Protokolle in den USA, was trotz DPF-Zertifizierung Drittlandsfragen nach DSGVO aufwirft.
Die Crownpeak Universal Consent Platform (UCP), zuvor als Evidon vermarktet, ist eine von Crownpeak Technology, Inc. mit Sitz in den USA betriebene Consent-Management-Plattform. Sie lädt ein JavaScript-SDK auf der Publisher-Domain, zeigt ein konfigurierbares Banner sowie ein Präferenzzentrum an und legt ein technisch notwendiges Cookie mit der Consent-Zeichenkette ab. UCP stellt die TCF 2.2-API des IAB bereit, sodass nachgelagerte Werbe-, Analyse- und Personalisierungsanbieter das Signal vor dem Auslösen lesen können. Ein automatischer Cookie-Scanner crawlt die Webseite wöchentlich und befüllt die Banner-Kategorien mit der ermittelten Inventarliste.
Das Banner schreibt ein Erstanbieter-Funktionscookie (typischerweise cp_consent oder evidon-consent) mit der TCF-Zeichenkette, der gewählten Anbieterliste und einem Zeitstempel. Das SDK übermittelt den Consent-Datensatz zusammen mit der Besucher-IP, dem User-Agent und einer CMP-Kennung an Crownpeak-Server, damit die Auswahl auf Subdomains übergreifend wiedergegeben und auditierbar wird. Werbe-IDs, Browser-Historie oder Inhalts-Interaktionen werden von UCP nicht erfasst. Bei aktivierter Banner-Analyse (Annahmequote, Verweildauer, A/B-Test) wird ein weiteres Analyse-Cookie auf der Publisher-Domain gesetzt.
Nach Art. 5(3) der ePrivacy-Richtlinie gilt das von einer CMP gesetzte Consent-Cookie als technisch notwendig, da es einen vom Nutzer ausdrücklich gewünschten Dienst erbringt, nämlich das Speichern und Respektieren seiner Cookie-Entscheidung. Eine vorherige Einwilligung ist für das Cookie selbst nicht erforderlich. Die Aufbewahrung des Consent-Logs ist jedoch eine Verarbeitung personenbezogener Daten im Sinne der DSGVO. Als Rechtsgrundlage kommen das berechtigte Interesse (Art. 6(1)(f)) und die rechtliche Verpflichtung zum Nachweis der Einwilligung (Art. 7(1) und Art. 5(2) Rechenschaftspflicht) in Betracht. Die CMP darf keine Häkchen voreinstellen, muss eine Ablehnung gleich prominent wie die Annahme anbieten und einen Widerruf so einfach wie die Zustimmung ermöglichen.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Crownpeak hat seinen Sitz in den USA und speichert Audit-Datensätze auf US-Infrastruktur. EU- und UK-Verantwortliche müssen daher einen tragfähigen Übermittlungsmechanismus nach Kapitel V DSGVO dokumentieren. Crownpeak ist nach dem EU-US Data Privacy Framework selbstzertifiziert, das die Kommission als angemessen anerkennt. Wer sich nicht auf das DPF stützen möchte, kann die EU-Standardvertragsklauseln 2021 abschließen, eine Transfer Impact Assessment durchführen und ergänzende Maßnahmen wie die Pseudonymisierung des Audit-Logs vorsehen. Der Auftragsverarbeitungsvertrag mit Crownpeak sollte die Risiken aus FISA Section 702 und Executive Order 12333 ausdrücklich adressieren.
Eine eigenständige DSFA für die CMP ist selten erforderlich, da nur operative Datenverarbeitungen anfallen. Die CMP muss aber im Verzeichnis von Verarbeitungstätigkeiten (Art. 30) aufgeführt und in jeder DSFA zum darunterliegenden Werbe- und Analyse-Stack berücksichtigt werden. Prüfer erwarten eine dokumentierte Aufbewahrungsfrist für das Consent-Log (Crownpeak bietet 6 bis 36 Monate), die Versionshistorie der Banner sowie den Nachweis, dass die im Banner gezeigte Anbieterliste mit den tatsächlich auf der Seite eingebundenen Anbietern übereinstimmt.
Für einen rechtskonformen Einsatz von UCP konfigurieren Sie geografisch differenzierte Richtlinien: ein TCF 2.2-Banner mit gleichrangigem Ablehnen-Button auf der ersten Ebene für EU und UK, ein CCPA/CPRA-Opt-out-Signal für die USA und einen Informationshinweis für andere Regionen. Lassen Sie den Cookie-Scanner monatlich laufen und überprüfen Sie die Anbieterliste vor jedem Release. EU-gehostete Alternativen sind Didomi (Frankreich), Usercentrics (Deutschland), Axeptio (Frankreich) und Cookiebot by Usercentrics (Dänemark), die TCF 2.2 unterstützen, ohne die US-Übermittlungsfrage aufzuwerfen.
Websites using Crownpeak Universal Consent Platform must obtain user consent under GDPR regulations.
DPIA considerations
Eine eigenständige DSFA für die CMP ist meist nicht erforderlich, da das Consent-Cookie technisch notwendig ist und nur ein geringes Volumen personenbezogener Daten verarbeitet wird. Der Verantwortliche muss jedoch die Rechtsgrundlage für die Aufbewahrung des Consent-Logs dokumentieren, die Übermittlung der Audit-Datensätze in die USA nach Kapitel V DSGVO bewerten und mit Crownpeak einen Auftragsverarbeitungsvertrag nach Art. 28 schließen. Bei Kombination mit Analytics oder Fingerprinting empfiehlt sich eine umfassende DSFA.
Sample consent text
Wir setzen die Crownpeak Universal Consent Platform ein, um Ihre Cookie-Einstellungen zu speichern und über das IAB Transparency and Consent Framework an Werbe- und Analysepartner zu übermitteln. Das Banner selbst hinterlegt ein technisch notwendiges Cookie, für das keine vorherige Einwilligung erforderlich ist. Ihre Auswahl können Sie jederzeit im Präferenzzentrum anpassen.
Third-party domains contacted
c.evidon.comc.betrad.comcdn.crownpeak.netconsent.crownpeak.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| cp_consent | functional | 12 months | Stores the IAB TCF consent string, the chosen vendor list and a timestamp so the visitor preference can be replayed on every page and across subdomains. Strictly necessary under ePrivacy Article 5(3). |
| evidon-consent | functional | 12 months | Legacy name of the same consent string cookie, still set on tenants migrated from Evidon. Used to honour and audit the cookie preference. |
| cp_consent_uuid | functional | 12 months | Pseudonymous identifier paired with the consent record to allow the visitor to update or revoke their choice without re-identification. |
| evidon_banner_id | analytics | 6 months | Optional cookie set when banner analytics (A/B testing, acceptance rate) are enabled. Requires consent under ePrivacy. |
Crownpeak Universal Consent Platform ist ein essenzieller Dienst, aber Transparenz ist wichtig. Verwalten Sie Ihre gesamte Einwilligung mit FlowConsent.
UCP setzt ein technisch notwendiges Erstanbieter-Cookie mit der IAB TCF 2.2-Consent-Zeichenkette, der Anbieterliste und einem Zeitstempel. Ein pseudonymes UUID-Cookie kann zur Widerrufsunterstützung dazukommen. Bei aktivierter Banner-Analyse (A/B-Tests, Annahmequote) wird zusätzlich ein Analyse-Cookie geschrieben, das ausdrückliche Einwilligung erfordert.
Nein. Das Consent-Cookie ist nach Art. 5(3) ePrivacy technisch notwendig, da es einen vom Nutzer ausdrücklich gewünschten Dienst erbringt: das Speichern seiner Cookie-Wahl. Das Banner darf daher ohne vorherige Einwilligung eingesetzt werden. Optionale Analyse- oder A/B-Test-Cookies erfordern dagegen eine ausdrückliche Einwilligung wie jedes andere nicht notwendige Cookie.
Die Verarbeitung des Consent-Logs stützt sich auf zwei kombinierte Grundlagen: das berechtigte Interesse des Verantwortlichen am Nachweis der Compliance (Art. 6(1)(f) DSGVO) und eine rechtliche Verpflichtung aus Art. 7(1) sowie der Rechenschaftspflicht aus Art. 5(2), die jeweils den Nachweis einer wirksamen Einwilligung verlangen. Für das Logging der Einwilligung ist keine eigene Einwilligung erforderlich.
Ja. Crownpeak ist ein US-Verantwortlicher und Audit-Logs werden auf US-Infrastruktur verarbeitet. EU- und UK-Implementierungen müssen einen Übermittlungsmechanismus nach Kapitel V dokumentieren. Crownpeak ist nach dem EU-US Data Privacy Framework selbstzertifiziert, das die Kommission als angemessen anerkennt. Wer das DPF nicht nutzen will, schließt die SCC 2021 ab, führt ein TIA durch und pseudonymisiert das Audit-Log.
Eine eigenständige DSFA für die CMP ist selten erforderlich: Verarbeitet werden lediglich operative Daten zur Einwilligungsverwaltung. Die CMP muss aber im Verzeichnis nach Art. 30 geführt und in jeder DSFA zum übergeordneten Werbe- und Analyse-Stack berücksichtigt werden. Verbinden Sie die Bewertung mit einer Transfer Impact Assessment für die US-Übermittlung des Audit-Logs.
Konfigurieren Sie geografische Richtlinien, sodass EU- und UK-Besucher auf der ersten Ebene ein TCF 2.2-Banner mit gleichrangigem Ablehnen-Button sehen. Blockieren Sie alle nicht notwendigen Anbieter-Tags bis zur Einwilligung, etwa über die TCF-API oder die Google Consent Mode v2-Brücke. Lassen Sie den Scanner monatlich laufen, gleichen Sie die Banner-Anbieterliste mit der Live-Seite ab und bewahren Sie Consent-Logs mindestens 13 Monate auf.
Ja. Didomi (Frankreich), Axeptio (Frankreich), Usercentrics (Deutschland) und Cookiebot by Usercentrics (Dänemark) sind CMPs mit Hosting in der EU/EWR, die TCF 2.2 und Google Consent Mode v2 vollständig unterstützen. Sie umgehen die US-Übermittlungsfrage und vereinfachen die Compliance nach Kapitel V, auch wenn ihre Logging-Architektur ähnlich aufgebaut ist.
Nennen Sie Crownpeak Technology, Inc. als Auftragsverarbeiter, listen Sie Name, Speicherdauer und Zweck des Consent-Cookies auf und stellen Sie klar, dass es technisch notwendig ist. Verweisen Sie auf den Übermittlungsmechanismus in die USA (DPF oder SCC) und verlinken Sie das Präferenzzentrum. Lassen Sie den UCP-Scanner vor Veröffentlichung erneut laufen, damit das Cookie-Inventar in der Richtlinie mit den Banner-Kategorien und dem tatsächlichen Seitenverhalten übereinstimmt.