Zurück zum Blog

Cookie Consent Banner: So schmecken Ihre Cookies auch Datenschützern [UPDATE]

,

Geschrieben von Beata Moryl

Veröffentlicht August 29, 2024

Cookie Banner, Einwilligung oder Consent sowie Opt-in und Opt-out. Diese Begriffe bereiten so manchen Kopfzerbrechen. Wir erklären Ihnen, was es mit Cookie Consent Bannern auf sich hat und was Sie alles wissen sollten.

Das „Wie und Was“ wird in Datenschutz-Grundverordnung (DSGVO) und der ePrivacy-Verordnung beschrieben. Hier können Websitebetreiber die einzelnen Richtlinien und Vorschriften einsehen, was ein Cookie Banner letztlich beinhalten sollte oder auch nicht. Jedoch sind diese in den meisten Fällen umständlich erklärt.

Wie tun Sie das letztlich? Wie gestalten Sie Ihr Cookie Banner DSGVO-konform, sodass es die Privatsphäre der Nutzer schützt und dabei deren Vertrauen stiftet? Wir besprechen kurz all das Genannte und die rechtliche Lage. Denn heutzutage können Marketing und Datenschutz Hand in Hand gehen.

Es gibt immer noch Website-Besitzer, die glauben, dass ein Banner mit einem einfachen Cookie Hinweis und einem einzelnen OK-Button ausreicht, um die EU-Rechtsvorschriften zu erfüllen. Seit Inkrafttreten der DSGVO im Jahr 2018 sind die Regeln für die Einholung der Einwilligung zur Verarbeitung personenbezogener Daten in der EU jedoch eindeutig.

Hier ein Beispiel eines veralteten Cookie Banners mit OK-Button.

In der DSGVO heißt es:

Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung.

Erwägungsgrund 32 DSGVO

Damit ist ein Opt-out-Verfahren oder eine bloße Information, daher stillschweigende Einwilligung, nicht möglich, sobald es sich um technisch unnötige Cookies handelt.

Wenn Sie mehr über Cookie Consent erfahren möchten und welche Unterschiede es in der rechtlichen Ausführung in den einzelnen Ländern der EU gibt, empfehlen wir Ihnen folgenden Artikel: Alles, was Sie über den Cookie Consent innerhalb der EU wissen sollten

Mit dem Inkrafttreten des Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten (TDDDG) im Dezember 2021 müssen Websitebetrieber noch mehr auf die rechtskonforme Gestaltung von Consent Bannern achten. Bezüglich Cookie Banner besagt das TDDDG im § 25 Folgendes:

Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.

Die Einwilligung nach Absatz 1 ist nicht erforderlich, wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf diese Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Dies bedeutet, dass Websites grundsätzlich eine Einwilligung der Nutzer einholen müssen, bevor sie nicht essenzielle Cookies setzen. Diese Einwilligung muss freiwillig, spezifisch, informiert und eindeutig sein.

Obwohl das TDDDG nicht explizit die Gestaltung von Cookie Bannern vorschreibt, wird allgemein interpretiert, dass die Einwilligung ebenso einfach verweigert wie erteilt werden können muss, um als freiwillig zu gelten.

Diese Frage ist einfach zu beantworten. Ja. Dabei ist zu beachten, dass Sie dann nur technisch notwendige Cookies verwenden. Also solche, die zum Funktionieren Ihrer Website unbedingt erforderlich sind. Sobald Sie aber über die technisch relevanten Cookies hinausgehen, müssen Sie Ihre Besucher über solche informieren und ihnen ermöglichen, diese zu akzeptieren oder abzulehnen.

Sie schlagen mehrere Vorteile aus dem Nutzen eines Cookie Banners. Hier die wichtigsten:

  • Rechtliche Anforderung – Sie halten mit einem gut designten Cookie Banner die DSGVO und die landesspezifischen Gesetze ein.
  • Transparenz – Sie bilden damit eine Vertrauensbasis zwischen Ihrem Unternehmen und Ihren Besuchern oder Kunden.
  • Datenqualität – Sie erhalten im Gegenzug für Ihre Transparenz wichtige Daten für Ihre Analysen auf Nutzerebene.

Abhängig von Branche und Industrie variiert die Einwilligungsrate zwischen 30 % – 70 %. Zusätzlich bestimmen folgende Faktoren die Opt-in Rate zu Cookies:

  • Der Zweck der Website
  • Die Besucher der Website
  • Der Standort der User
  • Das Land in welchem die Einwilligungen gesammelt werden (unterschiedliche Regulierungen)

Cookie Information führte eine Studie zur Einwilligungsrate durch, die bei deutschsprachigen Websites mit dem gleichen Cookie-Model-Setup einen Mittelwert von ungefähr 77 % ergab. Daher, weit mehr als die Hälfte der Websitebesucher stimmten dem Gebrauch von Cookies zu.

Mehr dazu finden Sie in unserem Webinar mit Cookie Information: How to improve consent opt-in rate and understand your analytics data

Zeitpunkt und Platzierung

  • Zeigen Sie das Banner beim ersten Besuch der Webseite an, unabhängig davon, ob die Start- oder eine Unterseite aufgerufen wird.
  • Das Banner sollte sichtbar sein, ohne den Zugriff auf Impressum und Datenschutzerklärung zu behindern.

Transparenz und Klarheit

  • Einfach verständlich: Verwenden Sie klare, leicht verständliche Sprache. Vermeiden Sie Fachjargon oder komplexe Ausdrücke. Die Nutzer sollten sofort verstehen, was mit ihren Daten passiert.
  • Zweck der Datenverarbeitung: Erklären Sie kurz und verständlich, wofür die Einwilligung benötigt wird (z. B. Cookies, Tracking). Besprechen Sie das Thema im Zweifelsfall mit Ihrer Rechtsabteilung und finden Sie so die Basis für Ihr Banner.

Freiwilligkeit der Einwilligung

  • Freiwillige Entscheidung: Die Nutzer sollten die Option haben, ihre Einwilligung freiwillig zu geben oder abzulehnen. Schränken Sie die Nutzung der Website nicht abhängig von der erteilten Einwilligung ein.
  • Einwilligungseinstellungen: Es sollte leicht möglich sein, nur bestimmte Arten der Datenverarbeitung zu erlauben oder abzulehnen. Stellen Sie sicher, dass der Nutzer dies auf einfache Weise auswählen kann.

Klare Optionen zur Auswahl

  • Akzeptieren und Ablehnen: Das Banner sollte sowohl eine Schaltfläche „Akzeptieren“ als auch eine gleichwertig gestaltete Schaltfläche „Ablehnen“ oder „Nur notwendige Cookies“ enthalten. Verwenden Sie eine ähnliche Größe, Farbe und Kontrast für alle Optionen.
  • Weitere Einstellungen: Bieten Sie eine Option an, in „Einstellungen“ weitere Details einzusehen und die Datennutzung detaillierter zu kontrollieren. Verwenden Sie einen Mehrebenenansatz: Bieten Sie grundlegende Informationen direkt im Banner und detailliertere Informationen auf einer zweiten Ebene an.
  • Vermeiden Sie Voreinstellungen – der Nutzer muss aktiv auswählen.

Informationen zu Cookies und Datenempfängern

  • Art der Cookies: Informieren Sie darüber, welche Arten von Cookies oder ähnlichen Technologien Sie verwenden (z. B. funktionale, analytische oder Marketing-Cookies). Falls zutreffend, erwähnen Sie:
    • Erstellung von Nutzerprofilen
    • Datenverarbeitung außerhalb des EWR
  • Datenempfänger: Nennen Sie alle Drittanbieter, die Zugriff auf die Daten haben könnten, und warum dies der Fall ist.

Widerruf der Einwilligung

  • Widerruf leicht möglich: Der Nutzer sollte jederzeit die Möglichkeit haben, seine Einwilligung zu widerrufen. Erklären Sie, wie dies geht, zum Beispiel durch einen Link „Cookie-Einstellungen ändern“ in der Fußzeile der Website.

Rechtlicher Hinweis und Datenschutzrichtlinie

  • Verlinkung zur Datenschutzerklärung: Fügen Sie einen klaren Link zur Datenschutzerklärung hinzu, wo Sie alle rechtlichen Informationen detailliert erklären.

Funktionsweise

  • Laden Sie keine Skripte oder Inhalte, die eine Einwilligung erfordern, bevor der Nutzer zugestimmt hat.
  • Aktivieren Sie die einwilligungsbedürftigen Funktionen erst nach expliziter Einwilligung des Nutzers.
  • Stellen Sie sicher, dass das Banner auf allen Geräten (Desktop, Mobil) einwandfrei funktioniert und lesbar ist.

Design

Sobald Sie die rechtlichen Vorgaben erfüllen, schenken Sie dem Banner-Design Ihre Aufmerksamkeit. Einige Unternehmen gestalten Ihr Banner ihrem Branding nach, sodass ein sofortiger Wiedererkennungswert entsteht. User wissen automatisch, dass sie auf die richtige Seite gelangt sind.

Wenden wir uns nun einigen guten Beispielen zu.

In diesem Cookie Consent Banner informiert das Unternehmen seine Besucher direkt über notwendige Cookies und bittet um eine direkte, freiwillige und unmissverständliche Handlung der Einwilligung, um Cookies ablegen zu dürfen. Der User muss dabei den Schalter umlegen und die Handlung mit Speichern bestätigen.

Das Design könnte man hier noch etwas verbessern. Momentan muss man zwei separate Handlungen durchführen, um eine aktive Einwilligung der Datensammlung zu geben. Um die Consent-Rate zu verbessern, könnte man das Akzeptieren genauso einfach gestalten wie das Ablehnen der Analytics-Cookies. Daher könnte man einen zweiten Button setzen, der alle Cookies akzeptiert.

Cookie Consent Banner Beispiel

Dieses Cookie Consent Banner setzt sich aus zwei Teilen zusammen.

Der erste Teil besteht aus der oberen Hälfte des in der Abbildung gezeigten Banners. Hier kann der Besucher sofort auswählen, ob er alle Cookies akzeptiert oder ablehnt.

Der zweite Teil kann bei Bedarf aufgeklappt werden, indem man auf „Einwilligungsdetails“ klickt. Hier kann der Besucher einzelnen Zwecken zustimmen und seine Entscheidung ändern oder revidieren.

Diese Variante erfüllt alle nötigen Richtlinien und erleichtert mit einem einzigen Klick das Akzeptieren und Ablehnen der Cookies.

Was ist beim Design des Banners zu vermeiden

Es gibt gewisse UX Designs, die vermieden werden sollten. Dabei unterscheiden wir zwischen Designelementen und rechtlichen Aspekten:

Vermeiden Sie die Farbe Rot der Buttons. Rot ist eine starke Signalfarbe, die eher abschreckt, als einlädt, Cookies zu akzeptieren.

Dieses Consent-Formular hebt den Button zur Akzeptanz von Cookies stark hervor. Einerseits mit Verkehrsampelfarben, andererseits wird einer der Buttons größer dargestellt.

Die unterschiedliche Länge in der CTA kann auch zum Ablehnen des Consents führen. Hier bietet sich eine ausgewogene Länge der Mitteilung an.

Hier sind die Zwecke vorausgewählt. Das Opt-out Verfahren bezieht sich auf das Widerspruchsrecht. Jedoch gibt die DSGVO vor, eine eindeutige und freiwillige Einwilligung einzuholen. Dies stellt das Opt-out nicht dar.

In allen Fällen sind die Buttons zum Akzeptieren der Cookies auf die eine oder andere Weise hervorgehoben. Dies sollte nicht passieren, da diese Praktik ins Dark Pattern Design hineinrutscht.

Dark Patterns nehmen verschiedene Formen an und sind mehr als nur irreführende Designs. Sie beruhen auf menschlicher Psychologie und spielen mit kognitiven Verzerrungen, denen wir uns nicht bewusst sind. Darunter fallen Druck, operativer Zwang, Hindernisse, Erschleichen und Irreführung, die Menschen dazu veranlassen, irrationale Entscheidungen zu treffen.

Wenn Sie mehr zu Dark Patterns lesen möchten, empfehlen wir Ihnen diesen Artikel: Wenn Design fehlschlägt – Wie Dark Patterns mit der DSGVO und CCPA in Konflikt stehen

Richtlinien vs. Praxis

Trotz klarer Leitlinien gibt es immer noch Unternehmen, die nicht genügend Informationen über gesetzliche Vorschriften haben. Entweder zeigen sie nur ein einfaches Cookie Banner mit dem Cookie Hinweis an, oder fordern ihre Besucher mit optimierungsbedürftigen Formularen auf, Ihre Einwilligung zur Datensammlung zu geben. 

Im Jahr 2021 reichten die Datenschutzaktivisten von NYOB 422 Cookie-Banner-Beschwerden bei unterschiedlichen europäischen Aufsichtsbehörden ein. Der EDSA (Europäischer Datenschutzausschuss) richtete daraufhin eine Task Force „Cookie-Banner“ ein. Die Taskforce bewertete die Beschwerdegenstände und veröffentlichte am 18. Januar 2023 einen Abschlussbericht.

Die europäischen Aufsichtsbehörden bestätigten, dass Nutzer auf derselben Ebene des Cookie-Banners, auf der sie ihre Einwilligung erteilen, gleichzeitig die Option haben sollen, keine Einwilligung zu erteilen. Die Nichterteilung der Einwilligung darf nicht aufwendiger sein als ihre Erteilung. Die Taskforce erarbeitete auch Maßstäbe, um irreführende Banner-Elemente zu beurteilen, wie im Fließtext des Banners als Link versteckte und daher kaum erkennbare „Ablehnfunktionen“. Die Taskforce hält es auch für unzulässig, vorausgewählten Kästchen auf der zweiten Ebene des Cookie-Banners anzubieten.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat Anfang 2024 eine umfassende Prüfung von über 350 Webseiten und 15 Apps bayerischer Betreiber durchgeführt. Bei den Webseiten lag der Fokus auf der Gestaltung von Cookie Bannern. Das BayLDA stellte fest, dass viele Webseiten keine gleichwertige Möglichkeit zur Ablehnung auf der ersten Ebene des Banners anboten. Website-Besitzer wurden aufgefordert, Verbesserungen vorzunehmen.

Fazit

Marketing wird immer analytischer und datengetriebener. Unternehmen suchen nach Wegen, Daten zu erhalten, die Ihnen erlauben, Ihre Marketingaktivitäten kundenzentriert auszuspielen. Zugleich werden die Verbraucher weiter Ihrer Rechte und Freiheiten bewusst und handeln dementsprechend.

Indem Sie einen regelkonformen Cookie Banner erstellen und Ihren Besuchern genau die Zwecke erläutern, wozu Sie ihre Daten benötigen und was mit ihnen passiert, bauen Sie Vertrauen auf. Sie erhalten auch somit die nötigen Daten,, wie etwa aus Post-Login-Bereichen.

Immer mehr Experten im Bereich Marketing, Technologie und Datenschutz meinen, dass Marketing Hand in Hand mit dem Datenschutz gehen kann. Unternehmen erhalten die Verbraucherinformationen, die sie für ihre Entwicklungs- und Werbeaktivitäten benötigen, und respektieren dabei alle geltenden Datenschutzgesetze.

Wir hoffen, Ihnen die Erstellung eines datenschutzorientierten Banners näher gebracht zu haben. Sollten Sie mehr über das Thema Einwilligung und Consent Manager wissen wollen, empfehlen wir Ihnen folgende Artikel.

So erhalten Sie Consent und tracken Daten gemäß den Richtlinien von CNIL und der DSGVO–>
Was ist ein Consent Manager und warum Sie einen brauchen –>
10 führende Consent Manager im Vergleich –>

Beata Moryl

Translator and Content Marketer

Beata Moryl ist ein Profi mit 20 Jahren freiberuflicher Erfahrung im Übersetzen und Verfassen von Inhalten. Sie verfügt außerdem über einen soliden betriebswirtschaftlichen Hintergrund und Erfahrung als Managerin in den Bereichen Kundenservice, Produktmanagement und Geschäftsentwicklung. Beata übersetzte fast 20 wirtschaftsbezogene Bücher (zu den Themen Marketing, Soft Skills, Coaching, HR und Kundenservice) für etablierte Verlage wie den Verlag C.H. Beck. Bei Piwik PRO spezialisiert sie sich auf die rechtlichen Aspekte der Webanalyse, den Datenschutz und die Optimierung von Geschäftsergebnissen mithilfe moderner IT-Tools. LinkedIn Profil