Cookie-Consent-Banner: So schmecken Ihre Cookies auch Datenschützern

Veröffentlicht: Dezember 10, 2019 Update: Dezember 12, 2019 Autor Kategorie Datenschutz, DSGVO

Sie sind nicht allein, wenn die Stichworte Cookie-Banner, Einwilligung / Consent und Opt-in bei Ihnen für Kopfzerbrechen sorgen. Doch das muss gar nicht sein.

Tatsächlich ist es recht eindeutig, wie Websitebetreiber mit dem Thema Consent für die Verwendung von Cookies umgehen sollten. Die Rechtslage ist – nicht zuletzt durch neuerliche Urteile des EuGH – in den wichtigsten Bereichen klar geregelt und auch das, was User heutzutage von Unternehmen erwarten, lässt sich auf einen Nenner bringen: User erwarten, dass ihre Privatsphäre respektiert und geschützt wird.

In diesem Guide schauen wir uns die verschiedenen Möglichkeiten an, wie Sie das Cookie-Banner auf Ihrer Website gestalten können. Dabei berücksichtigen wir, dass einerseits alle geltenden Gesetze und Vorgaben eingehalten werden und andererseits bestmögliche Transparenz gegenüber den Website-Besuchern gezeigt wird. Wir unterscheiden außerdem Banner-Layouts in Abhängigkeit von dem Ziel, dass Sie mit Ihrer Website bzw. Ihrem Unternehmen verfolgen. 

Ihnen wird aufgefallen sein, dass selbst große Websites nach wie vor auf das sog. Opt-Out-Verfahren setzen, d. h., es wird lediglich ein Cookie-Banner mit OK-Button eingeblendet und dem Besucher nicht die Auswahl überlassen, ob er der Datennutzung zustimmen oder sie ablehnen will.

Telekom_Cookie-Banner
Auf dieser Website wird nur oben ein Cookie-Banner mit OK-Button eingeblendet (Opt-out)

Viele Websitebetreiber, die noch immer auf solche Cookie-Banner setzen, beriefen sich bisher auf das in der DSGVO verankerte “berechtigte Interesse”, das durch den deutschen Sonderweg mit § 15 Telemediengesetz weiter bestärkt wurde. Dieses Schlupfloch wurde jedoch durch den Europäischen Gerichtshof in zwei Urteilen gestopft, sodass das Opt-out-Verfahren eindeutig nicht mehr rechtsgültig ist, wenn es nicht um technisch notwendige Cookies geht.

Der Europäische Gerichtshof hat in zwei richtungsweisenden Urteilen entschieden, dass das Einholen einer Einwilligung auch für Cookies zu gelten hat. Die seit der DSGVO gültige Informations- und Einwilligungspflicht für Cookies ist außerdem …  
Nach EuGH-Urteil: Cookie-Banner müssen Consent abfragen

Das bedeutet im Klartext: Sie müssen eine Consent-Abfrage auf Ihrer Website implementieren. Ausschließlich diejenigen Websites, die keinerlei personenbezogene Daten speichern (dazu zählen auch ungekürzte IP-Adressen) und dementsprechend wirklich nur technisch notwendige Cookies setzen, dürfen weiterhin ein Cookie-Banner ohne Wahlmöglichkeit für den Besucher verwenden.

Unabhängig von Ihrer Branche und der Art Ihres Geschäftsmodells werden Sie vermutlich ein Interesse daran haben, von so vielen Usern wie möglich die Einwilligung zur Datenspeicherung und -verarbeitung zu bekommen. Dabei spielt es keine Rolle, ob Sie

  • auf Werbeanzeigen als Monetarisierungsmodell Ihres Contents setzen
  • wissen wollen, wer Ihre Website besucht
  • User durch Retargeting-Kampagnen erreichen wollen oder 
  • das User Interface und damit die User Experience Ihrer Website optimieren wollen

In jedem dieser Fälle benötigen Sie den Consent Ihrer Besucher. Damit Sie diesen auch bekommen, schauen wir uns im Folgenden sinnvolle Varianten an, wie ein effektives Cookie-Consent-Banner bzw. Consent-Formular aussehen könnte.

Analytics & Datenschutz ist ein Wettbewerbsvorteil

Web Analytics Daten nach EuGH Cookie Urteil, DSGVO und ePrivacy sicher im Griff.

Weitere Infos

Bei der Erstellung des Cookie-Consent-Banners für Ihre Website gibt es auf der einen Seite rechtliche Vorgaben, die erfüllt werden müssen, auf der anderen Seite sind Sie jedoch relativ flexibel, was Gestaltung und Layout angeht. Wir empfehlen, die Gestaltung des Banners in Abhängig von Ihrer Unternehmensstrategie und dem Ziel Ihrer Website vorzunehmen. Natürlich empfiehlt es sich auch, das Banner in Ihrem Corporate Design zu designen.

Die Vorgaben

Wir wollen an dieser Stelle nur in aller Kürze die Vorgaben im Kern zusammenfassen. Eine Einwilligung muss vor allem

  • aktiv
  • informiert
  • freiwillig

durch den Besucher erfolgen. Dementsprechend muss das Consent-Formular die Möglichkeiten zur Zustimmung und Ablehnung für alle Verarbeitungszwecke (außer für technisch notwendige Cookies) aufweisen und die einzelnen Zwecke dürfen nicht vorausgewählt sein.

Darüber hinaus müssen Besucher die Möglichkeit haben, direkt zu Ihrer Datenschutzerklärung navigieren zu können, ohne vorher zustimmen zu müssen. Verlinken Sie diese deshalb unbedingt im Consent-Formular selbst.

Variante 1: höchste Transparenz und Komfortabilität

Unternehmen, die vor allem Wert auf eine positive Markenwahrnehmung legen und die Privatsphäre ihrer User nicht nur respektieren, sondern diesen Umstand auch als Marken-Schwerpunkt oder gar als Unique Selling Point etablieren wollen, sollten alle DSGVO-Vorgaben tadellos umsetzen. Zusätzlich sollten alle Zwecke zur Datenverarbeitung und alle Gründe, warum Cookies eingesetzt werden, so transparent wie möglich ersichtlich sein.

Gestalten Sie das Cookie-Consent-Formular so, dass Zustimmung und Ablehnung den gleichen Aufwand für den Besucher – nämlich genau einen Klick – bedeuten. Die Schaltflächen sollten gleichwertig nebeneinander oder untereinander stehen. Dadurch geben Sie Ihren Besuchern das Gefühl, dass Sie ihre Entscheidung respektieren und nicht versuchen, einfach nur so viele Einwilligungen wie möglich zu sammeln.

Tipp: Es schadet natürlich nicht, wenn Sie den Zustimmen-Button farblich hervorheben, um einen optischen Anreiz zum Darauf-Klicken zu geben.

Ebenfalls über das Consent-Formular erreichbar sollten außerdem Ihre Datenschutzerklärung sowie die Möglichkeit zur individuellen Auswahl der Verarbeitungszwecke sein. Erläutern Sie kurz, wozu User ihren Consent geben.

Dieses Consent-Formular macht es gleichermaßen einfach, der Datenspeicherung zuzustimmen oder diese abzulehnen. Zusätzlich ist die volle Transparenz gewährleistet, die Datenschutzerklärung ist erreichbar und der Besucher kann auf Wunsch individuelle Entscheidungen treffen.

Piwik PRO empfiehlt:

Unserer Einschätzung nach eignet sich ein solcher Ansatz vor allem für Unternehmen im B2B-Umfeld. Gleichermaßen profitieren Unternehmen aus Branchen wie dem Finanz-, Versicherungs- oder Gesundheitssektor, die mit sensiblen Daten umgehen, von einer solchen Strategie. Auch der öffentliche Sektor sollte so vorgehen.

Variante 2: User führen, denn mehr ist mehr

Zwar ist eine positive Markenwahrnehmung für jedes Unternehmen wichtig, einige Organisationen profitieren jedoch stärker davon, ihre User zu gut wie möglich kennenzulernen. So können sie User Interface, Content und Werbekampagnen personalisieren und dadurch ihren Umsatz steigern. Dafür brauchen diese Unternehmen natürlich so viele Einwilligungen wie möglich.

Auch mit einem Opt-In-Consent-Formular ist es kein Problem, ein solches Ziel zu erreichen. Genauso ist es nicht notwendig, sich in rechtlichen Grauzonen zu bewegen oder nach Schlupflöchern in der aktuellen Gesetzgebung zu suchen. Sie brauchen lediglich in die Trickkiste zu greifen und Ihr Consent-Formular ein bisschen anders aufzubauen als in Variante 1.

Der Trick ist es, den Zustimmen-Button vor allem größentechnisch deutlich prominenter zu gestalten als den Ablehnen-Button. Sie können auch einen richtigen Button für Einverstanden und einen unspektakulären Text-Link für Ablehnen verwenden. Dadurch erfüllen Sie die Anforderungen, können das Verhalten Ihrer Besucher aber zu Ihren Gunsten beeinflussen. User sind es nämlich (nicht zuletzt durch Microsoft Windows) gewohnt, einfach auf die farblich hervorgehobene Fläche zu klicken, um zum Content zu gelangen.

Vergessen Sie aber nicht, zusätzlich die Datenschutzerklärung und die Möglichkeit zur individuellen Auswahl zu verlinken und kurz zu erklären, wozu Ihre Besucher denn einwilligen.

Dieses Consent-Formular hat einen prominenten Zustimmen-Button. Gleichermaßen können auch alle Verarbeitungszwecke abgelehnt werden, die entsprechende Auswahl ist aber als einfacher Link um einiges weniger auffällig. Die Datenschutzerklärung ist ebenfalls verlinkt. Ergänzt werden sollte noch ein Link zur individuellen Auswahl.

Entscheidend ist bei dieser Variante, dass Sie Ihre Besucher stärker dazu animieren, ihr Einverständnis zu geben, indem Sie durch optische Tweaks den gewünschten Weg vorzeichnen. Gleichzeitig erfüllen Sie aber alle DSGVO-Vorgaben und büßen auch bei Ihren datenschutzbewussten Usern kein Vertrauen ein. Schließlich geben Sie alle erforderlichen Möglichkeiten zur Auswahl.

Piwik PRO empfiehlt:

Von Variante 2 profitieren alle B2C-Unternehmen im Bereich E-Commerce besonders stark. Zusätzlich empfiehlt es sich für Publisher und Content-Ersteller, die Ihre Inhalte mit Werbeeinnahmen monetarisieren, auf dieses Modell zu setzen. Für die Publishing-Branche bedeuten Einwilligungen schließlich das eigene Überleben.

Blick in die Zukunft: Die ePrivacy-Verordnung steht nach wie vor in den Startlöchern, auch wenn eine Verabschiedung zum jetztigen Zeitpunkt noch nicht in Sicht ist.
Zum ePrivacy-Newsticker

Gibt es weitere Varianten?

Nein, es gibt tatsächlich nur die beiden vorgestellten Varianten, die zu 100 % die Vorgaben der DSGVO erfüllen und somit das Risiko von Klagen minimieren. Das bedeutet, die Elemente des Consent-Formulars sind fest definiert. Lediglich Größe, Farbe und Platzierung der Buttons und Links dürfen variiert werden.

Nach wie vor häufig anzutreffende Consent-Formulare wie dieses hier können wir nicht uneingeschränkt empfehlen:

Dieses Consent-Formular lädt zwar zum Klicken auf OK ein, bietet aber keine Möglichkeit zum Ablehnen auf der ersten Ebene. Außerdem fehlt der Link zur Datenschutzerklärung.

Auf der ersten Ebene zeigt dieses Consent-Formular nur den Zustimmen-Button an. Alle weiteren Optionen können ausschließlich über einen Link, der in ein Untermenü führt, erreicht werden. Zudem fehlt die Verlinkung zur Datenschutzerklärung.

Zwar schafft es der Websitebetreiber möglicherweise, besonders viele Einwilligungen einzusammeln, indem er einfach die Option, der Datenspeicherung nicht zuzustimmen, auf der zweiten Ebene des Banners versteckt, gleichzeitig leiden aber User Experience und Transparenz massiv unter dieser Variante. Durch die Platzierung des Banners in der Mitte werden Besucher zusätzlich dazu gedrängt, eine Entscheidung zu treffen. 

Piwik PRO empfiehlt:

Wer besonders risikofreudig ist, fährt mit einer vergleichbaren Variante zumindest besser als mit einem Cookie-Banner ganz ohne Wahlmöglichkeit. Wirklich empfehlen im Hinblick auf die Anforderungen der DSGVO können wir solche Banner aber keinem Unternehmen, das Risiko einer Abmahnung stellt den Vorteil von ein paar mehr Einwilligungen zu sehr in den Schatten.

Wir haben uns die Websites von bekannten Unternehmen aus verschiedenen Branchen der deutschen Wirtschaft angeschaut und überprüfen, ob sie die Vorgaben des EuGH-Urteils bereits erfüllen oder nicht. Wir analysieren die unterschiedlichen Varianten, wie mit der Speicherung von Cookies … 
Der große Cookie-Banner Check: deutsche Wirtschaft nach EuGH-Urteil im Zugzwang

Was gibt es noch zu beachten?

Nachdem Sie nun wissen, wie das Cookie-Consent-Banner grundsätzlich aussehen kann/sollte/darf, gehen wir kurz stichpunktartig auf weitere Aspekte ein, die zu beachten sind.

Ihr Cookie-Consent-Banner sollte:

  • sofort eingeblendet werden: Der User muss ja auch über die Verwendung technisch notwendiger Cookies (z. B. Session-Cookies) informiert werden. Das sollte daher auch am Anfang der Session erfolgen. Außerdem wollen Sie natürlich die vollständige Session aufzeichnen
  • die Nutzung der Website ohne Consent nicht verhindern: Zwar darf und sollte das Cookie-Consent-Banner den User zum Treffen einer Entscheidung auffordern und animieren, Sie dürfen jedoch keinerlei Funktionalitäten an die Zustimmung des Users koppeln. Solche Cookie-Walls sind nicht zulässig
  • keine wesentlichen Bereiche verdecken: Achten Sie darauf, dass Ihr Consent-Formular keine Bereiche wie Impressum oder Datenschutzerklärung überdeckt. Letztere muss sowieso zusätzlich über das Banner selbst erreichbar sein
  • keine vorausgewählten Checkboxen haben: Wenn der User auf individuelle Entscheidung treffen klickt, dann listen Sie dort alle Verarbeitungszwecke wie z. B. Analyse, Retargeting, A/B-Testing auf. Achten Sie darauf, dass nur die technisch notwendigen Cookies eine vorausgewählte Checkbox haben dürfen, alle anderen Verarbeitungszwecke nicht
  • alle Verarbeitungszwecke auflisten: Zuletzt ist es wichtig, dass Sie wirklich alle Zwecke zur Verarbeitung aufführen und jeweils in verständlicher Sprache erläutern. Dazu zählen nicht nur Cookies und die Speicherung personenbezogener Daten, sondern gleichermaßen auch die Weitergabe an Dritte, wie sie beispielsweise beim Einsatz von Social Media-Plug-Ins zwangsläufig durchgeführt wird. Entsprechende Plug-Ins dürfen ohne Consent gar nicht erst aktiviert werden

Vor allem der letzte Punkt, dass eine Einwilligung erforderlich ist, bevor Daten an Dritte wie Werbepartner und Social Media-Plattformen weitergegeben werden dürfen, wurde erst kürzlich in einem EuGH-Urteil festgelegt. Gleichermaßen sollten aber auch die anderen Anforderungen der DSGVO nicht missachtet werden. Einige nicht unerhebliche Bußgelder aufgrund von Datenschutzverstößen wurden bereits verhängt.

Piwik PRO vs. Google Analytics

Eine praktische Übersicht zu allen Unterschieden. Vergleichen Sie beide Anbieter und finden Sie heraus welche Lösung zu Ihnen passt.

Zum kostenlosen Whitepaper

Fazit

Obwohl die Vorgaben der Datenschutz-Grundverordnung ziemlich eindeutig sind und in den wichtigsten Fragen keinen Interpretationsspielraum zulassen, haben die meisten Unternehmen in Deutschland nach wie vor überhaupt kein Consent-Management auf Basis des Opt-In-Verfahrens oder setzen auf Cookie-Consent-Banner, die nicht alle Anforderungen erfüllen. Damit riskieren diese Websitebetreiber, ungültige Consents einzusammeln.

Es stellt sich die Frage, woran das liegt.

  • Ist der Ernst der Lage nicht erkannt worden?
  • Wird der Aufwand vor der Implementierung einer Consent-Management-Lösung gescheut?

Wenn auch Sie noch Nachholbedarf in Sachen Consent einholen bei sich und Ihrer Website sehen, dann schauen Sie sich nach einer Alternative zu Ihrem aktuellen Web-Analytics-Anbieter um, der eine vollständig integrierte Consent-Management-Platform als Teil seiner Lösung anbietet. Im Gegensatz dazu, ein Standalone-Tool für das Consent-Management zu nutzen, profitieren Sie bei einer SaaS-Analytics-Lösung von umfangreichem Service und einer wesentlich leichteren Implementierung von Cookie-Consent-Banner und Consent-Verwaltung.

Achten Sie bei der Wahl Ihres nächsten Analytics-Partners auch auf andere Datenschutz-Features wie 100%igen Datenbesitz, eine ISO-Zertifizierung und Datenspeicherung auf Servern in der EU.

DSGVO-konforme Webanalyse

Identifizieren Sie die Customer Journey über alle Kanäle hinweg

Kostenlose Demo vereinbaren

Autor:

Sebastian Voigt, Content Marketer DACH

Sebastian ist begeisterter Sprachwissenschaftler. Germanistik und Anglistik haben es ihm angetan. Für Piwik PRO schlägt er die Brücke zwischen englischsprachigem und deutschsprachigem Content. Ihn fordert es heraus, komplizierte Sachverhalte so zu erklären, dass sie garantiert im Gedächtnis bleiben.

Mehr Artikel von diesem Autor

Share