Der große Cookie-Banner Check: deutsche Wirtschaft nach EuGH-Urteil im Zugzwang

Veröffentlicht: Oktober 24, 2019 Autor Kategorie Datenschutz, DSGVO

Cookie-Banner, die den User darüber informieren, dass Cookies gesetzt werden, sind weit verbreitet. Dies ist jedoch zu einem Problem geworden, denn diese Cookie-Banner sind seit dem 1. Oktober 2019 EU-weit nicht mehr rechtsgültig.

Wir haben uns die Websites von jeweils drei bekannten Unternehmen aus verschiedenen Branchen der deutschen Wirtschaft angeschaut und überprüfen, ob sie die Vorgaben des EuGH-Urteils bereits erfüllen oder nicht. Wir analysieren die unterschiedlichen Varianten, wie mit der Speicherung von Cookies für Tracking und Marketing  umgegangen wird, und stellen Sie den Anforderungen der Gesetzgebung gegenüber.

Spoiler: Bei der großen Mehrheit der untersuchten Websites ist die Umsetzung noch absolut unzureichend!

Vieldiskutiertes EuGH-Urteil: Das hat sich verändert

Der Europäische Gerichtshof (EuGH) hat in einem Urteil vom 01.10. 2019 entschieden, dass Website-Betreiber in der Pflicht sind, die Einwilligung zur Datenverarbeitung von jedem User vorab einzuholen. Lediglich technisch notwendige Cookies benötigen keinen Consent, da diese im EU-Recht anders behandelt werden. Das bedeutet, Marketing-Cookies, Tracking-Cookies, Retargeting-Cookies und Co. sind ohne vorab abgefragten Consent nicht mehr zulässig.

Cookie-Banner, wie sie aktuell mehrheitlich anzutreffen sind, die lediglich über die Verwendung von Cookies informieren und einen “OK-Button” als einzige Option anbieten, sind nach diesem richtungsweisenden Urteil schlicht nicht mehr legal.

Cookie-Banner
Ein typisches Cookie-Banner: Eine einfache Einblendung mit OK-Button

Doch auch vor dem Urteil bewegte man sich auf dünnem Eis, wenn man ein solches Cookie-Banner als einzige Maßnahme zur DSGVO-Compliance auf seiner Website implementiert hatte. Denn wirklich DSGVO-konform sind diese Cookie-Banner nie gewesen. Ihre hohe Verbreitung stützte sich auf Paragraph 15 Absatz 3 des Telemediengesetzes. Dort wird die Erstellung von Nutzerprofilen zu Werbezwecken erlaubt, „sofern der Nutzer dem nicht widerspricht“. Das TMG ist diesbezüglich nun jedoch nicht mehr anwendbar.

Mehr zu den neuerlichen EuGH-Urteilen im Zusammenhang mit Cookies sowie alle Infos zum aktuellen Stand der anstehenden ePrivacy-Verordnung (die die Lage noch weiter verschärfen könnte) finden Sie in unseren Blogartikeln:

Um Klagen zu verhindern, müssen Website-Betreiber sich deshalb beeilen und schnellstmöglich eine gesetzeskonforme Lösung implementieren, die User-Consent einholt und dabei alle Anforderungen der DSGVO berücksichtigt. 

Ruft man die Website von Branchengrößen wie Zalando, Mediamarkt oder der Telekom auf, ergibt sich folgendes Bild:

Zalando Website
Cookie-Banner oben. Ob der User auf “zustimmen” klickt oder nicht hat keine Auswirkungen. Personenbezogene Daten werden trotzdem gespeichert.
MediaMarkt Website
Cookie-Banner unten. Besonderheit: Das Banner verdeckt einen Teil der Seite, kann aber nur weggeklickt werden, indem der User auf “Einverstanden” klickt.
Telekom Website
Auch der ‘Magenta-Riese’ blendet sein Cookie-Banner oben ein und überlässt dem User nicht die Wahl.

Alle drei Websites nutzen das Opt-out-Verfahren – und sind damit bei weitem nicht allein. Es macht also überhaupt keinen Unterschied, ob der User mit dem Cookie-Banner interagiert (auf OK bzw. Ich stimme zu klickt, es wegklickt oder einfach ignoriert), seine personenbezogenen Daten werden trotzdem erfasst und gespeichert. Um das zu verhindern, muss der Datenspeicherung aktiv durch den User widersprochen werden.

Diese Praxis ist eigentlich seit Inkrafttreten der DSGVO am 25. Mai 2018 bereits EU-weit nicht mehr zulässig. Spätestens jedoch seit dem Urteil des EuGHs ist klar, dass erwähnter § 15 Abs. 3 des TMG nicht mehr als Schlupfloch zur Umgehung der Verordnung genutzt werden kann.

Erfahren Sie, wie ein DSGVO Consent Manager Ihnen bei der DSGVO-Compliance helfen kann.

Zum kostenlosen Whitepaper

So etwas wie eine vorbildliche Branche mit besonders vielen Websites mit einem DSGVO-konformen Consent-Formular scheint es nicht zu geben. In den meisten Fällen haben User nicht die Wahl, ob sie ihre Daten mit dem Unternehmen teilen möchten oder nicht. Auch Branchen wie die Finanz- oder Gesundheitsbranche, die mit sensiblen Daten umgehen, sind nicht unbedingt leuchtende Vorbilder.

Das Cookie-Banner der Postbank informiert lediglich über die Verwendung von Cookies und verlinkt auf Datenschutzerklärung und Opt-out-Menü

Wir haben die Websites je drei bekannter Unternehmen aus unterschiedlichen Branchen untersucht und zeigen Ihnen – Stand 11. Oktober 2019 – wie die DSGVO in Bezug auf das Einholen von User-Consent umgesetzt wurde.

Banken:  
Deutsche Bank Cookie-Banner ohne Wahlmöglichkeit
Postbank Cookie-Banner ohne Wahlmöglichkeit
Commerzbank Consent-Formular mit differenzierter Auswahl
Versicherungen:  
Allianz Cookie-Banner ohne Wahlmöglichkeit
AXA Cookie-Banner ohne Wahlmöglichkeit
Signal Iduna Cookie-Banner ohne Wahlmöglichkeit
Telekommunikation:  
Deutsche Telekom Cookie-Banner ohne Wahlmöglichkeit
Vodafone Cookie-Banner ohne Wahlmöglichkeit
1und1 Cookie-Banner ohne Wahlmöglichkeit
E-Commerce:  
Zalando Cookie-Banner ohne Wahlmöglichkeit
MediaMarkt Cookie-Banner ohne Wahlmöglichkeit
OBI Cookie-Banner ohne Wahlmöglichkeit
Autohersteller:  
VW Consent-Formular mit differenzierter Auswahl
BMW Cookie-Banner mit Link zu Consent-Formular
Mercedes-Benz Consent-Formular mit Option, ohne Marketing-Cookies fortzufahren (keine differenzierte Auswahl)
Bundesliga Clubs:  
FC Bayern München Cookie-Banner ohne Wahlmöglichkeit
Borussia Dortmund Cookie-Banner ohne Wahlmöglichkeit
1. FC Köln Cookie-Banner ohne Wahlmöglichkeit
Öffentlicher Sektor:  
Bundesregierung.de kein Hinweis (speichert lt. Datenschutzerklärung nur IP-Adressen (nicht-anonymisiert) und Browserinformationen)
Verbraucherzentrale NRW kein Hinweis (speichert lt. Datenschutzerklärung nur IP-Adressen (nicht-anonymisiert) und Browserinformationen)
Bundeswehr kein Hinweis (speichert lt. Datenschutzerklärung nur IP-Adressen (anonymisiert) und Browserinformationen)

Die Ergebnisse sind ziemlich eindeutig: Es besteht ein hoher Nachholbedarf über nahezu alle untersuchten Branchen hinweg. Vor allem der öffentliche Sektor speichert zwar keine Daten zu Marketingzwecken ohne Einwilligung, dafür aber IP-Adressen, ohne darauf hinzuweisen. Doch es gibt auch positivere Beispiele.

Aus der Finanzbranche sei die Commerzbank genannt, die ein vollständiges Consent-Formular auf ihrer Website implementiert hat. Prominent hervorgehoben ist der Akzeptieren-Button, eine völlig legitime Praxis.

Ein Klick auf den Mehr-Button blendet jedoch sogleich komfortabel alle Zwecke zur Datenverarbeitung mit individuellen Ein-/Ausschaltern ein, die nicht vorausgewählt sind.

Eine Sache fehlt allerdings: Die Möglichkeit, mit einem Klick alle Cookies abzulehnen. Eine solche Schaltfläche gehört auch nicht in ein Untermenü sondern auf die oberste Ebene.

Commerzbank Website
Dieses Consent-Formular erfüllt fast alle Vorgaben der DSGVO nach aktuellen Stand

Etwas anders setzt BMW die Verwaltung der User-Einwilligungen um. Hier werden drei Klicks benötigt, um zur Consent-Verwaltung zu gelangen.

Zunächst begrüßt die BMW-Website den User mit einem großen Banner, das den Content teilweise verdeckt und somit zur Interaktion auffordert:

BMW Website
Die Consent-Einstellungen verstecken sich unter einem Hyperlink

Die meisten User werden natürlich auf Zustimmen klicken. Doch über den Link Mehr gelangt man auf eine weitere Seite, auf der man dann auf Einstellungen klicken kann. Erst dort findet sich dann eine DSGVO-Consent-Verwaltung:

BMW Consentformular
Zur Consent-Verwaltung von BMW muss erst umständlich navigiert werden

Die Website von BMW geht in die richtige Richtung, doch im Sinne der User Experience geht es auch weniger umständlich. Außerdem sollte der Button Cookies ablehnen auf die oberste Ebene verschoben werden, um direkt anklickbar zu sein.

Die Variante, für die sich der Daimler-Konzern entschieden hat, ist sicherlich auch möglich unter der DSGVO, die Formulierung Mehr über die Verwendung und Ablehnung von Cookies ist aber zu schwammig und lässt nicht unbedingt die Schlussfolgerung zu, dort individuelle Einstellungen vornehmen zu können. Hier wären ein eindeutiger Button Alles Ablehnen und ein weiterer Button “Individuelle Entscheidungen treffen” sinnvoll.

Mercedes Cookiebanner
Daimler bietet die Wahl zwischen “Alles” und “Nur das Nötigste”

Zwar ist der Einverstanden-Button prominent farblich hervorgehoben, um angeklickt zu werden, genauso einfach ist jedoch der Klick auf Weiter ohne Marketing”. Ein zusätzliches Menü mit individuellen Auswahlmöglichkeiten bietet sich noch an, da es dem User das Gefühl gibt, mehr Kontrolle zu haben, und volle Transparenz nach Außen zeigt.

Auch wenn einige Lösungen nicht optimal sind, die beiden Autohersteller schneiden in unserem Test am besten ab. Doch wie aufwendig ist es eigentlich, eine vernünftige Consent-Management-Lösung zu implementieren, die

  • alle Vorgaben der DSGVO umsetzt und Ihr Unternehmen somit vor Klagen schützt
  • eine gute User Experience bietet und nicht unnötig viele Einbußen in Bezug auf User-Daten zur Folge hat?

Der Frage stellen wir uns im letzten Abschnitt.

Eine Consent-Management-Lösung, die zu 100 % compliant zur DSGVO ist und dazu auch noch eine gute User Experience bietet, ist gar nicht schwer zu finden. Statt selbst eine Lösung zu hohen Unkosten entwickeln zu lassen, greifen Sie einfach auf eine SaaS-Lösung eines auf Datenschutz spezialisierten Anbieters zurück.

Mit der Piwik PRO Analytics Suite erreichen Sie nicht nur auf schnellstem Wege DSGVO-Compliance, indem Sie einfach den Piwik PRO Consent Manager in Ihre Website einbetten, sondern Sie können darüber hinaus eine der führenden Web Analytics-Lösungen nutzen. Sie profitieren von Datenschutz-Features wie Datenanonymisierung, Hosting in der EU und dem automatisierten Management von Einwilligungen und Datenschutzanfragen.

Piwik PRO Consent Formular
Das benutzerfreundliche Consent-Formular des Piwik PRO Consent Managers erlaubt die Auswahl der persönlichen Präferenzen

Einen weiteren Vorteil in diesem Zusammenhang stellt der Datenbesitz dar, der im Fall einer Zusammenarbeit mit Piwik PRO zu 100 % bei Ihnen verbleibt. Anders als beispielsweise bei Google Analytics müssen Sie Ihre Analytics-Daten nicht mit einer Drittpartei teilen und behalten so die volle Kontrolle über alle gesammelten Daten.

Mittelständische Unternehmen können sich also – genauso wie große Konzerne – die aufwendige Eigenentwicklung einer DSGVO-konformen Lösung ersparen und auf die Expertise ihres persönlichen Customer Success Managers sowie des gesamten Teams bei Piwik PRO vertrauen. Die Zusammenarbeit mit Piwik PRO beginnt bereits positiv mit einem sorgsam durchdachten Onboarding-Prozess.

Fazit

Handeln Sie jetzt! Durch das Urteil des EuGH sind die Weichen für eine Klagewelle gestellt. Alle Unternehmen, die nach wie vor – und damit über ein Jahr nach der DSGVO – immer noch keine Consent-Formulare auf ihrer Website einsetzen, bewegen sich in gefährlichem Terrain.

Wir von Piwik PRO möchten Ihnen gerne bei dieser komplexen Aufgabe zur Seite stehen und freuen uns darauf, von Ihnen zu hören.

Web Analytics-Daten nach EuGH-Cookie-Urteil, DSGVO und ePrivacy sicher im Griff

Cookie-Banner richtig einsetzen

Autor:

Sebastian Voigt, Content Marketer DACH

Sebastian ist begeisterter Sprachwissenschaftler. Germanistik und Anglistik haben es ihm angetan. Für Piwik PRO schlägt er die Brücke zwischen englischsprachigem und deutschsprachigem Content. Ihn fordert es heraus, komplizierte Sachverhalte so zu erklären, dass sie garantiert im Gedächtnis bleiben.

Mehr Artikel von diesem Autor

Share