Wer zum ersten Mal eine Webseite öffnet, wird in der Regel zunächst von einem Cookie-Banner begrüßt: Je nach Ausgestaltung versperrt ein Pop-Up den Blick auf Inhalte oder schiebt sich freundlich, aber bestimmt über den unteren Teil der Startseite. Doch wie gestaltet man als Webseitenbetreiber sein Einwilligungs-Banner möglichst nutzerfreundlich und vor allem DSGVO-konform? Und wann genau muss überhaupt die Einwilligung zur Datennutzung eingeholt werden? Alle Antworten und konkrete Umsetzungstipps finden Sie hier.
Zunächst ein kleiner Exkurs in die Welt des Datenschutzrechts:
Sind Cookie-Banner mit einem aktiven Nutzer-Opt-in Pflicht? Und in welchen Fällen reicht ein rein informatives Banner?
Ein rein informatives Banner würde ausreichen, wenn ein Webseitenbetreiber nur essenzielle, zur technischen Bereitstellung der Webseite erforderliche Daten erhebt. Wenn allerdings Daten zu Marketingzwecken mit Hilfe von Cookies oder anderen Tracking- und Analyse Technologien erhoben werden und/oder ein Datentransfer an Drittanbieter stattfindet, muss immer die aktive Nutzereinwilligung per Opt-in Verfahren eingeholt werden.
Art 7. DSGVO gibt klare Vorgaben, wie eine Einwilligung (Opt-in) in diesem Fall auszusehen hat. Die beiden wichtigsten: Anwender müssen zum einen eine informierte Einwilligung abgeben, damit ihre Daten verarbeitet werden können. Das bedeutet: Sie müssen wissen bzw. aufgeklärt worden sein, wozu sie genau zustimmen und die Einwilligung muss zudem aktiv erfolgen, z.B. durch das Setzen eines Hakens in einer Checkbox. Und: Der Nutzer muss jederzeit frei (um-)entscheiden können und die Möglichkeit haben, seine Einwilligung zu widerrufen.
Auch wichtig: Der Nutzer darf dabei nicht zur Einwilligung aller Cookies verpflichtet werden, sondern muss eine granulare Auswahl treffen können. Dies gilt für sämtliche Webangebote - mit wenigen Ausnahmen wie bei werbefinanzierten Nachrichtenseiten, die durch ein Bezahlabo (“Bezahlschranke”) das Abwählen der Cookies ermöglichen. Ein rein informatives Banner, das mitteilt, dass Weiterscrollen als Einwilligung zur Datennutzung gedeutet wird, ist nicht DSGVO konform.
Die weiteren Voraussetzungen einer rechtswirksamen Einwilligung finden Sie unter “7 Kriterien einer DSGVO-konformen Einwilligung”. Aber Achtung: Schummeln verboten! Was nicht erlaubt ist, erklären wir unter “Nutzer-Einwilligung einholen: diese 5 Tricks sind nicht DSGVO-konform”.
Cookie-Arten und Opt-in Pflicht
Ohne Opt-in Pflicht:
- Notwendige Cookies
Um bestimmte Dienste auf einer Webseite überhaupt bereitstellen zu können, werden essenzielle Informationen beim Abruf der Seite protokolliert - zum Beispiel, um den Zugang zum User-Login zu ermöglichen. Eine aktive Einwilligung für diese Art von Cookies ist nicht erforderlich. Stattdessen reicht ein Hinweis in Form eines einfachen Cookie-Banners aus. Man kann hier davon ausgehen, dass es sich um ein berechtigtes Interesse des Anbieters handelt, notwendige Cookies bereitzustellen, um dem Nutzer die Webseite überhaupt zugänglich zu machen.
Achtung: Eine Verlinkung auf die Datenschutzerklärung ist aber in jedem Fall erforderlich, damit sich der User selbst davon überzeugen kann, welche Daten tatsächlich erhoben werden. Da nahezu jede Webseite jedoch zahlreiche weitere Informationen über Cookies, Zähl(-pixel) usw. erhebt, reicht ein purer Hinweis bzw. ein einfaches Info-Banner für die meisten Webangebote nicht aus, um DSGVO-konform zu agieren.
Mit Opt-in Pflicht:
Neben notwendigen Cookies gibt es auch solche, die die Nutzererfahrung verbessern oder dem Webseitenbetreiber Erkenntnisse fürs Marketing liefern. Eine Einwilligung für diese “optionalen” Cookies ist durch ein aktives Opt-in des Nutzers einzuholen.
Eine Auswahl:
- Präferenz Cookies
Die sogenannten Präferenz Cookies treten meist als First-Party-Cookies auf, werden also von der besuchten Webseite selbst protokolliert. Sie sorgen für eine angenehmere Surferfahrung, indem beispielsweise Einstellungen zur favorisierten Sprache abgespeichert werden.
- Statistik Cookies
Wie performt die Marketing-Kampagne? Welche Unterseiten wurden häufig besucht? Über welche Quelle hat der Nutzer auf die Landingpage zugegriffen? Um diese und weitere Fragen zu beantworten, liefern Analytic-Programme wichtige Erkenntnisse für die „Onsite Optimierung”. Als Technologie werden dafür meist Drittanbieter-Tools wie Google Analytics verwendet.
- Marketing Cookies
Sogenannte Marketing Cookies tracken den Nutzer entlang der Webseite. Sie dienen vor allem dazu personalisierte Inhalte und Anzeigen auszuspielen. Häufig werden dafür Third-Party-Cookies (Drittanbieter Cookies) eingesetzt. Es handelt sich dabei um Daten-Häppchen, die Besucher-Informationen mit einem externen Web-Service (z.B. einem Werbe-Netzwerk) teilen.
Auch interessant: Der Einsatz von Third-Party-Cookies wird zunehmend durch die Browser-Anbieter erschwert. Wie Online Marketing zukünftig trotzdem noch erfolgreich betrieben werden kann, erklären wir hier: ”2021 ohne Cookies? 3 DSGVO-konforme Strategien, wie Online Marketing in Zukunft trotzdem noch funktioniert”.
- Social Media Cookies
Social Media-Widgets kommen häufig zum Einsatz, wenn es darum geht, Nutzern das Teilen von Inhalten zu ermöglichen oder den Feed von Twitter, Instagram & Co. direkt in die Webseite zu integrieren. Da Social Networks dabei Nutzerdaten erheben, gilt es hier vorab eine explizite Einwilligung einzuholen. Wenn weitere Social Media-Plattformen zum Einsatz kommen, muss der Nutzer auch dafür seine Zustimmung erteilen, bevor Daten an Facebook & Co. übermittelt werden dürfen.
Einwilligungen DSGVO-konform einholen über ein Cookie-Consent Tool
Über eine sogenannte Consent Management Platform (CMP) lässt sich der Cookie Opt-in DSGVO-konform und vor allem benutzerfreundlich realisieren. Der Vorteil: Das Tool speichert die Präferenzen des Anwenders, auch über Endgeräte (Cross Device Consent Sharing) hinweg. Bei einem wiederkehrenden Webseitenbesuch muss der Nutzer nicht erneut seine Zustimmung erteilen, sondern kann direkt auf das Angebot zugreifen.
Das ist der derzeit beste Weg “Cookie Fatigue” auf Nutzerseite zu umgehen - vor allem in Anbetracht der Tatsache, dass zwei Drittel der deutschen Internet-Nutzer die umfangreichen Erläuterungen zur Datenverarbeitung nerviger als vor der Einführung strengerer Cookie-Regeln finden
Übersicht: Cookie-Banner Einwilligung Step by Step
1. Tracking erst nach Einwilligung
Technisch nicht notwendige Cookies, dürfen erst nach dem ausdrücklichen Opt-in gesetzt werden. Davor gilt die “Do not track”-Regel.
2. Wahlfreiheit lassen
Der Nutzer muss die Möglichkeit haben, die Verarbeitung seiner Daten abzulehnen - entweder pauschal über einen Ablehnen-Button (wichtig hierbei: Der Opt-out muss genauso einfach wie der Opt-in sein) oder durch die An- bzw. Abwahl einzelner Tracking Dienste.
3. Transparenz schaffen
Datenerhebung jeglicher Art muss dem Nutzer transparent gemacht werden - durch einen expliziten Cookie-Hinweis. Es ist zwingend notwendig aufzuzeigen, welche Daten durch wen, zu welchem Zweck erhoben werden sollen und wie diese verarbeitet werden.
Cookie Banner Checkliste: Was Sie in Bezug auf Ihre Cookie-Strategie im Blick haben sollten
- Welche internen und externen Datenpunkte habe ich?
Eine Übersicht über alle verwendeten First- und Third-Party-Cookies erstellen
- Sind alle Drittanbieterdienste korrekt aufgeführt?
Auch Technologien, die im Hintergrund laufen (etwa Services zur Abwehr von Bot-Angriffen) auflisten.
- Wie sieht der Cookie-Banner auf dem Smartphone aus (Stichwort: responsive)?
Immer mehr Deutsche surfen mit dem Handy. Darauf achten, dass der Opt-in auch mobil problemlos funktioniert.
- Läuft der Opt-in rechtskonform ab? Prüfen, ob Cookies wirklich erst nach der Einwilligung des Nutzers gesetzt werden (z. B. mit dem kostenfreien Tool wireshark).
- Welche Formulierungen bieten sich beim Opt-in an?
Mit einem passenden Intro das Vertrauen des Nutzers gewinnen und so die Opt-in Rate pushen.
Fazit / Das sollten Sie sich merken
2021 ohne umfassendes Cookie-Management? Kaum vorstellbar - und auch aus juristischer Sicht sicherlich keine gute Idee. Denn wer Daten seiner Nutzer zu Marketingzwecken erheben möchte, muss Anwender nicht nur ausreichend darüber informieren und die verwendeten Technologien nennen, sondern auch vorab deren ausdrückliche Einwilligung einholen. Wichtig dabei: Der Nutzer muss frei entscheiden können, welche optionalen Cookies er akzeptiert. Um DSGVO-konform zu handeln, ist der Opt-out zudem genau so einfach wie der Opt-in zu gestalten.
Zur Vereinfachung des Cookie Opt-ins für Webseitenbetreiber und Nutzer bietet sich der Einsatz einer Consent Management Platform (CMP) an, die das Einholen, Verwalten und Nachweisen einer datenschutzkonformen Einwilligung ermöglicht und sich mit wenigen Klicks technisch und optisch an die individuellen Erfordernisse der Webseite anpassen lässt.
Nur wer sich auf die Erhebung essenzieller Informationen beschränkt, kann einen simplen Cookie-Banner ohne Opt-in Mechanismus verwenden. Die Transparenz, welche Daten dabei verarbeitet werden, muss der Betreiber allerdings auch hier zwingend schaffen.
Über Usercentrics
Compliance & Marketing in Harmony
Das Münchner Tech-Unternehmen Usercentrics ist Marktführer im Bereich Consent Management Platform (CMP). Die SaaS-Lösung von Usercentrics ermöglicht Unternehmen die Erhebung, Verwaltung und Dokumentation von Nutzer Einwilligungen auf allen digitalen Kanälen wie Websites oder Apps - und das bei hohen Opt-in Raten. So kann die Einhaltung aktueller und zukünftiger internationaler Datenschutzvorschriften wie der DSGVO, ePrivacy-VO und CCPA gewährleistet und mit der Marketing- und Datenstrategie in Einklang gebracht werden. Seit seiner Gründung Ende 2017 durch Mischa Rürup ist das Unternehmen stark gewachsen und zählt zahlreiche namhafte Enterprise-Kunden wie Commerzbank, Munich RE, T-Mobile oder Telefonica.
Autor: Usercentrics
Artikel veröffentlicht: 11.03.2021