Anforderungen an Cookie-Banner

Eine gute und übersichtliche Anleitung für die Erstellung rechtswirksamer Cookie-Banner liefert eine Orientierungshilfe der Datenschutzkonferenz (DSK) für "Anbieter von Telemedien" vom März 2019. Dort heißt es, dass Cookie-Banner über alle einwilligungsbedürftigen Vorgänge aufklären und über die Möglichkeit des Widerrufs informieren müssen. Diese Möglichkeit, der Verwendung von Cookies zu widersprechen, muss demzufolge auch technisch gegeben sein, beispielsweise durch einen einfachen "Ablehnen"-Button. Die Einwilligung darf außerdem nicht vorweggenommen werden, etwa durch vorausgefüllte Checkboxen. Das Banner muss bis zu einer Interaktion eingeblendet sein, darf dabei aber keine wesentlichen Funktionen der Website verdecken. Insbesondere das Impressum und die Datenschutzerklärung müssen zu jedem Zeitpunkt zugänglich sein. Erst nach einer positiven Bestätigung seitens des Website-Besuchers dürfen alle einwilligungsbedürftigen Datenverarbeitungsvorgänge starten.

Im Mai 2020 aktualisierte der Europäische Datenschutzausschuss (EDSA) seine Richtlinien zur Auslegung der Einwilligung im Sinne der DSGVO. Demzufolge sind Hinweise auf die Verwendung von Cookies, bei denen eine Einwilligung lediglich aus der Weiterverwendung der Seite geschlossen wird, nicht akzeptabel, da solche Handlungen weder "eindeutig bestätigend" noch "unmissverständlich" sind – beides Kriterien, die Voraussetzung für eine wirksame Einwilligung sind. Ähnlich verhält es sich mit sogenannten "Cookie-Walls", die vergleichbar mit Pay-Walls ein Betreten der Seite verhindern, bevor der Nutzer nicht der Verwendung von Cookies zugestimmt hat. Beide Arten von Cookie-Bannern bieten den Usern keine Möglichkeit die Verwendung von Cookies abzulehnen oder die Einwilligung zu widerrufen, was jedoch laut DSGVO genauso simpel sein muss wie das Einwilligen selbst.

Website-Betreiber und Marketer sind natürlich daran interessiert, dass so viele User wie möglich der Verwendung von Cookies zustimmen. Sie geben jedoch auch offen zu, dass nur etwa 3 Prozent der User der Verwendungung von Cookies wirklich zustimmen wollen, aber über 90 Prozent zum Zustimmen verleitet werden können. Infolgedessen bedienen sich viele des sogenannten "Nudgings". Dieser aus der Verhaltensökonomie stammende Begriff bezeichnet die Steuerung und Beeinflussung menschlichen Verhaltens. Im Internet geschieht dies oft durch "Dark Patterns": Designs, die Nutzer*innen gezielt zu bestimmten Handlungen verleiten sollen.

Im Zusammenhang mit Cookie-Bannern werden Dark Patterns eingesetzt, um Nutzer*innen zu einer Einwilligung in die Datenverarbeitung zu bewegen, indem eine Ablehnung von Cookies so unattraktiv wie möglich gestaltet wird. So wird oft nur angeboten, entweder alle Cookies direkt zu akzeptieren oder die Cookie-Einstellungen manuell anzupassen, wozu User sich oft durch wahre Klick-Labyrinthe kämpfen müssen. Doch selbst wenn lediglich ein Klick mehr zur Ablehnung benötigt wird, neigen die meisten dazu, der Verwendung von Cookies aus Bequemlichkeit zuzustimmen. Je mühsamer und komplizierter die Ablehnung im Vergleich zur Einwilligung gestaltet wird, desto weniger kann man jedoch von einer "freiwilligen" Einwilligung sprechen. Dabei ist es gar nicht so schwer ein DSGVO-konformes Cookie-Banner zu gestalten, das dennoch viele User zum Zustimmen animieren kann.

Cookie-Consent leicht gemacht

Bereits die verwendete Sprache kann einen großen Einfluss darauf haben, ob User der Verwendung von Cookies zustimmen oder nicht. Es sollte klar und verständlich erläutert werden, worum es bei der Zustimmung geht und warum diese so wichtig für die Betreiber*innen der Website ist, die ihre Arbeit häufig durch Werbegeschäfte finanzieren. Statt Webseitenbesucher*innen gezielt zu manipulieren sollte deutlich gemacht werden, wie alle Beteiligten von der Verwendung von Cookies profitieren können.

Außerdem sollte das Banner, wie bereits erwähnt, auch die Möglichkeit bieten, der Verwendung von Cookies mit nur einem Klick zu widersprechen. Der Button darf subtil platziert und gestaltet sein und muss nicht unbedingt den Titel "Ablehnen" tragen, dennoch empfehlen sich keine "Alles-oder-nichts"-Lösungen. Den Usern sollte die Chance gegeben werden, die Auswahl der Cookies selbst anzupassen, da sich der Seitenbetreiber sonst der Möglichkeit beraubt, zumindest eine teilweise Zustimmung zu erwirken.

Noch immer halten sich viele Website-Betreiber*innen jedoch nicht an diese Vorgaben, was hohe Geldstrafen nach sich ziehen kann. Die europäische Datenschutzorganisation Noyb ("None of your Business") hat eine Software entwickelt, die verschiedene Arten rechtswidriger Cookie-Banner erkennt und automatisch eine formlose Beschwerde per Mail versendet, inklusive einer Schritt-für-Schritt-Anleitung zur Optimierung der Cookie-Banner und ihrer Softwareeinstellungen.

In einem ersten Durchlauf wurden bereits 560 Beschwerden an Websites in 33 Ländern verschickt, mehrere Tausend sollen noch folgen. Auf 81 Prozent dieser Websites versteckte sich der "Ablehnen"-Button in einem unübersichtlichen Untermenü, 73 Prozent nutzen irreführende Farben und Kontraste, um Nutzer*innen zu manipulieren, und ganze 90 Prozent bieten nicht einmal die Möglichkeit, die Zustimmung zur Verwendung von Cookies einfach zu widerrufen. Ändert ein Unternehmen seine Einstellungen nicht binnen eines Monats, reicht Noyb die Beschwerde bei der zuständigen Behörde ein, die laut der DSGVO für besonders schwere Verstöße Bußgelder in Höhe von bis zu 20 Millionen Euro verhängen können.

Bannerfreie Alternativen

Noyb kümmert sich allerdings nicht nur um Abmahnungen, sondern will auch Alternativen bieten. Zusammen mit der Wirtschaftsuniversität Wien veröffentlichte der Verein im Juni 2021 ein technisches Konzept für Web-Browser. Durch ein automatisches Browser-Signal sollen Anwender*innen festlegen können, welche Cookies sie akzeptieren wollen – und das ganz ohne Banner.

Im Rahmen der Verabschiedung des Gesetzes zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) wurde im Bundestag auch über eine komplette Abschaffung der Cookie-Consent-Banner diskutiert. Das Gesetz, das am 01. Dezember 2021 in Kraft treten soll, besagt unter anderem, dass das Speichern von und der Zugriff auf Informationen in der Endeinrichtung des Users nur mit einer DSGVO-konformen Einwilligung erlaubt ist. Mit dem TTDSG soll im Hinblick auf Cookies ein nutzerfreundliches und wettbewerbskonformes Einwilligungsmanagement geschaffen werden, das möglichst viele anerkannte Dienste, Browser und Telemedienanbieter einbeziehen soll. Die Einrichtung von Personal Information Management Systemen (PIMS), sollen Usability und Datenschutz zusammen bringen und Nutzer*innen die Möglichkeit geben, Einstellungen zur Verwendung ihrer Daten zentral vorzunehmen.

Wie genau diese Systeme und die zugehörige Rechtsverordnung aussehen werden, muss sich erst noch zeigen.

Eine neue Ordnung

Die fortwährende Debatte um Cookies und Cookie-Consent zeigt, wie kompliziert und unklar dieses Thema für viele nach wie vor ist – egal ob Publisher, Unternehmen oder Verbraucher. Doch spätestens ab 2023 wird sich das Cookie-Chaos spürbar lichten, denn dann folgt auch Google dem Beispiel von Safari und Firefox und verabschiedet sich endgültig von Third-Party-Cookies. Um Online-Marketing weiterhin zu ermöglichen muss eine neue Lösung her, die die Privatsphäre der Nutzer in den Vordergrund stellt. Bereits seit geraumer Zeit arbeiten viele Unternehmen, Agenturen und Advertiser an einer gemeinsamen Lösung, den First-Party-IDs. Diese beruhen auf von Usern freiwillig geteilten First-Party-Daten, die anonymisiert auf einer gemeinsamen Plattform zusammenlaufen. Anhand dieser Daten können die beteiligten Agenturen ihre Werbeanzeigen auch ohne Third-Party-Cookies personalisieren, Zielgruppen segmentieren und Ergebnisse konsolidieren und somit den Walled Gardens die Stirn bieten.

Viele haben den Übergang zu First-Party-Daten bereits gewagt und bieten schon heute verbesserte personalisierte Werbung in cookie-freien Umgebungen wie Firefox oder Safari. Dadurch hat sich nicht nur die User Experience verbessert, ohne Drittanbieter-Cookies wird auch die Einhaltung der DSGVO deutlich einfacher. Gleichzeitig steigt auch die Qualität der Datenbasis, denn First-Party-Daten und -IDs sind deutlich langlebiger und verlässlicher als Cookies es je waren. Wenn First-Party-IDs von Publishern und Advertisern das transaktionale Rückgrat der Lieferkette bilden, werden Impressionen und Datennutzung vollständig rückverfolgbar. Das erhöht die Transparenz und senkt das Risiko von Datenlecks, wodurch Probleme mit Ergebnisdiskrepanzen, Verantwortlichkeiten, versteckten Gebühren, Arbitrage und Ad Fraud minimiert werden.

Eine Zukunft mit First-Party-IDs würde demnach alles erheblich vereinfachen, für mehr Datensicherheit sorgen und Advertisern und Marken dabei helfen, das Vertrauen ihrer Kunden zu festigen, und engere und langanhaltendere Beziehungen aufzubauen. Ohne Third-Party-Cookies werden auch unnötig umfangreiche, kostspielige und rechtlich fragwürdige Cookie-Banner bald der Vergangenheit angehören.

Bis es soweit ist, hilft ein einfaches Banner mit transparenten Erklärungen und übersichtlichen Auswahlmöglichkeiten, inklusive einer Möglichkeit zur Ablehnung. Und wenn User tatsächlich nachvollziehen können, warum die Verwendung von Cookies für manche Websites noch immer entscheidend ist, sinkt sicher nicht nur ihr Unmut, es steigt auch die Bereitschaft, am Ende auf "Akzeptieren" zu klicken.

Das Cookie-Consent-Einmaleins

  • Cookie-Consent-Banner sind nötig, wenn Third-Party-, Tracking- oder Marketing-Cookies verwendet werden. Technisch notwendige Cookies bedürfen keiner Zustimmung des Users.
  • Der Infotext der Banner muss klar und verständlich über alle einwilligungsbedürftigen Vorgänge aufklären und über die Nutzung der Daten sowie die Möglichkeit des Widerrufs informieren. Positive und erläuternde Formulierungen („Damit helfen Sie uns …“) erhöhen die Einwilligungsbereitschaft der User.
  • Die Website muss auch vor der Interaktion mit dem Consent-Banner barriefrei nutzbar sein, insbesondere Impressum und Datenschutzerklärung müssen jederzeit zugänglich sein.
  • Es muss die Möglichkeiten geben, Cookies sowohl generell als auch individuell abzulehnen, ohne dass die Nutzbarkeit der Website beeinträchtigt wird.
  • Cookies dürfen erst nach der Zustimmung gesetzt werden.

Zum Autor: Alexander Weißenfels ist Geschäftsführer (Managing Director) des Adtech-Anbieters Adform in Deutschland. Er ist bereits seit 2013 Teil des Adform-Teams und verfügt über 20 Jahre Erfahrung in der Online-Werbe- und Online-Technologie-Branche.


Autor: W&V Gastautor:in

W&V ist die Plattform der Kommunikationsbranche. Zusätzlich zu unseren eigenen journalistischen Inhalten erscheinen ausgewählte Texte kluger Branchenköpfe. Eine:n davon habt ihr gerade gelesen.