Cookies & Co: Konsens zum Consent? Fehlanzeige.

Wer die Performance seiner Webseite messen und auswerten möchte, muss dafür seit kurzem die Einwilligung der Nutzer explizit einholen. Eigentlich klingt das sehr vertraut, wenn wir uns an das E-Commerce-Unwort des Jahres 2018 zurückerinnern, genau: DSGVO. Mit der ePrivacy-Richtlinie wird der Fokus auf die elektronische Kommunikation gelegt – im Wesentlichen sollen sich DSGVO und ePrivacy-Richtlinie entsprechend ergänzen.

Die DSGVO fokussiert sich dabei ausschließlich auf personenbezogene Daten – egal ob on- oder offline. ePrivacy hingegen zielt ebenso auf nicht personenbezogene Daten ab, jedoch nur online (in elektronischen Kommunikationsnetzen). Nachdem die Richtlinie unter anderem Informationen in Bezug auf die Endgeräte der Endnutzer umfasst, wird auch der Name “Cookie-Richtlinie” oder “Cookie-Gesetz” verwendet. Und zwar fälschlicherweise.

Wie bereits erwähnt, soll die ePrivacy-Richtlinie die DSGVO zur Anwendung in elektronischen Kommunikationsnetzen konkretisieren. Darum gehen wir an dieser Stelle noch einmal genauer auf die Datenschutz-Grundverordnung ein und erläutern im Anschluss die Möglichkeiten einer Consent-Einholung.

Was ist die DSGVO?

Die Datenschutz-Grundverordnung ist eine von der Europäischen Union beschlossene Verordnung, die die Verarbeitung von personenbezogenen Daten reguliert. Diese gilt seit Mai 2018 und verfolgt dabei die folgenden Grundsätze:

Die 7 Prinzipien der DSGVO

Wie bereits erwähnt, handelt es sich hierbei um eine Verordnung der Europäischen Union, die von den Mitgliedstaaten nicht adaptiert oder abgeschwächt werden kann, jedoch erweitert oder präzisiert.

Consent-Management, Tracking und Opt-out

Damit die Nutzer einer Website getrackt werden dürfen, müssen sie bereits vor dem Laden der Trackingcodes aktiv einwilligen. Bis zuletzt verfolgten viele Unternehmen ein Opt-out-Prinzip – hier wird auf den Umstand der Datenerfassung lediglich hingewiesen, ohne sich dabei an aktuelle Bestimmungen zu halten.

Zusammengefasst lässt sich sagen, dass Opt-out jetzt durch Opt-in ersetzt wurde. Hier ein Beispiel eines klassischen, hinweisenden Opt-out-Banners:

Klassischer Opt-out-Banner, der aktuellen Bestimmungen nicht mehr gerecht wird

Selbstverständlich machen sich nun viele Seitenbetreiber Gedanken dazu und fragen sich, wie sie möglichst viele Nutzer zur aktiven Einwilligung hinleiten können. Verschiedene Consent-Lösungen gibt es hier zur Genüge: von self-made bis hin zu vorgefertigten Lösungen mittels Consent-Management-Plattformen.

Wichtig ist, dass aus der Verordnung nicht eindeutig hervorgeht, wie eine ausgestaltete Opt-in-Variante auszusehen hat – die DSGVO beschreibt lediglich Grundanforderungen. Eine konkrete Umsetzung dieser Anforderungen ist oft nur scheinbar erfüllt, da sogenannte “Dark UX Patterns” versuchen, Opt-in-Raten durch eine bewusste Lenkung von Benutzeraktionen zu erhöhen. Im schlimmsten Fall ist das jedoch nicht konform. Bei der Verwendung von “Dark Patterns” ist daher höchste Vorsicht geboten, weil im Zweifelsfall nicht garantiert werden kann, ob eine implementierte Lösung auch vor Gericht standhält.

Darum stellen wir hier folgende, grundsätzlich korrekte Beispiele, denen aber dennoch ein gewisses Restrisiko innewohnt:

Das erste Beispiel zeigt eindeutig, dass Nutzer zuerst zustimmen müssen, bevor ihre Daten erfasst werden dürfen. Auch die Ablehnung von Cookies bzw. Anbietern muss möglich sein. Dass hier aber getrickst wird, zeigt sich unter anderem durch die Farbwahl und ebenso anhand der Größe des “Akzeptieren”-Buttons. Genau das ist in der Richtlinie nämlich ein Graubereich, der oftmals ausgenutzt wird. Daher können wir nur empfehlen, dass das Widersprechen nicht aufwendiger ist als eine Zustimmung.

Wichtiges Detail: Beim Klick auf “Advanced Cookie Settings” muss es Usern möglich sein, einzelne nicht essenzielle Verwendungszwecke explizit auszuwählen, wie zum Beispiel Statistik, Marketing etc. oder Datenverarbeiter wie Google Remarketing oder Facebook Remarketing. Eine Vorauswahl dieser ist nicht zulässig.

Problematisch: Beeinflussung des Klickverhaltens durch Farbwahl und Größe der Buttons

Ein weiteres Beispiel stammt direkt von usercentrics, ein Unternehmen, dessen Geschäftsmodell auf der Bereitstellung einer Consent-Management-Plattform basiert. Hier wird schnell klar, wie es sich bei den Buttons hinsichtlich Größe, Farbe und in diesem Fall auch im Hinblick auf die Reihenfolge der Buttons verhält:

Problematisch: Beeinflussung des Klickverhaltens durch Farbwahl, Größe und Reihenfolge der Buttons

Die Abwägung zwischen Rechtskonformität und Erhöhen von Opt-in-Raten muss dabei im Einzelfall erfolgen. Zukünftige Urteile werden hoffentlich etwas mehr Klarheit schaffen, welche “Dark Patterns” erlaubt sind und welche nicht.

Wer noch sicherer gehen möchte, ergänzt Konsens-Banner um eine Möglichkeit, die jeweiligen Kategorien direkt am Banner auszuwählen – ohne weitere Klicks.

Diese Kategorien von Cookies können namentlich variieren, das Grundkonzept bleibt jedoch gleich. Es gibt auch Websites, die den Terminus “Personalisierung” verwenden, und andere, die den Namen “Marketing” hier bevorzugen. All diese Werte sollen vom Nutzer individuell einstellbar sein, die für das Betreiben und Anzeigen der Webseite unbedingt notwendigen Cookies können hingegen nicht deaktiviert werden – zum Beispiel jene im Zusammenhang mit Produkten, die im Warenkorb gelandet sind, damit diese während des Checkouts nicht verloren gehen.

Zum Abschluss zeigen wir ein Beispiel von cookiebot.com, das unter Prüfung aller bekannten Kriterien als korrekt einzustufen ist und den Anforderungen der DSGVO bzw. der ePrivacy-Richtlinie daher gerecht wird.

Vorbildlicher Cookie-Consent von cookiebot.com

Conclusio zum neuen Consent

Viele Webseiten-Betreiber sind sich der DSGVO bewusst und treffen auch entsprechende Maßnahmen. Allerdings gibt es, wie bereits erwähnt, keine 100-prozentige Rechtssicherheit, da im Internet immer noch eine Vielzahl an problematischen Consent-Dialogen existiert.

Wer unter allen Umständen etwaige Probleme vermeiden möchte, dem können wir an dieser Stelle nur eine vollumfänglich korrekte Implementierung empfehlen. Mit den beiden Anbietern usercentrics und OneTrust konnten wir in der Vergangenheit bereits gute Erfahrungen machen.