Implementierung des Cookie-Opt-in

Drei rechtlich zulässige Varianten im Vergleich

Nicolai Goschin · August 2020 in Expertise

Aufmerksamen Leserinnen und Lesern ist sicher aufgefallen, dass wir uns bereits vor einigen Wochen in einem Fachartikel mit dem Thema Website Cookies beschäftigt haben. Aber keine Sorge, wir wärmen nicht die Suppe von letzter Woche wieder auf. Auch wenn gerade Suppe dadurch manchmal noch besser wird. Aber das ist ein anderes Thema.

In diesem Beitrag beschäftigen wir uns mit der konkreten Umsetzung des Cookie Consent, also jener Elemente, die es Website-Besuchern erlauben, Cookie-Einstellungen zu steuern. Und damit das Ganze nicht nur aus technischer Sicht und seitens User Experience Hand und Fuß hat, holen wir einen Rechtsexperten dazu. In diesem Artikel steht uns Herr Franz Wegener, Rechtsanwalt mit langjähriger Erfahrung im Internet- und Datenschutzrecht, zur Seite.

Zum grundsätzlichen Verständnis: Websites verwenden Cookies, um Nutzerdaten zu speichern bzw. Nutzer wiederzuerkennen. Dies ist unter anderem relevant für Tracking Tools wie Google Analytics, für Soziale Netzwerke wie Facebook und für Werbeplattformen.

„Der Einsatz von Cookies zur Analyse der Nutzeraktivitäten oder für Werbezwecke ist aber nur erlaubt, wenn der Nutzer zuvor ausdrücklich zugestimmt hat. Das folgt aus der Cookie-Richtlinie der EU, die schon seit 2009 besteht“, erklärt Franz Wegener.

Um diesem Umstand gerecht zu werden, gibt es zwei gängige Varianten der Umsetzung:

1. Passives Slide-in

In diesem Verfahren wird dem Nutzer beim Betreten einer Website ein kleiner Slide-in angezeigt. Dieser wird am unteren Rand des Browsers eingeblendet. Der Nutzer wird darauf hingewiesen, dass die Seite einen Cookie nutzen möchte. Der Nutzer kann zustimmen oder ablehnen. Reagiert er nicht, bleibt das Slide-in bestehen. Ein Cookie wird in diesem Fall nicht gesetzt.

In diesem Punkt unterscheidet sich die oben beschriebene Variante des Slide-ins von anderen, die heute häufig im Einsatz sind. Visuell gleichen sich die Slide-in-Varianten, jedoch ist der Text bei der alternativen Slide-in-Variante andersherum formuliert. Ein Beispiel wäre etwa: „Diese Website verwendet Cookies. Mit der Nutzung der Website stimmen Sie der Verwendung zu.“ Als Option gibt es dann nur ein „Okay“. „Dieses Verfahren ist unzulässig. Das bloße Besuchen einer Website ist keine wirksame Zustimmung“, so Wegener. „Und wenn der Nutzer den Hinweis bemerkt, werden die Cookies ja bereits verwendet.“

Auch bei der dezenten Lösung des passiven Slide-ins kommt es auf die richtige Formulierung an. Und darauf, dass der Nutzer aktiv entscheidet. Diese Lösung eignet sich besonders dann für eine Website, wenn das Tracking der Nutzer für die Auswertung von Besucherzahlen ein Nice-to-have ist. Da die Nutzer in diesem Fall nicht gezwungen werden, eine Entscheidung zu treffen, sondern auch mit eingeblendetem Slide-in weiter surfen können, wird der Cookie eher selten akzeptiert. Wenn ein Nutzer sich also nicht entscheidet, ist das aus technischer Sicht eine Entscheidung gegen Cookies.

Herr Wegener erklärt: „Ein Slider oder Banner – selbst mit korrektem Text – kann aber schnell zum Bumerang für Seitenbetreiber werden. Nämlich dann, wenn er wichtige andere Pflichtinformationen verdeckt, zum Beispiel Links zum Impressum, zu den AGB oder zur Datenschutzerklärung. Solche Fälle von ungeschicktem Layout sehen wir häufig. Das kann Grund für eine Abmahnung sein.“

2. Aktives Overlay

Eine zweite Variante, die heute vor allem größere Seiten nutzen, ist ein Overlay, das die gesamte Seite abdunkelt bzw. blockiert. Der Nutzer wird zu einer Entscheidung bezüglich der Cookies gezwungen. Er muss sich also aktiv für oder gegen Cookies entscheiden, bevor er die Seite betritt.

Franz Wegener sagt: „Das ist aus meiner Sicht der richtige Weg. Dabei ist wichtig, dass noch kein Cookie gesetzt wird, während das Overlay offen ist. In einem Overlay haben Website-Betreiber außerdem genug Platz um zu erläutern, wozu sie Cookies nutzen wollen. Denn nur eine informierte Einwilligung ist auch eine wirksame Einwilligung. Darauf hat der Europäische Gerichtshof jüngst wieder hingewiesen.“

Allerdings empfinden Nutzer diese Lösung im Vergleich häufig störender, da sie erst einen Klick tätigen müssen, um eine Seite zu betreten. Das oben vorgestellte passive Slide-in erfordert das nicht.

Wenn der Nutzer nun also in Form eines Overlays gefragt wird, wie er es mit den Keksen hält, gibt es zwei Arten der Umsetzung:

2.1 Detaillierte Abfrage

Bei dieser Art des Opt-in wird dem Nutzer eine Liste der Cookies bzw. Cookie-Typen angezeigt, die auf der Website verwendet werden. Hierbei wird zwischen notwendigen Cookies, Performance Cookies und Marketing Cookies unterschieden. Diese Begriffe sind allerdings nicht verpflichtend. Der Nutzer kann aktiv bestimmen, welche Cookies er zulassen möchte. Er kann sich also – im Sinne der Selbstbestimmung und sofern seine Sympathien derart gelagert sind – für ein Tracking durch Google Analytics, aber gegen ein Tracking durch Facebook entscheiden.

„Eine solche Differenzierung ist zwar gut gemeint, meist aber nicht gut gemacht. Dem durchschnittlichen Nutzer werden die verschiedenen Cookie-Arten nichts sagen. Und wenn die Cookie-Information nicht verständlich ist, ist im Zweifel auch die Einwilligung des Nutzers unwirksam. Für die Praxis empfehlen wir daher: keep it simple. Weniger ist mehr“, sagt Herr Wegener.

Typisch ist die Verwendung eines Slide-in am unteren Rand. Dieses blockiert den Content der Seite. Der Nutzer kann nun alle Cookies akzpetieren oder im Detail wählen. Möchte er im Detail wählen, folgt nach dem Klick ein Overlay.

2.2 All-or-Nothing

Dieses Verfahren – der Name lässt es vermuten – lässt nur zwei Entscheidungen zu: alles oder nichts. Die ganze Packung oder überhaupt keine Kekse. Eine differenzierte Entscheidung über verschiedene Cookie-Typen ist in diesem Fall nicht vorgesehen.

„Das ist in den meisten Fällen die sinnvollste Lösung“, erklärt Franz Wegener. „Denn ein Website-Betreiber muss nicht dafür sorgen, dass Nutzer Cookies einzeln wählen können. Solange transparent und nachvollziehbar dargestellt wird, welche Cookies mit einer Zustimmung verbunden sind, sind die rechtlichen Voraussetzungen erfüllt.“ Die differenzierte Einstellung von Cookies ist also etwas, das Website-Betreiber anbieten können, aber nicht müssen.

3. Forced Opt-in

Es gibt noch eine weitere Möglichkeit zur Gestaltung des Cookie-Opt-in. Diese kommt bei Websites eher selten zum Einsatz und stammt aus dem Feld der Web Applications bzw. nativen Apps. Bei dieser Variante wird der Nutzer gezwungen, den Cookies zuzustimmen, sofern er die App oder die Website verwenden will.

„Das ist grundsätzlich zulässig – aber mit Ausnahmen“, so Herr Wegener. Wenn der Nutzer eine Website nutzen muss, um vertragliche Leistungen in Anspruch zu nehmen, die er mit dem Anbieter vereinbart hat, darf der Anbieter die Nutzung nicht von der Einwilligung der Cookies abhängig machen. „Bezahlte Online-Services müssen dem Nutzer also auch immer einen Zugang ohne Cookies anbieten“, erklärt er. Ist die Website aber ausschließlich werbefinanziert, kann der Anbieter den Besuch auf der Website für diejenigen unterbinden, die keine Werbe-Cookies akzeptieren.

__

Für alle genannten Verfahren gilt, dass immer dargestellt werden muss, um welche Cookies es geht und welche Daten diese speichern. Die detaillierte Schilderung kann im Datenschutz aufgeführt und verlinkt werden. In der EU-Richtlinie wird beschrieben, wann der Nutzer eine wirksame Einwilligung geben kann: „… auf der Grundlage von klaren und umfassenden Informationen, die er u.a. über die Zwecke der Verarbeitung erhält“.

Ebenso ist es wichtig, dass der Nutzer immer die Möglichkeit hat, seine Auswahl zu ändern. „Nutzern muss die Chance eingeräumt werden, ihre Einwilligung nachträglich zu widerrufen – und zwar jederzeit“, so Wegener. Dies wird meist durch einen Link oder Button am Fuß der Seite realisiert. Ein Klick auf diesen öffnet dann wiederum das Overlay aus Variante zwei und drei oder den Slide-in aus Variante eins. Der Nutzer kann sich also neu entscheiden.

Variante eins, zwei oder drei?

Und jetzt? Welches Verfahren nimmt man denn nun? Wie so häufig: „It depends.“ Wie eingangs erwähnt, sollte das passive Side-in immer dann umgesetzt werden, wenn das Tracking nicht essenziell ist. Dann bietet es hohen Komfort für den Nutzer. Das Tracking-Ergebnis ist dann allerdings in der Regel schlechter. Auf Websites, auf denen wir dieses Verfahren einsetzen, sehen wir, dass weit über 50% der Besucher nicht erfasst werden. Die Analysedaten müssen in diesem Fall entsprechend hochgerechnet werden. Das führt zwangsläufig zu Ungenauigkeiten.

Wenn ein Website-Betreiber hingegen ein relevantes Interesse an der Datensammlung hat – zum Beispiel, weil er die Ergebnisse seiner Kampagnen messen möchte – sollte er sich für Variante zwei entscheiden. Sprich, eine aktive Einwilligung des Nutzers einholen. Das ist für diesen zwar unbequemer, erhöht aber die Chance der Einwilligung. Durch eine zielorientierte Gestaltung des Overlays stimmen deutlich mehr als die Hälfte der Nutzer zu. Der Button, der die Zustimmung regelt, wird dabei besonders hervorgehoben, sodass der Nutzer diesen intuitiv eher auswählt. Ein Griff in die Usability-Trickkiste.

Offen bleibt dann noch die Frage, ob der Nutzer eine Cookies-Auswahl treffen darf oder nicht. Natürlich sind wir es in einer Welt zwischen Mix & Match, Flexitariern und Mingeln gewohnt, viele Möglichkeiten zu haben. Maximale Entscheidungsfreiheit bedeutet maximale Freude. Aber weit gefehlt. Auswertungen zeigen, dass es im Grunde nur zwei Typen von Nutzern im Bezug auf Cookie-Opt-in gibt. Auf der einen Seite steht die „Facebook-weiß-doch-eh-schon-alles-ist-mir-doch-Wumpe“-Gruppe. Das sind jene Nutzer, die so schnell wie möglich auf „Allen Cookies zustimmen“ klicken. Sie wollen den Content konsumieren und sich nicht weiter mit Datenschutz beschäftigen. Waschmaschine gekauft, Seele verkauft – egal.

Und dann gibt es noch die zweite Gruppe, die „Die-Welt-ist-böse-keine-Macht-für-GAFA-es-geht-euch-nichts-an-welches-Sternzeichen-ich-habe“. Man ahnt es schon: Diese Nutzer werden kaum Cookies akzeptieren. Warum sollten sie auch, wenn sie nicht müssen und es ihnen keinen Vorteil bringt? Wenn wir von diesen Gruppen ausgehen, wer sind dann die Nutzer, die sich in aller Ruhe die Cookie-Einstellungen ansehen, gründlich darüber nachdenken und über jeden Cookie einzeln entscheiden – gemäß des Mottos: „Google Tracking ja sehr gerne, aber Facebook bitte nicht“? Es gibt sie, aber in freier Wildbahn haben wir noch keinen gesehen. Das zeigen auch die Zahlen.

„Moment mal“, fragen sich jetzt aufmerksame Leser, „Zahlen von Nutzern, die nicht getrackt werden wollen?“ Ja, das geht. Es ist tatsächlich möglich, mit anonymen Daten statistisch auszuwerten, wie viele Nutzer sich für welche Cookies entscheiden.

Wenn wir davon ausgehen, dass Nutzer, die im Detail entscheiden, kaum ins Gewicht fallen, können wir uns diesen Aufwand allerdings auch sparen. Wir können also den Nutzer entscheiden lassen, ob er alle Cookies möchte oder keine. Einfacher für ihn, einfacher für uns – in der Implementierung und in der Pflege. Schließlich muss die Abfrage mit jedem neuen Cookie angepasst werden.

Die Forced Opt-in-Methode trifft bei Nutzern natürlich nicht auf Begeisterung. Keine Frage. Sie sollte also nur dann angewendet werden, wenn eine Website ohne Nutzung von Tracking-Cookies den Sinn für den Betreiber verliert. Dies ist zum Beispiel bei werbefinanzierten Plattformen der Fall, beispielsweise spiegel.de oder zeit.de.

Der Trend: mehr Datenschutz

Zum Abschluss bleibt noch die Frage, was uns im Bereich Cookies in Zukunft erwartet. Franz Wegener sagt: „Die Datenschutzbehörden und die Gerichte haben die Zügel in den letzten anderthalb Jahren deutlich angezogen. Sie schauen genauer hin und treffen deutliche Entscheidungen für den Datenschutz. Das zeigt sich insbesondere an der Höhe der verhängten Geldbußen und Entschädigungen. Es wird mehr und mehr Präzedenzfälle geben. Und jeder von ihnen wird weitere Klarheit für Website-Betreiber schaffen.“

Ohne also der Spielverderber sein zu wollen: Für jeden, der eine Website betreibt, ist es wichtig, die Umsetzung des Datenschutzes regelmäßig zu prüfen. Wegener fasst zusammen: „Eigentlich ist es doch ganz einfach: Was Sie mit Cookies und Nutzerdaten vorhaben, müssen Sie eben transparent erklären. Und je besser Sie es erklären, desto eher stimmt der Nutzer zu. Und dann gibt es auch kein rechtliches Problem.“

In der Zwischenzeit hoffen wir einfach, dass wir die wenigen Nutzer, die Cookies einzeln auswählen, nicht in der Schlange unseres Lieblingscafés vor uns haben: „Ich nehme den Keks mit Schoko, oder nein, ist da Laktose drin? Dann lieber Vanille-Vollkorn. Ach doch nicht, eigentlich mache ich gerade Detox.“

Auch wir können auf Kekse nicht verzichten! Unsere Website nutzt Cookies. Die schmecken zwar nicht nach Schokolade, sorgen aber für ein gutes Nutzererlebnis. Weitere Informationen finden Sie auf unserer Datenschutz-Seite oder in unserem Impressum.

Wählen Sie Ihre Lieblings-Cookies

Unbedingt erforderliche Cookies

Immer aktiv

Diese Cookies sind zwingend erforderlich, damit unsere Website wie gewünscht funktioniert. Wir speichern zum Beispiel Ihre Cookie-Präferenzen in einem Cookie ;-) Genauso speichern, wenn Sie ein Overlay geschlossen haben. Wichtig zu wissen: Wir speichern keine personenbezogenen Daten in diesen Cookies, sondern nur Werte nach dem Muster 0 oder 1.

Leistungs-Cookies

Darf’s etwas mehr sein? Diese Cookies verwenden wir, um die Leistung unserer Website zu verbessern. Wir setzen Cookies, um zu verstehen wie sich Nutzer über unsere Website bewegen und welche Seiten sie aufrufen. Wir verwenden hierzu Google Analytics und Hotjar.

Cookies für Marketing-Zwecke

Marketing-Cookies nutzen wir, um mit anderen Plattformen zu kommunizieren. Wenn wir Werbung in Sozialen Netzwerken, z. B. bei Facebook, schalten, helfen sie uns, die richtigen Nutzer zu finden.