Implementierung des Cookie-Opt-in

Drei rechtlich zulässige Varianten im Vergleich

Nicolai Goschin · August 2020 in Expertise

Aufmerksamen Leser:innen ist sicher aufgefallen, dass wir uns bereits vor einigen Wochen in einem Fachartikel mit dem Thema Website Cookies beschäftigt haben. Aber keine Sorge, wir wärmen nicht die Suppe von letzter Woche wieder auf. Auch wenn gerade Suppe dadurch manchmal noch besser wird. Aber das ist ein anderes Thema.

In diesem Beitrag beschäftigen wir uns mit der konkreten Umsetzung des Cookie Consent, also jener Elemente, die es Website-Besucher:innen erlauben, Cookie-Einstellungen zu steuern. Und damit das Ganze nicht nur aus technischer Sicht und seitens User Experience Hand und Fuß hat, holen wir einen Rechtsexperten dazu. In diesem Artikel steht uns Herr Franz Wegener, Rechtsanwalt mit langjähriger Erfahrung im Internet- und Datenschutzrecht, zur Seite.

Zum grundsätzlichen Verständnis: Websites verwenden Cookies, um Nutzer:innendaten zu speichern bzw. Nutzer:innen wiederzuerkennen. Dies ist unter anderem relevant für Tracking Tools wie Google Analytics, für Soziale Netzwerke wie Facebook und für Werbeplattformen.

„Der Einsatz von Cookies zur Analyse der Nutzer:innenaktivitäten oder für Werbezwecke ist aber nur erlaubt, wenn Nutzer:innen zuvor ausdrücklich zugestimmt haben. Das folgt aus der Cookie-Richtlinie der EU, die schon seit 2009 besteht“, erklärt Franz Wegener.

Um diesem Umstand gerecht zu werden, gibt es zwei gängige Varianten der Umsetzung:

1. Passives Slide-in

In diesem Verfahren wird dem oder der Nutzer:in beim Betreten einer Website ein kleiner Slide-in angezeigt. Dieser wird am unteren Rand des Browsers eingeblendet. Der oder die Nutzer:in wird darauf hingewiesen, dass die Seite einen Cookie nutzen möchte. Nutzer:innen können zustimmen oder ablehnen. Reagieren sie nicht, bleibt das Slide-in bestehen. Ein Cookie wird in diesem Fall nicht gesetzt.

In diesem Punkt unterscheidet sich die oben beschriebene Variante des Slide-ins von anderen, die heute häufig im Einsatz sind. Visuell gleichen sich die Slide-in-Varianten, jedoch ist der Text bei der alternativen Slide-in-Variante andersherum formuliert. Ein Beispiel wäre etwa: „Diese Website verwendet Cookies. Mit der Nutzung der Website stimmen Sie der Verwendung zu.“ Als Option gibt es dann nur ein „Okay“. „Dieses Verfahren ist unzulässig. Das bloße Besuchen einer Website ist keine wirksame Zustimmung“, so Wegener. „Und wenn der oder die Nutzer:in den Hinweis bemerkt, werden die Cookies ja bereits verwendet.“

Auch bei der dezenten Lösung des passiven Slide-ins kommt es auf die richtige Formulierung an. Und darauf, dass Nutzer:innen aktiv entscheiden. Diese Lösung eignet sich besonders dann für eine Website, wenn das Tracking der Nutzer:innen für die Auswertung von Besucher:innenzahlen ein Nice-to-have ist. Da die Nutzer:innen in diesem Fall nicht gezwungen werden, eine Entscheidung zu treffen, sondern auch mit eingeblendetem Slide-in weiter surfen können, wird der Cookie eher selten akzeptiert. Wenn Nutzer:innen sich also nicht entscheiden, ist das aus technischer Sicht eine Entscheidung gegen Cookies.

Herr Wegener erklärt: „Ein Slider oder Banner – selbst mit korrektem Text – kann aber schnell zum Bumerang für Seitenbetreiber:innen werden. Nämlich dann, wenn er wichtige andere Pflichtinformationen verdeckt, zum Beispiel Links zum Impressum, zu den AGB oder zur Datenschutzerklärung. Solche Fälle von ungeschicktem Layout sehen wir häufig. Das kann Grund für eine Abmahnung sein.“

2. Aktives Overlay

Eine zweite Variante, die heute vor allem größere Seiten nutzen, ist ein Overlay, das die gesamte Seite abdunkelt bzw. blockiert. Nutzer:innen werden zu einer Entscheidung bezüglich der Cookies gezwungen. Sie müssen sich also aktiv für oder gegen Cookies entscheiden, bevor sie die Seite betreten.

Franz Wegener sagt: „Das ist aus meiner Sicht der richtige Weg. Dabei ist wichtig, dass noch kein Cookie gesetzt wird, während das Overlay offen ist. In einem Overlay haben Website-Betreiber:innen außerdem genug Platz um zu erläutern, wozu sie Cookies nutzen wollen. Denn nur eine informierte Einwilligung ist auch eine wirksame Einwilligung. Darauf hat der Europäische Gerichtshof jüngst wieder hingewiesen.“

Allerdings empfinden Nutzer:innen diese Lösung im Vergleich häufig störender, da sie erst einen Klick tätigen müssen, um eine Seite zu betreten. Das oben vorgestellte passive Slide-in erfordert das nicht.

Wenn Nutzer:innen nun also in Form eines Overlays gefragt wird, wie sie es mit den Keksen halten, gibt es zwei Arten der Umsetzung:

2.1 Detaillierte Abfrage

Bei dieser Art des Opt-in wird dem oder der Nutzer:in eine Liste der Cookies bzw. Cookie-Typen angezeigt, die auf der Website verwendet werden. Hierbei wird zwischen notwendigen Cookies, Performance Cookies und Marketing Cookies unterschieden. Diese Begriffe sind allerdings nicht verpflichtend. Nutzer:innen können aktiv bestimmen, welche Cookies sie zulassen möchten. Sie können sich also – im Sinne der Selbstbestimmung und sofern seine Sympathien derart gelagert sind – für ein Tracking durch Google Analytics, aber gegen ein Tracking durch Facebook entscheiden.

„Eine solche Differenzierung ist zwar gut gemeint, meist aber nicht gut gemacht. Dem oder der durchschnittlichen Nutzer:in werden die verschiedenen Cookie-Arten nichts sagen. Und wenn die Cookie-Information nicht verständlich ist, ist im Zweifel auch die Einwilligung des oder der Nutzer:in unwirksam. Für die Praxis empfehlen wir daher: Keep it simple. Weniger ist mehr“, sagt Herr Wegener.

Typisch ist die Verwendung eines Slide-in am unteren Rand. Dieses blockiert den Content der Seite. Nutzer:innen können nun alle Cookies akzpetieren oder im Detail wählen. Möchten sie im Detail wählen, folgt nach dem Klick ein Overlay.

2.2 All-or-Nothing

Dieses Verfahren – der Name lässt es vermuten – lässt nur zwei Entscheidungen zu: alles oder nichts. Die ganze Packung oder überhaupt keine Kekse. Eine differenzierte Entscheidung über verschiedene Cookie-Typen ist in diesem Fall nicht vorgesehen.

„Das ist in den meisten Fällen die sinnvollste Lösung“, erklärt Franz Wegener. „Denn ein:e Website-Betreiber:in muss nicht dafür sorgen, dass Nutzer:innen Cookies einzeln wählen können. Solange transparent und nachvollziehbar dargestellt wird, welche Cookies mit einer Zustimmung verbunden sind, sind die rechtlichen Voraussetzungen erfüllt.“ Die differenzierte Einstellung von Cookies ist also etwas, das Website-Betreiber:innen anbieten können, aber nicht müssen.

3. Forced Opt-in

Es gibt noch eine weitere Möglichkeit zur Gestaltung des Cookie-Opt-in. Diese kommt bei Websites eher selten zum Einsatz und stammt aus dem Feld der Web Applications bzw. nativen Apps. Bei dieser Variante werden Nutzer:innen gezwungen, den Cookies zuzustimmen, sofern sie die App oder die Website verwenden wollen.

„Das ist grundsätzlich zulässig – aber mit Ausnahmen“, so Herr Wegener. Wenn Nutzer:innen eine Website nutzen müssen, um vertragliche Leistungen in Anspruch zu nehmen, die sie mit dem oder der Anbieter:in vereinbart haben, darf der oder die Anbieter:in die Nutzung nicht von der Einwilligung der Cookies abhängig machen. „Bezahlte Online-Services müssen Nutzer:innen also auch immer einen Zugang ohne Cookies anbieten“, erklärt er. Ist die Website aber ausschließlich werbefinanziert, kann der oder die Anbieter:in den Besuch auf der Website für diejenigen unterbinden, die keine Werbe-Cookies akzeptieren.

__

Für alle genannten Verfahren gilt, dass immer dargestellt werden muss, um welche Cookies es geht und welche Daten diese speichern. Die detaillierte Schilderung kann im Datenschutz aufgeführt und verlinkt werden. In der EU-Richtlinie wird beschrieben, wann Nutzer:innen eine wirksame Einwilligung geben können: „… auf der Grundlage von klaren und umfassenden Informationen, die er u.a. über die Zwecke der Verarbeitung erhält“.

Ebenso ist es wichtig, dass Nutzer:innen immer die Möglichkeit haben, ihre Auswahl zu ändern. „Nutzer:innen muss die Chance eingeräumt werden, ihre Einwilligung nachträglich zu widerrufen – und zwar jederzeit“, so Wegener. Dies wird meist durch einen Link oder Button am Fuß der Seite realisiert. Ein Klick auf diesen öffnet dann wiederum das Overlay aus Variante zwei und drei oder den Slide-in aus Variante eins. Nutzer:innen können sich also neu entscheiden.

Variante eins, zwei oder drei?

Und jetzt? Welches Verfahren nimmt man denn nun? Wie so häufig: „It depends.“ Wie eingangs erwähnt, sollte das passive Side-in immer dann umgesetzt werden, wenn das Tracking nicht essenziell ist. Dann bietet es hohen Komfort für Nutzer:innen. Das Tracking-Ergebnis ist dann allerdings in der Regel schlechter. Auf Websites, auf denen wir dieses Verfahren einsetzen, sehen wir, dass weit über 50% der Besucher:innen nicht erfasst werden. Die Analysedaten müssen in diesem Fall entsprechend hochgerechnet werden. Das führt zwangsläufig zu Ungenauigkeiten.

Wenn Website-Betreiber:innen hingegen ein relevantes Interesse an der Datensammlung haben – zum Beispiel, weil sie die Ergebnisse ihrer Kampagnen messen möchten – sollten sie sich für Variante zwei entscheiden. Sprich, eine aktive Einwilligung der Nutzer:innen einholen. Das ist für diese zwar unbequemer, erhöht aber die Chance der Einwilligung. Durch eine zielorientierte Gestaltung des Overlays stimmen deutlich mehr als die Hälfte der Nutzer:innen zu. Der Button, der die Zustimmung regelt, wird dabei besonders hervorgehoben, sodass Nutzer:innen diesen intuitiv eher auswählen. Ein Griff in die Usability-Trickkiste.

Offen bleibt dann noch die Frage, ob Nutzer:innen eine Cookies-Auswahl treffen dürfen oder nicht. Natürlich sind wir es in einer Welt zwischen Mix & Match, Flexitarier:innenn und Mingeln gewohnt, viele Möglichkeiten zu haben. Maximale Entscheidungsfreiheit bedeutet maximale Freude. Aber weit gefehlt. Auswertungen zeigen, dass es im Grunde nur zwei Typen von Nutzer:innen im Bezug auf Cookie-Opt-in gibt. Auf der einen Seite steht die „Facebook-weiß-doch-eh-schon-alles-ist-mir-doch-Wumpe“-Gruppe. Das sind jene Nutzer:innen, die so schnell wie möglich auf „Allen Cookies zustimmen“ klicken. Sie wollen den Content konsumieren und sich nicht weiter mit Datenschutz beschäftigen. Waschmaschine gekauft, Seele verkauft – egal.

Und dann gibt es noch die zweite Gruppe, die „Die-Welt-ist-böse-keine-Macht-für-GAFA-es-geht-euch-nichts-an-welches-Sternzeichen-ich-habe“. Man ahnt es schon: Diese Nutzer:innen werden kaum Cookies akzeptieren. Warum sollten sie auch, wenn sie nicht müssen und es ihnen keinen Vorteil bringt? Wenn wir von diesen Gruppen ausgehen, wer sind dann die Nutzer:innen, die sich in aller Ruhe die Cookie-Einstellungen ansehen, gründlich darüber nachdenken und über jeden Cookie einzeln entscheiden – gemäß des Mottos: „Google Tracking ja sehr gerne, aber Facebook bitte nicht“? Es gibt sie, aber in freier Wildbahn haben wir noch keinen gesehen. Das zeigen auch die Zahlen.

„Moment mal“, fragen sich jetzt aufmerksame Leser:innen, „Zahlen von Nutzer:innen, die nicht getrackt werden wollen?“ Ja, das geht. Es ist tatsächlich möglich, mit anonymen Daten statistisch auszuwerten, wie viele Nutzer:innen sich für welche Cookies entscheiden.

Wenn wir davon ausgehen, dass Nutzer:innen, die im Detail entscheiden, kaum ins Gewicht fallen, können wir uns diesen Aufwand allerdings auch sparen. Wir können also den oder die Nutzer:in entscheiden lassen, ob er oder sie alle Cookies möchte oder keine. Einfacher für Nutzer:innen, einfacher für uns – in der Implementierung und in der Pflege. Schließlich muss die Abfrage mit jedem neuen Cookie angepasst werden.

Die Forced Opt-in-Methode trifft bei Nutzer:innen natürlich nicht auf Begeisterung. Keine Frage. Sie sollte also nur dann angewendet werden, wenn eine Website ohne Nutzung von Tracking-Cookies den Sinn für Betreiber:innen verliert. Dies ist zum Beispiel bei werbefinanzierten Plattformen der Fall, beispielsweise spiegel.de oder zeit.de.

Der Trend: mehr Datenschutz

Zum Abschluss bleibt noch die Frage, was uns im Bereich Cookies in Zukunft erwartet. Franz Wegener sagt: „Die Datenschutzbehörden und die Gerichte haben die Zügel in den letzten anderthalb Jahren deutlich angezogen. Sie schauen genauer hin und treffen deutliche Entscheidungen für den Datenschutz. Das zeigt sich insbesondere an der Höhe der verhängten Geldbußen und Entschädigungen. Es wird mehr und mehr Präzedenzfälle geben. Und jeder von ihnen wird weitere Klarheit für Website-Betreiber:innen schaffen.“

Ohne also der Spielverderber sein zu wollen: Für jede:n, der eine Website betreibt, ist es wichtig, die Umsetzung des Datenschutzes regelmäßig zu prüfen. Wegener fasst zusammen: „Eigentlich ist es doch ganz einfach: Was Sie mit Cookies und Nutzerdaten vorhaben, müssen Sie eben transparent erklären. Und je besser Sie es erklären, desto eher stimmen Nutzer:innen zu. Und dann gibt es auch kein rechtliches Problem.“

In der Zwischenzeit hoffen wir einfach, dass wir die wenigen Nutzer:innen, die Cookies einzeln auswählen, nicht in der Schlange unseres Lieblingscafés vor uns haben: „Ich nehme den Keks mit Schoko, oder nein, ist da Laktose drin? Dann lieber Vanille-Vollkorn. Ach doch nicht, eigentlich mache ich gerade Detox.“

Schön, dass Sie hier sind!

Auch wir können auf Kekse nicht verzichten! Unsere Website nutzt Cookies. Die schmecken zwar nicht nach Schokolade, sorgen aber für ein gutes Nutzererlebnis. Weitere Informationen finden Sie auf unserer Datenschutz-Seite oder in unserem Impressum.

Wählen Sie Ihre Lieblings-Cookies

Unbedingt erforderliche Cookies

Immer aktiv

Diese Cookies sind zwingend erforderlich, damit unsere Website wie gewünscht funktioniert. Wir speichern zum Beispiel Ihre Cookie-Präferenzen in einem Cookie ;-) Genauso speichern, wenn Sie ein Overlay geschlossen haben. Wichtig zu wissen: Wir speichern keine personenbezogenen Daten in diesen Cookies, sondern nur Werte nach dem Muster 0 oder 1.

Leistungs-Cookies

Darf’s etwas mehr sein? Diese Cookies verwenden wir, um die Leistung unserer Website zu verbessern. Wir setzen Cookies, um zu verstehen wie sich Nutzer über unsere Website bewegen und welche Seiten sie aufrufen. Wir verwenden hierzu Google Analytics und Hotjar.

Cookies für Marketing-Zwecke

Marketing-Cookies nutzen wir, um mit anderen Plattformen zu kommunizieren. Wenn wir Werbung in Sozialen Netzwerken, z. B. bei Facebook oder LinkedIn schalten, helfen sie uns, die richtigen Nutzer zu finden.