Cookie-Consent mit Opt-in- oder Opt-out-Verfahren?

Update zum Thema (Nov. 2019): Auf Grundlage der Entscheidung des EuGH haben sich die deutschen Datenschutzbehörden (Datenschutz ist Ländersache) in einer konzertierten Aktion zu einer Pressemeldnung zum Thema verabredet. Die Meldung aus NRW finden Sie hier bzw. auf der Webseite der Landesdatenschutzbehörde NRW.

Die Stellungnahme des Bundesdatenschutzbeauftragten, Ulrich Kelber, hier.

Kernaussage: Website-Betreiber sollten ihre Website auf Dritt-Inhalte und Tracking-Mechanismen überprüfen. Wer Funktionen nutzt, die eine Einwilligung erfordern, muss entweder die Einwilligung einholen oder die Funktion entfernen.

Cookie Consent

Einwilligen, verwalten, dokumentieren – wie umgehen mit Cookies, Facebook-Pixeln etc. nach den jüngsten EuGH-Urteilen? Opt-in- oder Opt-out-Verfahren? Das klären wir in diesem Beitrag.

Der Begriff Cookie Consent ist seit dem neuen EuGH Urteil in aller Mude. Es geht um die Cookie Einwilligung von Website-Besuchern. Denn das Urteil lautet: Ohne Einwilligung des Users dürfen keine Cookies gefeuert werden. Damit werden Consent-Tools (statt Ok-Button) sind nun endgültig Pflicht.

Rechtliche Grundlagen eines Consent Banners

Sobald eine Website geöffnet wird, die Cookies enthält, muss der Website-Betreiber seine Informationspflicht einhalten und den Nutzer über die verwendeten Cookies und Technologien aufklären und seine Einwilligung einholen. Nur so kann eine Website DSGVO-konform gestaltet werden. Bei diesen Cookies kann es sich entweder um technische oder funktionale Cookies handeln. Diese sind für den Betrieb der Website notwendig oder erleichtern die Bedienung der Homepage.

Eine weitere Kategorie sind die sogenannten Tracking- und Marketing-Cookies. Diese tracken den Nutzer intensiv, erheben personenbezogene Daten oder protokollieren Nutzungsgewohnheiten des Betroffenen, um ein Profil zu erstellen.

Um dem Nutzer das Recht auf Information zu gewährleisten und den Richtlinien der DSGVO Folge zu leisten, muss der Website-Betreiber offenlegen, welche Cookies und Technologien verwendet werden. Dies geschieht am besten in Form eines Einwilligungs-Banners. Cookie-Banner erscheinen beim Öffnen der Website und informieren den User über die Nutzung von Cookies, holen dessen Zustimmung für die Verwendung von Cookies ein oder stellen ihm Auswahlmöglichkeiten für die Verwaltung bereit.

Das bedeutet für Website-Betreiber, dass sie keine Cookies einsetzen dürfen, ohne ein ausdrückliches Einverständnis der Nutzer eingeholt zu haben. Was es zu beachten gibt und wie Sie einen rechtskonformen Cookie-Banner erstellen, erfahren Sie in diesem Artikel.

EuGH zu Facebook Like-Button und Cookies

Der Europäische Gerichtshof (EuGH) hat am 29. Juli 2019 eine Entscheidung bezüglich der Nutzung des Facebook „Gefällt mir“-Buttons getroffen; gleichzeitig hat sich der EuGH zum Einsatz von Cookies geäußert – und unterstrichen, dass das Ausspielen von Cookies die Einwilligung des User erfordert.

Dieser Beitrag soll Licht ins Dunkel der aktuell geführten Debatte bringen. Bevor wir zu den Einzelheiten kommen, hier die vier zentralen Aspekte zusammengefasst und aufs Wesentliche reduziert:

EuGH I

Die ungefragte Übertragung von User-Daten mittels Facebook-Like-Button verstößt gegen Datenschutzrecht.

EuGH II

Der Betreiber einer Website ist – zusammen mit Facebook –  verantwortlich für die Datenerverarbeitung; das gilt auch für Datenschutzverstöße bzw. den daraus resultierenden Konsequenzen.

EuGH III

Websites und Shops können von Verbraucherzentralen kostenpflichtig abgemahnt werden.

EuGH IV

Für Cookies, die zu Tracking- oder Werbezwecken gesetzt werden, ist eine echte Einwilligung der Besucher nötig; ein Cookie-Hinweis-Banner reicht nicht aus.

Das Problem mit dem Facebook-Like Button und Cookie Consent: Opt-in- oder Opt-out-Verfahren?

Facebook stellt den Betreibern von Fanpages einen Code-Snippet zur Verfügung. Dieser Code kann auf der Website eingebunden werden. Der Like-Button erscheint für den User dann direkt im Frontend bzw. an jeder beliebigen Stelle der Website. So wird dem Website-Besucher die Möglichkeit geboten, die Facebookseite direkt zu liken – ohne Umweg bzw. Weiterleitung.

Was an dieser Stelle erwähnt werden muss: Der implementierte Code sammelt bereits Daten, bevor der User auf “Like” geklickt hat.

Damit werden User-Daten nicht nur unwissentlich, sondern ggf. auch ungewünscht an Dritte weitergegeben. Es kommt hinzu, dass die Verarbeitung der Daten unabhängig davon erfolgt, ob der Besucher ein Facebook-Account hat oder nicht.

Der User hat praktisch keine Möglichkeit, der Datenweitergabe zu widersprechen respektive sie zu unterbinden.

Das Problem mit dem Cookie Banner und Cookie Consent

Oder besser gesagt: Das Problem mit der Einwilligung des Users. Einwilligungen können nämlich grundsätzlich über zwei Wege eingeholt werden: Opt-in oder Opt-out.

Beim Opt-in ist die Checkbox zunächst leer; der Website-Besucher muss seine Einwilligung aktiv durch das Anklicken eines Buttons bzw. das Setzen eines Häkchens erteilen. Beim Opt-out ist das Häkchen in der Box bereits gesetzt bzw. vorausgefüllt – und damit ist die Einwilligung bereits erteilt. Der User einer Website muss aktiv das Häkchen entfernen.

Sehr häufig verwenden die Betreiber von Webshops, eCommerce-Plattformen und Websites diese Opt-out-Verfahren. Davon ausgehend, dass die meisten User möglichst schnell das Online-Angebot nutzen wollen und den OK-Button des Cookie-Banners anklicken würden – ohne den Text gelesen zu haben oder darüber nachzudenken, was sie da gerade tatsächlich ankreuzen.

Zwischenfazit

Für das Ausspielen von Cookies ist eine Einwilligung des Users erforderlich; die bisherige Praxis, Google Analytics, Ads etc. mit dem sogenannten berechtigten Interesse (Art. 6 Abs. 1 lit. f DSGVO) zu legitimieren, ist damit vorbei – und die Zeit der „Cookie-Feigenblätter“ und impliziten Einwilligungen ebenfalls. Aber der Reihe nach bzw. zunächst ein kurzer Cookie-Überblick.

Tipps zur Gestaltung eines Consent Banners mit hoher Opt-in-Rate

Wie können Sie weiterhin Daten sammeln?

Viele Websitenbetreiber sind auf Tracking- und Marketingcookies angewiesen. Sie verwenden Dienste wie Google Analytics um Informationen über ihre Zielgruppe zu sammeln, ihre Dienste zu verbessern oder weiter mit den Daten zu arbeiten.

Die Betreiber möchten daher ein System benutzen, welches ihnen neben Rechtskonformität auch weiterhin Daten von einer Vielzahl von Nutzern garantiert. Wichtig ist daher, den Cookie-Banner so zu gestalten, dass er nicht nur alle rechtlichen Vorgaben erfüllt, sondern möglichst viele Nutzer zum Klick auf "Akzeptieren" überzeugt.

Außerdem wirken sich große und klobige Einwilligungs-Banner schlecht auf das Design der Seite aus. Ein guter Banner sollte sich also grafisch in die Seite einfügen und nicht das Seitenbild zerstören.

Kategorien der verwendeten Cookies

cookie-range

 

Generell gilt: Es besteht ein Unterschied zwischen technisch notwendigen Cookies – die ausschließlich die Website funktionieren lassen, zumeist mit dem Schließen des Browsers gelöscht werden und weiterhin nicht einwilligungsbedürftig sind – und anderen Cookies.

Für alle technisch nicht notwendigen Cookies, die personenbezogene Daten übermitteln bzw. verarbeiten, benötigen Websitebetreiber vor ihrem Einsatz eine ausdrückliche Einwilligung der Nutzer („Opt-In“). Davon betroffen sind vor allem Analyse-, Social-Media- und Werbe-Cookies.

Der Nutzer stimmt also genau genommen nicht der Cookie-Setzung, sondern der dahinterstehenden Datenverarbeitung durch die benannten Stellen zu.

Worauf sollten sich Website-Betreiber einstellen?

Einfache Cookie-Consent-Banner erfüllen nicht (mehr) die Anforderungen an eine wirksame Einwilligung. Generell ist die Verwendung jeglicher Cookies in der Datenschutzerklärung der jeweiligen Website aufzuführen.

Darüber hinaus muss für das Setzen technisch nicht notwendiger Cookies die Einwilligung der Nutzer eingeholt werden.

Diese Einwilligung ist nach Ansicht des EuGH nur wirksam, wenn der Nutzer vorab über alle Datenverarbeitungsvorgänge und sämtliche Empfänger seiner Daten ausführlich informiert wurde sowie die Möglichkeit zum Widerspruch gegen alle oder bestimmte Cookies erhält.

Damit sind viele der derzeit kursierenden Cookie-Banner, die nur einen einfachen „Okay-Button“ oder die Möglichkeit des Zuklickens enthalten, nicht ausreichend, weil der Nutzer dem Setzen solcher Cookies nicht widersprechen kann.

Die Anforderungen für die Verwaltung von Cookie-Einwilligungen wird deshalb komplexer. Die Lösung hierfür lautet: CMP (consent management platform).

Ein wirksames Consent-Management-Tool muss demnach dem Nutzer eine Einwilligungsmöglichkeit bieten und darf erst dann Daten übertragen, wenn der Nutzer eingewilligt hat.

Nachfolgend finden Sie eine 7-Punkte-Liste, die Ihnen beim Vergleich bzw. bei der Auswahl des passenden CMP-Tools helfen soll.

 

DSGVO und Cookies: 7 Punkte Checkliste


Cookie-compliance-checkliste

Die Lösung: Ein grafisch frei gestaltbarer Banner - Usercentrics

Der ideale Banner sollte also:

  • Frei gestaltbar sein und nicht an feste Vorgaben gebunden
  • Detaillierte Ergebnisse liefern, wieviel Prozent der Nutzer den Cookies zustimmen/ablehnen/zum Teil zustimmen
  • Funktionen wie A/B - Testing anbieten um die Opt-In Rate zu steigern

Das Consent-Management-System Usercentrics setzt diese Punkte folgendermaßen um:

Das Design des Usercentrics-Banners:

Grundsätzlich bietet Usercentrics zwei grundlegende Banner-Typen. Den klassischen "Banner" am oberen oder unteren Rand des Bildschirms oder ein mittiges Auswahlfeld. Beide Optionen können mithilfe der mitgelieferten Einstellungen oder Benutzerdefiniertem CSS vollständig modifiziert und den Seitenbedürfnissen angepasst werden.

Bespiele klassischer Cookie-Banner:

TIPPS ZUR GESTALTUNG EINES CONSENT BANNERS MIT HOHER OPT-IN – RATE
TIPPS ZUR GESTALTUNG EINES CONSENT BANNERS MIT HOHER OPT-IN – RATE
TIPPS ZUR GESTALTUNG EINES CONSENT BANNERS MIT HOHER OPT-IN – RATE
TIPPS ZUR GESTALTUNG EINES CONSENT BANNERS MIT HOHER OPT-IN – RATE

Beispiele zentriertes Cookie-Modal:

TIPPS ZUR GESTALTUNG EINES CONSENT BANNERS MIT HOHER OPT-IN – RATE
TIPPS ZUR GESTALTUNG EINES CONSENT BANNERS MIT HOHER OPT-IN – RATE

Bei beiden Bannervarianten liefert Usercentrics noch ein frei konfigurierbares Overlay, welches den Rest der Seite überschattet bis Einstellungen getätigt worden sind.

Beim Banner gibt es die Möglichkeit, den Seiteninhalt nach Oben/Unten zu schieben so dass der Banner über/unter der Seite steht und keine wichtigen Seiteninhalte wie zum Beispiel Menüpunkte verdeckt.

Opt-in Analyse von Usercentrics

TIPPS ZUR GESTALTUNG EINES CONSENT BANNERS MIT HOHER OPT-IN – RATE

Und zum anderen einen monatlichen "Opt-In Report" in Form einer CSV oder PDF - Datei. Dieser Report beinhaltet noch weitere nützliche Daten wie zum Beispiel Ergebnisse aus impliziten Zustimmungen.

A/B-Testing mit Usercentrics

Mit dem sogenannten "A/B-Testing" können mehrere verschiedene Einstellungen nebeneinander getestet werden. Hierzu werden zwei (oder mehr) Variationen des Banners erstellt und dann per Zufall an die Nutzer ausgespielt (50% der Nutzer bekommen Variante A, 50% der Nutzer Variante B). Nach einigen Tagen kann man durch die Analysefunktionen dann feststellen, welche Variation eine höhere Opt-In Rate generiert hat.

Ein ausführlicher Beitrag zu A/B-Tests mit Usercentrics folgt in Kürze!

Fazit und Aussicht:

Es ist davon auszugehen, dass die nationalen Gerichte und die Aufsichtbehörden der Länder sich dem EuGH-Urteil anschließen werden.

Die Entscheidung dürfte einen massiven Effekt auf die Auslegungen zur datenschutzrechtlichen Verantwortlichkeit, den Erlaubnistatbeständen und den Informationspflichten haben.

Für die Verarbeitung und Weitergabe von personenbezogenen Daten ohne Rechtsgrundlage (bzw. Einwilligung) sieht die DSGVO ein Bußgeld von maximal 4% des Jahresumsatzes vor.

Website-Betreiber, die auf Nummer sicher gehen wollen, sollten sich deshalb mit der Verwendung des Facebook-Like-Buttons sowie den auf der Seite genutzten Tracking-/ Analyse-Technolgien beschäftigen.

Die 99 Artikel der DSGVO sind an vielen Stellen – was die praktische Anwendung betrifft – eine Frage der Auslegung (z. B. Art. 6, 1f DSGVO; Wahrung der berechtigten Interessen).

Für den Betreiber einer Website bedeutete das: Der Einsatz von Cookies ist mein berechtigtes Interesse  – unabhängig von der konkreten Funktion des jeweiligen Cookies.

"Diese Website verwendet Cookies, um Ihnen die bestmögliche Funktionalität bieten zu können..." So oder so ähnlich wurde der Einsatz von Cookies dann als Service für den User umschrieben.

Diese Zeiten sind vorbei; der unterkomplexe "Ok-Button" dürfte bald der Vergangenheit angehören.

Einwilligung (Englisch consent) wird das neue Zauberwort. Und damit gilt zukünftig: consent is king.

Wir empfehlen nachdrücklich, sich diesem Trend anzuschließen. Sie benötigen Unterstützung dabei? Wir beraten Sie gerne zum Thema Cookie Banner und übernehmen alles Wichtige für Sie.

Einfach, schnell & rechtssicher Das Thema Datenschutz abhaken

Mit Cookiebox erstellen Sie in wenigen Schritten eine Datenschutzerklärung nach den aktuellsten Datenschutzstandards. Außerdem erhalten Sie eine innovative Consent- Management-Lösung, mit der Sie die Einwilligung Ihrer User zur Datenverarbeitung granular einholen, verwalten und rechtkonform dokumentieren können.

Dabei sind die technische Umsetzung und das Design zu 100% individualisierbar.