Marketeers, SEOs und Wissensbegierige aufgepasst: Sie wollen die Opt-in-Rate Ihres Consent Managements verbessern, wissen aber nicht, wie Sie das am besten bewerkstelligen?

Hier sind Sie an der richtigen Adresse, um die Möglichkeiten einer expliziten Einwilligung besser zu verstehen – und sie dann auf Ihrer eigenen Website umzusetzen.

Das Ausspielen von Cookies (und anderen Webservices) bedarf der Zustimmung des Website-Besuchers. So weit, so bekannt. Doch wer die Zustimmungsraten nach der Integration einer CMP-Lösung (consent management platform) ausgewertet hat, weiß: Die Einwilligung des Users ist kein Selbstläufer.

Im nachfolgenden Text und liefern wir Ihnen Fakten, Tipps und Beispiele zum Cookie Consent.

Online Marketing und Cookies – Was benötigen Unternehmen?

Datenschutz und das jeweilige Businessmodell zu vereinen erscheint für viele Unternehmen auf den ersten Blick schwer. Denn wer Werbung schaltet, Daten sammelt und verarbeit, begibt sich in ein datenschutzrechtliches Minenfeld.

Dies bedeutet letztendlich jedoch nur eins: Es muss ein Ausgleich zwischen den Anforderungen der datenschutzrechtlichen Compliance und der Notwendigkeit, in möglichst großem Umfang Daten zu erheben und weiterzuverarbeiten, gefunden werden.

In der Praxis läuft das wie folgt:

  • Wer sich beim Setzen von Cookies auf die Einwilligung als Rechtsgrundlage stützt, benötigt die aktive Zustimmung des Users
  • Dabei sind stillschweigende und voreingestellte Einwilligungen nach Planet49 unwirksam
  • Dies gilt für Cookies mit personenbezogenen Daten, als auch für anonymisierte Inhalte

Also: Wie kann man die Einwilligung möglichst geschickt und trotzdem rechtskonform einholen?

Allgemeine Anforderungen an die Einwilligung

Wann wird überhaupt eine ausdrückliche Einwilligung benötigt?

Denn grundsätzlich können Einwilligungen konkludent – also durch schlüssiges Verhalten - eingeholt werden; darunter fallen beispielsweise die Inbetriebnahme eines Geräts oder die Nutzung von Onlineangeboten.

Wenn Sie jedoch E-Mail-Marketing betreiben oder sensible Daten erheben sowie verarbeiten, müssen Sie eine ausdrückliche Einwilligung einholen.

In manchen Fällen kann auch ein Nutzungsvertrag der Datenverarbeitung als Rechtsgrundlage dienen. Doch hier ist Vorsicht geboten: bei sensiblen Daten ist dies nicht ausreichend.
Es kann jedoch einen Spielraum geschaffen werden, die Einwilligung erst in dem Moment einzuholen, indem Sie als Webseitenbetreiber tatsächlich sensible Daten verarbeiten.

Um immer auf der sicheren Seite zu sein - Unser Rat: holen Sie die Einwilligungen auch bei der Setzung nicht erforderlicher Cookies ein.

Was gehört alles in mein Consent Banner?

Hier können Sie sich wie zu Schulzeiten an folgenden 5 „W-Fragen“ orientieren

  • Wer willigt ein
  • Wem gegenüber wird eingewilligt
  • (in Bezug auf) welche Daten
  • (in Bezug auf) welche Verwendungszwecke
  • (Hinweis auf Möglichkeit des) Widerrufs

Dabei entspringen alle Punkte dem Grundsatz der Transparenz und der daraus folgenden Informationspflicht.

Warum ist eine konkrete Einwilligung so wichtig?

Das Fehlen einer Einwilligung zählt nach allen Urteilen und Verordnungen als Datenschutzverstoß.
Wenn nicht alle Voraussetzungen für das Einholen einer Einwilligung erfüllt sind, kann diese auch nicht als Rechtsgrundlage verwendet werden.

Folge: wenn eine Datenverarbeitung nicht auf eine Rechtsgrundlage gestützt werden kann, liegt ein Datenschutzverstoß vor. Darüber hinaus wurde der Bußgeldrahmen durch die DSGVO erheblich erweitert.

Spezialfall Cookies

Nach der EuGH Entscheidung zum Cookie Consent in Planet49 sind Einwilligungen im Sinne der maßgeblichen Richtlinien der EU nicht mehr erfüllt, wenn das Consent Banner voreingestellte Ankreuzfelder beinhaltet, welche der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.

Auch müssen nun Angaben zur Funktionsdauer der Cookies gemacht werden, und die Information gestellt werden, ob Dritte Zugriff auf die Cookies haben.

Nicht jedes Cookie benötigt eine Einwilligung

(Technisch) erforderliche Cookies sind laut Art. 5 Abs. 3 der ePrivacy-Verordnung von der Einwilligungspflicht ausgeschlossen.
Für Unternehmen interessant:

Nach herrschender Meinung benötigen folgende Cookies keine Einwilligung:

  • Warenkorb Cookies
  • Login Cookies
  • Sprachauswahl Cookies und ähnliche Cookies

Dies scheint eng gefasst. Ist jedoch nicht abschließend definiert.
Fragen dazu? An uns!

Wie hole ich die Einwilligung zum Cookie nun ein?

Nach der ganzen Theorie kommen wir nun zum interessanten Teil:

Nochmal zur Erinnerung: Klipp und Klar unzulässig sind nach Planet49

  • Voreingestellte Ankreuzfelder
  • Formulierungen wie „wenn Sie auf dieser Webseite weitersurfen, erklären Sie sich mit der Setzung von Cookies einverstanden“

Darüber hinaus raten wir ab:

  • die Nutzung der Webseite davon abhängig zu machen, dass der User Cookies zulässt. (Stichwort: Kopplungsverbot)
  • Die Cookies zu setzen, bevor eine wirksame Einwilligung erklärt wurde.

Unsere 9 Tipps und Tricks zur Einholung der Einwilligung

Nun der spaßige Teil: Sag „ja“ zum Cookie.

Dabei gilt die Maxime: dem User die Einwilligung nahelegen.

Wenn Sie jetzt denken, dass nach den Urteilen und Verordnungen nichts mehr möglich ist, liegen Sie falsch. Denn wer suchet, der findet. Wir zeigen Ihnen den Spielraum, den Sie unter den verschärften Anforderungen bezüglich der Einwilligung noch bleibt.

Doch auch hier müssen Grenzen gewahrt werden; sobald die Gestaltung als sog. dark pattern zu qualifizieren ist; der User also in rechtlich relevanter Weise manipuliert wird, hört der Spaß auf.
Wo diese Grenze genau liegt, muss durch sorgfältige Bewertung und Abwägung im Einzelfall geklärt werden

1) Den Content vorläufig unzugänglich machen

Sie können den User am Zugriff auf den Content hindern, bis er sich für eine der gebotenen Alternativen entschieden hat.
Dafür eignet sich beispielsweise das ausgrauen der angezeigten Fläche. Damit dies nicht unter das Kopplungsverbot fällt, müssen Sie den Content auch nach Ablehnung der Cookies sichtbar machen.

Die Grenze dabei: Sie dürfen den Zugriff nicht davon abhängig machen, dass der User für „ja“ optiert.

Die Auswirkungen dieses Modells sind kontrovers: bei manchen Nutzern führt dies zu einer schnelleren Bereitschaft zur Einwilligung. Warum? Der Webseitenbesucher hat Angst, den Content sonst gar nicht zu sehen.

Andere reagieren genervt und verlassen daraufhin die Webseite.

Beispiel: Die Webseite Mirror arbeitet mit dieser Variante. Sie lassen wenige Sekunden freien Blick auf deren Webseite und schieben dann ein graues Feld über den Content.

Ausgrauen der angezeigten Fläche

Eine gute Lösung liefert Cookiebox. Das Cookie-Consent-Banner verbindet mehrere Strategien miteinander;

das Banner legt sich dezent über den gesamten Bildschirm, der "Akzeptieren"Button ist auffällig, jedoch sind auch die Ablehn- Funktion und die Einstellungen mit einem Klick erreichbar. Darüber hinaus informiert das Banner den Nutzer, warum Cookies verwendet werden.

Consent Lösung von Cookiebox

2) Ausdrücklichkeit der Einwilligung

Der vorformulierte Einwilligungstext muss eindeutig sein. Schreiben Sie explizit, zu welchen Dingen der Nutzer seine Einwilligung abgibt.

Ein Button „alles klar“ könnte je nach Zustimmungszusammenhang auch bedeuten, dass der User die Kenntnisnahme bestätigt und bietet pauschal keine Rechtsgrundlage für die Verwendung von Cookies.

Ein Beispiel: Bei der Plattform Pinterest findet sich ein kleines Banner am oberen Bildschirmrand. Bei diesem wird nur darauf hingewiesen, dass Cookies verwendet werden. Der "Alles klar!" Button kann hier insofern gewertet werden, dass der Nutzer Kenntnis von der Cookie-Nutzung erhalten hat. Jedoch ist dies noch keine ausdrückliche Zustimmung. Beim Klick auf das Banner erscheint auch nur eine weitere, detailliertere Auflistung. Bei dieser fehlt jedoch erneut ein expliziter Zustimmungs- oder Ablehnungsbutton.

Consent Banner Pinterest

3) Das „Nein“ vermeiden

Weit verbreitet: oft steht neben dem expliziten „Ja“ für die Zustimmung zu den verwendeten Cookies auch die Option "Mehr Infos". Damit wird der "Nein" Button nicht auf den ersten Blick angezeigt. Die Nutzung von Cookies abzulehnen ist somit erst durch weitere Klicks möglich. Dadurch wird oft schneller eine Zustimmung gegeben.

Beachten Sie jedoch auch hier: erst wenn der Nutzer explizit der Verwendung von Cookies zugestimmt hat, dürfen Sie die nicht erforderlichen Cookies setzen.

Auch oft zu finden: „ja“ und „Später entscheiden“. Wenn der Besucher sich hier für die zweite Möglichkeit entscheidet, müssen Sie als Webseitenbetreiber solange erneut nachfragen, ob die Cookies gesetzt werden dürfen, bis er zustimmt. Davor sind nur erforderliche Cookies zugelassen.

Diese Methode des "ja" und "Mehr Infos" hat sich der FC Bayern zunutze gemacht. Mit Klick auf "Mehr Infos" kann der Nutzer die jeweiligen Cookies in Kategorien sehen und diese manuell abwählen.

Consent_banner10

Vorsicht: Das "Nein" vermeiden bedeutet nicht, dass Sie dem Nutzer die Möglichkeit entziehen dürfen, der Verwendung von Cookies zu widersprechen. Der "Ablehn"-Button sollte einfach zugänglich sein oder jedenfalls mit 2 Klicks erreichbar sein.

Beispiel: Das folgende Banner von datenschutzberatung24 wirkt manipulativ und drängt den Nutzer regelrecht dazu, der Verwendung von Cookies zuzustimmen.

Vermeiden Sie solche Cookie-Lösungen; oft hat sich die Konkurrenz an die angezogenen Datenschutzrichtlinien angepasst. Wenn Ihr Cookie Banner negativ auffällt, kann dies auf Ihr Unternehmen zurückfallen.

Consent Banner von datenschutzberatung24

4) Optische Gestaltung von Banner und Pop-up

Denn wie allseits bekannt: das Auge isst mit.

Welche Möglichkeiten bieten sich bei der optischen Gestaltung des Consent Banners?

Grundsätzlich ist der Kreativität keine Grenze gesetzt: Dabei können Sie das Design auch individuell an das Design Ihrer Webseite anpassen. Setzen Sie den "Ja" Button farblich ab oder layouten Sie den "Ja" Button wesentlich größer als die anderen Optionen. Wenn Sie hier Farben wählen, die auch dem Design Ihrer Webseite entsprechen, wird das Banner als weniger störend empfunden und eine Einwilligung möglicherweise schneller erteilt.

Achtung: Übertreiben Sie es auch hier nicht. Sonst könnte Ihr Design als Manipulation gewertet werden.

Unser Beispiel: iab.europe hat sich unter anderem auch an dieser Methode bedient. Der "Ich akzeptiere" Button ist farblich abgesetzt und passt zu dem Design der restlichen Webseite. Die "Nein, Danke" Variante verschwindet hingegen fast im restlichen Design des Banners.

Consent Banner IAB

5) In der Formulierung Stellung beziehen

Eine weitere Möglichkeit den Nutzer zur Einwilligung zu bewegen: Bringen Sie eine persönliche Komponente ein und nehmen sie es mit Humor.

Ein Text auf dem "nein"-Button: „no, I want to waste my time“  kann User animieren, in ihrem Sinne zu entscheiden.

Dabei ist die Grenze zur Manipulation auch hier im Einzelfall zu entscheiden.

6) Das Banner übersichtlich halten

Bauen Sie nicht alle erforderlichen Angaben auf den ersten Blick in den Bannertext. Dieser wirkt sonst schnell überladen. Nutzen Sie stattdessen userfreundliche Klappmenüs und verpacken Sie die Inhalte in gut verdauliche Häppchen.

Eine andere Option: verlinken Sie auf die Datenschutzerklärung. Denn in dieser müssen alle Angaben enthalten sein.

Nehmen Sie den Webseitenbesucher an die Hand und führen Sie ihn zur Abgabe der Einwilligung: gutes Design, kurze Wege und das wichtigste direkt im Sichtfeld.

Manche Webseitenbetreiber bauen den "Ablehn"-Button in den Text ein. So fällt dieser jedoch wenig auf. Ob dies zulässig ist oder nicht, ist fraglich. Einerseits wurde die Auflage erfüllt, dem Nutzer die Ablehung der Cookies zu ermöglichen. Andererseits kann dies vielen Nutzern nicht auffallen, wodurch der Eindruck entsteht, dass die Zustimmung der einzig mögliche Weg ist. Falls Sie sich also für diese Variante entscheiden sollten, müssen Sie die Ablehn Funktion ausreichend kennzeichnen. Wenn Sie Fragen dazu haben - melden Sie sich gerne für eine individuelle Einschätzung.

Denn wie knapp es sein darf/kann, ist auch hier abhängig vom Einzelfall.

Ablehn-Funktion im Text integriert

7) Textwüsten vermeiden

Auch im Klappmenü sollten Sie Ordnung bewahren. Fassen Sie third-Parties in Kategorien zusammen. So werden die Webseitenbesucher z.B. im Affiliate Marketing nicht von endlosen Listen erschlagen.

Wie genau die rechtliche Lage zur Bildung von Kategorien ist, ist von Land zu Land unterschiedlich. Haben Sie diesbezüglich Fragen - melden Sie sich gerne bei uns!

Unser Beispiel: Medipak Systems. In aufgeklappter- und Original-Version. hier sind alle Cookies in Kategorien gesammelt und tabellarisch gelistet. So kann ein besserer Überblick geschaffen werden.

consent banner
Aufgeklapptes Cookie Banner durch Klick auf "Details anzeigen"

8) Eine "schlanke" Entscheidung begünstigen

Wer wenig Zeit hat, klickt lieber auf „Ja“ als auf einen weiterführenden Link. Jedoch müssen Sie es dem User möglich machen, sich zu informieren.

Beachten Sie dabei den Grundsatz der Transparenz und dass das Auffinden der Informationen und insbesondere der Cookie-Einstellungen nicht zu schwierig sein darf.

Haben Sie dies beispielsweise in Unterseiten ausgelagert, dürfen nur wenige Klicks notwendig sein. Wie viele entscheidet auch hier eine Abwägung im Einzelfall. Wir empfehlen: nicht mehr als 2 Klicks.

Unser Beispiel: heise online. Bei dieser Banner-Lösung werden nur die Varianten "Akzeptieren" und "Konfigurieren" angezeigt. Der Nutzer wird durch die farbliche Hinterlegung auf den "Akzeptieren"Button hingewiesen. Falls er sich trotzdem für den "Konfigurieren"Button entschiedet, gibt es dort keinen expliziten "Ablehn"-Button. Der Nutzer hat lediglich die Möglichkeit, die Cookie Cluster zu aktivieren oder zu deaktivieren. Die farbliche Gestaltung dieser Funktion ist darüber hinaus nicht eindeutig und kann den Nutzer verwirren. Vermeiden Sie eine solche Lösung, wenn Sie auf der sicheren Seite sein wollen und nicht in Verdacht geraten zu wollen, den Nutzer zu manipulieren.

heise cookie consent banner
heise cookie consent banner unter "Konfigurieren"

9) Dschungelcamp für User sollte vermieden werden

Nicht mehr grenzwertig dürfte das Verfahren von Huffpost sein.

Denn hier muss sich der Nutzer auf eine schier endlose Reise begeben, um die Verwendung von Cookies abzulehnen. Allein um zu den Einstellungen zu gelangen, muss der nutzer ca. 10 Klicks tätigen … und landet wieder dort, wo er angefangen hat.

Da lässt sich nur noch eins sagen; Nicht gut.

ConsentHuffpost
Huffpost Cookie Consent nach 3 Klicks
Consent huffpost

Technische Umsetzung

Damit Sie bei der Erstellung Ihres Banners nicht in nervenaufreibende Bastel-Aktionen verfallen, haben wir Ihnen hier einen Überblick über die besten technischen Lösungen für die Betreibung und Erstellung des Cookie Banners bereitgestellt:

Die meisten großen Consent Management Systeme haben mittlerweile ein oder mehrere Plugins, mit denen Sie das Thema Cookie-Consent bedienen. Ob WordPress, plattformunabhängige Anbieter oder individuelle Lösungen - die Erstellung ist kein Hexenwerk.

Fazit

Finden Sie heraus, welche Zielgruppe Ihr Unternehmen oder Ihre Webseite anspricht. Basierend auf dieser Information können Sie Ihr Banner anpassen, um Ihre Einwilligungs-Rate zu verbessern. Nutzen Sie A/B Tests zur Anpassung Ihres Banners oder machen Sie eine Umfrage. Wählen Sie eine visuelle Gestaltung, bei der der Webseitenbesucher stets an die Einwilligung erinnert wird und bei der das Banner nicht beim Scrollen oder weiteren Interaktionen verschwindet.

Haben Sie die erforderlichen Informationen gesammelt, ist es kinderleicht ein passendes Banner zu bauen.

Benötigen Sie Hilfe bei der Erstellung eines DSGVO-konformen Cookie Banners aber haben noch keinen Datenschutzbeauftragten? Dann rufen Sie uns an oder schauen Sie bei Ihrem Datenschutzbeauftragten Cortina Consult vorbei!

Externer Datenschutzbeauftragter - Jörg Ter Beek

Rufen Sie uns gerne an!

Haben Sie Fragen zum Datenschutz oder möchten mehr über unseren Datenschutz Quick Check erfahren?

Rufen Sie uns gerne an!

Wen werden Sie erreichen?

Jörg ter Beek; (TÜV) zertifizierter Datenschutzbeauftragter und ISMS-Auditor.