Cookie Opt-In: Drei rechtlich zulässige Varianten im Vergleich

Wer Cookies, Retargeting und Tracking-Pixel auf seiner Webseite verwendet, muss seine Nutzer beim Erstbesuch der Webseite darauf hinweisen. Deshalb beschäftigen wir uns im aktuellen BINAERIX Expertenblog mit allen Themen rund um das Cookie Opt-In und seinen rechtlich zulässigen Implementierungsmöglichkeiten.

Cookie Opt-In und die DSGVO

„DSGVO“ dürfte mittlerweile jeder einmal gehört haben. Mindestens. Denn mit der DSGVO kamen so einige Änderungen auf Website-Betreiber zu. Früher hat es ausgereicht, beim Öffnen einer Webseite durch ein kleines Pop-up-Fenster über die Nutzung von Cookies zu informieren. Mehr Informationen wurden dem Nutzer auch nicht bereitgestellt.

Nach den neuen Datenschutzbestimmungen und Richtlinien muss der Website-Besucher der Verwendung von Tracking-Technologien jedoch explizit zustimmen. Nur so können Cookies DSGVO-konform verwendet werden! Dies gilt vor allem, wenn durch Tracking personenbezogene Daten gesammelt und zu Nutzerprofilen gespeichert werden. 

Cookie Opt-In | Drei rechtlich zulässige Varianten im Vergleich

Die ersten Cookie Opt-Ins

Cookie-Banner sind erstmals im Jahre 2011 auf Webseiten erschienen. In diesem Jahr ist die EU-Datenschutzrichtlinie für elektronische Kommunikation in Kraft getreten. Und mit ihr kamen die ersten Cookie-Banner, quasi die Vorreiter der Cookie Opt-Ins.

Wo früher jedoch ein einfaches Pop-up-Fenster reichte, sind die Anforderungen an diese Banner mittlerweile höher. Cookie-Banner müssen detaillierter und umfangreicher sein, eine Aufzählung der einzelnen Cookies enthalten und dem Benutzer muss zugleich die Möglichkeit gegeben werden, Cookies abzuwählen. So findet man oft verschiedene Pakete auf Webseiten: von „nur das nötigste“ bis „bitte alles“. 

Nach den neusten Datenschutzbestimmungen muss der Website-Besucher der Verwendung dieser Technologien explizit zustimmen, damit Cookies überhaupt DSGVO-konform verwendet werden können. 

Wann brauche ich einen Cookie Banner auf meiner Webseite?

Vorab sei gesagt: Es müssen ausschließlich nicht technisch notwendigen Cookies zugestimmt werden. Benötigst du Cookies aus technischen Gründen, ist eine Zustimmung nicht erforderlich. Jedoch kannst du wohl kaum argumentieren, dass du Google Analytics brauchst um deine Website technisch nutzbar zu machen!

Webseitenbetreiber sollten beim ersten Öffnen der Webseite immer eine Einwilligung des Nutzers zur Cookie-Nutzung einholen. Dabei sollte so detailliert wie möglich aufgelistet werden, um welche Daten es sich handelt, wozu diese genutzt werden oder auch an wen diese Daten weitergegeben werden. 

Hierbei handelt es sich also keineswegs um einen Banner, den nur Unternehmen brauchen! Auch Vereine, Blogger oder Privatpersonen brauchen einen Cookie-Banner oder ein sogenanntes Cookie Opt-In, wenn Daten durch Marketing-, Third Party- oder Tracking-Cookies erhoben werden und diese verarbeitet und ausgewertet werden. Sobald also Dienste wie Google Analytics in Anspruch genommen werden, ist man zum Cookie-Banner verpflichtet. 

Cookie Opt-In: Drei rechtlich zulässige Varianten 

1. Forced Opt-In

Zugegebenermaßen kommt das Forced Opt-In bei der Gestaltung des Cookie Opt-Ins relativ selten zum Einsatz. Diese Variante stammt ursprünglich aus dem Feld der Web Applications und zwingt den Nutzer, den Cookies zuzustimmen sofern er die App oder die Webseite verwenden möchte. 

Grundsätzlich ist hier nichts entgegenzusetzen. Jedoch gibt es – wie bei jeder Regel – ausnahmen: Ist ein Nutzer auf die Webseite angewiesen, um vertragliche Leistungen in Anspruch zu nehmen, darf der Anbieter die Nutzung nicht von der Einwilligung der Cookies abhängig machen. 

Bei einer für Nutzer kostenfreien Webseite, die sich hauptsächlich durch Werbeeinnahmen finanziert, kann der Anbieter den Besuch der Webseite für Personen unterbinden, die keine Werbe-Cookies zugelassen haben. Diese Möglichkeit entfällt, sobald der Nutzer Geld an den Anbieter zahlt (bspw. durch ein monatliches Abonnement). 

2. Aktives Overlay

Die zweite Variante der hier vorgestellten Cookie Opt-In Möglichkeiten ist das aktive Overlay. Hierbei wird die gesamte Seite abgedunkelt bzw. blockiert wodurch der Nutzer zu einer Entscheidung bzgl. der Cookies gezwungen wird. Er muss sich aktiv für oder gegen Cookies entscheiden bevor er die Seite benutzen darf. Diese Taktik wird vor allem von größeren Seiten genutzt. 

Hierbei muss jedoch unbedingt beachtet werden, dass kein Cookie gesetzt werden darf, während das Overlay noch offen ist. Zudem bietet diese Option genügend Platz um zu erläutern, wofür die Cookies schlussendlich genutzt werden sollen. 

Die Information, wozu Cookies genutzt werden, ist zwingend notwendig. Laut dem EuGH ist nur eine informierte Einwilligung auch eine wirksame Einwilligung. Das weitere nutzen der Seite durch einfaches Scrollen ist demnach keine Einwilligung. Jedoch möglich ist, dass eine Cookie Zustimmung bei der Registrierung erfolgt und dann allgemein gültig für den eingeloggten Bereich gilt.

Zwei Arten der Umsetzung des Cookie Opt-Ins „Aktives Overlay“ – Detaillierte Abfrage

Bei der Variante des aktiven Overlays gibt es grundsätzlich zwei Arten der Umsetzung. Die erste ist die sogenannte detaillierte Abfrage. Hier werden dem Nutzer die verschiedenen Cookie-Typen in einer Liste angezeigt. Somit kann ich jeder Nutzer direkt über die verschiedenen Cookies informieren. Oft wird zwischen notwendigen CookiesPerformance Cookies und Marketing Cookies unterschieden. Wichtig ist, dass diese Unterteilung nicht verpflichtend ist und auch die gängigen Bezeichnungen jeder selbst wählen darf. Bei der detaillierten Abfrage kann der Nutzer nun also aktiv bestimmen, welche Cookies er zulassen möchte.

Grundsätzliches Problem: Dem durchschnittlichen Nutzer werden die verschiedenen Cookie-Arten nichts sagen. Wie oben bereits erwähnt gilt jedoch die Pflicht der Information. Wenn die Cookie-Information nicht verständlich ist, ist im Zweifel auch die Einwilligung unwirksam. Deshalb empfehlen wir, es einfach und möglichst verständlich für jeden zu halten. Weniger Fachbegriffe reichen hier oft schon. 

Zwei Arten der Umsetzung des Cookie Opt-Ins „Aktives Overlay“ – Alles oder nichts

Die zweite Variante des aktiven Overlays lässt nur zwei Entscheidungen zu: alles oder nichts. Hier kann der Nutzer also nicht differenziert entscheiden, ob er Marketing Cookies zulässt, sich aber vielleicht gegen Performance Cookies entscheidet. 

Oft ist diese Version auch die sinnvollste Lösung, denn hier muss der Nutzer nicht einzeln wählen. Wichtig ist jedoch, dass transparent und nachvollziehbar dargestellt wird, welche Cookies mit der Zustimmung verbunden sind. Ansonsten sind die rechtlichen Voraussetzungen nicht erfüllt. 

3. Passives Slide-In

Im letzten hier vorgestellten Verfahren wird dem Nutzer beim Betreten der Webseite ein Slide-In angezeigt. Dieser wird gewöhnlich am unteren Rand des Browsers eingeblendet und informiert den Nutzer über die Cookie-Nutzung der besuchten Internetseite. Hier kann der Nutzer zustimmen oder ablehnen. Reagiert er jedoch gar nicht, bleibt das Slide-In bestehen. Ein Cookie wird in diesem Fall nicht gesetzt. 

Oftmals sieht man diese beschriebene Variante auch vice versa, also umgekehrt. Sobald ein Nutzer eine Webseite aufruft kommt eine Meldung „Diese Webseite verwendet Cookies. Mit der Nutzung der Webseite stimmen Sie der Verwendung zu.“ Dieses Verfahren ist jedoch unzulässig, denn – wie wir bereits beschrieben haben – muss der Nutzer den Cookies aktiv und unter Verständnis der Cookie Nutzung zustimmen. Zudem darf kein Cookie gesetzt werden bevor der Nutzer explizit zugestimmt hat. 

Wenn ein Nutzer sich gar nicht entscheidet, muss mit einer Ablehnung der Cookies gerechnet werden. Hierbei ist der Seitenbetreiber jedoch in der Macht, die Webseite für Personen die Cookies nicht akzeptieren unzugänglich zu machen. Ob das jedoch wirklich die richtige Wahl ist, bleibt jedem selbst überlassen. 

Extra Tipp: Bitte darauf achten, dass ein Cookie-Banner keine Pflichtinformationen – Beispielsweise Links zum Impressum, zu den AGB oder zur Datenschutzerklärung – verdeckt. Solche Fälle von ungeschicktem Layout sind leider häufig, jedoch rechtlich nicht zulässig. 

Cookie Opt-In | Alles wichtige auf einen Blick

Welche Variante des Cookie Opt-In ist denn nun die beste? 

Welches Verfahren man nun jedoch für die eigene Internetseite nutzt, ist abhängig von eigenen Präferenzen. Das passive Slide-In sollte unserer Meinung nach immer dann umgesetzt werden, wenn das Tracking nicht essenziell ist. Das heißt, wenn beispielsweise analytische Daten wie Webseitenbesucher nur „nice to have“ aber nicht zwingend notwendig sind. In diesem Fall bietet es tatsächlich einen hohen Komfort für die Nutzer. Im Gegensatz dazu werden die Cookies jedoch weniger häufig akzeptiert. 

Analysen zeigen, dass ca. 50% der Besucher die Cookies nicht akzeptieren. Für jemanden, der Tracking Cookies nur einsetzt um seine als Hobby betriebene Seite zu analysieren mag dies nicht schlimm sein. Wer seine Webseite jedoch geschäftlich nutzt, hat hier einen erheblichen Nachteil und wenig Spielraum zur Analyse, denn Hochrechnungen führen zwangsläufig zu Verzerrungen und Ungenauigkeiten. 

Variante zwei ist unserer Meinung nach vor allem für Betreiber geeignet, die ein relevantes Interesse an der Datensammlung haben. Beispielsweise könnte dies gegeben sein, wenn die Ergebnisse einer Kampagne gemessen werden sollen. Eine aktive Einwilligung des Nutzers einzuholen mag für diesen zwar etwas unbequemer sein, erhöht aber auf der anderen Seite die Chance der Einwilligung. 

Tipp: Hier kann man den Button für die Zustimmung besonders hervorheben. Dies ist rechtlich erlaubt. 

Die erste Variante, das Forced Opt-In, sollte nur dann genutzt werden, wenn eine Webseite ohne Nutzung von Tracking Cookies absolut keinen Sinn für den Betreiber macht. Die Variante trifft natürlich auf wenig Begeisterung bei den Nutzern.