Ein praktischer Leitfaden zu Cookie-Banner

Ein Cookie-Banner ist keine Dekoration. Es handelt sich um eine Zustimmungsschnittstelle. Wenn die Benutzeroberfläche irreführend oder unvollständig ist oder Tracker auslöst, bevor der Besucher dies auswählt, kann dies zu Compliance-Risiken führen und gleichzeitig die Nutzung der Website beeinträchtigen.

Die erste Frage lautet nicht „Welches Banner-Plugin sollen wir installieren?“ Es lautet: „Brauchen wir eine Einwilligung für die von uns verwendeten Technologien?“

Wenn Sie normalerweise kein Cookie-Banner benötigen

Für Cookies oder ähnliche Speicherungen, die zur Bereitstellung eines vom Nutzer gewünschten Dienstes unbedingt erforderlich sind, benötigen Sie im Allgemeinen keine Einwilligung. Beispiele hierfür sind:

• Einen Benutzer angemeldet lassen
• Merken von Artikeln in einem Warenkorb
• Aufrechterhaltung von Sicherheits- oder Betrugspräventionsfunktionen
• Speichern einer Datenschutzeinstellung
• Lastausgleich oder Aufrechterhaltung einer Sitzung, die für den angeforderten Dienst erforderlich ist

Sie müssen diese Technologien noch in Ihrem Datenschutz- oder Cookie-Hinweis erläutern, sie erfordern jedoch normalerweise kein Einwilligungs-Popup.

Wenn Sie normalerweise eine Einwilligung benötigen

Eine Einwilligung ist im Allgemeinen erforderlich, wenn Sie Cookies, Pixel, lokale Speicherung, SDKs oder ähnliche Technologien für folgende Zwecke verwenden:

• Verhaltensbezogene Werbung
• Retargeting
• Cross-Site-Tracking
• Social-Media-Pixel
• Analysen von Drittanbietern
• Heatmaps oder Sitzungsaufzeichnungen
• Personalisierung, die nicht unbedingt notwendig ist
• A/B-Tests, die an identifizierbare oder dauerhafte Profile gebunden sind

Im ICO des UK wird erläutert, dass Organisationen klare Informationen bereitstellen und die Einwilligung für Cookies einholen müssen, die gemäß PECR nicht unbedingt erforderlich sind (ICO-Cookie-Leitfaden). EU-Länder wenden die ePrivacy-Regeln durch nationales Recht an, wobei GDPR-Standards bestimmen, ob die Einwilligung gültig ist.

Analytics ist eine Grauzone, kein Freibrief

Analytics-Cookies werden oft zu leichtfertig behandelt. Einige Regulierungsbehörden erlauben enge Ausnahmen für die Zuschauermessung, jedoch nur unter strengen Bedingungen.

Beispielsweise erklärt die CNIL, dass Zielgruppenmessungs-Tracker nur dann von der Einwilligung ausgenommen sein können, wenn sie sich auf die Messung der Zielgruppe für den Herausgeber beschränken, zur Erstellung anonymer Statistiken verwendet werden, nicht mit anderen Verarbeitungen kombiniert werden und innerhalb bestimmter Grenzen konfiguriert werden (CNIL-Analyseblatt).

Das beschreibt nicht viele Standard-Analyse-Setups. Wenn ein Analysetool dauerhafte Identifikatoren festlegt, Daten mit einem Werbe-Ökosystem teilt, Benutzer über Websites hinweg verfolgt oder personenbezogene Daten für eigene Zwecke an Dritte überträgt, sollten Sie nicht davon ausgehen, dass es für eine Ausnahme in Frage kommt.

Cookielose, datenschutzorientierte Analysen können die Notwendigkeit eines Banners reduzieren oder ganz überflüssig machen, wenn die Speicherung von Kennungen auf dem Gerät vermieden wird und keine personenbezogenen Daten zur Nachverfolgung verarbeitet werden. Aber die Konfiguration ist wichtig. „Cookieless“ ist kein magisches rechtliches Etikett, wenn das Tool Fingerabdrücke von Benutzern erfasst oder übermäßig viele Daten sammelt.

Was ein konformes Banner leisten sollte

Der Bericht der EDPB Cookie Banner Taskforce kritisierte gängige dunkle Muster wie vorab angekreuzte Kästchen, fehlende Ablehnungsoptionen und Designs, die eine Ablehnung schwieriger machen als die Annahme (EDPB-Bericht PDF).

Ein gutes Banner sollte:

• Blockieren Sie nicht unbedingt erforderliche Tracker, bis die Einwilligung erteilt wird.
• Präsentieren Sie die Optionen „Akzeptieren“ und „Ablehnen“ gleichermaßen deutlich, wenn Sie um Einwilligung bitten.
• Vermeiden Sie vorab angekreuzte Kästchen.
• Ermöglichen Sie Benutzern, zielgerichtete, detaillierte Entscheidungen zu treffen.
• Verwenden Sie eine klare Sprache, keinen rechtlichen Nebel.
• Machen Sie den Widerruf so einfach wie die Einwilligung.
• Erfassen Sie den Zustimmungsstatus, ohne unnötige Nachverfolgung zu erstellen.
• Vermeiden Sie es, sich durch Farbe, Größe oder Platzierung der Schaltflächen zu verändern.

Die Einwilligung muss eine echte Entscheidung sein. Wenn der Pfad „Ablehnen“ hinter drei Bildschirmen verborgen ist, während „Alle akzeptieren“ hell und unmittelbar erscheint, bewirkt das Design das Gegenteil von „Privacy by Design“.

Ein besserer Workflow als Banner-First-Compliance

Führen Sie vor dem Hinzufügen eines Banners ein Tracking-Audit durch:

1. Listen Sie alle Skripte, Pixel, SDK, Tag-Manager-Regeln, Cookies, lokalen Speicherschlüssel und Iframes auf.
2. Notieren Sie den Anbieter, den Zweck, die erfassten Daten, die Aufbewahrung, die Region und ob sie vor der Einwilligung ausgelöst werden.
3. Klassifizieren Sie jedes Element als unbedingt erforderlich: Analyse, Werbung, Personalisierung oder Support.
4. Entfernen Sie Tools ohne Besitzer oder ohne klaren Geschäftszweck.
5. Ersetzen Sie invasive Werkzeuge dort, wo eine Gesamtmessung ausreicht.
6. Konfigurieren Sie das Einwilligungsbanner nur für den Rest.

Dabei stellt sich oft heraus, dass das einfachste Banner dasjenige ist, das Sie nicht mehr benötigen. Viele Websites entdecken alte Pixel, ungenutzte Heatmap-Tools, doppelte Analyse-Tags und aufgegebene A/B-Testskripte.

Häufige Fehler

Das Auslösen von Tags vor der Einwilligung ist das größte Problem. Ein Banner, das nach dem Laden bereits geladener Tracker erscheint, ist nicht aussagekräftig.

Weitere Fehler sind:

• Behandlung von „berechtigtem Interesse“ als Workaround für Werbe-Cookies
• Bündelung von Analysen und Anzeigen in einer Alles-oder-Nichts-Lösung
• Es ist unmöglich, das Banner abzulehnen, ohne es zu akzeptieren
• Verwendung vager Bezeichnungen wie „Verbessern Sie Ihr Erlebnis“ für die Anzeigenverfolgung
• Vergessen Sie mobile Layouts, bei denen die Ablehnungsschaltflächen möglicherweise außerhalb des Bildschirms gedrückt werden
• Nichtbeachtung von Global Privacy Control oder gegebenenfalls regionalen Opt-out-Signalen

Banner-QA-Checkliste

Testen Sie die Website vor jeder Auswahl, nach der Annahme, nach der Ablehnung und nach dem Rückzug. Untersuchen Sie Netzwerkaufrufe, Cookies, lokalen und Sitzungsspeicher, Pixel, Tag-Manager-Trigger und serverseitige Ereignisse. Wenn optionale Analysen oder Werbung vor einer gültigen Auswahl ausgelöst werden, ist das Banner kosmetisch. Wenn Analysen als ausgenommen gelten, dokumentieren Sie den begrenzten Zweck, kein Cross-Site-Tracking, keine Wiederverwendung von Werbung, kurze Aufbewahrung und klare Benutzerinformationen.

Das Fazit

Bei der Einhaltung von Cookie-Bannern geht es nicht um die Installation eines Pop-ups. Es geht darum, zu entscheiden, welches Tracking notwendig ist, um eine gültige Einwilligung zu bitten, wenn dies nicht der Fall ist, und die Antwort zu respektieren.

Das beste Ergebnis in Bezug auf Datenschutz und Benutzerfreundlichkeit besteht darin, das Tracking zu minimieren, bevor Sie das Banner entwerfen. Wenn aggregierte, cookielose Analysen die geschäftliche Frage beantworten, können Sie häufig Reibungsverluste bei der Einwilligung reduzieren, die Datenqualität verbessern und Besucher nicht mehr auffordern, ein Tracking-System zu genehmigen, das sie nie wollten.