Ein praktischer Leitfaden zu DSGVO-Cookie-Banner

Dieser Leitfaden erklärt DSGVO-Cookie-Banner praxisnah und mit Fokus auf datenschutzfreundliche Analytics-Entscheidungen.

Ein GDPR-Cookie-Banner ist nicht erforderlich, da eine Website Besucher aus Europa hat. Dies ist erforderlich, wenn Ihre Website nicht wesentliche Informationen auf dem Gerät eines Benutzers speichert oder darauf zugreift oder wenn für die entsprechende Verarbeitung personenbezogener Daten eine Einwilligung erforderlich ist. Analyse-Cookies, Werbepixel, Tracking-Skripte, Heatmaps und A/B-Testtools fallen häufig in diese Kategorie.

Die praktische Regel ist einfach: Bitten Sie nicht um Einwilligung, es sei denn, Sie benötigen sie, und wenn Sie sie benötigen, treffen Sie Ihre Entscheidung.

GDPR, ePrivacy und warum Banner existieren

Cookie-Banner stehen an der Schnittstelle zweier Rechtsordnungen. GDPR regelt die Verarbeitung personenbezogener Daten. Die ePrivacy-Regeln, die durch nationale Gesetze umgesetzt werden, regeln die Speicherung oder den Zugriff auf Informationen auf dem Gerät eines Benutzers. Der Bericht der EDPB-Cookie-Banner-Taskforce erklärt diese Aufteilung: Die Platzierung und das Lesen von Cookies werden unter ePrivacy bewertet, während die spätere Verarbeitung unter GDPR (EDPB-Cookie-Banner-Taskforce) bewertet werden kann.

Das bedeutet, dass ein Cookie bereits eine Einwilligung erfordern kann, bevor es zu der Frage kommt, ob es sich bei den resultierenden Daten um personenbezogene Daten handelt. Dies bedeutet auch, dass eine Implementierung ohne Cookies dennoch eine GDPR-Analyse erfordern kann, wenn personenbezogene Daten auf andere Weise erfasst werden.

Was eine gültige Einwilligung erfordert

GDPR Die Einwilligung muss freiwillig, spezifisch, informiert und eindeutig erfolgen. In den Einwilligungsrichtlinien des EDPB wird betont, dass die Einwilligung ungültig ist, wenn die Person keine echte Wahl hat oder durch ihre Ablehnung Nachteile erleidet (EDPB-Einwilligungsrichtlinien).

Ein konformes Banner sollte im Allgemeinen:

• Nicht unbedingt erforderliche Cookies standardmäßig ablehnen, bis die Einwilligung erteilt wird.
• Bieten Sie eine Ablehnungsoption genauso einfach an wie eine Annahmeoption.
• Vermeiden Sie vorab angekreuzte Kästchen.
• Erklären Sie die Zwecke in einfacher Sprache.
• Separate Analyse-, Werbe-, Personalisierungs- und Funktionszwecke.
• Ermöglichen Sie den Widerruf genauso einfach wie die Einwilligung.
• Einwilligungsentscheidungen aufzeichnen, ohne unnötige Daten zu sammeln.

Das Planet49-Urteil des EuGH stellte klar, dass vorab angekreuzte Einwilligungskästchen für Cookies keine gültige Einwilligung darstellen (EuGH Planet49).

Häufige Bannerprobleme

Viele Banner scheitern, weil sie darauf ausgelegt sind, die Akzeptanz zu maximieren und nicht die Auswahl zu respektieren. Achten Sie auf:

• „Alle akzeptieren“ auf der ersten Ebene, aber „Ablehnen“ in den Einstellungen ausgeblendet.
• Verwirrende Tastenfarben oder Beschriftungen.
• Bündelung von Analytics mit Werbung.
• Auslösen von Tags, bevor der Benutzer eine Auswahl trifft.
• Keine einfache Möglichkeit, die Einwilligung zu widerrufen.
• Unverständliche Lieferantenlisten.
• Zustimmungsbarrieren, die den Zugang zu Diensten ohne gültige Alternative blockieren.

Ein irreführendes Banner kann schlimmer sein als gar kein Banner, da es den Beweis liefert, dass die Website wusste, dass die Einwilligung wichtig ist, diese aber schlecht umgesetzt hat.

Wenn Sie möglicherweise kein Banner benötigen

Für unbedingt notwendige Cookies wie Sitzungsauthentifizierung, Warenkorbstatus, Sicherheit, Lastausgleich oder vom Benutzer angeforderte Präferenzen benötigen Sie möglicherweise kein Cookie-Banner. Die Analyse hängt vom Zweck und den örtlichen Gesetzen ab.

Bei der Analyse hängt die Antwort von der Implementierung ab. Einige EU-Behörden haben unter strengen Auflagen enge Ausnahmen für die Zuschauermessung zugelassen, nicht jedoch für Werbeanalysen oder umfassendes Tracking durch Dritte. Wenn Sie ein Cookie-freies Analysetool verwenden, das Gerätespeicher vermeidet, keine Profile erstellt, personenbezogene Daten minimiert und nur aggregierte Website-Messungen liefert, ist die Banneranalyse viel einfacher. Dokumentieren Sie dennoch die Entscheidung.

Die Alternative ohne Cookies

Die Cookie-lose Analyse ändert die Gleichung, da sie ohne Analyse-Cookies oder Cross-Site-Identifikatoren messen kann. Bei einer Einrichtung, bei der der Datenschutz an erster Stelle steht, werden in der Regel Seitenaufrufe, Referrer, Kampagnen, Geräteklasse, ungefähre Geografie und Zielereignisse erfasst, während dauerhafte IDs-, Fingerabdruck- und Werbeprofile vermieden werden.

Das bedeutet nicht „keine Datenschutzerklärung“. Den Nutzern soll weiterhin mitgeteilt werden, welche Daten erhoben werden und warum. Aber ein klarer Hinweis unterscheidet sich stark von einem Einwilligungsbanner voller Ad-Tech-Drittanbieter.

Checkliste für die Umsetzung

Überprüfen Sie jedes Skript auf der Website:

1. Listen Sie Cookies, lokalen Speicher, Sitzungsspeicher, Pixel und Tags auf.
2. Klassifizieren Sie jeden Zweck: notwendig, Analyse, Werbung, Personalisierung, funktional.
3. Entfernen Sie nicht verwendete Tags, bevor Sie Einwilligungsflüsse entwerfen.
4. Blockieren Sie nicht wesentliche Skripte bis zur Einwilligung.
5. Testen Sie mit einem neuen Browserprofil, um sicherzustellen, dass keine vorzeitigen Cookies gesetzt werden.
6. Machen Sie Ablehnen und Akzeptieren gleichermaßen einfach.
7. Protokollieren Sie die Zustimmung, ohne zu viel zu sammeln.
8. Erneutes Audit nach Marketingänderungen.

Fragen Sie sich speziell für Analysen, ob dieselbe Entscheidung mit weniger Daten gestützt werden kann. Wenn Sie nur aggregierten Datenverkehr und Konvertierungen benötigen, kann ein Cookie-freies Analysetool den betrieblichen Aufwand des Consent Gating reduzieren, wenn es nicht unbedingt erforderliche Speicherung oder Zugriffe vermeidet und die lokale Gesetzgebung dies zulässt.

Ein gutes Cookie-Banner ist ein Ersatz, kein Zeichen für Compliance. Das beste Datenschutzerlebnis ist oft das, bei dem die Website die Besucher nicht unterbrechen muss, weil sie sich von vornherein dafür entschieden hat, kein invasives Tracking durchzuführen.

Checkliste für Einwilligungstests

Testen Sie das Banner als Benutzer, nicht nur als Administrator. Öffnen Sie einen sauberen Browser, laden Sie die Seite, lehnen Sie optionale Cookies ab, navigieren Sie zu zwei oder drei Seiten und senden Sie eine nicht sensible Testkonvertierung. Optionale Analyse- und Werbe-Tags sollten blockiert bleiben. Anschließend widerrufen Sie die Einwilligung, nachdem Sie sie akzeptiert haben, und bestätigen, dass zukünftige Seitenladevorgänge die Änderung berücksichtigen.

Testen Sie auch regionales Verhalten. Eine Website kann in EU, UK, Kalifornien und dem Rest der Welt unterschiedliche Banner anzeigen. Das ist in Ordnung, wenn es beabsichtigt ist, aber das Tag-Verhalten muss mit der angezeigten Auswahl übereinstimmen. Halten Sie für jede größere Einwilligungsfreigabe aktuelle Screenshots und Netzwerkprotokolle bereit. Sie helfen zu beweisen, dass das Banner mit echten Kontrollen und nicht nur mit rechtlichem Text in Verbindung steht.

Checkliste zur Bannerreduzierung

Um die Abhängigkeit von Bannern zu verringern, entfernen Sie zunächst nicht verwendete Tags von Drittanbietern und stellen Sie dann sicher, dass die Basisanalyse keinen unnötigen Browserspeicher festlegt oder liest, persistente IDs erstellt, Besucher per Fingerabdruck erfasst, Werbesysteme einspeist oder sensible URLs sammelt. Dokumentieren Sie die Analyse des örtlichen Rechts, anstatt sich auf das Wort „ohne Cookies“ zu verlassen.

Wenn ein Banner weiterhin erforderlich ist, testen Sie es wie bei der Produktion: Keine optionalen Tags vor der Auswahl, Ablehnung so einfach wie Akzeptieren, Entfernung funktioniert und die Netzwerk-/Speicherbeweise stimmen mit dem Text überein, den Benutzer sehen.