Und täglich grüßt der Cookie-Banner

Kein Thema polarisiert in den letzten Monaten so sehr wie der Datenschutz in Verbindung mit Onlinemarketing, welches wiederum ein umfängliches Nutzertracking bedingt.

Nach dem Inkrafttreten der Datenschutzverordnung im Mai 2018, dem Abschließen von gefühlten zehntausend AV-Verträgen und dem gleichermaßen Implementieren von Hunderten Cookie-Bannern in die verschiedensten Webprojekte, dachten wir, dass nun wieder Ruhe einkehrt.

Doch der Europäische Gerichtshof (EuGH) beantwortete im Verfahren gegen das Onlineportal „Planet49“ (Urteil vom 1. Oktober 2019, Az. C-673/17) einige Fragen des Bundesgerichtshofs (BGH) zu den seit Jahren hoch umstrittenen Cookies. Folgend die wichtigsten Antworten sinngemäß zusammengefasst:

  • Erfolgt eine Verarbeitung personenbezogener Daten, muss eine aktive Zustimmung per Opt-In erfolgen.
  • Eine Lösung per Opt-Out (Nutzer muss aktiv abwählen) bzw. ein voreingestelltes Belegen von Checkboxen ist nicht zulässig. Ausgenommen davon sind technisch, notwendige Cookies.

Das hört sich im ersten Schritt nicht sehr komplex an und betrifft augenscheinlich nur das Tracking. Beim genaueren Hinschauen schlägt es jedoch weite Kreise. Denn wann findet eine Verarbeitung von personenbezogenen Daten statt? Die eigenen oder auch Drittanbieter-Cookies fallen einem dabei sofort ein.

Eine Verarbeitung bzw. Weiterleitung des persönlichen „Fingerabdrucks“ erfolgt jedoch mit jedem Laden externer Ressourcen. Bindet man also nur eine Grafik von einem fremden Anbieter per externen Pfad ein, so wird diese bei Aufruf durch den Browser des Nutzers geladen und erhält seitens des Anbieters eine persönliche Identifizierung per IP. Da man nun nicht sicherstellen kann, dass der Anbieter/ Betreiber die übermittelten Informationen nicht weiterverarbeitet (analysiert), muss für jede externe Ressource eine explizite Einwilligung durch den Nutzer eingeholt werden. Folgend ein paar Beispiele:

  • YouTube oder andere Videoplattformen
  • Google Maps
  • Siegel / Zertifikate ( z.B. TrustedShop, eKomi, … )
  • Externe iFrames und Widgets (z.B. Wetter, Anzeigen, Feeds)

Und was heißt das jetzt für den Kunden?

Die bisherige Cookie-Lösung mittels einfacher Informationen und OK-Button ist so nicht zulässig.

Wir als Agentur mussten also die Keksdose wiederholt aufmachen und das Thema erneut betrachten.

Unser Ziel war es, eine schnelle, einfache und transparente Lösung für unsere Kunden zu finden. Und wir waren natürlich nicht die Ersten, welche sich diesem Thema umfänglich widmeten. Einige Agenturen hatten bereits Tools entwickelt, mit welchen es möglich ist per Konfigurator einen Datenschutzhinweis mit Opt-In-Buttons zusammenzuklicken, zum Beispiel:

  • CookieFirst
  • Borlabs Cookie
  • Cookiebot

Auf den ersten Blick war alles recht vielversprechend, 1-2-3 – fertig. Mit einer kurzen Registrierung und ein paar Klicks wurde ein Codeschnipsel generiert und nach Einbindung in den Sourcecode sollte alles laufen. Zunächst sah auch alles gut aus. Die Cookies der Seite wurden gecrawlt, Texte automatisch erzeugt und beim Öffnen der Seite wurde bei jeder Lösung auch ein mehr oder weniger übersichtlicher Banner dargestellt. Das war ja einfach ;).

Doch beim genaueren Hinschauen waren die Cookielösungen nicht vollständig integriert. Wenn man Tracking-Pixel außerhalb des Standards (z.B. Google Analytics) deaktiviert bzw. erst gar nicht aktiviert hat, wurde trotzdem im Hintergrund weiterhin getrackt und personenbezogene Daten abgegriffen. Wir haben uns daraufhin auch ein paar benannte Referenzen der Cookielösungen angeschaut. Dabei stellten wir mit erschrecken fest, dass kaum eine Webseite, ein Portal oder Onlineshop eine umfassend saubere Implementierung hinbekommen hatte.

Absicht oder Unwissenheit? Rechtlich würde man es sicherlich unter Täuschung oder Vorsatz einordnen, wenn einem Besucher vorgegaukelt wird, dass er das Tracking nicht aktiviert hat, dieses im Hintergrund jedoch trotzdem läuft. Dann doch lieber den alten Cookiehinweis belassen, als vorsätzlich zu täuschen (wenn auch unbewusst).

Den o.g. Tools selbst ist rein technisch kaum ein Vorwurf zu machen. Jedes Tracking ist individuell, kein Javascript gleicht dem Anderen. Es ist ohne tiefgreifende Kenntnisse und manuelle Eingriffe durch Entwickler kaum möglich, ein Tracking und Laden von externen Quellen zu unterbinden, bei welchem der Website-Besucher zusätzlich die Möglichkeit hat, mit seiner Entscheidung aktiv Einfluss zu nehmen.

So wird das leider nichts!

So der Tenor zu den fertigen Tools. Wir haben deshalb unsere eigene Lösung geschaffen. Grafisch gleicht sie den bestehenden Tools, rein technisch ist sie an unsere Agentur, Frameworks und Workflows angepasst. Eine umfängliche Implementierung sieht bei uns meist wie folgt aus:

  • Öffnet sich die Internetpräsenz wird am Rand oder zentral (je nach Kundenwunsch) ein Cookie-Hinweis eingeblendet. Der Button „Alle akzeptieren“ ist deutlich hervorgehoben, in der Hoffnung, dass Kunden diese Schaltfläche anklicken und sämtliche Tools aktiviert werden können wie bisher.
  • Drückt der Nutzer auf „Nein, anpassen“ muss er die gewünschten Features explizit über eine sich öffnende Lightbox anhaken. In der Praxis wird kaum jemand Tool für Tool aktivieren, also haben wir auch hier wieder prominent den Button „Alle akzeptieren“ eingebaut.
  • Deaktiviert ein Kunde nun alle Tools (außer explizite, technische Cookies) dürfen auch keine externen Medien wie z.B. Google Maps, geladen werden. Hat ein Kunde beim ersten Betreten der Seite alle Tools deaktiviert, so öffnet sich beim Klick auf eine Seite mit z.B. einem YouTube Video wieder die Lightbox, worüber der Nutzer explizit zustimmen kann.
  • Die Zustimmung muss jederzeit widerrufbar sein. Deshalb platzieren wir zusätzlich auf der Datenschutz-Seite einen Link zum Öffnen der Lightbox, sodass jederzeit Änderungen vorgenommen werden können.

Wo weichen wir aktuell von den Hinweisen des EuGH ab?

  1. Wir führen nicht sämtliche Cookies mit Namen und Laufzeit auf.
    Wir haben keine Kontrolle über die Drittanbieter-Cookies. Diese werden in Verbindung mit den entsprechenden Tools (Tracking, externe Medien, z.B. YouTube oder Maps) gesetzt. Die Benennung und Laufzeit kann sich stetig ändern, ohne dass der Webseitenbetreiber etwas merkt. Eine wirklich verbindliche Angabe zum Zeitpunkt des Setzens kann eigentlich nur der Browser selbst liefern. Wir führen deshalb nur die eigentlich eingesetzten Tools / Pixel auf und verweisen auf die in Verbindung stehenden Cookies.
  2. Dokumentationspflicht
    In verschiedenen Foren wird eine notwendige Dokumentation in Verbindung mit dem oben aufgeführten Urteil heiß diskutiert. Das macht in unseren Augen jedoch keinen Sinn. Wie soll eine nachweisliche Dokumentation aussehen, wenn der Nutzen keiner Datenverarbeitung bzw. keinem Tracking zustimmt?

Was für Auswirkungen hat die Einführung einer solchen Lösung?

Man muss sich im Klaren sein, dass kein verbindliches Tracking mehr möglich ist. Gerade im Bereich Onlinemarketing sind die Auswirkungen erheblich. Keine Adwordsagentur kann eigentlich noch verbindliche Aussagen für den Erfolg von Anzeigen machen.  Die Statistiken geben kein wahres Bild des tatsächlichen Traffics und Nutzerverhaltens wieder. Denn keiner kann wirklich sagen, ob ein Ausschlag nach oben oder unten mit einer vermehrten Zustimmung oder Ablehnung des Cookie-Banners zu tun hat oder vielleicht wirklich mehr Nutzer auf meiner Seite auf Grund einer guten Anzeige und SEO-Rankings kamen.

Folgend ein Auszug unserer Statistik nach Einführung der Cookielösung auf unserer eigenen Seite.

 

Auch für die Nutzung externer Tools ist die Gesetzgebung in einer solchen Form nicht optimal. Wir selbst nutzen für unsere Kunden im Bereich eCommerce gern externe Tools von Spezialdienstleistern (z.B. Suchen / Doofinder, Empfehlungsmarketing / Nosto). Nicht weil Shopsysteme keine eigene Lösung an Board hätten, sondern weil über Dienstleister mit einem speziellen Fokus bessere Ergebnisse erzielt werden. Geht man aber auch hier streng nach Vorschrift, dürften diese Tools erst aktiv geschalten werden wenn der Nutzer explizit zugestimmt hat. Hier sind in Zukunft auf jeden Fall die Dienstleister mit innovativen Lösungen gefragt, um eine gute Usability aufrecht zu erhalten.

Auch bei der Definition von technisch, notwendigen Cookies muss der Gesetzgeber klarere Regeln definieren. Ist ein Cookie im Onlineshop für „Wunschliste“ oder „Zuletzt gesehene Artikel“ essentiell oder nicht? Bei all diesen offenen Fragen hoffen wir natürlich, dass in naher Zukunft klare Regeln für Alle definiert werden. Bei den Entscheidungsträgern sollte dabei zumindest ein Rechner auf dem Tisch stehen und die Praxis sowie Machbarkeit nicht gänzlich ignoriert werden.

Das war ein kleiner Exkurs in das Thema Cookies und wie wir aktuell mit dieser „Problematik“ umgehen. Wenn Sie Fragen haben oder Hilfe bei der Umsetzung der Richtlinien benötigen, wenden Sie sich gern an unser Team.

Kommentar hinzufügen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert