Digital Tourism Blog

Spätestens seit dem Inkrafttreten der EU-DSGVO im Mai 2018 wurden Websites im EU-Raum mit einem Hinweis zur Verwendung von Marketing-Cookies, die personenbezogene Daten verarbeiten versehen. Diese Hinweistexte, meist im unteren, kaum sichtbaren Bereich einer Website, waren in der Regel mit „Ok“ oder „Akzeptieren“ anzunehmen, falls man die Seite weiter benutzen würde. Im Mai 2020 folgte das Urteil des Bundesgerichtshofs: die aktive und freiwillige Einwilligung von Cookies müsse abgefragt werden, da die Nutzung von Cookies, die personenbezogene Daten speichern, andernfalls nicht erlaubt sei. Das bedeutet: ein reiner Hinweis für den User, dass Marketing-Cookies im Einsatz seien, wäre widersprüchlich zum Urteil des Bundesgerichtshofs und das Rennen um die beste (technische) Lösung startete. Wir haben bei diversen Kunden Erfahrungen mit unterschiedlichen Cookie Consent Tools gesammelt und geben einen kurzen Überblick, worauf bei der Auswahl zu achten ist.

Was ist eigentlich ein Cookie Consent Tool?

Der Hinweis dürfte mittlerweile jedem bekannt sein: man besucht eine Seite und wird gefragt, ob und welche Cookies akzeptiert werden. Diese Abfrage erfolgt meistens von Cookie Consent Tools, die per Script oder Tag auf der Seite eingebunden werden.

Was passiert eigentlich im Hintergrund? Das Tool scannt die Website und kategorisiert in der Regel automatisch eingesetzte Cookies in beispielsweise „Notwendig“ und „Marketing“. Falls das Tool ein Cookie nicht einordnen kann, muss man dies im Backend manuell zuweisen. Ein Beispiel für ein technisch nicht-notwendiges Cookie ist der Einsatz von Google Analytics zu statistischen Auswertungen von Besucher-Verhalten auf der Website.

Auf dem Hinweis-Overlay ist die Standard-Einbindung von Cookiebot zu sehen, mit der Auswahl von zwei Optionen für die Nutzung der Website. Im Cookie Consent Tool gibt es auch die Möglichkeit, das Overlay zu konfigurieren.

Es wäre aus Sicht jedes Website-Betreibers natürlich wünschenswert, wenn jeder User alle Cookies zulassen würde und es gibt (noch) keine verbindlichen Vorgaben zur Gestaltung der Zustimmungsabfrage für die Verarbeitung von personenbezogenen Daten. Entsprechend unterschiedlich sind auch diese Overlays. Je nach Komplexität der Kategorien oder beispielsweise irreführende Einfärbung von CTAs könnte man in einigen Fällen auch von „Dark Patterns“ sprechen. Das ist eine (legale) Methode, User bewusst in die Irre zu führen, um ein bestimmtes Ziel bzw. Verhalten zu erreichen. Bei der Abfrage zur Verwendung von Cookies gibt es beispielsweise Websites, die bei der Auflistung der zu verarbeitenden Cookies eine lange Liste mit Kategorien anzeigen, die man einzeln abwählen muss, ehe man eine Auswahl trifft. Mehr zum Thema „Dark Patterns“ im Internet gibt es im Erfahrungsbericht zur Webinale 2019.

Welches Tool sollte man wählen?

Bei unseren Kunden ist standardmäßig die Abfrage nach technisch notwendige Cookies und Marketing-Cookies bzw. externe Einbindungen im Einsatz. Häufige Tools im Einsatz sind Cookiebot, CCM19, Usercentrics, Consent Management Provider oder Cookie Information. Bei der Auswahl des geeigneten Tools sollten die individuellen Anforderungen eine Rolle spielen, vor allem in Bezug auf Flexibilität und Preisrahmen gibt es jede Menge Spielraum. Beispielsweise kann man bei CCM19 mehrere Domains pro Tarif abdecken, wohingegen man bei der Nutzung von Cookiebot pro Domain zahlt. Andererseits sind beim Cookiebot die Test-Domains pro Tarif mit abgedeckt, bei CCM19 zählen die Test-Domains zum Limit des jeweiligen Tarifs. Die Erfahrung zeigt, dass kein Tool als absolute Empfehlung gilt, da der Anwendungsfall individuell ist.

Was ist vor der Auswahl wichtig zu beachten?

Folgende Fragen können bei der Entscheidung behilflich sein:

• Wie viele Domains sollen verwaltet werden? An der Stelle: Fremdsprachen und Entwicklungsumgebungen nicht vergessen!
• Soll das Tool als Tag (z.B. über Google Tag Manager) integrierbar sein?
• Gibt es einen Support / eine ausführliche Dokumentation?
• Kann man das Design des Tools auf der eigenen Website individuell anpassen?
• Welche Kategorien gibt es für gecrawlte Cookies?
• Sind die Kategorien manuell steuerbar?

Das wären aus Kundensicht einige Fragen, mit denen man sich vor der Auswahl eines geeigneten Tools auseinandersetzen könnte. Zum Thema, welche Schwerpunkte bei der Auswahl eines Consent Management Tools individuell relevant sind, helfen wir gerne weiter. Fragen Sie bei offenen Fragen Ihren Ansprechpartner bei infomax.

Was ist nach der Einbindung eines Cookie Consent Tools noch zu tun?

Zum Thema Kategorisierung der Scripte und Cookies bei Tools: Cookie Consent Tools crawlen in der Regel in einem festgelegten Zeitabstand die Domains und kategorisieren diese selbstständig in essentielle und nicht-essentielle (Marketing-) Cookies. Hier ist rein inhaltlich der Grad der Abgrenzung schmal: was bedeutet notwendig? Ist es zwingend notwendig zur Benutzung einer Seite, Fremd-Einbindungen zuzulassen? Ein Beispiel:

Bei der Nutzung einer Domain mit nur (technisch) notwendigen Cookies können beispielsweise Youtube-Videos blockiert werden, da Daten zu Youtube / Google bei Nutzung übertragen werden können. Dies führt zu einer Einschränkung der User Experience – man kann das elegant lösen, in dem man an der Stelle des Videos auf die Datenschutzbestimmungen hinweist und dem User die Möglichkeit gibt, an der Stelle doch alle Cookies zu akzeptieren. Wie ist das andererseits bei beispielsweise Formularen, die ReCaptcha im Einsatz haben? Im Gegensatz zu Youtube-Videos ist das ein technisches Hilfsmittel zur Abwehr von Spam, streng genommen zählt ReCaptcha / Google laut Cookie Consent Tools zu den „nicht notwendigen“ Cookies. Rein inhaltlich betrachtet wäre die Nutzung jedoch notwendig, da es zur vollständigen Funktionalität der Seite beiträgt – ohne ReCaptcha könnte man die Formulare nicht nutzen.

Dies und noch weitere offene Themen werden uns sicherlich noch einige Zeit lang beschäftigen. In der Zwischenzeit hoffen wir, mit dem kleinen Exkurs für mehr Klarheit gesorgt zu haben und freuen uns natürlich über eigene Erfahrungsberichte zum Thema Cookie Consent Tools.