Zum Inhalt springen
Jetzt starten

Cookie-Consent

… Benchmarks und alles, was du über rechtskonforme Einwilligungen wissen musst. 

Cookie-Consent beschäftigt Unternehmen, Gerichte und Datenschützer seit Jahren immer wieder aufs Neue. Vor allem im Online-Marketing wirft es permanent Fragen auf: Wie ist die Cookie-Zustimmung einzuholen? Wann kann ich auf Consent-Banner verzichten? Was ist trotz Ablehnung erlaubt? Wie hoch ist die durchschnittliche Consent-Rate? Gibt es konkrete Cookie-Consent Benchmarks, an denen ich mich orientieren kann? Hier erhältst du Antworten auf diese und weitere Fragen sowie belastbare Ergebnisse der Cookie-Consent-Studie von etracker.

Unter Cookie-Consent versteht man die Zustimmung bzw. Einwilligung, um beim Besuch von Webseiten Informationen auf den Geräten der Nutzer zu speichern und/oder abzurufen. Der Einfachheit halber werden diverse Technologien, die einen Zugriff auf das Endgerät ermöglichen unter „Cookies“ aufgeführt wie zum Beispiel der Session oder Local Storage. Auch die anschließende Verarbeitung und insbesondere die Weitergabe personenbezogener Daten kann ebenfalls eine vorherige Einwilligung erforderlich machen. Üblicherweise holen Website-Betreiber die Einwilligung zu nicht erforderlichen Cookies und bestimmten Datennutzungen über ein so genanntes Cookie-Consent-Banner ein, das auf dem Bildschirm erscheint, wenn der Nutzer eine neue Website besucht. Ziel der Cookie-Zustimmung ist es, den Zugriff auf die Geräte und die Verarbeitung der Daten zu legitimieren.

Gut zu wissen

Wo ist das Thema Cookie-Consent gesetzlich verankert?

Grundlage für den Cookie-Consent bilden neben der EU-Datenschutzgrundverordnung (DSGVO) das zum 1. Dezember 2021 in Kraft getretene Telekommunikation-Telemedien- Datenschutz-Gesetz (TTDSG). Das TTDSG setzt die Vorgaben der EU-ePrivacy-Richtlinie von 2009 (auch Cookie-Richtlinie genannt) in deutsches Recht um. Das Einwilligungserfordernis ist in § 25 TTDSG geregelt:
 
„Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.“
Von der Einwilligungspflicht ausgenommen sind nur technisch unbedingt erforderliche Cookies und ähnliche Technologien, die auf die Endeinrichtungen zugreifen.

Gemäß DSGVO ist die Verarbeitung personenbezogener Daten auf Websites und Apps nur nach vorheriger Einwilligung möglich, wenn diese nicht unbedingt notwendig ist oder durch das überwiegende berechtigte Interesse gerechtfertigt werden kann.

Wenn man sich mit dem Thema Cookie-Consent auseinandersetzt, kommt man nicht umhin, sich auch mit datenschutzrechtlichen Grundbegriffen zu beschäftigen: Wann handelt es sich um eine Datenverarbeitung? Was fällt alles unter personenbezogene Daten? Was heißt Erforderlichkeit? Wann überwiegt das berechtigte Interesse? Diese Fragen werden im Datenschutz-1×1 für Marketer einfach, verständlich beantwortet.

Da nicht alle Nutzer gewillt sind, ihre Zustimmung zu geben, müssen sich Marketer zum einen mit der Consent Rate auseinandersetzen und zum anderen mit den Auswirkungen auf die Datenqualität durch Verringerung und Verzerrung der Datenbasis (Consent Bias). Dies zumindest belegt die neueste Cookie-Consent-Benchmark-Studie von etracker.

Die Cookie-Consent-Studie von etracker analysiert, wie sich Cookie-Consent-Banner auf die Quantität und Qualität von Web-Analytics-Daten auswirkt und ob durch Cookie-Consent überhaupt noch eine signifikante Datenbasis für fundierte Entscheidungen geschaffen werden kann. Basis der Cookie-Consent-Studie ist eine repräsentative Website-Stichprobe.

Gut zu wissen

Ergebnisse der Cookie-Consent-Benchmark-Studie von etracker im Überblick

  • Nur 18 % der Websites haben ein rechtskonformes Cookie-Consent-Banner.
  • Die Einwilligungsrate bei rechtskonformer Consent-Gestaltung liegt im Durchschnitt nur bei 17 %.
  • Die Cookie-ConsentRate schwankt abhängig von der Traffic-Quelle sehr stark – durchschnittlich um 28 Prozent-Punkte.
  • Websites mit erschwerter Ablehnung haben im Durchschnitt eine um 8 Prozent-Punkte höhere Bounce Rate. Das kostet Conversions, Umsatz und Nutzer-Zufriedenheit.
Update 2023

Updates 2023

  • Im Juni und November 2023 wurde jeweils ein Update der Studie durchgeführt, um aktuelle Veränderungen aufzuzeigen. Demnach ist die durchschnittliche Consent-Rate innerhalb von rund einem Jahr von 46 % auf 34 % gesunken.

Laut Cookie-Consent-Benchmark-Studie gibt es signifikante Abweichungen in der Banner-Konzeption für Cookie-Zustimmungen. Die Gestaltung wird stetig rechtskonformer.

Nur noch 20 Prozent der Seiten erschweren die Ablehnung, indem sie diese nur über ein Untermenü ermöglichen. Auch der Anteil derjenigen, die eine „Nudging-Strategie“ anwenden und die Zustimmungsoption visuell hervorheben, sinkt.

Beispiel für rechtswidrige Gestaltung mit erschwerter Ablehnung gegenüber der Zustimmung

Beispiel für rechtswidrige Gestaltung mit ungleichwertig gestalteter Zustimmung und Ablehnung

Das sind die Anforderungen der Aufsichtsbehörden an die Gestaltung der Consent-Dialoge im Hinblick auf die Buttons:

1. Ist die Ablehnung auf oberster Ebene des Banners und damit so einfach wie die Zustimmung möglich?

Die Forderung ergibt sich aus Art. 7 Abs. 3 S. 4 DSGVO, entfällt jedoch, wenn auch die Zustimmung nicht auf oberster Ebene möglich ist oder die Website auch ohne Interaktion mit dem Banner genutzt werden kann.*    

2. Sind die Schaltflächen für die Zustimmung und Ablehnung gleichwertig und somit nicht manipulativ gestaltet?

Die Aufsichtsbehörden fordern zwar keine hundertprozentig gleiche Gestaltung der Buttons, aber einen „insbesondere in Größe, Farbe, Kontrast und Schriftbild vergleichbare[n] Button“ für die Ablehnung.* Außerdem darf der Ablehn-Button insbesondere auf Mobilgeräten nicht erst nach Scrollen sichtbar werden.

Ergebnis

Die Banner werden immer rechtskonformer, womit gleichzeitig jedoch die Einwilligungsraten sinken. Ein weiteres Problem ist der Consent Bias, also die Consent-bedingte Verzerrung der Daten. Denn die Einwilligungsrate schwankt fast bei allen Websites sehr stark je nach Kampagne und Kanal. Dadurch stehen nicht nur weniger Daten für die Kampagnen-Steuerung zur Verfügung. Vielmehr sind die wenigen Daten unbrauchbar, wenn Conversions nur von der Stichprobe der Eingewilligten gemessen werden.

Wie die Cookie-Consent-Benchmark-Studie belegt, variiert die Consent-Rate bzw. der Anteil der erfassten Besuche mit Cookies erheblich je nach Herkunftsquelle bzw. Kampagne. Dadurch entstehen systematische Fehler in der Kanalbewertung. Im Durchschnitt wird Search Engine Advertising überbewertet, wenn Daten nur nach Einwilligung erfasst werden.

Die Cookie-Consent-Abweichungen lassen sich nicht nur auf Mediums-Ebene wiederfinden, sondern auch auf Kampagnen- und Keyword-Ebene: Werden Budgets und Gebote anhand derart verzerrter Daten angepasst, drohen abgeleitete Maßnahmen mit gegenteiligem Effekt. Die größte Bedrohung im Online-Marketing ist daher nicht der komplette Blindflug oder die etwas schlechtere Sicht, sondern die systematische Verfälschung der Datenbasis – auch als Consent Bias bezeichnet – durch die Einwilligungspflicht. Vor diesem Hintergrund wird erfolgreiches, datengetriebenes Marketing zum Glücksspiel.

Consent Bias

Consent Bias und die Folgen der Einwilligungspflicht

Durch die Pflicht zur Cookie-Einwilligung verringert sich nicht nur die Datenbasis, sondern es kommt auch zu erheblichen Verzerrungen. Somit verlieren die gemessenen Conversion-KPIs ihren Wert, da viele Marketer nur die Daten nach dem Cookie-Consent sehen und nicht das gesamte Spektrum. Es ist daher unklar, ob eine hohe Conversion-Rate durch effektive Anzeigen oder lediglich eine hohe Consent-Rate entsteht. Ein starker Consent-Bias beeinträchtigt die zuverlässige Online-Steuerung und das Verständnis für Nutzerverhalten und Zielgruppen. Derart verfälschte Daten können Marketer irreführen. Sie bieten keine klare Sicht darauf, aus welchen Regionen Besucher kommen, welche Werbekampagnen sie effektiv zur Webseite führen und ob sie dort konvertieren. Das Nutzerverhalten im Hinblick auf Cookie-Zustimmung ist zudem unberechenbar. Im Gegensatz zu Wahlumfragen, bei denen Präferenzen sich nur langsam verändern, kann ein Website-Besucher beim Cookie-Consent spontan und inkonsistent entscheiden, ob er zustimmt. Daten aus solchen Consent-Dialogen können deshalb willkürlich sein, die Repräsentativität der Datenproben ist beeinträchtigt und die resultierenden Informationen werden unbrauchbar.

Schlussfolgerungen aus der Cookie-Consent-Studie

Das Thema Cookie-Consent scheint für viele Marketer eine Wahl zwischen Pest oder Cholera zu sein. Hervorgehobene Akzeptieren-Buttons oder erschwerte Ablehnungen erhöhen zwar die Cookie-Consent-Raten, jedoch sind diese weder rechtskonform noch gleichverteilt. Dieser Consent-Bias sorgt dafür, dass sämtliche Analysen nicht aussagekräftig und schlimmstenfalls sogar irreführend sind. Da liegt die Lösung auf der Hand: Am besten wäre es, auf Cookie-Consent verzichten zu können. Aber ist das überhaupt möglich? Wir verraten dir, worauf es ankommt.

Auch wenn Consent-Banner auf fast allen Websites und in vielen Apps zum Einsatz kommen, sind sie nicht immer erforderlich – auch nicht, wenn Web-Analyse-Dienste genutzt werden! 

Die gute Nachricht: Manche Cookies sind von der Pflicht, eine Zustimmung einzuholen, befreit. So ist etwa das Speichern von Daten auf den Endgeräten des Nutzers oder das Auslesen dieser Informationen zulässig, wenn es zwingend erforderlich ist, um einen vom Nutzer angeforderten Service bereitzustellen. Hierzu gehören Sicherheits-Cookies, Authentifizierungs-Cookies und temporäre Cookies für Nutzereingaben. Cookies für A/B-Testing, Retargeting oder Tag Management fallen nicht in diese Kategorie. Da diese Systeme aus Nutzersicht nicht unbedingt für den Betrieb einer Website benötigt werden, muss für ihre Nutzung eine Cookie-Zustimmung eingeholt werden.

Grundsätzlich gibt es zwei Fälle, die einen Cookie-Consent erforderlich machen:

  1. Wenn eine Website technisch nicht erforderliche Cookies verwendet oder Auslesen von Gerätedaten betreibt wie die Bildschirmgröße bzw. -auflösung. Die technische Erforderlichkeit muss aus Nutzersicht betrachtet werden und nicht etwa aus Sicht des Marketers.
  1. Wenn personenbezogene Daten nicht in mildester erforderlicher Form verarbeitet werden oder „Dienstleister Daten der betroffenen Personen auch zu eigenen Zwecken verarbeiten (z. B. um eigene Dienste zu verbessern oder Interessensprofile zu erstellen).“* Dies trifft laut Aufsichtsbehörden bei Einsatz von Google Analytics zu, sodass immer die vorherige Einwilligung notwendig ist.

Im Umkehrschluss braucht es also keine vorherige Einwilligung der Nutzer, wenn die Datenverarbeitung auf das überwiegende berechtigte Interesse nach DSGVO Art. 6 Abs. 1 lit. f gestützt werden kann und keine Daten aus den Endgeräten der Nutzer ausgelesen oder dort gespeichert werden, außer für erforderliche Zwecke.

Cookie-Consent – ja oder nein?

consent-frei
Cookies sind consent-frei, weil unbedingt erforderlich, wenn sie einem der folgenden Zwecke dienen:
  • Authentifizierung der Anmeldung
  • Erfassung von Fehlanmeldungen (Load Balancing/Sicherheits-Cookies)
  • Kurzfristige Speicherung von Nutzer-Präferenzen (z. B. Spracheinstellungen)
  • Speicherung der Consent-Einstellung
  • Temporäres Speichern des Inhalts von Formularen oder Warenkörben
consent-Pflichtig
Cookies sind consent-pflichtig, weil nicht unbedingt erforderlich, wenn sie zu folgenden Einsatzszenarien gehören:
  • A/B-Testing
  • Affiliate Marketing
  • Kartendienste für Standorterkennung oder Geotagging
  • Retargeting
  • Social Media Plugins
  • Tag Management
  • Web-Analyse

Das Kriterium der „unbedingten Erforderlichkeit“ ist – so die Aufsichtsbehörden – immer aus Nutzersicht für die Basisfunktionen der Website oder App zu betrachten und nicht aus wirtschaftlicher Sicht für das Geschäftsmodell. Zusatzfunktionen wie Tag Management, Customer Data Management, Affiliate Marketing Tracking, Website-Personalisierung, A/B-Testing und Web-Analyse gehören nicht zu den Basisdiensten. Cookies zur Website-Personalisierung dürfen nur dann ohne Einwilligung eingesetzt werden, wenn entsprechende Personalisierungs-Funktionen ausdrücklich von Besuchern gewünscht bzw. explizit aktiviert werden. Möglicherweise sind mit dem Einsatz von Enterprise Tag, Customer Experience oder Customer Data Management-Lösungen auch unbedingt erforderliche Zwecke verbunden. Es müssen aber alle Funktionen unbedingt erforderlich sein, um laut Aufsichtsbehörden ein sogenanntes Mehrzweck-Cookie so klassifizieren zu können:

„Doch kann ein solcher Mehrzweck-Cookie nur dann von der Einwilligungspflicht ausgenommen werden, wenn für jeden einzelnen Zweck, zu dem der Cookie verwendet wird, die Voraussetzungen der Ausnahme nach § 25 Abs. 2 Nr. 2 TTDSG vorliegen.“

(Siehe https://www.datenschutzkonferenz-online.de/media/oh/20221130_OH_Telemedien_Version_1.1.pdf, S. 25)

Ein Beispiel für sehr fragwürdige als notwendig klassifizierte Mehrzweck-Cookies findet sich auf douglas.de (Stand 06.11.2023):

Insbesondere die umfangreiche Adobe Experience Cloud, bestehend aus Shopsystem, Marketing Automation, Analytics und Targeting, dürfte allenfalls aus Marketing-Sicht als erforderlich gelten. Es muss jedoch immer die Nutzersicht eingenommen werden und das Prinzip: Sobald auch Zwecke mit den Diensten verfolgt werden, die nicht erforderlich sind, besteht Einwilligungspflicht.

Werden ausschließlich wirklich unbedingt erforderliche Cookies eingesetzt und keine Consent-pflichtigen Datenverarbeitung durchgeführt, so kann und sollte man sich den Cookie-Consent-Dialog sparen. Ein einzelnes nicht-erforderliches Cookie oder eine einwilligungspflichtige Datennutzung genügt jedoch, um ein Consent Management erforderlich zu machen. Dabei gibt es aus rechtlicher Sicht einige klare Anforderungen.

Cookies zur Reichweitenmessung: erforderlich oder nicht?

Am 11. Januar 2024 hat die spanische Datenschutzbehörde aepd einen Leitfaden zur „Verwendung von Cookies für Tools zur Reichweitenmessung“ veröffentlicht. Darin werden (strenge) Bedingungen für die Befreiung von der Einwilligung beschrieben. In ähnlicher Form hat die französische Aufsichtsbehörde CNIL Regeln für die Ausnahme von der Einwilligungspflicht für die Reichweitenmessung definiert und sogar passende Lösungen aufgelistet. Darunter auch etracker analytics mit speziellen Einstellungen.

In Deutschland haben die deutschen Aufsichtsbehörden für Online-Angebote von Rundfunkanstalten (RDSK) rein statistische Cookies als unbedingt erforderlich bestätigt.  Für den nicht-öffentlichen Bereich gilt jedoch diese Position in der “Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien” auf den Seiten 24 und 25:

„Aus Sicht der Verantwortlichen wäre es wünschenswert, wenn die Aufsichtsbehörden eine Aussage dazu treffen würden, ob beispielsweise eine Reichweitenmessung gemäß § 25 Abs. 2 Nr. 2 TTDSG grundsätzlich ohne Einwilligung der Endnutzer:innen einer Webseiten eingesetzt werden darf. Aus mehreren Gründen finden sich in dieser Orientierungshilfe keine derartigen Aussagen.“ Die Aufsichtsbehörden weisen in der Begründung insbesondere darauf hin, dass moderne Web-Analyse viele weitergehenden Funktionen wie eCommerce- und Kampagnen-Tracking bietet, die über den Rahmen der bloßen Reichweitenmessung hinausgehen. Insofern empfiehlt es sich, analytische bzw. statistische Cookies in Deutschland nur nach Einwilligung zu nutzen.

Insbesondere gilt es, die folgenden Kriterien zu erfüllen, soll die Zustimmung zur Verwendung von Cookies oder Tracking-Diensten auf der Website auch wirklich rechtlich wirksam sein:

Zur Gestaltung der Dialoge:

  1. Es braucht eine klare bestätigende Handlung wie einen Button-Klick. Dabei dürfen einwilligungspflichtige Zwecke oder Dienste nicht bereits angekreuzt oder aktiviert sein.
  2. Die Ablehnung darf nicht mit einem höheren Aufwand verbunden sein gegenüber der Zustimmung. Wenn eine Zustimmung auf oberster Ebene des Dialogs möglich ist, so muss dort auch die Ablehnung möglich sein und darf nicht mehr Klicks erforderlich machen.
  3. Die Schaltflächen müssen gleichwertig im Hinblick auf Größe, Position, Kontrast und Farbigkeit gestaltet sein. Insbesondere sind Textlinks versus Buttons nicht gleichwertig.
  4. Bei unterschiedlichen Zwecken muss eine granulare Entscheidung möglich sein, also kein Alles oder Nichts. In der Praxis findet man daher Kategorien wie Statistik, Marketing, Personalisierung und Funktional zur Auswahl.
  5. Die gegebene Einwilligung der Nutzer ist zu dokumentieren und als rechtsgültiges Dokument aufzubewahren.
  6. Der Zugriff auf die Datenschutzerklärung und Cookie-Detailinformationen muss auch ohne Consent-Entscheidung möglich sein. Das Consent-Banner sollte dort also am besten nicht angezeigt werden.
  7. Nutzer müssen den Cookie-Consent genauso unkompliziert widerrufen können, wie sie ihn gegeben haben. Bewährt haben sich über die Webseiten schwebende Icons, die durch Anklicken den Consent-Dialog erneut aufrufen, oder einen passenden Link im Webseiten-Footer.
  8. Die Zustimmung hat nach spätestens 12 Monaten oder bei Änderung der eingesetzten Cookies oder Dienste erneut zu erfolgen. Nutzer dürfen bei Ablehnung nicht dadurch „bestraft“ werden, dass das Consent-Banner mit jedem Seitenaufruf erneut erscheint oder andere Benachteiligungen erfolgen.

Zur inhaltlichen Ausgestaltung:

  1. Wenn nur von Cookies die Rede ist, kann keine Einwilligung in Verarbeitungsvorgänge gemäß DSGVO angenommen werden. Dies ist bei dieser Button-Beschriftung zu befürchten.
  2. Allgemeine Floskeln zu den Zwecken sind nicht hinreichend wie bspw.: „Cookies helfen unter vielen Aspekten, Ihren Besuch auf unserer Website einfacher, angenehmer und sinnvoller zu gestalten.“ Oder: „Diese Website verwendet Cookies, um Ihnen das beste Erlebnis zu bieten.“
  3. Es müssen Detailinformationen zu den Cookies und Diensten bereitgestellt werden inklusive Zweck, Anbieter, Laufzeit und an wen ggf. eine Weitergabe erfolgt.
  4. Die Schaltflächen müssen eindeutig und klar beschriftet sein, so dass Nutzer die Folgen absehen können. Dies dürfte in diesem Beispiel nicht 100% klar sein.

Die Anforderungen an Cookie-Banner sind gesetzlich und von Aufsichtsbehörden sehr klar formuliert. Die Umsetzung ist mit passenden Consent-Management-Tools auch kein Hexenwerk, wie diese zwei positiven Beispiele zeigen:

Bei der Gestaltung des Consent-Dialogs geht es nicht nur um die Einhaltung rechtlicher Anforderungen, sondern auch darum, das Vertrauen der Besucher zu steigern. Indem Websites und Apps ihre Consent-Banner rechtskonform gestalten und transparent informieren, können sie zeigen, dass sie den Datenschutz ernst nehmen und die Privatsphäre ihrer Nutzer schützen.

Eine Consent Management-Plattform (CMP) oder ein  Consent-Manager ist eine Software, die Unternehmen dabei unterstützt, von Website-Besuchern die Zustimmung zu Cookies und einwilligungspflichtigen Diensten zu erhalten, Cookies entsprechend den Präferenzen des Besuchers zu verwalten und diese Einwilligung zu dokumentieren.  Weil gerne die Aktualisierung der Consent-Einstellungen bei neu implementierten Diensten verpasst wird, bieten Consent-Manager teilweise Scan-Funktionen und automatische Blocker an. Diese Automatismen sind allerding auch nicht 100%ig verlässlich und können negative Effekte mit sich bringen, wenn eigentlich gewünschte Funktionen dadurch beeinträchtigt werden.

Eine professionelle CMP sorgt insbesondere nicht automatisch für Rechtskonformität, denn die CMPs erlauben auch die unsachgemäße Kategorisierung von Cookies, unzureichende Informationen und manipulative Gestaltungen. Daher warnen die deutschen Aufsichtsbehörden:

Hinweis

“Hinweis: Einsatz von Consent Management Plattformen

Zur Implementierung einer umfassenden Einwilligungslösung werden zunehmend Consent-Management-Plattformen (CMP) eingesetzt, die von zahlreichen Unternehmen angeboten werden. Diese werben häufig damit, dass mit dem Einsatz ihres Tools rechtskonforme Einwilligungen auf der Webseite eingeholt würden. Ob dies tatsächlich der Fall ist, hängt jedoch maßgeblich vom konkreten Einsatz der CMP und den genauen Vorgängen auf dem jeweiligen Telemedienangebot ab. Die Betreiber:innen von Webseiten haben zahlreiche Konfigurationsmöglichkeiten, so dass allein durch den Einsatz der CMP keineswegs automatisch rechtskonforme Einwilligungen eingeholt werden. Die Verantwortlichkeit für die Wirksamkeit der eingeholten Einwilligungen verbleibt bei den jeweiligen Anbieter:innen des Telemedienangebotes.“

(Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021, Seite 18)

Rechtskonform gestaltete Cookie Consents führen im Regelfall zu sehr geringen Einwilligungsraten. Allein die gleichwertige Button-Gestaltung kann zu deutlichen Einbußen von zehn und mehr Prozentpunkten führen. Damit lassen sich die vom Consent abhängigen Marketing- und Analyse-Funktionen nicht mehr aufrechterhalten und verlässliche Schlüsse aus den Daten ziehen.

Ein Ausweg aus dem Dilemma verspricht Cookie-loses und Einwilligungs-freies bzw. -unabhängiges Tracking. Hierbei gilt es jedoch verschiedenste Fallstricke zu beachten, um alle rechtlichen Anforderungen zu erfüllen und gleichzeitig modernes Daten-getriebenes Marketing zu ermöglichen.

Cookieless Tracking bezeichnet das Erfassen von Website- und Kampagnen-Daten ohne den Einsatz von Cookies oder einwilligungspflichtigem Fingerprinting. Mit dieser Methode können alle Website-Interaktionen wie Kampagnenherkunft, Seitenaufrufe, Klick-Events und -pfade, Scroll-Tiefe und Formularabbrüche sowie technische Details wie genutzte Geräte, Browser und Spracheinstellungen erfasst und analysiert werden.

Die Datenschutzaufsichtsbehörden des Bundes und der Länder haben bestätigt, dass in diesem Fall das TTDSG nicht greift:

„Ein Zugriff setzt eine gezielte und nicht durch die Endnutzer:innen veranlasste Übermittlung der Browser-Informationen voraus. Werden ausschließlich Informationen, wie Browser- oder Header-Informationen, verarbeitet, die zwangsläufig oder aufgrund von (Browser-) Einstellungen des Endgerätes beim Aufruf eines Telemediendienstes übermittelt werden, ist dies nicht als ‚Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind‘, zu werten.“

(Siehe https://www.datenschutzkonferenz-online.de/media/oh/20221130_OH_Telemedien_Version_1.1.pdf, S. 7)

ACHTUNG!

Aber Achtung!

Cookie-loses Tracking allein reicht nicht aus, um von der Einwilligungspflicht befreit zu sein. Hierfür muss die Datenverarbeitung auch noch so datenschutzfreundlich gestaltet sein, dass ein Einsatz unter dem überwiegenden berechtigten Interesse möglich ist. Der Europäische Gerichtshof (EuGH), hat am 4. Juli 2023 im Verfahren von Meta gegen das Bundeskartellamt (Rechtssache C‑252/21) die fünf Kriterien für das überwiegende berechtigte Interesse konkretisiert:

  1. Echtes Interesse des Verantwortlichen muss gegeben sein.
  2. Es darf keine mildere vergleichbare Lösung existieren.
  3. Eine Weiterverarbeitung jenseits des Zwecks muss ausgeschlossen sein.
  4. Gegen die vernünftigen Erwartungen der betroffenen Personen darf nicht verstoßen werden.
  5. Die Einhaltung von 1.-4. muss belegt werden können.

Bei Einsatz von Google Analytics kann allenfalls das erste Kriterium erfüllt werden. Daher scheidet bei Einsatz von Google Analytics unabhängig von möglichen Konfigurationen nach Bewertung der Aufsichtsbehörden das berechtigte Interesse als Rechtsgrundlage aus.

Der neue Einwilligungsmodus von Google wird in 2024 schrittweise verpflichtend für die Nutzung der Google-Dienste. Er kommt in zwei Varianten mit wesentlichem Unterschied:

  • Basic Mode: Google Tags werden erst nach Einwilligung ausgespielt.
  • Advanced Mode: Tags werden auch ohne Einwilligung ausgespielt, setzen aber keine Cookies. Die Datenübertragung erfolgt nahezu unverändert – auch wenn verharmlosend von “Pings” gesprochen wird – und ist damit keinesfalls einwilligungsfrei. Standardmäßig wird sogar die Bildschirmgröße übertragen, was gemäß TTDSG nur nach Einwilligung erlaubt ist. Erst in der Weiterverarbeitung werden die Daten bei Ablehnung eingeschränkt behandelt und Conversions nur hochgerechnet ausgegeben. Datenschutzrechtlich ist jedoch auch die Erhebung eine Verarbeitung und nicht nur die Speicherung!

Datenschutz-Experten sehen daher insbesondere den Advanced Mode sehr kritisch. Mehr Informationen zum Google Consent Mode v2 finden sich im Beitrag von Markus Baersch „Consent Mode 2.0 FAQ“.

Unabhängig bestätigt einwilligungsfrei: etracker analytics im Standardmodus

Die Web-Analyse-Lösung von etracker wurde in einem unabhängigen Audit geprüft, zertifiziert und mit dem Datenschutz-Gütesiegel ePrivacyseal ausgezeichnet. Das Prüfergebnis bescheinigt die Einwilligungs-Freiheit im Cookie-less Modus:

„[…] Wir halten es aufgrund unserer eingehenden Prüfung für berechtigt, die Datenverarbeitung bei etracker Analytics […] durch die Rechtsgrundlage des Art. 6 Abs.1 lit.f) DSGVO (berechtigtes Interesse) zu begründen. Im Cookie-less Modus (Standardmodus) ist ein Einsatz von etracker Analytics gemäß DSGVO und TTDSG ohne jedwede Einwilligungspflicht rechtmäßig.“

ePrivacy

Wirklich datenschutzfreundliches Cookie-loses Tracking – wie bei etracker analytics – befreit von der Einwilligungspflicht und verhindert damit Consent-bedingte Datenverluste und Datenverzerrungen.

Daher ist das datenschutzfreundliche hybride Tracking bei Marketern besonders beliebt. Denn es vereint das Beste aus beiden Welten: das Cookie-basierte Tracking und das Cookieless Tracking parallel in einem hybriden Modell. Gegenüber einer ausschließlich cookie-basierten Lösung bietet dies den Vorzug, dass bei einer Ablehnung von statistischen Cookies das Tracking ohne diese und somit ohne Datenverlust durchgeführt werden kann. Für den Anteil der Nutzer, die Cookies akzeptieren, können sogar Wiederkehrraten und 30-tägige Journeys erfasst werden. Über das Consent-Banner wird somit lediglich die Wahl des Tracking-Modus – ob mit oder ohne Cookies – gesteuert und nicht, ob überhaupt ein Tracking erfolgen darf.

Der Cookie-Consent ist ein kritisches Thema für Website-Betreiber und Marketer. Die rechtlichen Anforderungen sind mittlerweile sehr eindeutig und Verstöße riskant. Sie können sehr einfach aufgedeckt werden. Und zudem mindern sie das Vertrauen der Website-Besucher. Manipulatives Consent-Nudging ist noch weit verbreitet, aber im Niedergang. Denn eine Daten-Strategie, die auf „Tricksereien“ fußt, kann nicht als seriös und nachhaltig angesehen werden. Wer sich an die Vorgaben bei der Gestaltung hält, muss mit einer hohen Ablehnungsrate rechnen. Das führt aber nur bei Einsatz von einwilligungspflichtigen Lösungen wie Google Analytics zu hohem Datenverlust und Datenverzerrungen. Nachhaltig ist hingegen die Ausrichtung aller Technologien und Maßnahmen auf die Unabhängigkeit von Einwilligungen. Dies ermöglicht 100%ige Rechtskonformität mit verlässlicher Datenqualität, sichert die verlässliche Grundlage zur zielgerichteten Online-Steuerung und schützt zugleich die Privatsphäre der Besucher. Eine Win-Win-Situation für Website-Betreiber und Website-Nutzer!

* https://www.datenschutzkonferenz-online.de/media/oh/20221205_oh_Telemedien_2021_Version_1_1_Vorlage_104_DSK_final.pdf

Update 2023

Update

  • Innerhalb von rund einem Jahr ist die durchschnittliche Consent-Rate von 46% auf 35% gesunken.