Best Practices für Cookie-Einwilligung
Die Rechtslage zu kennen, ist notwendig. Sie gut umzusetzen, ist dort, wo die eigentliche Arbeit beginnt. Dieser Abschnitt behandelt die praktischen Best Practices für die Cookie-Einwilligung – wie Sie ein Einwilligungserlebnis gestalten, das rechtskonform, technisch solide und respektvoll gegenüber Ihren Nutzern ist.
1. Machen Sie die Einwilligung wirklich freiwillig
Artikel 7 Abs. 4 der DSGVO legt fest, dass bei der Beurteilung, ob eine Einwilligung freiwillig erteilt wurde, „dem Umstand in größtmöglichem Umfang Rechnung zu tragen [ist], ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind".
In der Praxis bedeutet das:
- Verwenden Sie keine Cookie-Walls, die Inhalte blockieren, solange der Nutzer nicht alle Cookies akzeptiert. Der EDSA hat festgestellt, dass Cookie-Walls in der Regel verhindern, dass eine Einwilligung freiwillig erteilt wird. Wenn ein Nutzer Ihre Website nicht ohne die Zustimmung zum Tracking nutzen kann, ist seine „Einwilligung" erzwungen und nicht freiwillig.
- Verschlechtern Sie nicht das Erlebnis für Nutzer, die ablehnen. Ein dauerhaftes Overlay, eingeschränkte Seitenfunktionen oder passiv-aggressive Hinweise („Wir stellen fest, dass Sie keine Cookies akzeptiert haben – Ihr Erlebnis könnte darunter leiden") untergraben die Freiwilligkeit der Einwilligung.
- Bieten Sie echte Alternativen. Wenn Sie ein „Consent or Pay"-Modell nutzen, muss die kostenpflichtige Alternative tatsächlich angemessen sein – und nicht so bepreist, dass sie eine Ablehnung bestraft.
2. Beseitigen Sie Dark Patterns
Dark Patterns bei der Cookie-Einwilligung stehen gezielt im Fokus der Aufsichtsbehörden. Der EDSA hat Leitlinien zu irreführenden Gestaltungsmustern veröffentlicht, und die CNIL, der Garante sowie andere Datenschutzbehörden haben Unternehmen speziell für manipulative Einwilligungsoberflächen mit Bußgeldern belegt.
Vermeiden Sie diese Muster:
- Asymmetrische Schaltflächen. „Alle akzeptieren" als große, farbige Schaltfläche und „Einstellungen verwalten" als kleiner Textlink. Beide Optionen müssen gleich prominent sein. Mehrere Datenschutzbehörden haben ausdrücklich gefordert, dass „Alle ablehnen" auf der ersten Ebene mit demselben visuellen Gewicht wie „Alle akzeptieren" verfügbar sein muss.
- Verwirrende Formulierungen. „Ohne Akzeptieren fortfahren" vs. „Akzeptieren und fortfahren" – wenn beide Schaltflächen ähnlich aussehen, können Nutzer sie nicht schnell unterscheiden. Verwenden Sie klare, eindeutige Beschriftungen: „Alle akzeptieren", „Alle ablehnen", „Anpassen".
- Versteckte Ablehnungsoptionen. Nutzer müssen sich durch eine zweite oder dritte Ebene klicken, um Cookies abzulehnen, während „Alle akzeptieren" nur einen Klick entfernt ist. Die CNIL verhängte gegen Google unter anderem wegen dieser Praxis ein Bußgeld von 150 Millionen Euro.
- Vorangekreuzte Schalter. Kategorie-Schalter, die für Analyse und Marketing standardmäßig auf „ein" stehen. Das Planet49-Urteil des EuGH verbietet dies ausdrücklich.
- Irreführende Farben. Grün für „Akzeptieren" und Rot oder Grau für „Ablehnen" suggeriert, dass Akzeptieren die richtige Wahl und Ablehnen ein Fehler ist. Verwenden Sie ein neutrales, einheitliches Design.
- Confirm-Shaming. Formulierungen wie „Nein danke, mein Erlebnis ist mir egal" für die Ablehnungsoption sind manipulativ und untergraben die Freiwilligkeit der Einwilligung.
- Wiederholte Aufforderungen. Das Einwilligungsbanner bei jedem Seitenaufruf erneut anzeigen, nachdem der Nutzer abgelehnt hat, in der Hoffnung, ihn zu zermürben. Sobald ein Nutzer eine Entscheidung getroffen hat, respektieren Sie sie.
3. Seien Sie transparent
Eine informierte Einwilligung setzt voraus, dass Nutzer verstehen, wozu sie zustimmen. Bei Transparenz geht es nicht um die Menge an Informationen, sondern um Klarheit.
- Verwenden Sie einfache Sprache. „Wir verwenden Cookies, um Ihr Surfverhalten im Web zu Werbezwecken zu verfolgen" ist klar. „Wir nutzen fortschrittliche Datenanalysetechnologien zur Optimierung Ihres personalisierten digitalen Erlebnisses" ist es nicht.
- Listen Sie alle Cookies auf. Ihre Cookie-Richtlinie sollte ein vollständiges Verzeichnis enthalten: Cookie-Name, Anbieter, Zweck, Typ (Sitzung/dauerhaft, Erst-/Drittanbieter) und Ablaufdatum. Dieses Verzeichnis muss aktuell gehalten werden.
- Nennen Sie Drittanbieter beim Namen. Wenn Sie Daten mit Werbenetzwerken teilen, nennen Sie sie. „Wir teilen Daten mit unseren Werbepartnern" ist unzureichend. „Wir teilen Daten mit Google Ads, Meta (Facebook) und LinkedIn" ist transparent.
- Erklären Sie die Konsequenzen. Was passiert, wenn der Nutzer Analyse-Cookies akzeptiert? Was passiert, wenn er ablehnt? Nutzer sollten die praktischen Auswirkungen ihrer Wahl verstehen.
4. Bieten Sie granulare Kontrolle
Die DSGVO verlangt, dass die Einwilligung „spezifisch" ist – also separat für jeden Zweck erteilt wird. Ihr Einwilligungsmechanismus sollte Folgendes bieten:
- Schalter pro Kategorie. Nutzer sollten Analyse-Cookies akzeptieren und Marketing-Cookies ablehnen können. Die vier Standardkategorien (notwendig, Analyse, Marketing, Präferenzen) sind das Minimum.
- Verknüpfungen „Alle akzeptieren" und „Alle ablehnen". Zwar ist eine granulare Kontrolle erforderlich, doch Sammeloptionen als Verknüpfungen anzubieten ist sowohl rechtskonform als auch nutzerfreundlich – solange die granulare Option gleichermaßen zugänglich ist.
- Kontrolle pro Anbieter (empfohlen, aber nicht immer erforderlich). Für maximale Transparenz sollten Sie in Betracht ziehen, Nutzern die Möglichkeit zu geben, Cookies anbieterweise einzusehen und zu steuern – zum Beispiel Google Analytics akzeptieren und Hotjar ablehnen oder LinkedIn-Tracking akzeptieren und Facebook ablehnen. Einige Consent-Management-Plattformen bezeichnen dies als „IAB TCF Level 2"-Granularität.
5. Machen Sie den Widerruf so einfach wie die Erteilung
Artikel 7 Abs. 3 der DSGVO ist eindeutig: „Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. [...] Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein."
Diese Anforderung wird häufig verletzt. Zu den typischen Versäumnissen gehören:
- Keine sichtbare Möglichkeit, die Cookie-Einstellungen nach dem Schließen des Banners zu ändern.
- Ein „Cookie-Einstellungen"-Link, der in der Datenschutzerklärung vergraben ist, die selbst wiederum im Footer versteckt liegt.
- Die Anforderung, dass der Nutzer seine Browser-Cookies löschen muss, um Einstellungen zurückzusetzen (das ist kein Widerrufsmechanismus, sondern ein Notbehelf).
Umsetzungen nach Best Practice umfassen:
- Einen dauerhaften „Cookie-Einstellungen"-Link im Footer der Website.
- Ein kleines schwebendes Symbol (oft ein Cookie- oder Schildsymbol), das den Einwilligungsmanager erneut öffnet.
- Einen Bereich in den Kontoeinstellungen des Nutzers (für angemeldete Nutzer), in dem die Cookie-Einstellungen verwaltet werden können.
Wenn ein Nutzer seine Einwilligung widerruft, müssen Sie die Verwendung der betreffenden Cookies sofort einstellen. Löschen Sie die Cookies aus dem Browser und stoppen Sie die zugehörigen Skripte. Der Widerruf muss wirksam sein, nicht nur protokolliert werden.
6. Führen Sie Einwilligungsnachweise
Artikel 7 Abs. 1 der DSGVO: „Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat."
Ihre Einwilligungsnachweise sollten Folgendes enthalten:
- Zeitstempel, wann die Einwilligung erteilt oder verweigert wurde.
- Kategorien, die akzeptiert und abgelehnt wurden.
- Version des angezeigten Einwilligungsmechanismus (wie das Banner aussah, welcher Text angezeigt wurde). Wenn Sie Ihr Einwilligungsbanner ändern, müssen Sie wissen, mit welcher Version jeder Nutzer interagiert hat.
- Methode der Einwilligung (welche Schaltfläche geklickt wurde, welche Optionen ausgewählt wurden).
- Anonymisierte Kennung, die den Nachweis mit dem Gerät oder der Sitzung verknüpft (nicht Name oder E-Mail-Adresse des Nutzers – der Einwilligungsnachweis selbst sollte nicht zu einem Datenschutzproblem werden).
Speichern Sie diese Nachweise serverseitig. Ein reines clientseitiges Cookie ist kein ausreichender Nachweis – der Nutzer kann es löschen, und Sie haben keinen unabhängigen Beleg. Best Practice ist es, Einwilligungsereignisse auf Ihrem Server zu protokollieren und sie so lange aufzubewahren, wie es Ihre Datenschutzbehörde empfiehlt (in der Regel derselbe Zeitraum wie die Ablaufzeit Ihrer Cookies plus einem angemessenen Puffer).
7. Fragen Sie nach Änderungen erneut ab
Eine Einwilligung ist spezifisch für die Zwecke und Cookies, für die sie erteilt wurde. Wenn Sie neue Cookies, neue Kategorien, neue Drittanbieter hinzufügen oder die Nutzung vorhandener Cookies erheblich ändern, deckt die zuvor erteilte Einwilligung die neue Verarbeitung möglicherweise nicht mehr ab.
Fragen Sie Nutzer erneut ab, wenn:
- Sie eine neue Cookie-Kategorie hinzufügen, die zuvor nicht abgedeckt war.
- Sie einen neuen Drittanbieter-Tracking-Dienst einführen.
- Sie den Zweck vorhandener Cookies ändern (z. B. Analysedaten für Werbezwecke verwenden).
- Seit der letzten Einwilligung ein erheblicher Zeitraum vergangen ist (die CNIL empfiehlt höchstens 13 Monate).
- Sich regulatorische Anforderungen so ändern, dass die Gültigkeit der bestehenden Einwilligung betroffen ist.
Implementieren Sie ein System zur Versionierung der Einwilligung. Weisen Sie Ihrer Einwilligungskonfiguration eine Versionsnummer zu. Wenn sich die Version ändert (weil Sie Cookies hinzugefügt oder geändert haben), fragen Sie Nutzer, die unter einer früheren Version eingewilligt haben, erneut ab.
8. Testen Sie Einwilligungsraten ethisch per A/B-Test
Es ist legitim, Ihr Einwilligungserlebnis zu optimieren – verschiedene Layouts, Formulierungen und Designs zu testen, um herauszufinden, was am besten funktioniert. Aber „am besten" muss bedeuten „führt bei einer angemessenen Rate zu einer wirklich informierten Einwilligung" und nicht „maximiert die Klicks auf ‚Alle akzeptieren' durch Manipulation".
Richtlinien für ethisches A/B-Testing:
- Alle Varianten müssen rechtskonform sein. Jede Version, die Sie testen, muss die rechtlichen Anforderungen an eine gültige Einwilligung erfüllen. Sie dürfen keine rechtskonforme Version gegen eine nicht rechtskonforme Version testen, um zu sehen, welche mehr Zustimmungen erhält.
- Testen Sie Klarheit, nicht Manipulation. Erhöht eine Umformulierung der Erklärung das Verständnis und damit die Einwilligung? Verbessert eine Neupositionierung des Banners das Engagement? Das sind legitime Tests.
- Optimieren Sie nicht auf die „Alle akzeptieren"-Rate. Eine hohe Akzeptanzrate, die durch verwirrendes Design erreicht wird, ist kein Erfolg, sondern ein Compliance-Risiko. Optimieren Sie auf die Rate der Nutzer, die überhaupt eine aktive, informierte Entscheidung treffen.
- Beobachten Sie die Ablehnungsraten. Wenn eine Designänderung die Ablehnungen drastisch reduziert, fragen Sie sich, ob dies durch Klarheit oder durch Behinderung geschah.
9. Best Practices für die technische Umsetzung
Der Einwilligungsmechanismus ist nicht nur eine UI-Komponente – er erfordert eine ordnungsgemäße technische Umsetzung, um tatsächlich zu funktionieren.
Blockieren Sie Skripte bis zur Einwilligung
Die wichtigste technische Anforderung: Nicht wesentliche Skripte dürfen erst dann ausgeführt werden, wenn der Nutzer der entsprechenden Kategorie zugestimmt hat. Es gibt mehrere Ansätze:
- Manipulation des Skripttyps. Ändern Sie
type="text/javascript"intype="text/plain"und fügen Sie ein Datenattribut hinzu, das die Kategorie angibt. Sobald die Einwilligung erteilt wird, ändert ein Einwilligungsmanager-Skript den Typ zurück und löst die Ausführung aus. - Integration eines Tag-Managers. Verwenden Sie einen Tag-Manager (Google Tag Manager, Tealium usw.), der Einwilligungsmodi unterstützt. Tags werden so konfiguriert, dass sie nur ausgelöst werden, wenn die Einwilligung für ihre Kategorie vorliegt.
- Serverseitiges Rendering. Binden Sie Skript-Tags nur dann in den HTML-Code der Seite ein, wenn die Einwilligung bereits erfasst ist (über eine serverseitige Prüfung des Einwilligungs-Cookies). Dies ist der zuverlässigste Ansatz, erfordert jedoch serverseitige Logik.
Verarbeiten Sie den Einwilligungsstatus korrekt
- Erster Besuch (keine Einwilligung erfasst): Laden Sie nur unbedingt notwendige Skripte. Zeigen Sie den Einwilligungsmechanismus an.
- Wiederkehrender Besuch (Einwilligung erfasst): Lesen Sie das Einwilligungs-Cookie. Laden Sie Skripte, die den akzeptierten Kategorien entsprechen. Zeigen Sie den Einwilligungsmechanismus nicht erneut an, sofern keine Erneuerung fällig ist.
- Einwilligung widerrufen: Stoppen Sie alle Skripte der widerrufenen Kategorie. Löschen Sie die betreffenden Cookies. Aktualisieren Sie den Einwilligungsnachweis.
- Einwilligung erneuert: Behandeln Sie neue Kategorien wie einen Erstbesuch. Laden Sie zuvor akzeptierte Kategorien sofort.
Testen Sie gründlich
- Überprüfen Sie, dass vor der Erteilung der Einwilligung keine nicht wesentlichen Cookies gesetzt werden. Nutzen Sie die Entwicklertools des Browsers (Tab „Anwendung" > Cookies) zur Kontrolle.
- Überprüfen Sie, dass Skripte beim Widerruf der Einwilligung tatsächlich stoppen – nicht nur, dass das Cookie gelöscht wird, sondern dass die Skripte nicht mehr laufen.
- Testen Sie mit deaktiviertem JavaScript. Der Einwilligungsmechanismus sollte graceful degradieren, und es sollten keine Tracking-Skripte geladen werden.
- Testen Sie auf Mobilgeräten. Der Einwilligungsmechanismus muss auf kleinen Bildschirmen voll funktionsfähig und nutzbar sein.
10. Verwenden Sie eine Consent-Management-Plattform (CMP)
Einen vollständig rechtskonformen Einwilligungsmechanismus von Grund auf zu entwickeln, ist möglich, bedeutet aber einen erheblichen laufenden Wartungsaufwand. Eine Consent-Management-Plattform nimmt Ihnen die Komplexität ab: Einwilligungserfassung, Nachweisführung, Skriptblockierung, Geotargeting und regulatorische Aktualisierungen.
Berücksichtigen Sie bei der Bewertung einer CMP:
- Automatisches Cookie-Scanning. Erkennt die CMP alle Cookies auf Ihrer Website, oder müssen Sie sie manuell auflisten?
- Skriptblockierung. Blockiert die CMP tatsächlich Skripte vor der Einwilligung, oder zeigt sie nur ein Banner an?
- Einwilligungsnachweise. Speichert die CMP den Einwilligungsnachweis serverseitig?
- IAB-TCF-Unterstützung. Wenn Sie programmatische Werbung nutzen, kann die Unterstützung von TCF 2.2 erforderlich sein.
- Leistungseinfluss. Das CMP-Skript wird auf jeder Seite geladen. Wie groß ist es? Blockiert es das Rendering?
- Anpassbarkeit. Können Sie das Einwilligungsbanner an das Design Ihrer Marke anpassen?
- Barrierefreiheit. Ist der Einwilligungsmechanismus selbst barrierefrei? Lässt er sich per Tastatur bedienen? Funktioniert er mit Screenreadern? Ein nicht barrierefreies Einwilligungsbanner auf einer Website, die vorgibt, Wert auf Barrierefreiheit zu legen, macht keinen guten Eindruck.
Passiro scannt Ihre Website, um alle Cookies und Tracking-Technologien zu identifizieren, kategorisiert sie automatisch und liefert umsetzbare Empfehlungen für Ihre Einwilligungsimplementierung – egal, ob Sie sie selbst entwickeln oder eine CMP nutzen.
Zusammenfassung: Die Einwilligungs-Checkliste
Eine schnelle Referenz zur Bewertung Ihrer aktuellen Einwilligungsimplementierung:
- Vor der Erteilung der Einwilligung werden keine nicht wesentlichen Cookies gesetzt.
- Der Einwilligungsmechanismus bietet „Alle akzeptieren" und „Alle ablehnen" mit gleicher Prominenz.
- Nutzer können Entscheidungen pro Kategorie treffen (mindestens: notwendig, Analyse, Marketing, Präferenzen).
- Die dargestellten Informationen sind klar, spezifisch und in einfacher Sprache verfasst.
- Vorangekreuzte Kästchen und Schalter werden für nicht wesentliche Kategorien nicht verwendet.
- Es besteht eine dauerhafte, leicht zugängliche Möglichkeit, die Einwilligung zu widerrufen oder zu ändern.
- Einwilligungsnachweise werden serverseitig mit Zeitstempeln und Kategoriedetails gespeichert.
- Die Einwilligung wird mindestens alle 13 Monate erneuert (oder früher, wenn sich die Cookie-Nutzung ändert).
- Der Einwilligungsmechanismus ist barrierefrei (per Tastatur navigierbar, screenreaderkompatibel).
- Die Implementierung wird regelmäßig auf Konformität geprüft (neue Cookies, geänderte Skripte).
Gut umgesetzte Cookie-Einwilligung ist kein Hindernis für Ihr Geschäft. Sie ist eine Grundlage des Vertrauens zwischen Ihnen und Ihren Nutzern – und zunehmend das, was rechtskonforme Unternehmen von jenen unterscheidet, denen behördliche Maßnahmen drohen.
Erfüllt Ihre Website die Cookie-Vorschriften?
Scannen Sie Ihre Website kostenlos und finden Sie alle Cookies in wenigen Minuten.
Cookies kostenlos scannen