Sollen Cookie-Banner "stören"? Und darf man die Besucher zum Klick auf "Alles Akzeptieren" zwingen?

Seit Mai 2018 verlangt die DSGVO, dass ein Verarbeiten personenbezogener Daten von Websitebesuchern (zB. in sog. "Cookies") ohne deren vorherige und ausdrückliche Zustimmung unzulässig ist. Das war die Geburtsstunde der Consent-Manager, umgangssprachlich "Cookie-Banner", mit denen genau diese Zustimmung eingeholt wird - und zwar bevor irgendeine Datenverarbeitung stattfinden darf.

Für die Besucher einer Website beeinträchtigt so ein Cookie-Banner natürlich zunächst einmal den Besuch. Entsprechend sind sie nicht sehr beliebt. Daher versuchen viele Website-Betreiber, den Banner so zu platzieren, dass er die Besucher möglichst wenig "stört" . Doch das hat weitreichende negative Folgen.

Gemäß DSGVO dürfen ja so lange keine personenbezogenen Daten verarbeitet werden (und an die Web-Analyse-Lösung fließen), bis der Besucher die Zustimmung dazu erteilt hat. Wird der Banner möglichst wenig störend am Bildschirm platziert, sodass er einfach ignoriert werden kann, wird der Großteil der Websitebesucher gar keine Entscheidung treffen und die Besuche von der Webanalyse gar nicht erfasst werden. Tatsächlich ist also eine möglichst frühzeitige Entscheidung gefragt, um möglichst wenig Daten, zB. auch über die Herkunft der Besucher ("Referrer"), zu verlieren.

Welche Position des Cookie-Banners ist optimal?

Eine Studie hat untersucht, welche Auswirkungen die Position des Cookie-Banners auf den Zeitpunkt der Zustimmung bzw. Ablehnung der Datenverarbeitung durch die Besucher hat.

Das Ergebnis:

  • geringste Akzeptanzrate: Cookie-Banner über den gesamten oberen oder unteren Bildschrimrand
  • 5% mehr Akzeptanzrate: Cookie-Banner im rechten unteren Bildschirmeck
  • 6% höhere Akzeptanzrate: Cookie-Banner im linken unteren Bildschirmeck
  • 13% höhere, und damit beste Akzeptanzrate: Cookie-Banner zentriert am Bildschirm

Dies bestätigt den Ansatz von interact!multimedia, den Auftraggebern in ihrem auf den ersten Blick nachvollziehbaren Wunsch, den Websitebesucher durch den Cookiebanner möglichst wenig zu stören, zu widersprechen und Cookie-Zustimmungserklärungen möglichst immer in der Mitte des Bildschirms zu platzieren, ohne dabei aber die prinzipielle Nutzung der Website auch ohne Entscheidung zu verhindern, was ebenfalls nicht zulässig wäre - die Entscheidung darf nicht "erzwungen" werden.

Welcher Inhalt des Cookie-Banners ist optimal?

Wenn nun also die Entscheidung zur Datenverarbeitung möglichst bald fallen soll, ist die Versuchung groß, den Cookie-Banner so zu gestalten, dass die Zustimmung zur Datenverarbeitung leichter fällt, als der Opt-Out. Doch auch das ("Nudging" durch sogenannte "Dark Design-Patterns") verbietet die DSGVO. Der Besucher darf nicht durch kaum wahrnehmbare psychologische Tricks in die Richtung einer Entscheidung gedrängt werden.

Der Gestaltung des Cookie-Banners sind damit recht enge Grenzen gesetzt:

  • Gleichwertige Ablehnmöglichkeit: "Einstellungen"- und "Ablehnen"-Button dürfen nicht völlig anders und kaum sichtbar gestaltet werden, während der "Alles Akzeptieren"-Button besonders deutlich hervorgehoben ist.
  • Verzerrte Entscheidungsfindung: Die Gestaltung des Banners darf die Nutzer nicht in Richtung "Akzeptieren" lenken.
  • Missverständliche Schließfunktion: Das "X" zum Schließen des Banners darf nicht als als "Akzeptieren & Schließen" interpretiert und damit die Datenverarbeitung legitimiert werden.

Ein deutsches Gericht stellte Anfang 2024 gegenüber einer großen Online-Wetterplattform fest, dass die mit dem Cookie-Banner eingeholten Entscheidungen ungültig sind, wenn die Bannergestaltung zu stark von den obigen Anforderungen abweicht.

Die Nutzer müssen also transparent über die Verwendung von Cookies informiert werden. Best-Practices dafür:

  • Wichtig: Cookies erst nach der Zustimmung setzen!
  • Funktionstüchtigkeit der Website auch bei Cookie-Ablehnungen so weit wie möglich aufrecht erhalten
  • Möglichkeit bieten, sich generell für oder gegen das Setzen von Cookies zu entscheiden ("Wenn Sie unsere Website nutzen, gehen wir von Ihrer zustimmung aus" ist verboten!)
  • Cookies individuell ablehnbar machen
  • Transparente Information für die Nutzer zur Datenverarbeitung: was wird verarbeitet, warum, von wem, wo?
  • Wording: verständlich, explizit und positiv geframed ("Damit helfen Sie uns…" statt "Wenn Sie nicht zustimmen…")
  • Links zu Widerrufs- und Datenschutzseite anbieten
  • Falls nötig, nachträgliche/zusätzliche Zustimmung zur Einbindung externer Inhalte z.B. GoogleMaps, Facebook, YouTube Videos) einholen (und natürlich vorher blockieren!)
  • Erneuerung des Consents (zB. Banner auch bei Zustimmung jährlich wieder aktivieren)

Wie geht korrektes "Consent-Management"?

Was sich in der Theorie zuerst recht einfach anhörte, ist technisch viel aufwändiger als vermutet und lässt sich in der Regel nur über "Consent-Management-Tools" oder "Cookie-Consent-Manager" von Drittanbietern lösen, die natürlich selbst ebenfalls DSGVO-konform sein müssen. Viele US-Lösungen scheiden damit automatisch aus. interact!multimedia betreibt für seine Kunden genau so eine DSGVO-konforme Cookie-Consent-Lösung.