Die guten alten Cookiebanner & das EuGH-Urteil
Wir alle kennen sie noch: Die kleinen Pop-Up-Banner, die uns beim Aufrufen einer Webseite direkt mit Mitteilungen wie „Welcome to our site. We use cookies!“ begrüßt haben.
Was haben wir dann immer automatisiert getan? Wir haben den einzigen Button angeklickt, den wir weit und breit finden konnten, damit dieser uns von dem Pop-up-Fenster erlöst und wir auf der Webseite auch wieder etwas sehen können.
Die kleinen Schaltflächen hießen dabei meistens „Okay“ oder „Got it“. Einem Button mit der Bezeichnung „Noooooo, I don’t want your cookies!“ sind wir hingegen nie begegnet.
Diese Zeiten sind seit Oktober 2019 vorbei. Am 01.10.2019 hat der Europäische Gerichtshof (EuGH) in seinem Urteil die Speicherung von Cookies ohne vorherige Einwilligung der Nutzer für unzulässig erklärt. Somit ist die alleinige Information über die Speicherung von Cookies (wie bisher auf Grundlage des Telemediengesetzes zulässig) nicht ausreichend. Vielmehr muss dem Nutzer auch die Möglichkeit gegeben werden, die Zustimmung zu verweigern. Somit sind alle bisher bekannten (rein informativen) Cookie-Banner unzulässig.
Die wichtigsten Anforderungen an einen gültigen Cookiebanner sind u.a.:
- Grundsätzliche Deaktivierung aller Cookies bis zur Einwilligung durch den Nutzer. Es dürfen vorab keine Cookies gesetzt sein!
- Aufklärung über gesetzte Cookies vor der Einwilligung: Information des Webseiten-Besuchers welche Cookies, zu welchem Zweck gesetzt werden und wielange diese gespeichert werden. Wesentliche Angaben sind hier: Cookiename, Anbieter des Cookies, Zweck des Cookies, Cookie-Laufzeit bzw. Speicherdauer und der Cookie-Typ.
- Übersichtliche Darstellung / Kategorisierung / Offenlegung: Die Cookies sind übersichtlich und transparent in verschiedenen Rubriken darzustellen (technisch-notwendige Cookies, Marketingcookies, Präferenzcookies, Statistikcookies und nicht klassifizierte Cookies).
- Anforderungen an die technische / grafische Umsetzung eines Cookie-Consent-Manager müssen erfüllt sein: Ablehnen / Deaktivierung der Cookies muss möglich sein (Button muss vorhanden sein), individuelle Selektion der Cookies muss möglich sein (Schaltflächen zum An- und Abwählen der Cookies) und das Design des Cookiebanners als solches muss diese Möglichkeiten offenlassen.
Sind die Minimalanforderungen nicht ausreichend bedient, kann über den Cookiemanager auch keine informierte und gültige Einwilligung erfolgen. Die verbindliche Rechtsgrundlage stellt hier der Art. 6 Abs. 1 lit. a DSGVO dar. Auch stellt der EuGH deutlich klar, dass selbst bei pseudonymisierten Cookies eine vorherige Einwilligung erforderlich ist.
Auf dem Vormarsch: Ausbreitung der Cookie-Consent-Manager
Vereinzelt findet man auch heute noch die veralteten, unrechtmäßigen Cookiebanner. Allerdings steigt die Anzahl der Begegnungen mit den neuen Cookie-Consent-Managern (z.B. Cookiebot, Borelabs, CookieFirst). Die Banner werden also zunehmend informierter, was zur Folge hat, dass vermehrt Nutzer das Tracking ablehnen.
Vor allem die Werbeindustrie wurde durch das Cookie-Urteil des EuGH schwer getroffen, weil sich die Nutzer nun nicht mehr ohne weiteres tracken lassen. Eine Untersuchung hat ergeben, dass weniger als die Hälfte der Nutzer ihre Zustimmung in die Cookiesetzung gibt.
Die Werbebranche hat auf eine neue ePrivacy-Richtlinie spekuliert, die die Regeln etwas aufweicht. Dies hat sich aber nicht erfüllt. Auch bangen Werbetreibende um ihre großen Datenbestände über ihre Kundschaft und Zielgruppen, die sie sich über Jahre hinweg aufgebaut haben. Ist dies nun alles nichts mehr wert, weil nichts mehr genutzt werden darf?
Google und Facebook legen Schätzungen vor, die besagen, dass unpersonalisierte Werbung die Hälfte der Werbeumsätzen kosten könnte. Was nun also tun, wenn personalisierte Werbung das Tagesgeschäft ist?
Cookiecalypse: Ohne Cookies „verhungert“ die Werbeindustrie
Das Thema Cookies wurde kürzlich intensiv auf dem sogenannten „Online Ad Summit“ des Branchenverbandes BVDW diskutiert. Insbesondere die Browser-Anbieter stellen mittlerweile ein ernstzunehmendes Problem dar. So will z.B. Google im Jahr 2020 die Third-Party-Cookies in Chrome deaktivieren lassen. Und auch von anderen Browsern wie z.B. Apple Safari und Mozilla Firefox sollen Third-Party-Cookies vermehrt abgelehnt werden. Bei Third-Party-Cookies handelt es sich um Cookies von Drittanbietern, die Werbung auf der vom Nutzer aktuell besuchten Seite schalten.
Hier reagiert bereits die Adtech-Branche mit der Entwicklung von Maßnahmen, die dem Löschen der Cookies entgegen wirken sollen (z.B. durch einen Einsatz von Browser-Fingerprinting, Tracking-Maßnahmen auf First-Party-Cookies, etc.).
Auch der Google Manager Holm Münstermann hat an der Online Ad Summit teilgenommen und äußerte sich zu der Thematik insofern, als dass der Third-Party-Cookie erst dann abgeschafft werden soll, wenn es Lösungen für die Werbebranche gibt. Dennoch bestätigte er aber auch, dass Google Chrome Maßnahmen gegen das Browser-Fingerprinting ergreifen wird, um zu unterbinden, dass Nutzer identifiziert und verfolgt werden können.
Die Werbebranche sucht nach Lösungen
Welche Möglichkeiten hat die Werbebranche nun, um Ihre Anzeigen an den passenden Kunden heranzutragen?
1. Designfalle Cookiebanner
Der erste Weg ging über die Gestaltung der Cookie-Banner. Dazu wurde versucht den Cookiebanner innerhalb der Vorgaben grafisch so anzupassen, dass die Wahrscheinlichkeit einer Zustimmung durch den Nutzer wieder steigt:
- Ablehnen-Button wird im Designprozess immer weiter versteckt / kleiner gemacht
- unübersichtliche Gestaltung der Options-Menüs
- Hervorheben der Zustimmungs-Buttons durch Form, Größe und Farbe
Durch diese Maßnahmen konnten in Tests Zustimmungsraten von bis zu 80% erreicht werden. Allerdings führen diese „Designfallen“ auch dazu, dass man ggf. nicht mehr von einer informierten Einwilligung sprechen kann oder dass die optische Aufmachung als Täuschung bewertet werden kann. Aus diesem Grund schwenken immer mehr Medien auf das sogenannte „PUR-Abonnement“ um.
2. PUR-Abbonnement
Ein bekanntes Beispiel dafür ist der Onlineauftritt des Spiegels. Hier haben die Nutzer die folgende Wahl:
- „Weiter mit Werbung lesen: Besuchen Sie SPIEGEL.de wie gewohnt mit Werbung und üblichem Tracking.“ oder
- „PUR-Abo abschließen: Nutzen Sie uns ganz ohne Werbetracking und praktisch werbefrei. €4,99/Monat, für Kunden von SPIEGEL+ €1,99.“
Ganz salopp gesagt: Zahlen Sie mit Daten oder mit Geld?
Dabei ergeben sich erstaunliche Zahlen: Beim Spiegel zahlt tatsächlich eine fünfstellige Anzahl von Lesern für die Werbefreiheit. Die eigene Privatsphäre ist den Nutzern folglich bares Geld wert.
3. Kontextbasierte Werbung
Der dritte Weg, der nun von der Werbebrache eingeschlagen wird ist die „kontextbasierte Werbung“. Hierbei richten sich die ausgespielten Werbeanzeigen nach den Inhalten, die sich ein Nutzer gerade im Browser anschaut. Ist z.B. Frau Müller gerade auf einer Seite für Sportbekleidung werden ihr Werbeanzeigen für gesundes Essen und Fitnessprodukte angezeigt. Die Werbeanzeigen leiten sich also immer aus dem ab, was gerade vom Nutzer betrachtet wird.
Zeit fürs Umdenken?
Langfristig betrachtet wird es für die Werbetreibenden immer schwerer werden Daten von den Nutzern zu bekommen. Da um eine informierte Einwilligung kein Weg mehr drum herum führt, ist vielleicht ein anderer gedanklicher Ansatz interessant:
Im heise-Artikel „Online Ad Summit: Was tun ohne Cookies?“ (siehe Quellenangabe) äußert der Autor den Gedanken, dass es eventuell an der Zeit ist, sich um ein neues Vertrauensverhältnis zu den Endnutzern zu bemühen. Eventuell müssen sich Daten nicht erschlichen werden, wenn ein Nutzer auf Grundlage wirklicher Transparenz der Werbe-Datenverarbeitung zustimmt.
Diese Möglichkeit sollte von den Werbetreibenden überdacht und eventuell als Punkt 4. in Hinblick auf die „Cookiecalypse“ übernommen werden.
Quelle für diesen Blogpost: Artikel „Online Ad Summit: Was tun ohne Cookies?“ , abgerufen am 24.09.2020 unter https://www.heise.de/news/Online-Ad-Summit-Was-tun-ohne-Cookies-4909399.html
Für weiterführende Informationen zum Thema „Cookie-Urteil“ und „Cookie-Consent-Manager“ können wir Ihnen die folgenden Quellen empfehlen:
- EuGH-Urteil zum Einsatz von Cookies: http://curia.europa.eu/juris/document/document.jsf;jsessionid=C130E2A4FFF5A1FBB80BFDC810BB21B6?text=&docid=218462&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=1500746
- Artikel „Keine Cookies ohne Zustimmung“: https://www.heise.de/newsticker/meldung/EuGH-Keine-Cookies-ohne-Zustimmung-4543630.html