Die guten alten Cookiebanner & das EuGH-Urteil

Wir alle kennen sie noch: Die kleinen Pop-Up-Banner, die uns beim Aufrufen einer Webseite direkt mit Mitteilungen wie „Welcome to our site. We use cookies!“ begr├╝├čt haben.

Was haben wir dann immer automatisiert getan? Wir haben den einzigen Button angeklickt, den wir weit und breit finden konnten, damit dieser uns von dem Pop-up-Fenster erl├Âst und wir auf der Webseite auch wieder etwas sehen k├Ânnen.

Die kleinen Schaltfl├Ąchen hie├čen dabei meistens „Okay“ oder „Got it“. Einem Button mit der Bezeichnung „Noooooo, I don’t want your cookies!“ sind wir hingegen nie begegnet.

Diese Zeiten sind seit Oktober 2019 vorbei. Am 01.10.2019 hat der Europ├Ąische Gerichtshof (EuGH) in seinem Urteil die Speicherung von Cookies ohne vorherige Einwilligung der Nutzer f├╝r unzul├Ąssig erkl├Ąrt. Somit ist die alleinige Information ├╝ber die Speicherung von Cookies (wie bisher auf Grundlage des Telemediengesetzes zul├Ąssig) nicht ausreichend. Vielmehr muss dem Nutzer auch die M├Âglichkeit gegeben werden, die Zustimmung zu verweigern. Somit sind alle bisher bekannten (rein informativen) Cookie-Banner unzul├Ąssig.

Die wichtigsten Anforderungen an einen g├╝ltigen Cookiebanner sind u.a.:

  • Grunds├Ątzliche Deaktivierung aller Cookies bis zur Einwilligung durch den Nutzer. Es d├╝rfen vorab keine Cookies gesetzt sein!
  • Aufkl├Ąrung ├╝ber gesetzte Cookies vor der Einwilligung: Information des Webseiten-Besuchers welche Cookies, zu welchem Zweck gesetzt werden und wielange diese gespeichert werden. Wesentliche Angaben sind hier: Cookiename, Anbieter des Cookies, Zweck des Cookies, Cookie-Laufzeit bzw. Speicherdauer und der Cookie-Typ.
  • ├ťbersichtliche Darstellung / Kategorisierung / Offenlegung: Die Cookies sind ├╝bersichtlich und transparent in verschiedenen Rubriken darzustellen (technisch-notwendige Cookies, Marketingcookies, Pr├Ąferenzcookies, Statistikcookies und nicht klassifizierte Cookies).
  • Anforderungen an die technische / grafische Umsetzung eines Cookie-Consent-Manager m├╝ssen erf├╝llt sein: Ablehnen / Deaktivierung der Cookies muss m├Âglich sein (Button muss vorhanden sein), individuelle Selektion der Cookies muss m├Âglich sein (Schaltfl├Ąchen zum An- und Abw├Ąhlen der Cookies) und das Design des Cookiebanners als solches muss diese M├Âglichkeiten offenlassen.

Sind die Minimalanforderungen nicht ausreichend bedient, kann ├╝ber den Cookiemanager auch keine informierte und g├╝ltige Einwilligung erfolgen. Die verbindliche Rechtsgrundlage stellt hier der Art. 6 Abs. 1 lit. a DSGVO dar. Auch stellt der EuGH deutlich klar, dass selbst bei pseudonymisierten Cookies eine vorherige Einwilligung erforderlich ist.

Auf dem Vormarsch: Ausbreitung der Cookie-Consent-Manager

Vereinzelt findet man auch heute noch die veralteten, unrechtm├Ą├čigen Cookiebanner. Allerdings steigt die Anzahl der Begegnungen mit den neuen Cookie-Consent-Managern (z.B. Cookiebot, Borelabs, CookieFirst). Die Banner werden also zunehmend informierter, was zur Folge hat, dass vermehrt Nutzer das Tracking ablehnen.

Vor allem die Werbeindustrie wurde durch das Cookie-Urteil des EuGH schwer getroffen, weil sich die Nutzer nun nicht mehr ohne weiteres tracken lassen. Eine Untersuchung hat ergeben, dass weniger als die H├Ąlfte der Nutzer ihre Zustimmung in die Cookiesetzung gibt.

Die Werbebranche hat auf eine neue ePrivacy-Richtlinie spekuliert, die die Regeln etwas aufweicht. Dies hat sich aber nicht erf├╝llt. Auch bangen Werbetreibende um ihre gro├čen Datenbest├Ąnde ├╝ber ihre Kundschaft und Zielgruppen, die sie sich ├╝ber Jahre hinweg aufgebaut haben. Ist dies nun alles nichts mehr wert, weil nichts mehr genutzt werden darf?

Google und Facebook legen Sch├Ątzungen vor, die besagen, dass unpersonalisierte Werbung die H├Ąlfte der Werbeums├Ątzen kosten k├Ânnte. Was nun also tun, wenn personalisierte Werbung das Tagesgesch├Ąft ist?

Cookiecalypse: Ohne Cookies „verhungert“ die Werbeindustrie

Das Thema Cookies wurde k├╝rzlich intensiv auf dem sogenannten ÔÇ×Online Ad SummitÔÇť des Branchenverbandes BVDW diskutiert. Insbesondere die Browser-Anbieter stellen mittlerweile ein ernstzunehmendes Problem dar. So will z.B. Google im Jahr 2020 die Third-Party-Cookies in Chrome deaktivieren lassen. Und auch von anderen Browsern wie z.B. Apple Safari und Mozilla Firefox sollen Third-Party-Cookies vermehrt abgelehnt werden. Bei Third-Party-Cookies handelt es sich um Cookies von Drittanbietern, die Werbung auf der vom Nutzer aktuell besuchten Seite schalten.

Hier reagiert bereits die Adtech-Branche mit der Entwicklung von Ma├čnahmen, die dem L├Âschen der Cookies entgegen wirken sollen (z.B. durch einen Einsatz von Browser-Fingerprinting, Tracking-Ma├čnahmen auf First-Party-Cookies, etc.).

Auch der Google Manager Holm M├╝nstermann hat an der Online Ad Summit teilgenommen und ├Ąu├čerte sich zu der Thematik insofern, als dass der Third-Party-Cookie erst dann abgeschafft werden soll, wenn es L├Âsungen f├╝r die Werbebranche gibt. Dennoch best├Ątigte er aber auch, dass Google Chrome Ma├čnahmen gegen das Browser-Fingerprinting ergreifen wird, um zu unterbinden, dass Nutzer identifiziert und verfolgt werden k├Ânnen.

Die Werbebranche sucht nach L├Âsungen

Welche M├Âglichkeiten hat die Werbebranche nun, um Ihre Anzeigen an den passenden Kunden heranzutragen?

1. Designfalle Cookiebanner

Der erste Weg ging ├╝ber die Gestaltung der Cookie-Banner. Dazu wurde versucht den Cookiebanner innerhalb der Vorgaben grafisch so anzupassen, dass die Wahrscheinlichkeit einer Zustimmung durch den Nutzer wieder steigt:

  • Ablehnen-Button wird im Designprozess immer weiter versteckt / kleiner gemacht
  • un├╝bersichtliche Gestaltung der Options-Men├╝s
  • Hervorheben der Zustimmungs-Buttons durch Form, Gr├Â├če und Farbe

Durch diese Ma├čnahmen konnten in Tests Zustimmungsraten von bis zu 80% erreicht werden. Allerdings f├╝hren diese „Designfallen“ auch dazu, dass man ggf. nicht mehr von einer informierten Einwilligung sprechen kann oder dass die optische Aufmachung als T├Ąuschung bewertet werden kann. Aus diesem Grund schwenken immer mehr Medien auf das sogenannte „PUR-Abonnement“ um.

2. PUR-Abbonnement

Ein bekanntes Beispiel daf├╝r ist der Onlineauftritt des Spiegels. Hier haben die Nutzer die folgende Wahl:

  • Weiter mit Werbung lesen: Besuchen Sie SPIEGEL.de wie gewohnt mit Werbung und ├╝blichem Tracking.“ oder
  • PUR-Abo abschlie├čen: Nutzen Sie uns ganz ohne Werbetracking und praktisch werbefrei. ÔéČ4,99/Monat, f├╝r Kunden von SPIEGEL+ ÔéČ1,99.“

Ganz salopp gesagt: Zahlen Sie mit Daten oder mit Geld?

Dabei ergeben sich erstaunliche Zahlen: Beim Spiegel zahlt tats├Ąchlich eine f├╝nfstellige Anzahl von Lesern f├╝r die Werbefreiheit. Die eigene Privatsph├Ąre ist den Nutzern folglich bares Geld wert.

3. Kontextbasierte Werbung

Der dritte Weg, der nun von der Werbebrache eingeschlagen wird ist die „kontextbasierte Werbung“. Hierbei richten sich die ausgespielten Werbeanzeigen nach den Inhalten, die sich ein Nutzer gerade im Browser anschaut. Ist z.B. Frau M├╝ller gerade auf einer Seite f├╝r Sportbekleidung werden ihr Werbeanzeigen f├╝r gesundes Essen und Fitnessprodukte angezeigt. Die Werbeanzeigen leiten sich also immer aus dem ab, was gerade vom Nutzer betrachtet wird.

Zeit f├╝rs Umdenken?

Langfristig betrachtet wird es f├╝r die Werbetreibenden immer schwerer werden Daten von den Nutzern zu bekommen. Da um eine informierte Einwilligung kein Weg mehr drum herum f├╝hrt, ist vielleicht ein anderer gedanklicher Ansatz interessant:

Im heise-Artikel „Online Ad Summit: Was tun ohne Cookies?“ (siehe Quellenangabe) ├Ąu├čert der Autor den Gedanken, dass es eventuell an der Zeit ist, sich um ein neues Vertrauensverh├Ąltnis zu den Endnutzern zu bem├╝hen. Eventuell m├╝ssen sich Daten nicht erschlichen werden, wenn ein Nutzer auf Grundlage wirklicher Transparenz der Werbe-Datenverarbeitung zustimmt.

Diese M├Âglichkeit sollte von den Werbetreibenden ├╝berdacht und eventuell als Punkt 4. in Hinblick auf die „Cookiecalypse“ ├╝bernommen werden.

Quelle f├╝r diesen Blogpost: Artikel „Online Ad Summit: Was tun ohne Cookies?“ , abgerufen am 24.09.2020 unter https://www.heise.de/news/Online-Ad-Summit-Was-tun-ohne-Cookies-4909399.html

F├╝r weiterf├╝hrende Informationen zum Thema „Cookie-Urteil“ und „Cookie-Consent-Manager“ k├Ânnen wir Ihnen die folgenden Quellen empfehlen:

  • EuGH-Urteil zum Einsatz von Cookies: http://curia.europa.eu/juris/document/document.jsf;jsessionid=C130E2A4FFF5A1FBB80BFDC810BB21B6?text=&docid=218462&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=1500746
  • Artikel „Keine Cookies ohne Zustimmung“: https://www.heise.de/newsticker/meldung/EuGH-Keine-Cookies-ohne-Zustimmung-4543630.html