Cookie Consent war bis vor kurzem noch ein Insider-Begriff für Digital-Marketer, hat aber durch die Pflicht, Nutzern aktiv ein Einverständnis für die Nutzung von Cookies bei jedem Websiten-Besuch abzufordern, an Sichtbarkeit gewonnen wie kaum ein anderes Thema in der Branche. Die Art und Weise, wie Consent erhoben wird und werden muß, ist Basis kontroverser Diskussionen.

Und dennoch ist Cookie Consent Management ein wichtiges Thema. Oftmals halbherzig durchgeführt, wird hier die Grundlage dafür gelegt, welche Marketing Tools überhaupt zum Einsatz kommen können und welche Datengrundlage Unternehmen für die Verbesserung der User Experience verwenden dürfen. Best practises, Empfehlungen, Dos und Don’ts werden in unserer zweiteiligen Blogreihe zu diesem Thema von aufgezeigt.

Definition Cookie Consent Management

Was sind Cookies?

Cookies begegnen uns auf jeder Webseite und in zahllosen mobilen Applikationen. Für User sind sie häufig nicht wahrnehmbar – für Martech- und Adtech-Anwender aber ein wesentlicher Baustein in der täglichen Arbeit. Generell werden Cookies verwendet, um Informationen auf dem Endgerät eines Users zu speichern und wieder abrufbar zu machen. Das reicht von der Abspeicherung von Einstellungen auf der Seite bis hin zu IDs zur Wiedererkennung von Usern. Dadurch werden Standardanwendungen wie Web Analyse, Targeting, Mediaeinkauf, Attribution und eben userzentrierte Kommunikation überhaupt erst möglich. Wo ich keinen User erkennen kann, kann ich auch nicht mit ihm kommunizieren.

Letzteres ist Datenschützern und Browserherstellern ein Dorn im Auge, da diese Art von IDs (und daneben auch die IP-Adresse des Users) als personenbezogene Information gewertet werden muss. Die Motivation ist dabei nicht zwangsläufig die Gleiche. Während der Gesetzgeber und die Datenschutzverantwortlichen vor allem durch Datensparsamkeit, Transparenz und abgefragten Einwilligungen den vormals aus dem Ruder gelaufenen Praktiken der Datenweitergabe einen Riegel vorschieben wollen, sehen Browserentwickler sich in einem Wettrennen um die Wahrnehmung als „Browser mit stärkstem Datenschutz“. Dass dabei möglicherweise Wettbewerbsvorteile für eigene „Walled Garden“ Werbeökosysteme geschaffen werden, geht in der öffentlichen Wahrnehmung allerdings unter. So oder so: als Webseitenbetreiber stehen wir der Herausforderung gegenüber, einerseits eine rechtssichere Abfrage der Einverständnisse des Users zu etablieren, andererseits aber unser Ökosystem weiterhin so einzurichten, dass wir maximalen Impact unseres digitalen Auftritts sicherstellen können.

Wir stehen der Herausforderung gegenüber, einerseits eine rechtssichere Abfrage der Einverständnisse
des Users zu etablieren, andererseits aber unser Ökosystem weiterhin so einzurichten,
dass wir maximalen Impact unseres digitalen Auftritts sicherstellen können.

Welche Kategorien von Cookies gibt es?

Zum formalen Teil: Cookies lassen sich anhand mehrerer Merkmale in Kategorien einteilen. Dies ist wichtig für die weitere Beurteilung und die Gestaltung des Cookie Consent Managements.
Auf erster Gliederungsebene steht die Domain, für die Cookies gesetzt werden. Hier unterscheiden sich First Party Cookies (die auf die eigene Domain der Seite gesetzt werden) und Third Party Cookies (die für die Domain einer Drittpartei geschrieben werden).

Die nächste wichtige Kategorisierungsebene ist – getrieben vom rechtlichen Rahmen – der Verwendungszweck von Cookies. Hierzu zählen beispielhaft:

  • Notwendige Cookies zum Betrieb der Seite
  • Cookies zu Analysezwecken
  • Cookies zu Werbezwecken
  • Cookies zur Integration von Social Media Plattformen
  • Cookies zu Personalisierungszwecken
  • Cookies zur Websiteperformance und -funktionalität

Was ist Cookie Consent Management?

Cookie Consent Management ist ein Oberbegriff über Technologien, Prozesse und bereitgestellten Informationen und (technische und organisatorische) Funktionen zur Sicherstellung der rechtskonformen und sicheren Speicherung, Interpretation und Umsetzung der Einwilligung eines Users zur Verwendung von Cookies innerhalb von Webseiten.

Die Ausgestaltung des Cookie Consent Managements ist dementsprechend unumgänglich mit den relevanten lokalen Gesetzgebungen verknüpft. Nichtsdestotrotz gibt es sowohl in Bezug auf die User Experience als auch auf die organisatorische Ausgestaltung der Backendprozesse zahlreiche Gestaltungsoptionen, die maßgeblich beeinträchtigen, wie effektiv am Ende der Einsatz von Technologien auf der Webseite ausgestaltet werden kann.

Welche Arten von Cookie Consent gibt es?

Generell haben sich am Markt drei bzw. vier Arten von „Cookie Consent“ etabliert, die man in verschiedenen Formen und in teilweise kreativen Darstellungen im Netz finden kann:

    • Den Standard Cookie Banner

Dieser kann begründet sein durch den lokalen Rechtsrahmen, den Verzicht auf entsprechende Technologien oder durch Unkenntnis des Betreibers.

    • Den Verzicht auf jedweden Hinweis

Durch den Hinweis „Diese Seite verwendet Cookies“ soll dem Nutzer transparent gemacht werden, dass die Technologie hier Anwendung findet. Der Klick auf einen entsprechenden Button blendet den Hinweis aus.

    • Den Cookie OptOut

Der User sieht den Hinweis „Diese Seite verwendet Cookies“ ergänzt um eine Möglichkeit, der Verwendung von Cookies zu widersprechen über einen Button oder den Link zu einer Zielseite.

    • Den Cookie OptIn

Der User erhält den Hinweis „Diese Seite möchte Cookies verwenden“ ergänzt um die Bitte, diesen Einsatz durch Klick auf einen Button zu genehmigen.

Im Rahmen der am Markt etablierten OptOut- und OptIn-Lösungen wird immer häufiger auch eine Detaillierung der Zustimmung bzw. Ablehnung angeboten, bspw. nach Cookie-Kategorie oder auf Ebene der einzelnen Services / Provider.

Warum braucht es ein Cookie Consent Management?

Anforderungen DSGVO an Cookie Consent Management

Durch die DSGVO und Entscheidungen des EuGH gilt derzeit nach einhelliger Meinung die Notwendigkeit, dass User innerhalb des Geltungsbereichs der DSGVO explizit der Verwendung von Cookies zustimmen müssen (sogenannte OptIn-Lösung). Konkretisiert wurde das im Rahmen des „Planet49“-Urteils aus dem Oktober 2019. Seither herrscht viel Hektik rund um das Thema Cookies und Einverständnis (Consent). Die Verwendung eines OptIns als Rahmenbedingung wird überwiegend von Verantwortlichen gefordert und setzt sich auch in der Praxis inzwischen durch.

Daneben wird in vielen Fällen auch heute noch etwas stiefmütterlich behandelt, was eigentlich nach Mai 2018 mit der Einführung der DSGVO zum Standard gehören sollte: nicht nur die Frage nach dem Consent eines Users gehört zum Thema Cookie Management, sondern auch die Etablierung interner Freigabeprozesse sowie der Abschluss von Vereinbarungen zur Auftragsdatenverarabeitung mit den jeweiligen Anbietern. Denn rein rechtlich gesehen werden mit der IP-Adresse, Cookie IDs etc. personenbezogene Daten an eine dritte Partei weitergegeben.

Anforderungen CCPA an Cookie Consent Management

Wie auch die DSGVO hat die CCPA (California Consumer Privacy Act) eine extraterritoriale Gültigkeit. Das bedeutet auch für Unternehmen außerhalb Kaliforniens, dass sie die daraus resultierenden Datenschutzanforderungen erfüllen müssen, wenn sie innerhalb Kaliforniens tätig werden. Umso schwieriger ist es an dieser Stelle, die teils nicht eindeutigen Anforderungen des CCPA auch tatsächlich auf den eigenen Websiteauftritt zu übertragen.

Neben den Auskunfts- und Löschrechten, die jedem User nach CCPA in unterschiedlichen Formen zustehen, ist für den Betrieb einer Webseite insbesondere der Umgang mit Cookies von Bedeutung. Im Falle des CCPA ist dabei die Vorgabe die Einrichtung einer jederzeit für einen User verfügbaren Widerspruchsmöglichkeit für die Verwendung von Cookies (sog. OptOut-Lösung).

Was sind die Business Potenziale von Cookie Consent Management

Neben den allseits diskutieren rechtlichen Konsequenzen, was passieren kann, wenn Consent Management nicht oder nicht richtig umgesetzt wird, gibt es zahlreiche Chancen und Risiken, die weniger bekannt sind (s. Graphik).


Abb.: Business Impacts of Managing Cookie Consent correctly, Smart Digital 2020

Was Unternehmen tun können, um Cookie Consent Management richtig umzusetzen und damit die aufgezeigten Vorgaben zu erfüllen und gleichzeitig Business Potenziale zu heben, erläutern wir im Teil 2 des Blogs.

Photo: Castorly Stock| Pexels