Consent Management: Tipps für Website-Betreiber

Consent Management

Für Website-Betreiber sind es unruhige Zeiten. Spätestens im Mai 2018 hatten sie jede Menge zu tun, um die Vorgaben der europäischen Datenschutz-Grundverordnung (DSGVO) zu erfüllen, wenn sie keine hohen Bußgelder riskieren wollten. Im Oktober 2019 urteilte der Europäische Gerichtshof (EuGH): Das Setzen von Cookies erfordert die aktive Einwilligung des Internetnutzers. Doch was bedeutet das?

Einfache Cookie-Banner genügen nicht mehr

Mit dem Urteil des Europäischen Gerichtshofes reicht es nicht mehr aus, auf der Website nur mit einem Banner auf die verwendeten Cookies hinzuweisen. Beispielsweise hieß es oft: „Diese Website nutzt Cookies. Mit der Nutzung dieser Website erklären Sie sich damit einverstanden.“ Eine Einwilligung durch Weitersurfen ist nach Ansicht des EuGH ebenso nicht mehr rechtmäßig, wie ein Opt-out, bei dem der Nutzer technisch nicht notwendige Cookies explizit ablehnen muss.

Was sind Cookies?

Cookies sind Textdateien, die auf dem Rechner des Nutzers gespeichert werden. Sie ermöglichen zum Beispiel, dass Sprach- und Standorteinstellungen erhalten oder Produkte im Warenkorb bleiben. Dies sind sogenannte First-Party-Cookies, die auf der eigenen Domain gespeichert werden. Third-Party-Cookies werden dagegen auf einer fremden Domain gespeichert.

Auf Nummer sicher gehen mit Consent Management

Alles rechtlich eindeutig? Nicht ganz. Eigentlich ist das Thema Cookies bzw. Tracking in Deutschland im Telemediengesetz geregelt. Dieses Gesetz gilt jedoch als veraltet und nicht vereinbar mit der Datenschutz-Grundverordnung. Die sogenannte E-Privacy-Verordnung (auch als Cookie-Richtlinie bekannt) sollte eigentlich parallel zur DSGVO in Kraft treten, aber die Länder konnten sich bis zuletzt nicht auf einen gemeinsamen Entwurf einigen. Und die deutsche Entscheidung zu dem Urteil des Europäischen Gerichtshofes steht immer noch aus. Klar ist aber auch: Auf Nummer sicher gehen Website-Betreiber, wenn sie sich von Internetnutzern die aktive Einwilligung einholen, dass nicht notwendige Cookies gesetzt werden. Zum Einsatz kommen hier sogenannte Consent Management Tools.

Was sind Consent Management Tools?

Consent Management Tools sind Skripte, die auf einer Website implementiert werden. Sie sorgen dafür, dass bestimmte Cookies erst nach Setzen eines Häkchens aktiv werden. Gleichzeitig informieren sie über die verwendeten Cookies und dokumentieren, was der Nutzer ausgewählt hat. Es ist üblich, die Cookies nach Gruppen zu sortieren, bsp. in „Funktional“, „Statistik“ und „Marketing“.

Was ist beim Consent Management zu beachten?

Ruft der Nutzer eine Website auf, dürfen zunächst nur technisch notwendige Cookies gesetzt werden.
Es muss ein Banner auf der Website eingeblendet werden, welches den Nutzer über die Cookies informiert. Analyse- oder Werbe-Cookies dürfen erst dann aktiv werden, wenn der Nutzer ausdrücklich zustimmt (Opt-in).
Der Nutzer muss die Möglichkeit haben, seine Zustimmung zu widerrufen. Gleichzeitig muss seine Auswahl dokumentiert werden.
Der Link zum Datenschutz sollte weiterhin sichtbar sein und nicht verdeckt werden.

Für welche Cookies brauchen Sie die explizite Einwilligung der Nutzer?

Verwenden Sie auf Ihrer Website nur technisch notwendige Cookies, brauchen Sie kein Consent Management. Keine Einwilligung des Nutzers brauchen Sie beispielsweise für die oben erwähnten Warenkorb-Cookies:

User-Input-Cookies (Session-ID) für die Dauer einer Sitzung
Authentifizierungscookies, nachdem sich der Nutzer angemeldet hat
Nutzerorientierte Sicherheitscookies zur Gefahrenabwehr
Multimedia-Player-Sitzungscookies für die Dauer einer Sitzung
Lastverteilungscookies (Verteilung auf Serverpool)
Persistente Cookies (Spracheinstellung, Suchergebnis für die Dauer einer Sitzung)

Ohne diese Cookies würde Ihre Website nicht funktionieren. Nicht notwendig sind dagegen Cookies, die Daten Ihrer Nutzer erheben, um zum Beispiel gezielt Werbung auszuspielen. Eine explizite Einwilligung des Internetnutzers brauchen Sie für:

Analyse-Cookies
Werbe-Cookies
Social-Plugins
Videos
Kartendienste

Welches Consent Management Tool für welche Website?

Es gibt zahlreiche Anbieter für Consent Management Tools. Die Preise variieren und hängen von den Anforderungen ab, bzw. ob und welches Content Management System (CMS) verwendet wird. Wir von heise regioconcept verwenden für unsere WordPress-Seiten Borlabs Cookie und haben damit gute Erfahrungen gemacht. Ein alternativer Anbieter für WordPress ist Cookiebot. Der CCM19 Consent Manager lässt sich für alle CMS und Online Shops verwenden. Unsere Kollegen von heise online setzen auf die Lösung von Usercentrics, die im Vergleich mehr kostet, dafür noch mehr individuelle Anpassungen erlaubt. Praktisch: Die Contao Marketing Suite hat bereits eine Cookie-Opt-in-Lösung an Bord. Für die meisten unserer Kunden, die eine Heise Homepage haben, haben wir die neuen Cookie-Hinweise bereits umgesetzt. In Ausnahmefällen ist nur eine Neugestaltung möglich.

Beispiel für Cookie Consent Management einer Heise Homepage

Passen Sie Ihre Datenschutzerklärung an

Der Einsatz eines Content Management Tools gilt als technisch notwendig, für den Einsatz brauchen Sie nicht das Einverständnis des Internetnutzers einzuholen. Aber Sie müssen Ihre Datenschutzerklärung aktualisieren und Ihr Consent Mangement Tool dort aufführen.

Fazit: Consent Management ist ein Muss

Dieser Blogartikel gibt nur einen Überblick und die genannten Lösungen stellen nur eine Auswahl dar. Dies alles kann auch keine rechtsgültige Beratung ersetzen. Ende 2018 blieb laut unserer eigenen Umfrage ein Großteil der kleinen und mittleren Unternehmen beim Thema DSGVO gelassen. Sie sollten als Website-Betreiber jetzt handeln und ein Consent Management Tool nutzen, wenn Sie nicht nur technisch notwendige Cookies einsetzen. Nur so sind Sie vor Abmahnungen sicher.

Newsletter abonnieren