Am 28. Mai 2020 hat der Bundesgerichtshof entschieden – und damit ein entsprechendes Urteil des EuGH in deutsches Recht übernommen –, dass nicht-essenzielle Cookies für Websites oder Apps (allgemein: „Telemedien“) einer ausdrücklichen Einwilligung (Opt-In) der Nutzer bedürfen – ein Opt-Out ist nicht mehr ausreichend.
Was bedeutet das Urteil des BGH im Einzelnen?
Mit dem BGH-Urteil ist noch einmal bestätigt worden, was vorher schon angenommen werden durfte: Alle Cookies, Skripte oder sonst in die Website eingebundenen Dienste, die zum Betrieb einer Website nicht unbedingt notwendig sind, dürfen erst eingesetzt werden, wenn der Nutzer ihnen ausdrücklich zugestimmt, ihren Einsatz erlaubt hat.
Wichtig: Das Urteil bezieht sich auf alle Technologien, die Daten auf den Geräten der Nutzer speichern und auslesen. Neben Cookies sind damit eben auch Pixel, Tags oder Fingerprinting gemeint, in der Regel wird zusammenfassend (und vereinfachend) allgemein von Cookies gesprochen.
Betroffen sind insbesondere auch jene Cookies, die dazu dienen, um für Werbung und Marktforschung Nutzerprofile zu erstellen. Services für Retargeting (etwa Facebook Pixel oder LinkedIn Pixel) gehören ebenso dazu wie wahrscheinlich die meisten Webanalyse-Dienstleistungen (etwa Google Analytics).
Die wichtigsten Regeln im Überblick
Aktuell (Stand Juni 2020, alle Angaben ohne Gewähr) lassen sich die wichtigsten Regeln so zusammenfassen:
- Nutzer müssen zustimmen, bevor Cookies gesetzt werden. Einzige Ausnahme sind technisch absolut notwendige Cookies.
- Cookies für Marketing sowie Skripte von Drittanbietern (YouTube-Videos, Social Media-Posts etc.) sind definitiv zustimmungspflichtig; bei bestimmten Analytics-Anwendungen gibt es dazu unterschiedliche Ansichten.
- Die Ablehnung der nicht-essenziellen Cookies muss ohne großen Aufwand möglich sein. Nicht-essenzielle Cookies sollten z.B. nicht für die Zustimmung vorausgewählt sein.
- Die verschiedenen Möglichkeiten (komplettes Opt-Out, selektive Zustimmung, vollständige Zustimmung) sollen klar und unmissverständlich erkennbar sein.
- In der Regel sollte der Opt-In nicht die Voraussetzung für Besuch und Nutzung der Website sein („Kopplungsverbot“).
Die Umsetzung im Detail ist noch etwas komplizierter; als einfache Lösung zur Umsetzung empfehlen sich Consent Management-Plattformen (CMP), wie wir sie hier vorgestellt haben.
Für die genauen rechtlichen Regelungen empfehlen wir auf jeden Fall, sich von einem Fachanwalt beraten zu lassen; erste Hinweise für die erforderlichen Maßnahmen gibt zum Beispiel dieser ausführliche Beitrag von RA Dr. Thomas Schwenke.
Welche Folgen hat das konsequent umgesetzte Opt-In?
Wenn Zustimmung nicht mehr einfach vorausgesetzt wird, werden nicht alle Nutzer zustimmen. Diese banale Wahrheit beschreibt, welche unmittelbare Folge ein konsequent mit Opt-In umgesetztes Cookie-Banner hat. Das ist zuallererst und aus Sicht des Datenschutzes eine gute Sache – und gibt Ihnen die rechtliche Sicherheit, dass Sie Cookies auch nur dann gesetzt haben, wenn es eine Zustimmung gab.
Bei einer korrekt umgesetzten Lösung gibt es verschiedene Möglichkeiten, wie die Nutzer sich verhalten können:
- Komplettes Opt-In
Der Nutzer stimmt allen Cookies, auch von Drittanbietern, zu – das schließt also, wichtig fürs Marketing, Analytics-Cookies ebenso ein wie Retargeting-Pixel. - Selektives Opt-In
Der Nutzer stimmt bestimmten Cookies zu, anderen hingegen nicht. Das kann er im Prinzip in jeder beliebigen Kombination machen. - Komplettes Opt-Out
Der Nutzer hat die Möglichkeit, allen Cookies außer den technisch essenziellen zu widersprechen (dazu gehört auch der Cookie, der genau diese Wahl speichert). - Ignorieren
In der Regel sollte es den Nutzern möglich sein, Ihre Website auch ohne jede Interaktion mit dem Cookie-Banner (und ohne das Setzen jeglicher Cookies) zu nutzen, soweit dies technisch möglich ist. Nutzer, die sich entsprechend verhalten, sind damit noch schlechter erfassbar als jene, die sich für ein komplettes Opt-Out entscheiden.
Wie aber verhalten sich die Nutzer ganz konkret, wie viele nutzen tatsächlich welche Option?
Konkrete Zahlen: Wie hoch ist die Akzeptanzrate?
Um diese Fragen zu beantworten, haben wir in unsere eigenen Webstatistiken geschaut, nach Erfahrungsberichten recherchiert und bei den Anbietern von Consent Management-Lösungen nachgefragt. Die Bandbreite der Antworten hat uns dann aber doch überrascht.
Der Opt-In-Anteil variiert zwischen 10% bis 90% Zustimmung. In Abhängigkeit von einer ganzen Reihe von Faktoren (auf die wir weiter unten noch zu sprechen kommen), widersprechen also bis zu 90% der Nutzer dem Setzen von Cookies.
Hier zwei konkrete Beispiele mit Quellen:
- Die Berliner Online-Marketing-Agentur internetwarriors hatte bereits 2018 einen Versuch zur Opt-In-Lösung auf zehn Websites gemacht und vermeldete in einem Blogartikel einen Einbruch von 80% – gemessen wurde hier de facto der Einbruch der von Google Analytics (über Cookies) gezählten Zugriffe, der aber weitgehend mit dem Einbruch bei der Zustimmungsrate zu Cookies übereinstimmen dürfte.
- 2019 dann implementierte die britische Datenschutzbehörde für ihre Website die eigenen Best-Of-Practices zum Opt-In. Die „Cookie Consent Rate“ sank dadurch um 90%, wie videoadnews.com berichtete.
Diese Beispiele, die alle sehr hohe Zahlen vermelden, stammen aus der Zeit, in der Opt-In-Banner noch nicht so verbreitet waren; das hat sich von 2019 auf 2020 deutlich verändert, nach dem Inkrafttreten der DSGVO sowie den Urteilen des EuGH und zuletzt des BGH.
Hier sind besonders jene Zahlen interessant, die die Anbieter von Consent-Management-Lösungen vermelden.
Für Jan Winkler von consentmanager.net ist klar, dass sich eine pauschale Aussage nicht treffen ließe: „Jede Webseite ist anders. Wir haben Kunden mit 20% Akzeptanzrate und andere mit 80%.“ Für die meisten Websites beobachtet der Anbieter eine Akzeptanzrate von 40-50%; allerdings ließe sich beobachten, dass mit Design-Optimierung der Cookie-Banner eine Steigerung bis hin zu 65% möglich sei.
Madeleine Saunte von Cookiebot berichtet ähnliche Zahlen. Bei Einrichtung eines Buttons „Nur notwendige Cookies akzeptieren“ (wie es aktuell als rechtssicher empfohlen wird) wird dort über verschiedene Branchen hinweg eine durchschnittliche Zustimmung zu Marketing-Cookies (also Analytics, Retargeting etc.) von 40% beobachtet. Allerdings ist die Streuung hier sehr hoch und reicht von 22% bis etwa 75% in Abhängigkeit von „Markenvertrauen und Inhalt“. Konkret bedeutet das: „Websites, auf denen es um sensible persönliche Themen wie Gesundheitsfragen geht, haben niedrigere Akzeptanzraten, bekannte Marken hingegen in der Regel höhere.“
Der CMP-Anbieter usercentrics sieht nach einer Analyse der eigenen Kundendaten das größte Problem darin, dass viele Nutzer das Cookie-Banner komplett ignorieren. Sie lassen also die Consent-Anfrage einfach stehen, wenn dies möglich ist, und stimmen der Nutzung von Cookies also weder explizit zu noch lehnen sie sie ab. Diese Nutzer machen je nach Branche zwischen 30% und 40% aller Website-Besucher aus. Das Problem daran: Wie hoch der Anteil dieser Nutzer ist, lässt sich zwar aus Server-Logfiles abschätzen, eine saubere Abgrenzung oder gar Analyse ihres Verhaltens ist aber datenschutzkonform fast nicht möglich.
Auch usercentrics beobachtet deutliche Streuungen zwischen verschiedenen Websites und Unterschiede zwischen den Branchen, aus denen Ihre Kunden stammen – im Gesundheitssegment ist die Zustimmung durchschnittlich am niedrigsten, im Bereich Telekommunikation am höchsten. Allerdings ist die Streuung in allen Bereichen sehr hoch, im Bereich eCommerce zum Beispiel von etwa 30% bis etwa 75% (Durchschnitt: ca. 58%).
Auf den Websites, die wir von VERDURE als Digitalagentur selbst betreuen, beobachten wir eine ähnliche Spannbreite. Wir finden dort auf vielen B2B-Seiten Akzeptanzraten von um die 80%, wenn die Cookie-Hinweise nicht ignoriert werden können, zuweilen aber auch nur etwa 40%. Zentraler Unterschied scheint hier weniger das Markenbild zu sein als mehr die konkrete Gestaltung des Cookie-Banners.
Auf unserer eigenen Website, wo es für Desktop-Nutzer möglich ist, das Cookie-Banner einfach zu ignorieren und die Seite ohne Cookies zu nutzen, können wir im Abgleich mit den Webserver-Statistiken sogar feststellen, dass bis zu 75% der Nutzer genau diese Möglichkeit auch nutzen.
Bewertung der Unterschiede in der Akzeptanzrate
Die oben beschriebenen Zahlen eignen sich kaum für eine wirklich gründliche Studie, da sie aus zu vielen unterschiedlichen Kontexten und auf zum Teil gänzlich verschiedene Art gewonnen wurden; der Einbruch bei Google Analytics-Zahlen im Jahr 2018 ist nur unvollständig mit aktuellen Zahlen aus den internen Statistiken einer Consent Management-Lösung vergleichbar.
Es gibt aber eine Reihe von Faktoren, die die unterschiedlichen Werte erklären können:
- Besuchsintention: Gelegenheitsbesucher, die nur auf der Suche nach einer bestimmten Information auf Ihre Website kommen oder diese aus anderen Gründen schnell wieder verlassen, sind womöglich weniger gern bereit, Cookies zuzustimmen – vor allem, wenn er das Cookie-Banner auch ganz ignorieren kann.
- Banner-Gestaltung: Je nachdem, wie das Cookie-Banner gestaltet ist (z.B. durch Farben, Text usw.), kann es den Nutzer eher zur Zustimmung bewegen. Hierbei ist es jedoch wichtig, sich streng an die rechtlichen Vorgaben zu halten und den Nutzer nicht durch suggestive oder gar falsche Angaben zu einer Zustimmung zu verleiten, die er womöglich nicht geben will.
- Thema der Website: Gerade bei sensiblen Themen wie Gesundheit werden Nutzer tendenziell eher zurückhaltend in der Datenfreigabe sein, gerade was Analytics- und Marketing-Cookies angeht.
- Brand: Je bekannter und vertrauenswürdiger Ihre Marke ist, umso leichter werden Sie Ihre Nutzer davon überzeugen können, auch Cookies zuzustimmen.
Warum ist die mangelnde Akzeptanz ein Problem fürs Marketing?
Viele Maßnahmen des Online-Marketing, die sich in den letzten Jahren immer mehr etabliert haben, basieren auf Cookies oder vergleichbaren Tracking-Technologien. Je niedriger die Akzeptanzraten für Marketing-Cookies also sind, desto weniger aussagekräftig sind die Maßnahmen, die sich auf die vorhandene Datenbasis stützen, da sie immer nur einen Teil des Nutzerstamms abbilden können.
Das betrifft insbesondere folgende Technologien:
- Statistiken und Analytics-Tools wie Google Analytics und ähnliche
- Retargeting-Techniken (Facebook-Pixel, LinkedIn-Pixel)
Was lässt sich tun, um die mangelnde Akzeptanz auszugleichen?
Natürlich gibt es keine Möglichkeit, auf die Daten zuzugreifen, die man ja gar nicht erheben darf – zumindest im Bereich der Webanalyse lassen sich aber auch Technologien einsetzen, die ohne Cookies auskommen und keinerlei personenbezogene Daten speichern. Zu den wichtigsten Nachteilen dieser Lösungen gehört zwar, dass sich das Verhalten von Nutzern nicht über mehrere Seiten oder gar Sitzungen hinweg verfolgen lässt – dies ist nur mit Cookies oder vergleichbaren, in der Regel zustimmungspflichtigen Trackingtechniken wirklich möglich.
Was Sie allerdings sehr wohl tun können: Sie bieten ein zuverlässiges, von der Akzeptanzrate unabhängiges Bild von der Gesamtzahl der Seitenaufrufe auf Ihrer Website. Wenn Sie eine solche Lösung in Ergänzung zu einer Cookie-basierten Analytics-Lösung einsetzen, haben Sie zudem die Möglichkeit abzuschätzen, wie hoch der Anteil der „fehlenden“ Informationen tatsächlich ist.
Etwa schmerzhafter ist womöglich der erzwungene Verzicht auf Retargeting-Optionen, der sich kaum auf vergleichbare Weise ausgleichen lässt. Hier gibt es im Kern zwei Strategien, die als Gegenmaßnahme wirksam sein können:
- Werben Sie direkt auf den Plattformen, die die Retargeting-Optionen bereitstellen (also z.B. auf LinkedIn), präzisieren und schärfen Sie dort Ihr Targeting gezielt, nutzen Sie „Lookalike Audiences“, Retargeting und ähnliche Optionen.
- Fokussieren Sie sich im Marketing auf die systematische Lead-Generierung und bemühen Sie sich aktiv um Kontaktinformationen, die ihre prospektiven Kunden Ihnen freiwillig hinterlassen, weil sie von Ihren Informationen und Angeboten überzeugt sind.
Was lässt sich tun, um die Akzeptanzrate zu verbessern?
Gleichzeitig müssen Sie natürlich keineswegs auf Bemühungen verzichten, die Akzeptanzrate für Cookies auf Ihrer Website zu verbessern. Dafür sind vor allem zwei Wege vielversprechend, die gleichzeitig beschritten werden können:
- Konfigurieren Sie Ihre Consent-Management-Lösung rechtskonform. So paradox das auch auf den ersten Blick erscheinen mag: Nur wenn Sie Ihren Nutzern die freie Wahl geben, Cookies auch abzulehnen, wirken Sie vertrauenswürdig genug, dass die Nutzer die Cookies zulassen werden. Das wird umso mehr gelten, je verbreiteter die Widerspruchsmöglichkeit auf Websites zu finden ist.
- Optimieren Sie Ihre Cookie-Banner. Die Gestaltung des Banners hat großen Einfluss darauf, ob sich die Nutzer für oder gegen Cookies entscheiden. Wir werden in einem Folgeartikel auf die verschiedenen Möglichkeiten eingehen. Als gute Orientierung kann auch das Whitepaper des CMP-Anbieters usercentrics zum Thema „Opt-In-Optimierung“ dienen, das Sie hier anfordern können.
Fazit
Cookies und andere Tracking-Technologien dürfen nicht mehr ohne ausdrückliche Zustimmung der Nutzer eingesetzt werden. Das hat für das datengetriebene Marketing zum Teil deutliche Folgen, ist aber kein Grund zur Panik.
Denken Sie daran: Im B2B sitzt Ihr Geschäftspartner vermutlich im gleichen Boot. Da empfiehlt es sich sowieso, von Anfang an auf Augenhöhe zu argumentieren.
Nehmen Sie die rechtlichen Vorgaben ernst, treten Sie Ihren Kunden offen, ehrlich und mit einem klaren Bekenntnis zum Datenschutz und zur Datensparsamkeit gegenüber – aber bemühen Sie sich zugleich auch transparent und offen weiterhin um Informationen, die Sie für Ihr Geschäft benötigen.