gekennzeichnet. 
Consent Tools sorgen regelmäßig für Datenschutzprobleme auf Webseiten. Warum das so ist und wann der Einsatz eines sogenannten Cookie Blockers im Einzelfall sinnvoll sein kann, zeigt dieser Beitrag in einer Annäherung.
Einleitung
Vorab: Sollten Sie wirklich unbedingt eine Einwilligungsabfrage auf Ihrer Webseite meinen einsetzen zu müssen, dann nehmen Sie doch meine kostenfreie Lösung (siehe unten). Dann wissen Sie wenigstens, auf welche Fallstricke zu achten ist. Ich rate allerdings dazu, ein Cookie Popup zu vermeiden, wann immer es geht.
Die Motivation für diesen Artikel ist folgende:
Es gibt nahezu keine Webseite mit Einwilligungsabfrage, die DSGVO-konform ist.
Auswertung von einigen tausend Webseiten. Positiv sind anscheinend höchstens Webseiten, die kaum Dienste einsetzen.
Vor ein paar Jahren, vor der DSGVO, kam die Meinung auf, dass auf Webseiten ein Cookie-Hinweis erscheinen muss. Also baute jeder einen Hinweis wie diesen ein:
Der Besucher der Webseite musste diesen durch Klicken eines Buttons bestätigen, sodass der Hinweis verschwand. Auch ich baute einen solchen Hinweis auf meinen Webseiten ein. Ein solcher Cookie-Hinweis war keine Einwilligungsabfrage, sondern eine reine Information. In Wirklichkeit war ein solcher Hinweis nie notwendig. Wenn er notwendig gewesen wäre, hätte man derart auch über die Erhebung von IP-Adressen aufklären müssen. Das hat offensichtlich niemand getan.
Mit Einführung der DSGVO kam Bewegung in die Sache. Spätestens seit dem EuGH-Urteil vom 01.10.2019 zu Planet49 war eine Einwilligungspflicht für Cookies in aller Munde. Ich wurde zwei Tage nach dem Urteil sogar von einem aufgebrachten Besucher meiner Firmen-Webseite angeschrieben. Er warf mir vor, Cookies auf der Webseite einzusetzen. Sollte ich mich nicht innerhalb einer Woche drum kümmern, würde er eine Beschwerde einreichen. Ich antwortete, dass es sich um technisch notwendige Cookies handelt und dass seine Aufregung unbegründet ist. Zusätzlich verwies ich auf einen Artikel, in dem Cookies erklärt sind.
Seitdem haben zahlreiche Webseiten sogenannte Cookie Blocker auf Ihrer Webseite. Viele meinen, Sie müssten diese Consent Tools nur einbinden und schon ist alles gut. Nichts ist gut! Leider auf einen Marketing-Gag hereingefallen oder sich zumindest maximal verwirren lassen, wie man meist feststellen kann.
Übrigens ist nicht nur für Cookies speziell eine Einwilligung erforderlich, sondern eher für die Dienste, die Cookies ins spiel bringen und außerdem für ganz andere Datenerhebungen. Die Einwilligungspflicht liegt für folgende Sachverhalte vor:
- Vermeidbare Datentransfers, sofern kein Auftragsverarbeitungsvertrag o. ä. geschlossen wurde: Google Schriften, externe Bilder, externe JavaScript-Bibliotheken, sonstige externe Dateien, Google Tag Manager, YouTube Videos mit erweiterten Datenschutzeinstellungen (vgl. Art. 5 Abs. 1 DSGVO)
- Cookies, die technisch nicht notwendig sind: Google Analytics, Google reCAPTCHA, Google Maps, YouTube Videos ohne erweiterte Datenschutzeinstellungen, Vimeo Videos, SoundCloud etc. (vgl. § 15 Abs. 3 TMG und Art. 5 Abs. 3 ePrivacy Richtlinie)
- Datentransfer in unsichere Drittländer wie die USA (oder Mutterkonzern, der im unsicheren Drittland sitzt): Alle Google Tools inkl. YouTube, Vimeo, Facebook Tools, Twitter Plugins, Pinterest Plugins etc. (vgl. Art. 44 ff DSGVO)
Wie man erkennt, liegen für manche Tools sogar mehrere Gründe gleichzeitig vor, die eine Einwilligung bedingen.
Die meisten Webseiten könnten Cookie Popups vermeiden. Das wäre gut für die Besucher und somit gut für den Betreiber der Webseite. Zusätzlich stiege so die Rechtssicherheit bzw. würde die höchstwahrscheinlich alleine aufgrund der sogenannten Einwilligungslösung an sich schon rechtswidrige Webseite dann besser aufgestellt.
Arten von Webseiten
Um festzustellen, welche Webseiten meiner Meinung nach sinnvollerweise überhaupt eine Consent Lösung brauchen, habe ich ein paar Kategorien zusammengestellt. Zu jeder Kategorie gibt es eine Begründung, warum eine Einwilligungslösung im allgemeinen Sinn oder keinen Sinn ergeben würde. Sicher gibt es zu jeder Kategorie Ausnahmen, aber das sind wie gesagt Ausnahmen, also in der absoluten Minderheit.
Meine Übersicht ist sicher subjektiv und unvollständig, ich denke aber, die meisten Webseiten sind durch die folgenden Kategorien sinnvoll abgedeckt. Immerhin ist dieser Versuch ein guter Anfang, der sicher noch überarbeitet werden wird.
Populäre Webseiten
Als Beispiel für eine populäre Webseite sei Spiegel Online genannt. Das Spiegel Magazin erlangte seine Popularität ohne das Internet. Es gibt auch bekannte Webseiten, die direkt über das Internet groß geworden sind, beispielsweise Merkurist (dem Betreiber der Merkurist-Webseite würde ich einen kritischen Blick auf den Datenschutz empfehlen).
Um einen Zuwachs an Bekanntheit zu erlangen, werden Optimierungen zur besseren Auffindbarkeit in Suchmaschinen betrieben, auch als SEO bekannt.
Neben kostenfreien Inhalten gibt es nicht selten kostenpflichtige Hauptprodukte. Im Beispiel von Spiegel Online, oder auch der Zeit oder von FAZ sind dies Printmedien oder digitale Abonnements. Einige Verlage bieten auch Zusatzprodukte an, etwa bedruckte Tassen oder andere Gimmicks. Dies wird als Cross-Selling bezeichnet.
Die Werbefinanzierung ist neben dem Cross-Selling und kostenpflichtigen Hauptprodukten ein wichtiger Teilaspekt populärer Webseiten.
Werbefinanzierte Webseiten
Die Finanzierung solcher Arten von Webseiten findet im Wesentlichen durch Werbung statt. Gemeint ist hier in erster Linie die Display-Werbung. Weil die Webseite werbefinanziert wird, kann es sich hier meist nur um eine Kleinstwebseite handeln. Den Fall, dass mehrere Mitarbeiter Ihr Dasein durch die Werbefinanzierung bestreiten, lagere ich auf die o.g. populären Webseiten aus.
Eine Werbefinanzierung einer Hobby-Webseite wirft im Monat oft kaum Geld ab. Der Betrag ist oft unter 100 Euro. Selbst für 100 Euro Umsatz durch eingeblendete Werbung muss man als Content-Lieferant jedenfalls nach meiner Erfahrung schon viel leisten.
Reine Affiliate-Links sind datenschutzrechtlich übrigens unproblematisch, sofern keine Tracking-Pixel o. ä. eingesetzt werden. Insofern brauchen diese hier nicht betrachtet zu werden.
Online Shops
In einem Online-Shop können Produkte online erworben und oft auch online bezahlt werden. Online-Shops sind darauf angewiesen, von möglichst vielen Menschen gefunden und genutzt zu werden. Dies gelingt nicht selten mithilfe des Retargeting. Retargeting ist das Einspielen von Werbung auf anderen Plattformen als der eigenen Webseite. Personen, die mit einer Seite des Online-Shops bereits in Kontakt traten, etwa durch Besuchen der Seite oder durch Abonnieren eines Newsletters, bekommen auf Social Media Plattformen und anderswo Werbung von diesem Shop eingespielt. Die Hoffnung ist, dass die Werbeeinblendung für einen Aha-Effekt sorgt: „Moment mal, den Shop kenne ich, da war ich doch erst gestern drauf. Gleich mal auf die Werbung klicken“. So ist die Hoffnung, die teilweise sicher auch erfüllt wird. Ob sich das für den Shop lohnt, hängt von vielen Faktoren ab, u. a. vom Preis der Werbung, von der Click-Through-Rate sowie der Konvertierungsrate, also der Anzahl der Personen, die am Ende aufgrund der Werbung auch etwas gekauft und am besten auch nicht wieder retourniert haben.
Sonstige Webseiten & Kleinstwebseiten
Die meisten Webseiten in Deutschland fallen unter diese Kategorie. Hierzu gehören:
- Webseiten von Unternehmen, die meist kleine oder mittelgroße Betriebe darstellen
- Private Webseiten oder Webseiten von Privatpersonen, die ihre Meinung kundtun wollen
- Webseiten von großen Unternehmen, das einen bekannten Namen oder bekannte Produkte besitzt und nicht sonderlich von zusätzlichen Maßnahmen im Internet profitiert, etwa, weil die Zielgruppe eher auf anderen Kanälen erreicht werden kann
Diese Webseiten zeichnen sich allesamt dadurch aus, dass ihre kommerzielle Aktivität und somit Relevanz eher gering ist. Damit ist nicht unbedingt deren Reichweite gemeint. Als Visitenkarte taugen sie durchaus. Auf Tracking sind sie jedenfalls nicht angewiesen.
Für welche Tools wird eine Einwilligung benötigt?
Die meisten Webseiten verwenden einige wenige populäre Tools und nicht allzu oft exotische Tools. Je nach Branche können allerdings im Einzelfall zahlreiche Tools zum Einsatz kommen, die weniger weiter verbreitet, aber in der jeweiligen Branche aus mir nicht näher Gründen weit verbreitet sind.
Betrachtet man die häufigsten Tools, die einer Einwilligung bedürfen, kommt eine Liste wie diese heraus:
- Google Analytics: Alternativen vorhanden
- Google reCAPTCHA: Alternativen vorhanden
- Google Schriften: Lokal einbinden und fertig
- Google Maps: Alternativen möglich, oder ganz weglassen (bitte fragen Sie sich nach dem konkreten Nutzen!). Hier sehen Sie meine datenschutzfreundliche interaktive Karte in Aktion.
- Vimeo Videos: Alternativen möglich, oder ganz weglassen
- YouTube Videos: dito
- Facebook Pixel: über den Nutzen von Facebook Werbung nachdenken. Oft ist er nicht gegeben
- Cloudflare (oder andere Cloud Speicher): Meistens können die Dateien lokal oder auf einem eigenen CDN abgelegt werden
- SoundCloud Audio Player: Alternativen leicht möglich, da Audio-Dateien klein sind
- Google Tag Manager: Ist meistens „nur“ Mittel zum Zweck, erhöht das Problem des Einwilligungserfordernisses oft nicht merklich (außer, es ist das einzige eingesetzte Google Tool, was unwahrscheinlich ist)
Ein Klick auf das jeweilige Tool öffnet den zugehörigen Artikel, der das Tool datenschutzrechtlich (und dazu auch technisch) betrachtet und konkrete Alternativen nennt.
Generell kann man davon ausgehen, dass jeglicher Dienst von Google einer Einwilligung bedarf. Gleiches gilt für jegliche Datei, die vom Server eines Dritten geladen wird, außer, mit dem Dritten ist eine vertragliche Vereinbarung vorhanden, die ein Datenschutz-Niveau gemäß DSGVO absolut garantiert. Solche Vereinbarungen können alleine aufgrund des Cloud Act generell nicht mit Unternehmen getroffen werden, die in Amerika sitzen oder eine amerikanische Muttergesellschaft haben.
Welche Webseiten benötigen ein Consent Tool?
Diese Frage ist gleichbedeutend mit der folgenden Frage:
Welche Webseiten müssen unbedingt ein einwilligungspflichtiges Tool einsetzen?
Relevante Frage zur Erhöhung der Rechtssicherheit vieler Webseiten.
Die Antwort kann ich zumindest teilweise kategorisch geben:
Kleinstwebseiten benötigen meist keine Einwilligungsabfrage
Die meisten Webseiten sind gemäß meiner obigen Klassifizierung sonstige Webseiten. Diese benötigen – aus meiner Sicht offensichtlich – keine Tools, die eine Einwilligung bedingen. Sonstige Webseiten benötigen also kein Consent Tool.
Die auf Kleinstwebseiten am häufigsten eingesetzten Tools sind Google Maps, YouTube Videos, Google Fonts, vermeidbare externe Dateien (wie Bilder, CSS-Dateien oder JavaScript-Bibliotheken). Für diese Tools gibt es sehr gute Alternativen.
Google Analytics wird von solchen Webseiten nicht benötigt, sage ich. Dieses Tool ist dort aus demselben Grund wie Google Maps anzutreffen: Weil es jeder nutzt. Der Nutzen ist meiner Einschätzung und Erfahrung nach meistens bei nahezu null.
Werbefinanzierte Webseiten
Die gängigen Werbeformate basieren auf der Google Ads Plattform oder anderen wenig datenschutzfreundlichen Alternativen. Somit brauchen diese Webseiten eine Einwilligung.
Mittelfristig würde ich allerdings dazu raten, solche Projekte, sofern Sie nicht schon eine Größenordnung von mindestens 1000 Euro Gewinn pro Monat erwirtschaften, abzustellen. Es reicht ein einziges Auskunftsersuchen, um das Vorhaben zu beenden. Dieses Auskunftsersuchen zielt dann auf die – meiner Erfahrung nach immer – mangelhafte Einwilligungsabfrage für Google Produkte o. ä. ab. Es ist aktuell schlicht nicht möglich, eine rechtskonforme Erklärung zu Google Produkten abzugeben, in die ein Nutzer einwilligen soll.
Übrigens: Privatpersonen dürfen Datenschutzverstöße abmahnen. Insofern lohnt sich das rechtliche Risiko, welches die Geschäftsgrundlage von einer Sekunde auf die nächste entziehen kann, meiner Meinung nach nicht.
Das neuerdings von Google vorgeschlagene Federated Learning of Cohorts (FLoC) hilft hier wahrscheinlich auch nicht weiter. FLoC ist nämlich davon abhängig, dass der Browser das FLoC-Lernverfahren unterstützt und dass genügend besuchte Webseiten sich dafür entscheiden, an diesem Verfahren teilzunehmen. Ich jedenfalls werde keinen Browser nutzen, der über mich lernt. Den Chrome Browser nutze ich sowohl auf dem PC als auch auf mobilen Endgeräten lange nicht mehr. Es gibt genügend Alternativen wie etwa Brave.
Online Shops
Je nach Produktpalette und Umsatzgröße des Shops könnte es Sinn ergeben, Werbe-Tracker in den Shop zu integrieren. Sofern solche Tracker Sinn ergeben, ist hierfür in der Regel eine Einwilligung einzuholen. Eine genauere Aussage ist nur fallweise möglich.
Andererseits können viele Online-Shops sinnvoll Werbung betreiben, ohne deren Webseite mit Trackern zu versehen. Beispielsweise können auf Social Media Plattformen Beiträge veröffentlicht werden, die wiederum Kunden in den Shop ziehen.
Die Messung des Erfolgs einer Kampagne kann oft auch ohne externe Tracking Tools stattfinden. Beispielsweise kann durch Auswerten der Adresse, von der ein Nutzer in den Shop kam, eine Kampagne erkannt werden. Dies geht auch über sogenannte URL-Parameter. Die Analyselogik kann vollständig autark auf dem eigenen Web Server liegen.
Sicher kann über Google Analytics mehr zu einzelnen Nutzern herausgefunden werden. Die Frage, die sich neben dem Datenschutz stellt: Wer sichtet eigentlich all die gewonnenen Daten und was sind die Konsequenzen daraus?
Wer unbedingt eine Einwilligung benötigt, sollte sich ein paar hundert Euro Budget leisten können, um eine möglichst DSGVO-konforme Lösung zu erhalten. In Kürze stelle ich ein kostenfreies Script zur Verfügung, mit dem eine Einwilligugsabfrage von null auf erstellt werden kann, die eine Chance hat, rechtskonform zu sein. Dann muss "nur noch" der Aufwand geleistet werden, die Abfrage zu integrieren und am besten und nahc Möglichkeit vorher alle datenschutzfeindlichen Tools zu sichten, bei Bedarf zu entfernen oder nach Möglichkeit durch Alternativen zu ersetzen.
Populäre Webseiten
Hier halte ich eine einwilligungsbasierte Vorgehensweise für vertretbar, wenngleich für oft vermeidbar, ohne dass meiner Einschätzung nach das Geschäftsmodell wesentlich darunter leiden muss.
Allerdings würde ich hier absolut dazu raten, keine der Standard-Einwilligungslösungen (die keine Lösungen sind) zu verwenden, weil diese nichts als Ärger mit sich bringen. Wir reden hier von umsatzstarken Webseiten. Da wird es möglich sein, ein paar tausend Euro in eine eigene Einwilligungslösung, die dann (je nach eingesetzten Tools) rechtssicher sein kann, zu investieren.
Fazit
Bevor eine Webseite darüber nachdenkt, ob eine Einwilligungsabfrage nötig ist, sollten folgende Schritte vollzogen werden:
- Bestandsaufnahme aller eingesetzten Tools
- Streichen aller nicht wirklich benötigten Tools
- Wiederholen von Punkt 2, diesmal ernst gemeint und ohne Totschlagargumente
- Ersetzen von Tools durch datenschutzfreundliche Alternativen, wo dies möglich ist. Beispiele: Karten, Videos, Schriften, externe Dateien, Google Analytics als Besucherzähler, reCAPTCHA
- Tools entfernen, die nicht rechtskonform nutzbar sind und keinen großen Nutzen bringen, oder mit dem Risiko leben und hoffen, es gibt keine kritischen Webseiten-Besucher
- Eigenes Consent Script verwenden (Open Source oder meine kostenfreie Lösung)
- Eigene Erklärungen für eingesetzte Tools schreiben. Die vorgefertigten Erklärungen der Consent Tools seit weitgehend ungeeignet
Zahlenmäßig betrachtet, benötigen die meisten Webseiten kein nerviges Cookie-Popup. Anscheinend ist das ein Geheimwissen, welches nur eine handvoll Personen in Deutschland hat.
Für umsatzstarke Webseite empfehle ich dringend eine eigene Lösung. Wer eines der populären Consent Tools einsetzt, hat meiner Erfahrung nach nur eine ausgesprochen geringe Chance, eine rechtskonforme Webseite zu erhalten.
Meine Lösung ist kostenfrei erhältlich und zeigt, worauf Sie achten müssen.
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über Ihre 