Welche Cookies braucht es und wann müssen Unternehmen sich bei Nutzern die Genehmigung für die Aktivierung von Cookies von Nutzern einholen? Zur datenschutzkonformen Nutzung von Cookies gibt es einige Fragen, die bisher nicht endgültig geklärt sind. Das Bundesministerium der Justiz und für Verbraucherschutz (BMJV) hat es sich nun zur Aufgabe gemacht, die folgenden Fragen zu beantworten: Wie sieht ein datenschutzkonformer Cookie-Banner aus? Auf welche Eigenschaften legen Nutzerinnen und Nutzer wert? Welche Cookie-Banner sind wirklich praxistauglich? Die Antworten gibt es in der Studie „Innovatives Datenschutz-Einwilligungsmanagement“.
Cookie-Management in Praxistest
Die Cookie-Studie wurde vom BMJV in Auftrag gegeben. Hierbei wurden bereits vorhandene Modelle eines Einwilligungsmanagements auf ihre Datenschutz-Konformität und die Nutzerfreundlichkeit untersucht. Zudem wurden neue Lösungsansätze zur rechtskonformen und nutzerfreundlichen Einwilligung entwickelt.
Teil der Cookies-Studie war außerdem eine repräsentative Online-Verbraucherbefragung von mehr als 2000 Menschen. Die Teilnehmerinnen und Teilnehmer wurden zu ihren Bedürfnissen und Erwartungen befragt: Wie sollten Cookie-Banner gestaltet sein? Welche Einwilligungsinformationen werden benötig? Wie sehr müssen Cookie-Einwilligungen differenzieren? Die Ergebnisse flossen in das Best Practice Modell ein und wurden zudem von zwei Unternehmen in einem Praxistest erprobt.
Die Studie legt nun ein Best Practice-Modell mit einem konkreten Webdesign für den Online-Bereich vor. Dieses Modell liefert klare Leitlinien, wie eine differenzierte und informierte Einwilligung für die Nutzer möglich ist. Die Cookies-Studie formuliert insgesamt acht Anforderungen an ein optimales und nutzerfreundliches Cookie-Management, die im folgenden kurz dargestellt werden.
Anforderung 1: Differenzierung der Verarbeitungsvorgänge
Die Cookie-Einwilligung muss den Nutzerinnen und Nutzern differenzierende Einwilligungen ermöglichen, da pauschale Einwilligungen nicht den Vorgaben der DSGVO entsprechen. Je nach Präferenzen, erwünschten und unerwünschten sowie (nicht) erforderlichen Datenverarbeitungen sollten Nutzerinnen und Nutzer unterschiedliche Verarbeitungseinwilligungen geben können.
Ein solches differenzierendes Modell wird von 70 Prozent der Befragten als gut oder sogar sehr gut bewertet. Das Modell ohne Differenzierung und erzwungener Globaleinwilligung wird nur von 39 Prozent der Befragten als gut oder sehr gut bewertet.
Anforderung 2: Übersichtlichkeit im Einwilligungsmanagement
Betriebssysteme, Browser-Einstellungen, Datenverarbeitung durch soziale Netzwerke und die verschiedenen Datenverarbeitungsvorgänge innerhalb eines Unternehmens: Viele Wahlmöglichkeiten sind gut, aber sie sollten einer Logik folgen.
Bei umfangreichen Optionen sollte eine „Entscheidungsbaumlogik“ verwendet werden, so dass Nutzerinnen und Nutzer mit möglichst wenig Klicks ihre Datenschutz-Präferenzen einstellen können.
Anforderung 3: Nutzung ohne Einwilligung
Auch wenn Nutzerinnen und Nutzer keine Einwilligung in die Nutzung von Cookies geben, muss ein Besuch der Website möglich sein. Gibt es diese Wahlfreiheit nicht, ist dies rechtlich unzulässig und einschränkend.
Anforderung 4: Datensparsame Voreinstellungen
Die Voreinstellungen der Cookie-Nutzung sollten eine minimale Datenverarbeitung vorsehen. Das ist nutzerfreundlich und wird sowohl rechtlich wie auch aus Sicht der Studienteilnehmerinnen- und teilnehmer bevorzugt.
Anforderung 5: Nutzerfreundliche Cookies
Jede Nutzerin und jeder Nutzer sollte in der Lage sein, seine Einwilligungen verwalten zu können. Dazu gehört, dass der Cookie-Banner einfach bedienbar, nutzergruppenspezifisch gestaltet und mit unterschiedlichen Endgeräten kompatibel ist. Die im Praxistest verwendeten Einwilligungsmodelle erhielten im Hinblick auf ihre Einfachheit gute Bewertungen, die die Übersichtlichkeit wurde mit Zustimmungswerten zwischen 69 Prozent und 76 Prozent insgesamt über alle Modelle hinweg eher gut bewertet.
ShapeMinds
Anforderung 6: kein „Information Overload“
Ein Cookie-Banner muss die Balance halten: Es sollten alle Informationen zur Datenverarbeitung enthalten sein, jedoch sollten Nutzerinnen und Nutzer nicht mit Informationen überschüttet werden, die eher zur Verwirrung beitragen. In der Cookies-Studie sprachen sich die Befragten für (maßvolle) Erläuterungen auf der Website aus, die durch weiterführende Informationen in einem Pop-up ergänzt werden sollten.
Anforderung 7: Keine Manipulation
Die Gestaltung der Cookie-Banner sollte nicht manipulativ sein. Einige Website-Betreiber gestalten ihre Online-Präsenz mit dem Ziel, Nutzerinnen und Nutzer von Datenschutzaspekten abzulenken bzw. in Richtung eines bestimmten Verhaltens zu beeinflussen.
Anforderung 8: Datenschutz-Cockpit
Nutzerinnen und Nutzer sollten zu jeder Zeit die Möglichkeit haben, ihre Einwilligungen in die Datenverarbeitung nachträglich bearbeiten bzw. widerrufen zu können.
Das Bundesministerium spricht sich dafür aus, ein sogenanntes Datenschutz-Cockpit zur Verfügung zu stellen. Ganz konkret plant die Bundesregierung ein Online-Portal, auf dem Nutzerinnen und Nutzer sich einloggen und zentral steuern können, welche Behörden in welchem Umfang ihre Daten verarbeiten.
Solche Datenschutz-Cockpits wurden im Praxistest der Best Practice-Modelle sehr gut angenommen, die durchschnittlichen Zustimmungswerte lagen um die 60 Prozent. Bei der Befragung befürworteten die Teilnehmerinnen und Teilnehmer eine solche Lösung „sehr“. 77 Prozent der Befragten gaben demnach an, dass aus ihrer Sicht ein Cockpit gut oder sogar sehr gut sei.
Das zentrale Ergebnis der Studie lautet: Ja, es gibt praxistaugliche Möglichkeiten, die Vorgaben der DS-GVO sowohl rechtskonform als auch nutzerfreundlich in die Praxis umzusetzen. Unternehmen, die ihre Cookie-banner gemäß der oben vorgestellten Anforderungen gestalten, gewinnen doppelt: Sie gestalten ihre Cookie-Banner nicht nur datenschutzkonform, sondern auch nutzerfreundlich.
Was die Cookie-Studie nämlich auch klar zeigte: Nutzerinnen und Nutzer klicken Cookie-Banner nicht weg, weil sie der Schutz ihrer Daten nicht interessiert – sie klicken diese weg, weil sie zu kompliziert designt und geschrieben sind. Wer mit Kundinnen und Kunden sowie Gästen der Website transparent und auf Augenhöhe kommuniziert bleibt demnach gut in Erinnerung und das kommt der Reputation zu gute.
Kontaktieren Sie uns!