Cookie Walls – was ist erlaubt und was nicht?

Sind Cookie Walls illegal? Erfahren Sie, was laut der aktuellen Rechtslage erlaubt ist und was nicht.
Ressourcen / Blog / Cookie Walls - was ist erlaubt und was nicht?
Veröffentlicht von Usercentrics
Lesedauer: 9 Minuten
Aug 26, 2021

Manche Webseiten lassen Nutzern keine Wahl: Noch bevor man damit beginnen kann auf der Website zu surfen, versperrt ein Cookie Banner den Zugang – und gibt die Seite erst frei, wenn man auf „Akzeptieren“ oder „Okay“ geklickt hat. 

Was sich hinter dieser Vorgehensweise verbirgt, ob sie wirklich rechtens ist und was eine Cookie Wall von einer Paywall unterscheidet, erfahren Sie hier.

Cookie-wall-example

Diese Cookie Wall lässt dem Nutzer keine Wahl: Entweder er gibt seine Daten frei oder er kann nicht auf die Inhalte der Website zugreifen.

Das “Take it- or leave it”-Prinzip

Cookie Walls sind genau genommen nichts anderes als eine Art Türsteher. Das Dilemma: Der Nutzer kann entweder die Vorgaben des Clubs akzeptieren – in diesem Fall Marketing-Cookies und andere Tracking-Technologien zuzulassen – oder er kommt einfach nicht rein, sprich, er erhält keinen Zugriff auf den Inhalt der Seite. Diese Situation nennt man Take-it or Leave-it.

Finden Sie’s heraus mit unserem kostenlosen Website-Check. In 30 Sekunden erhalten Sie einen detaillierten Datenschutz-Risikobericht und wissen ganz genau welche Third Party-Cookies und ähnliche Technologien auf Ihrer Website im Einsatz sind.

Icon_Module

Cookie Walls sind Barrieren vor einer Website, die Nutzen nur umgehen können, wenn sie akzeptieren, getrackt zu werden. Sie müssen sich also entscheiden, ob ihre persönlichen Informationen von der Website verarbeitet werden dürfen, oder ihnen der Zugang zu den Inhalten der Seite verwehrt bleibt.

Ziel des Einsatzes einer Cookie Wall ist letztlich, möglichst viele Daten zu sammeln und zu verarbeiten, aus denen detaillierte Profile erstellt und an Firmen weiterverkauft werden können.

Aus der Sicht von Publishern ist das Vorgehen verständlich. Immerhin müssen sie ihre Inhalte finanzieren, wozu Gewinne aus Werbung einen Großteil beitragen.

a) ohne Wahlmöglichkeit
Eine Cookie Wall ohne Einstellungsoptionen bietet dem Nutzer keine Möglichkeit, bestimmte Kategorien von Cookies aus- oder abzuwählen. Der Nutzer hat weder einen Überblick, welche seiner Daten gespeichert werden, noch kann er aktiv etwas an den Einstellungen verändern oder seine Einwilligung (consent) für bestimmte Dienste oder die allgemeine Datensammlung geben bzw. entziehen.

❗ Dieses Vorgehen ist nicht DSGVO konform, u.a. weil der Nutzer keine granulare Einstellungsmöglichkeiten und auch keine Information über die eingesetzten Dienste bekommt. Zudem muss der Zugang zu einem Service auch bei Verweigerung des Consent gegeben sein. Dem Nutzer darf kein Nachteil entstehen, wenn er die Einwilligung zur Nutzung seiner Daten verweigert.

b) mit Wahlmöglichkeit

Statt das Cookie Banner dezent im unteren Drittel der Website aufploppen zu lassen, handelt es sich bei dieser Variante letztlich um eine etwas aggressivere Abfrage der Nutzerpräferenzen. Sprich, es ist eine Consent Management Platform (CMP) im Einsatz, das Banner erscheint allerdings zentral auf der Website, oftmals bei ausgegrautem Hintergrund, solange der Nutzer noch keine Einstellungen vorgenommen hat. Der entscheidende Unterschied zu Variante a): Bei dieser Art Cookie Banner hat der Nutzer wirklich eine Wahl – und vor allem kann er die Services der Website auch dann nutzen, wenn er der Verarbeitung seiner persönlichen Daten nicht zustimmt.

❗ Dieses Vorgehen ist DSGVO-konform, vorausgesetzt das Cookie Banner erfüllt alle Vorgaben an eine gültige Einwilligung. Mehr dazu finden Sie auf unserem Blog im Artikel “7 Kriterien einer DSGVO-konformen Einwilligung“

Eine Paywall ist eine “Bezahlschranke”. Sie wird beispielsweise von Online-Magazinen oder Zeitungen eingesetzt, deren Artikel nur (weiter-)gelesen werden können, wenn man dafür bezahlt, z. B. in Form eines Abos.

Alternativ wird dem Websitebesucher oftmals angeboten, umsonst weiterzulesen, allerdings im Austausch für die Weitergabe seiner Daten und das Ausspielen von Werbung.

Somit hat der Nutzer eine echte Alternative, weshalb die Paywall auch nach Einschätzung des EDSA (Europäischer Datenschutzausschuss) als DSGVO-konform gilt.

Welche Cookies dürfen ohne Einwilligung gesammelt werden? 

Grob unterscheidet man zwei Arten von Cookies:

  • Notwendige Cookies
    Diese dienen dazu, die grundlegenden Funktionen der Website zu erfüllen, z. B. die Möglichkeit seine Käufe im Warenkorb abzulegen. Sie dürfen in der Regel ohne explizite Einwilligung des Nutzers eingesetzt werden, da ansonsten die Website ihre grundlegenden Funktionen nicht ausführen kann.
  • Statistik-Cookies und Marketing-Cookies
    Diese Cookies sammeln persönliche Daten über den Nutzer und sein Surfverhalten, um diese entweder anonym oder personenbezogen weiter zu verarbeiten. Bevor diese Daten erhoben werden, muss um DSGVO-konform zu agieren, die Einwilligung der Nutzer eingeholt werden. Dies geschieht im Idealfall über eine Consent Management Platform (CMP).

Weitere Infos, wie Sie Ihr Cookie Banner korrekt aufsetzen, finden Sie unter: “Best Practice: So implementieren Sie Ihre CMP DSGVO-konform”.

Welche Tricks sie dabei lieber unterlassen sollten, erklären wir hier: “Nutzer Einwilligung einholen: diese 5 Tricks sind nicht DSGVO-konform”.

Prinzipiell muss ein Betreiber seine Website nicht für jeden Besucher zugänglich machen. Die Frage ist allerdings, ob der Cookie-Dialog zu einem Ausschluss von Personen führen darf. Sprich, ob diese den Service auch weiter nutzen oder auf Inhalte zugreifen können, wenn sie die Verarbeitung ihrer Daten abgelehnt haben.

Konkret geht es hier um das Thema „Freiwilligkeit“ beim Datenschutz. Laut DSGVO sollen Betroffene die freie Wahl haben, ob sie der Nutzung personenbezogener Daten zustimmen, oder eben nicht. Aber ist diese Entscheidung wirklich freiwillig, wenn es keine andere Option gibt?

Laut der Datenschutzbehörde EDSA und der französischen Datenschutzbehörde CNIL dürfen Internetseiten die Nutzung der Seite nicht davon abhängig machen, ob der Nutzer in die Verwendung von Tracking- oder Werbecookies einwilligt, oder nicht. Bereits im Vorwort der Leitlinien wird hervorgehoben, dass das Einholen einer Einwilligung durch den Einsatz einer Cookie-Wall und einfaches Scrollen gegen die Datenschutz-Grundverordnung (DSGVO) verstößt. Der Bundesbeauftragte für den Datenschutz in Deutschland positioniert sich wie folgt:

„Es gibt immer noch Internetseiten, die durch Ihren Aufbau den Nutzenden Tracking aufdrängen. Die aktualisierten Leitlinien machen erneut deutlich, dass Einwilligungen nicht erzwungen werden können. Die meisten Cookie-Walls und die Annahme, dass das Weitersurfen eine Einwilligung bedeutet, widersprechen dem Aspekt der Freiwilligkeit und verstoßen gegen die Datenschutz-Grundverordnung. Ich wünsche mir, dass Verantwortliche daraus die richtigen Schlüsse ziehen und endlich datenschutzfreundliche Alternativen anbieten. „

 

Die Antwort darauf ist ganz klar: Nein. Cookie Walls sind illegale Wege der Websitebetreiber durch angebliche Einwilligung des Nutzers seine Daten zu sammeln. Das European Data Protection Board (EDPB), eine unabhängige Kontrollinstanz, die aus Vertretern der nationalen Datenschutzbehörden der EU zusammengesetzt ist, veröffentlichte am 4. Mai 2020 konkrete Richtlinien, in denen die Gültigkeit einer Einwilligung erörtert wird. 

In diesen Richtlinien werden Cookie Walls als illegales und ungültiges Mittel eingestuft, um von Nutzern die Zustimmung zur Verarbeitung ihrer Daten einzuholen.

„Der Zugang zu Diensten und Funktionsweisen darf nicht von der Zustimmung eines Benutzers zur Speicherung von oder zum Zugang zu bereits gespeicherten Informationen im Endgerät eines Benutzers abhängig gemacht werden“ (EDPB-Richtlinien 05/2020, Seite 11)

Alle Details hierzu finden Sie unter “Die aktuellen Guidelines der EDSA zur DSGVO-konformen Einwilligung”.

Eine gültige Einwilligung nach DSGVO muss in der EU u.a. folgenden Kriterien genügen:

  • freiwillig gegeben
  • informiert
  • spezifisch
  • eindeutige Angabe der Wünsche der Nutzer

Weitere Infos hierzu finden Sie im Artikel “7 Kriterien einer DSGVO-konformen Einwilligung“.

Der Nutzer muss also eine klare befürwortende Haltung gegenüber der Verwendung von Trackern und Cookies haben und aktiv seine Zustimmung zur Verarbeitung persönlicher Informationen durch die Website geben. 

Passives Verhalten in Form eines Opt-out von einer bereits voreingestellten Zustimmung, einfaches Weiterscrollen oder Wegklicken eines Fensters, kann somit nicht als gültige Einwilligung gewertet werden.

Datenschutz, Recht oder Tech? Wir wissen, was die Branche bewegt. Schalten Sie ein und lassen Sie sich in unserer wöchentlichen Experten-Runde auf den neuesten Stand bringen.

TTT-CTA-icon

Um das Vertrauen der Nutzer in eine Website zu gewinnen, macht es Sinn, ihnen eine echte, granulare Auswahlmöglichkeit zu bieten und Nutzer konsequent und transparent zu informieren, welche Cookies und Tracking-Dienste im Einsatz sind, bzw. mit welchen Partnern der Websitebetreiber zusammenarbeitet. Wie das geht? Z. B. mit einer professionellen Consent Management Platform (CMP)

Consent Management Platformen ermöglichen es Websitebetreibern auf den Einsatz der Cookie Wall zu verzichten und auf die Freiwilligkeit der Nutzer zu setzen.

Nutzer der Webseiten können so ihre Einwilligungen zur Datenerhebung- und Verarbeitung filtern. Der Websitebetreiber hat so die Möglichkeit die gesetzlichen Auflagen der Datenschutzbehörden zu erfüllen.

Nicht nur Webseitenbetreiber müssen sich an die gesetzlichen Datenschutzvorgaben halten. Auch bei Apps müssen Betreiber die Rechtsprechung einhalten und die Privatsphäre ihrer Nutzer schützen. Abhilfe schaffen hier spezielle Mobile CMPs.

Wie Sie ihre App mit der Usercentrics CMP datenschutzkonform (DSGVO, CCPA, LGPD) monetarisieren und dabei möglichst hohe Consent Raten erzielen, erklären wir Ihnen gerne in einem persönlichen Gespräch – kostenfrei und unverbindlich.

Icon-support

Was bedeutet granulare Einwilligung?

Der Nutzer muss die Möglichkeit haben, seine Zustimmung nach verschiedenen Kategorien von Cookies zu filtern:

  • notwendige Cookies
  • Marketing-Cookies
  • Statistik-Cookies
  • Präferenz-Cookies

Während notwendige Cookies keine Zustimmung benötigen, können Besucher bei den übrigen Kategorien zwischen der Verwendung einzelner Cookies differenzieren und somit gezielt ihre Daten schützen.

Durch die Selbstbestimmung der Nutzer entsprechen die Internetseiten so den Datenschutz-Forderungen der DSGVO und der Aufsichtsbehörden bezüglich der Weiterverarbeitung personenbezogener Informationen.

Die Rechte und Privatsphäre der Besucher werden durch die granulare Einwilligung respektiert und der Nutzer kann sowohl aktiv seine Zustimmung für bestimmte Cookies geben, als auch Zugriff auf die Themen der Website bekommen und somit an Aktionen und Events teilnehmen oder Dienstleistungen und Produkte erwerben.

Fazit

Letztlich stellen sich beim Thema Cookie Wall immer auch folgende Fragen: Wie möchte ich als Websitebetreiber generell mit meinen Nutzern und ihren Daten umgehen? Welche Ziele bzw. welches Geschäftsmodell verfolge ich? Und welches Verhalten zahlt sich langfristig aus?

Ist das Angebot so gut, dass viele Nutzer bereit sind dafür zu zahlen, spricht alles für den Einsatz einer Paywall. Hier haben die Nutzer transparent die Wahl die Inhalte direkt zu bezahlen – oder eben mit ihren Daten.

Mittig platzierte Banner auf Websites mit echter Wahlmöglichkeit (durch eine Consent Management Platform (CMP)) einzusetzen, kann bei attraktiven Inhalten auf der Website ebenfalls sinnvoll sein. Ob ein ausgegrauter Hintergrund oder das Verstecken von Inhalten hinter der Wall die Nutzer letztlich abschreckt oder anlockt, zeigen die Interaktionsdaten, die gute CMPs ihren Nutzern zur Verfügung stellen.

Usercentrics bietet seinen Kunden beispielsweise umfangreiche Möglichkeiten, das Nutzerverhalten in Bezug auf die CMP genau zu analysieren und so direkt Maßnahmen zu ergreifen die Interaktionsraten zu verbessern. Wie genau das funktioniert erfahren Sie hier

Wie transparent – oder eben nicht – Websitebetreiber Nutzerdaten erheben und verarbeiten, rückt zunehmend in den Fokus der Verbraucher. Und somit auch ein weiteres Thema: Das Vertrauen.

Abgesehen davon, dass die Nutzung einer Cookie Wall, die Inhalte nur freigibt, wenn der Nutzer der Verarbeitung seiner Daten zustimmt, nach aktuellen EDSA-Leitlinien illegal und die Einholung der Einwilligung nicht rechtskonform ist, verlieren Besucher zudem das Vertrauen in Websites, die in Bezug auf Datenschutz nicht mit offenen Karten spielen.

Genervt von ständigen Cookie Hinweisen, Tracking-Informationen und Werbung, verlieren Kunden schlimmsten Falls das Interesse an der Website und nehmen das Angebot oder die Dienstleistung erst gar nicht in Anspruch.

Wird Websitebesuchern allerdings die Wahl gegeben, mittels eines “echten” Cookie Banners aktiv zwischen den Cookies zu filtern und ihre Zustimmung nur für die Bereiche zu geben, die ihre Privatsphäre nicht verletzen, sieht die Sache schon ganz anders aus.

Websitebetreiber können so nicht nur u.a. die Leitlinien der EDSA einhalten, sondern auch Ihre Nutzer zufriedenstellen, die nun nicht nur Zugriff auf die Themen und Services haben, die sie interessieren, sondern auch dank einer transparenten Datenschutzstrategie Vertrauen in das Unternehmen aufbauen. Ein Deal, der sich langfristig für beide Seiten auszahlt, denn guter Service oder Content findet seine Nutzer.

Sie möchten mehr darüber erfahren, wie Sie Ihre Datenschutzstrategie durch eine Consent Management Platform (CMP) fit für die Zukunft machen und dabei Marketing und Legal-Voraussetzungen geschickt unter einen Hut bringen? Wir beraten Sie gerne – kostenfrei und unverbindlich.

Icon-support

DISCLAIMER

Die Umsetzung einer datenschutzkonformen Implementierung einer CMP liegt letztlich im Ermessen des jeweiligen Datenschutzbeauftragten bzw. der Rechtsabteilung.