Cookie Walls – was ist erlaubt und was nicht?

Cookie Walls – was ist erlaubt und was nicht?

Inhaltsverzeichnis

Mehr anzeigen Weniger anzeigen

Manche Webseiten lassen Nutzern keine Wahl: Noch bevor man damit beginnen kann auf der Website zu surfen, versperrt ein Cookie Banner den Zugang – und gibt die Seite erst frei, wenn man auf „Akzeptieren“ oder „Okay“ geklickt hat. 

 

Was sich hinter dieser Vorgehensweise verbirgt, ob sie wirklich rechtens ist und was eine Cookie Wall von einer Paywall unterscheidet, erfahren Sie hier.

 

Cookie-wall-example

Diese Cookie Wall lässt dem Nutzer keine Wahl: Entweder er gibt seine Daten frei oder er kann nicht auf die Inhalte der Website zugreifen.

Das “Take it- or leave it”-Prinzip

Cookie Walls sind genau genommen nichts anderes als eine Art Türsteher. Das Dilemma: Der Nutzer kann entweder die Vorgaben des Clubs akzeptieren – in diesem Fall Marketing-Cookies und andere Tracking-Technologien zuzulassen – oder er kommt einfach nicht rein, sprich, er erhält keinen Zugriff auf den Inhalt der Seite. Diese Situation nennt man Take-it or Leave-it.

Cookie Walls sind Barrieren vor einer Website, die Nutzen nur umgehen können, wenn sie akzeptieren, getrackt zu werden. Sie müssen sich also entscheiden, ob ihre persönlichen Informationen von der Website verarbeitet werden dürfen, oder ihnen der Zugang zu den Inhalten der Seite verwehrt bleibt.

 

Ziel des Einsatzes einer Cookie Wall ist letztlich, möglichst viele Daten zu sammeln und zu verarbeiten, aus denen detaillierte Profile erstellt und an Firmen weiterverkauft werden können.

 

Aus der Sicht von Publishern ist das Vorgehen verständlich. Immerhin müssen sie ihre Inhalte finanzieren, wozu Gewinne aus Werbung einen Großteil beitragen.

 

Welche Arten von Cookie Walls gibt es?

 

a) ohne Wahlmöglichkeit
Eine Cookie Wall ohne Einstellungsoptionen bietet dem Nutzer keine Möglichkeit, bestimmte Kategorien von Cookies aus- oder abzuwählen. Der Nutzer hat weder einen Überblick, welche seiner Daten gespeichert werden, noch kann er aktiv etwas an den Einstellungen verändern oder seine Einwilligung (consent) für bestimmte Dienste oder die allgemeine Datensammlung geben bzw. entziehen.

 

❗ Dieses Vorgehen ist nicht DSGVO konform, u.a. weil der Nutzer keine granulare Einstellungsmöglichkeiten und auch keine Information über die eingesetzten Dienste bekommt. Zudem muss der Zugang zu einem Service auch bei Verweigerung des Consent gegeben sein. Dem Nutzer darf kein Nachteil entstehen, wenn er die Einwilligung zur Nutzung seiner Daten verweigert.  

 

b) mit Wahlmöglichkeit

Statt das Cookie Banner dezent im unteren Drittel der Website aufploppen zu lassen, handelt es sich bei dieser Variante letztlich um eine etwas aggressivere Abfrage der Nutzerpräferenzen. Sprich, es ist eine Consent Management Platform (CMP) im Einsatz, das Banner erscheint allerdings zentral auf der Website, oftmals bei ausgegrautem Hintergrund, solange der Nutzer noch keine Einstellungen vorgenommen hat. Der entscheidende Unterschied zu Variante a): Bei dieser Art Cookie Banner hat der Nutzer wirklich eine Wahl – und vor allem kann er die Services der Website auch dann nutzen, wenn er der Verarbeitung seiner persönlichen Daten nicht zustimmt.

 

❗ Dieses Vorgehen ist DSGVO-konform, vorausgesetzt das Cookie Banner erfüllt alle Vorgaben an eine gültige Einwilligung. Mehr dazu finden Sie auf unserem Blog im Artikel “7 Kriterien einer DSGVO-konformen Einwilligung“

Was ist eine Paywall?

Eine Paywall ist eine “Bezahlschranke”. Sie wird beispielsweise von Online-Magazinen oder Zeitungen eingesetzt, deren Artikel nur (weiter-)gelesen werden können, wenn man dafür bezahlt, z. B. in Form eines Abos.

 

Alternativ wird dem Websitebesucher oftmals angeboten, umsonst weiterzulesen, allerdings im Austausch für die Weitergabe seiner Daten und das Ausspielen von Werbung.

 

Somit hat der Nutzer eine echte Alternative, weshalb die Paywall auch nach Einschätzung des EDSA (Europäischer Datenschutzausschuss) als DSGVO-konform gilt.

Welche Cookies dürfen ohne Einwilligung gesammelt werden? 

 

Grob unterscheidet man zwei Arten von Cookies:

 

  • Notwendige Cookies
    Diese dienen dazu, die grundlegenden Funktionen der Website zu erfüllen, z. B. die Möglichkeit seine Käufe im Warenkorb abzulegen. Sie dürfen in der Regel ohne explizite Einwilligung des Nutzers eingesetzt werden, da ansonsten die Website ihre grundlegenden Funktionen nicht ausführen kann.

 

  • Statistik-Cookies und Marketing-Cookies
    Diese Cookies sammeln persönliche Daten über den Nutzer und sein Surfverhalten, um diese entweder anonym oder personenbezogen weiter zu verarbeiten. Bevor diese Daten erhoben werden, muss um DSGVO-konform zu agieren, die Einwilligung der Nutzer eingeholt werden. Dies geschieht im Idealfall über eine Consent Management Platform (CMP).

 

 

Weitere Infos, wie Sie Ihr Cookie Banner korrekt aufsetzen, finden Sie unter: “Best Practice: So implementieren Sie Ihre CMP DSGVO-konform”.

 

Welche Tricks sie dabei lieber unterlassen sollten, erklären wir hier: “Nutzer Einwilligung einholen: diese 5 Tricks sind nicht DSGVO-konform”.

Prinzipiell muss ein Betreiber seine Website nicht für jeden Besucher zugänglich machen. Die Frage ist allerdings, ob der Cookie-Dialog zu einem Ausschluss von Personen führen darf. Sprich, ob diese den Service auch weiter nutzen oder auf Inhalte zugreifen können, wenn sie die Verarbeitung ihrer Daten abgelehnt haben.

 

Konkret geht es hier um das Thema „Freiwilligkeit“ beim Datenschutz. Laut DSGVO sollen Betroffene die freie Wahl haben, ob sie der Nutzung personenbezogener Daten zustimmen, oder eben nicht. Aber ist diese Entscheidung wirklich freiwillig, wenn es keine andere Option gibt?

 

Laut der Datenschutzbehörde EDSA und der französischen Datenschutzbehörde CNIL dürfen Internetseiten die Nutzung der Seite nicht davon abhängig machen, ob der Nutzer in die Verwendung von Tracking- oder Werbecookies einwilligt, oder nicht. Bereits im Vorwort der Leitlinien wird hervorgehoben, dass das Einholen einer Einwilligung durch den Einsatz einer Cookie-Wall und einfaches Scrollen gegen die Datenschutz-Grundverordnung (DSGVO) verstößt. Der Bundesbeauftragte für den Datenschutz in Deutschland positioniert sich wie folgt:

 

„Es gibt immer noch Internetseiten, die durch Ihren Aufbau den Nutzenden Tracking aufdrängen. Die aktualisierten Leitlinien machen erneut deutlich, dass Einwilligungen nicht erzwungen werden können. Die meisten Cookie-Walls und die Annahme, dass das Weitersurfen eine Einwilligung bedeutet, widersprechen dem Aspekt der Freiwilligkeit und verstoßen gegen die Datenschutz-Grundverordnung. Ich wünsche mir, dass Verantwortliche daraus die richtigen Schlüsse ziehen und endlich datenschutzfreundliche Alternativen anbieten. „

 

Die Antwort darauf ist ganz klar: Nein. Cookie Walls sind illegale Wege der Websitebetreiber durch angebliche Einwilligung des Nutzers seine Daten zu sammeln. Das European Data Protection Board (EDPB), eine unabhängige Kontrollinstanz, die aus Vertretern der nationalen Datenschutzbehörden der EU zusammengesetzt ist, veröffentlichte am 4. Mai 2020 konkrete Richtlinien, in denen die Gültigkeit einer Einwilligung erörtert wird. 

 

In diesen Richtlinien werden Cookie Walls als illegales und ungültiges Mittel eingestuft, um von Nutzern die Zustimmung zur Verarbeitung ihrer Daten einzuholen.

 

„Der Zugang zu Diensten und Funktionsweisen darf nicht von der Zustimmung eines Benutzers zur Speicherung von oder zum Zugang zu bereits gespeicherten Informationen im Endgerät eines Benutzers abhängig gemacht werden“ (EDPB-Richtlinien 05/2020, Seite 11)

 

Alle Details hierzu finden Sie unter “Die aktuellen Guidelines der EDSA zur DSGVO-konformen Einwilligung”.

 

 

Eine gültige Einwilligung nach DSGVO muss in der EU u.a. folgenden Kriterien genügen:

 

  • freiwillig gegeben
  • informiert
  • spezifisch
  • eindeutige Angabe der Wünsche der Nutzer

 

 

Weitere Infos hierzu finden Sie im Artikel “7 Kriterien einer DSGVO-konformen Einwilligung“.

 

Der Nutzer muss also eine klare befürwortende Haltung gegenüber der Verwendung von Trackern und Cookies haben und aktiv seine Zustimmung zur Verarbeitung persönlicher Informationen durch die Website geben. 

 

Passives Verhalten in Form eines Opt-out von einer bereits voreingestellten Zustimmung, einfaches Weiterscrollen oder Wegklicken eines Fensters, kann somit nicht als gültige Einwilligung gewertet werden.

Um das Vertrauen der Nutzer in eine Website zu gewinnen, macht es Sinn, ihnen eine echte, granulare Auswahlmöglichkeit zu bieten und Nutzer konsequent und transparent zu informieren, welche Cookies und Tracking-Dienste im Einsatz sind, bzw. mit welchen Partnern der Websitebetreiber zusammenarbeitet. Wie das geht? Z. B. mit einer professionellen Consent Management Platform (CMP)

 

Consent Management Platformen ermöglichen es Websitebetreibern auf den Einsatz der Cookie Wall zu verzichten und auf die Freiwilligkeit der Nutzer zu setzen.

 

Nutzer der Webseiten können so ihre Einwilligungen zur Datenerhebung- und Verarbeitung filtern. Der Websitebetreiber hat so die Möglichkeit die gesetzlichen Auflagen der Datenschutzbehörden zu erfüllen.

Gut zu wissen

Nicht nur Webseitenbetreiber müssen sich an die gesetzlichen Datenschutzvorgaben halten. Auch bei Apps müssen Betreiber die Rechtsprechung einhalten und die Privatsphäre ihrer Nutzer schützen. Abhilfe schaffen hier spezielle Mobile CMPs.

Was bedeutet granulare Einwilligung?

Der Nutzer muss die Möglichkeit haben, seine Zustimmung nach verschiedenen Kategorien von Cookies zu filtern:

 

  • notwendige Cookies
  • Marketing-Cookies
  • Statistik-Cookies
  • Präferenz-Cookies

 

Während notwendige Cookies keine Zustimmung benötigen, können Besucher bei den übrigen Kategorien zwischen der Verwendung einzelner Cookies differenzieren und somit gezielt ihre Daten schützen.

 

Durch die Selbstbestimmung der Nutzer entsprechen die Internetseiten so den Datenschutz-Forderungen der DSGVO und der Aufsichtsbehörden bezüglich der Weiterverarbeitung personenbezogener Informationen.

 

Die Rechte und Privatsphäre der Besucher werden durch die granulare Einwilligung respektiert und der Nutzer kann sowohl aktiv seine Zustimmung für bestimmte Cookies geben, als auch Zugriff auf die Themen der Website bekommen und somit an Aktionen und Events teilnehmen oder Dienstleistungen und Produkte erwerben.

Fazit

Letztlich stellen sich beim Thema Cookie Wall immer auch folgende Fragen: Wie möchte ich als Websitebetreiber generell mit meinen Nutzern und ihren Daten umgehen? Welche Ziele bzw. welches Geschäftsmodell verfolge ich? Und welches Verhalten zahlt sich langfristig aus?

 

Ist das Angebot so gut, dass viele Nutzer bereit sind dafür zu zahlen, spricht alles für den Einsatz einer Paywall. Hier haben die Nutzer transparent die Wahl die Inhalte direkt zu bezahlen – oder eben mit ihren Daten.  

 

Mittig platzierte Banner auf Websites mit echter Wahlmöglichkeit (durch eine Consent Management Platform (CMP)) einzusetzen, kann bei attraktiven Inhalten auf der Website ebenfalls sinnvoll sein. Ob ein ausgegrauter Hintergrund oder das Verstecken von Inhalten hinter der Wall die Nutzer letztlich abschreckt oder anlockt, zeigen die Interaktionsdaten, die gute CMPs ihren Nutzern zur Verfügung stellen.

 

Usercentrics bietet seinen Kunden beispielsweise umfangreiche Möglichkeiten, das Nutzerverhalten in Bezug auf die CMP genau zu analysieren und so direkt Maßnahmen zu ergreifen die Interaktionsraten zu verbessern. Wie genau das funktioniert erfahren Sie hier

 

Wie transparent – oder eben nicht – Websitebetreiber Nutzerdaten erheben und verarbeiten, rückt zunehmend in den Fokus der Verbraucher. Und somit auch ein weiteres Thema: Das Vertrauen.

 

Abgesehen davon, dass die Nutzung einer Cookie Wall, die Inhalte nur freigibt, wenn der Nutzer der Verarbeitung seiner Daten zustimmt, nach aktuellen EDSA-Leitlinien illegal und die Einholung der Einwilligung nicht rechtskonform ist, verlieren Besucher zudem das Vertrauen in Websites, die in Bezug auf Datenschutz nicht mit offenen Karten spielen.

 

Genervt von ständigen Cookie Hinweisen, Tracking-Informationen und Werbung, verlieren Kunden schlimmsten Falls das Interesse an der Website und nehmen das Angebot oder die Dienstleistung erst gar nicht in Anspruch.  

 

Wird Websitebesuchern allerdings die Wahl gegeben, mittels eines “echten” Cookie Banners aktiv zwischen den Cookies zu filtern und ihre Zustimmung nur für die Bereiche zu geben, die ihre Privatsphäre nicht verletzen, sieht die Sache schon ganz anders aus.

 

Websitebetreiber können so nicht nur u.a. die Leitlinien der EDSA einhalten,  sondern auch Ihre Nutzer zufriedenstellen, die nun nicht nur Zugriff auf die Themen und Services haben, die sie interessieren, sondern auch dank einer transparenten Datenschutzstrategie Vertrauen in das Unternehmen aufbauen. Ein Deal, der sich langfristig für beide Seiten auszahlt, denn guter Service oder Content findet seine Nutzer.

DISCLAIMER

Die Umsetzung einer datenschutzkonformen Implementierung einer CMP liegt letztlich im Ermessen des jeweiligen Datenschutzbeauftragten bzw. der Rechtsabteilung.

Häufig gestellte Fragen (FAQs)

Unter einer Cookie Wall versteht man den geblockten Zugang zu einer Website, die nur nach Zustimmung zu bereits vordefinierten Einstellungen genutzt werden kann. Cookie Walls öffnen sich in einem meist großen Pop-Up-Fenster, welches den Zugriff auf die Inhalte der Seite versperrt. Es ist eine nach EDSA unzulässige Methode, Daten durch angebliche Einwilligung der Websitebesucher zu sammeln.

Eine Cookie Wall hat als Ziel, möglichst viele Daten zu sammeln und weiter zu verarbeiten. Sie gibt dem User praktisch keine Möglichkeit, zwischen den verschiedenen Cookie-Arten zu wählen und Cookies direkt abzuwählen.

Tracking- und AdTech-Firmen können somit Daten sammeln und detaillierte Kundenprofile anlegen bzw. weiterverkaufen.

Die Privatsphäre des Users wird dabei nicht geschützt und persönliche Informationen gelangen an Dritte. Cookie Walls verhindern, dass User auf die Inhalte und Themen einer Internetseite zugreifen können, ohne den Cookie-Banner zu akzeptieren.

Nein. Laut der Aktualisierung der Leitlinien nach EDSA sind Cookie Walls illegal. Websites, die Cookie Walls nutzen, arbeiten nicht nach den neuesten Leitlinien und übergehen die Privatsphäre des Users. Obwohl der Zugriff auf Themen und Inhalte einer Website nicht von der Akzeptanz eine Cookie Wall abhängig gemacht werden kann, bleibt Usern, die nicht auf „okay“ oder „akzeptieren“ klicken , der Zugriff auf Inhalte verwehrt.

Eine Alternative zur Cookie Wall stellt die granulare Einwilligung über das Cookie Banner einer Consent Management Platform (CMP) dar. Nutzer können so aktiv ihre Zustimmung für differenzierte Cookies geben und haben die Möglichkeit, Cookies abzuwählen. Somit können sie ihre Privatsphäre schützen und erhalten gleichzeitig trotzdem Zugriff auf Inhalte, die sie interessieren.