Tut euer Cookie Banner, was es soll?
Ein Cookie Banner gibt es auf den meisten Webseiten – so weit, so gut. Aber tut es auch, was es soll? Denn technisch steckt etwas mehr dahinter – Stichwort Tracking – als die reine Auswahl der NutzerInnen im Banner. Diese muss nämlich auch korrekt beim Tracking berücksichtigt werden. Und das ist die wohl häufigste Fehlerquelle beim Thema Consent, die uns aktuell in unserer Kundenarbeit begegnet. Im schlimmsten Fall drohen dann rechtliche Konsequenzen, weil entsprechende Datenschutzgesetze nicht berücksichtigt worden sind. Davor wollen wir euch natürlich bewahren: Wie ihr ganz einfach herausfinden könnt, ob euer Cookie Banner auch wirklich tut, was es soll, erfahrt ihr in unserem Artikel.
Cookie Banner und User Consent: worum geht’s?
Ihr kennt es sicherlich: Beim ersten Besuch einer neuen Website erscheint ein Cookie Banner und bittet euch um eure Zustimmung, Cookies zu setzen. Das sieht meist so oder so ähnlich aus:
Mit Consent ist hier also die Zustimmung der NutzerInnen zum Tracking mittels Cookies gemeint, bzw. deren Auswahl. Im oberen Beispiel also der Klick auf „Alle Cookies akzeptieren“, „Auswahl speichern“ oder „Individuelle Datenschutzeinstellungen“. Je nach dem, welche Option die NutzerInnen auswählen, muss diese auch entsprechend beim Tracking berücksichtigt werden.
Was heißt das jetzt genau?
Es war das wichtigste Webanalyse-Thema im ersten Quartal diesen Jahres: das Thema Datenschutz und Web Analytics. Details dazu findet ihr in unserer Web Analytics Auslese. Dort haben wir euch auch einen Quick Check mit auf den Weg gegeben, mit dem ihr die Grundfunktionalität des Consent Management Tools (CMT) testen könnt. Die lässt sich nämlich für jede Website ganz einfach im Network Tab der DevTools mittels Chrome Browser überprüfen. Darauf wollen wir diesmal genauer eingehen.
Bevor es losgeht, eine kleine Übersicht der wichtigsten Begriffe:
- Chrome DevTools: Hierbei handelt es sich um ein Entwickler-Tool, das direkt im Chrome Browser integriert ist. Für unsere Zwecke sind im Folgenden ausschließlich der Network Tab und der Application Tab relevant. Keine Sorge, wir erläutern das gleich noch einmal genauer!
- Request URL: Damit ist das Senden der Daten in Form eines sogenannten Requests an z. B. Google Analytics (auch Hit genannt), Google Ads und weitere Dienste gemeint. Die Tabelle liefert in der Spalte „Tracking Request“ eine Übersicht, wie die Aufrufe für die jeweiligen Dienste aussehen bzw. beginnen, um im Network Tab danach filtern zu können.
- Cookie: Eine kleine Textdatei, die Informationen im Browser auf dem Endgerät des Nutzers speichert (z. B. Sprache, Benutzer-ID der verschiedenen Dienste etc.). Im Folgenden vor allem im Hinblick auf das Thema Datenschutz und TDDSG relevant: Ohne positiven Consent – oder bevor dieser gegeben wurde – dürfen keine nicht notwendigen Cookies gesetzt werden. Das interessiert dich genauer? Dann lies doch mal hier rein.
Eine Schritt-für-Schritt-Anleitung für Chrome
Disclaimer: Der folgende Check bietet eine einfache Möglichkeit, die Grundfunktionalität des eigenen CMT zu testen. Der Test ersetzt ersetzt dennoch keine Rechtsberatung und ist hinsichtlich aller Auswahlmöglichkeiten der NutzerInnen sowie weiterer Dienste (z. B. LinkedIn, Pinterest etc.) nicht erschöpfend.
- Gast-Browserfenster öffnen
- Rechtsklick, dann „Untersuchen“ auswählen
- In den DevTools „Network Tab“ auswählen
- Bei Preserve Log einen Haken setzen
- Im Filter „collect“ eingeben, um beispielsweise nur Google Analytics (GA) Hits zu sehen
- Eigene Website aufrufen
- Vor der Auswahl im Cookie Banner sollten keine GA Hits gesendet werden, selbiges gilt für die Auswahl essenzieller Cookies (hier die Option „Auswahl speichern“ wählen).
- Außerdem dürfen in beiden Fällen keine nicht-essenziellen Cookies (z. B. GA Cookies) gesetzt werden.
- Dazu „Application Tab“ auswählen
- Dann unter „Storage“ „Cookies“ auswählen
- Es sollten keine (nicht-essenziellen) Cookies aufgeführt sein.
Die Tabelle liefert eine Übersicht über die Tracking Requests für die verschiedenen Dienste (Facebook, Google Analytics usw.) und die entsprechenden Cookies, die von diesen gesetzt werden. Es können, müssen aber nicht immer alle Cookies gesetzt werden.
| Tool | Tracking Request (Network) | Cookies (Application) |
| https://www.facebook.com/tr/ | _fbp, _fbq, act, c_user, datr, fr, m_pixel_ration, pl, presence, sb, spin, wd, xs | |
| Google Analytics | https://www.google-analytics.com/g/collect | _ga, _gid, _gat, AMP_TOKEN, _gac_<property-id>, _ga_<container-id> |
| Google Ads | https://googleads | _gcl_gb, _gac_gb_<wpid>, _gcl_aw, Conversion, _gcl_au, _gcl_aw |
| Microsoft Advertising | https://bat.bing.com | MUID, _uetmsclkid, _uetsid, _uetvid |
Unser Fazit
Seit Einführung des TTDSG dürfen ohne Zustimmung der NutzerInnen im Cookie Banner keine Google Analytics Hits oder Marketing Requests gesendet werden. Außerdem dürfen in diesem Fall keine nicht-essenziellen Cookies gesetzt werden. Wie unser Check zeigt, lässt sich das ganz einfach für jede Website prüfen, natürlich auch von jedem Anwalt. Daher lohnt sich eine Überprüfung der eigenen Website, da im schlimmsten Fall rechtliche Konsequenzen, wie im Falle der 101 NOYB Beschwerden, drohen können.
Sobald NutzerInnen allen Cookies (bzw. Statistik-Cookies und/oder Marketing-Cookies) zugestimmt haben, sollten die Requests für ein korrektes TRacking an die entsprechenden Dienste gesendet werden – und das noch auf der aktuellen Seite und nicht erst beim Aufruf einer Folgeseite. Außerdem sollten die entsprechenden Cookies gesetzt werden.
Ihr stellt gerade fest, dass auf euren Webseiten zum Thema Tracking und Consent Management noch Nachbesserungsbedarf besteht? Unser Web-Analytics-Team hilft euch gerne!
