Consent Management betrifft uns alle. Du besuchst eine Website: Ein Consent Banner lächelt Dich an. Du öffnest auf Deinem Handy eine neu installierte App: der Consent Banner fragt Dich nach zahlreichen Erlaubnissen. Oder Du möchtest online Shoppen. Du erkennst das Pattern und kennst es aus Deinem Alltag bestimmt nur allzu gut.
Dabei beschränkt sich Consent Management natürlich nicht nur auf den bekannten Cookie Consent Banner. Zu dem Oberbegriff gehört das vollumfängliche Zustimmungsmanagement bzw. Einwilligungsmanagement, welches z.B. auch im E-Mail-Marketing oder im analogen Werbungsversand genutzt wird. In diesem Artikel konzentrieren wir uns jedoch auf das Cookie Consent Management, welches durch Consent Management Plattformen (kurz CMP genannt) gehandhabt und in den meisten Fällen durch den bereits erwähnten Banner realisiert wird.
Um uns einen vollumfänglichen Überblick verschaffen zu können, werde ich Euch in diesem Beitrag durch die Segmente rechtliche und regulatorische Aspekte (kurz gehalten*), Interessen verschiedener Parteien, Technologie und Datenverarbeitung, Benutzererfahrung (User Experience = UX) und Maintenance leiten, also der Rundumschlag des Consent Managements.
Aber eins nach dem Anderen, starten wir in das Thema rein und lernen aus einigen Best Practices anwendungsnahe Praxisbeispiele.
Warum ist Consent Management wichtig?
In dem Jahr 2024 muss sich wohl kaum einer mehr die Frage stellen: Aber warum soll ich mich mit dem Thema Consent Management beschäftigen? Spätestens seit der Einführung des Telekommunikation-Telemedien-Datenschutz-Gesetz (kurz TTDSG) im Dezember 2021 mussten sich alle Websitebetreiber:innen mit dem Thema personenbezogenen Datenspeicherung auseinandersetzen (Quelle: dr-datenschutz.de). Dabei ergänzt dieser Rechtstext die bereits im Mai 2016 in Kraft getretene Datenschutz- Grundverordnung (kurz DSGVO – Geltungsbereich Deutschland, Europa) (Quelle: dsgvo-gesetz.de). Da dieser Artikel im Kern nicht um rechtliche Grundlagen handeln soll, gehen wir nicht en détail weiter auf die Verordnungsgrundlagen ein.
Der Einfachheit halber vereinfachen wir die Aussagen, lassen einige Ausnahmen aus und arbeiten mit folgendem Grundsatz: Wenn ein:e Nutzer:in eine Website besucht, dürfen ohne Zustimmung dieses Nutzers oder der Nutzerin, nur unbedingt erforderliche Informationen (ab)gespeichert werden.
Was bedeutet diese Definition?
Unbedingt erforderliche Informationen: Das sind nur Informationen, ohne dessen der Betrieb der Website nicht gewährleistet werden kann. Beispiel Online Shop: Wenn ein:e Nutzer:in ein Produkt in den Warenkorb legt, muss diese Information irgendwo gespeichert werden.
Zustimmung: Ein:e Nutzer:in muss befragt werden, ob nicht erforderliche Daten aus unterschiedlichen Zwecken verarbeitet und gespeichert werden dürfen. Z.B., wenn es um das Thema Tracking oder Marketing geht.
Wie setzte ich Consent Management Plattformen richtig ein?
Interessenskonflikte – Wer möchte eigentlich welche Daten?
Der nächste große Komplex ist die letztendliche Realisierung der Vorgaben. Hierbei sind verschiedene Aspekte zu beachten. Denn auf der einen Seite haben wir Endverbraucher:innen, die einen gewissen Datenschutz erwarten können und auf der anderen Seite haben wir eine Unternehmung, die für den Kunden ein individuelles Online-Erlebnis schaffen möchte. Dies geht in den meisten Fällen nur, wenn wir auch gewisse Informationen über die Besucher:innen erhalten.
Auch werden sich im Allgemeinen die Geister der Endverbraucher:innen darüber scheiden. Wo die einen aus Prinzip immer den “Alles Ablehnen”-Button drücken werden, freuen sich die Anderen über spezifische Angebotsanregungen wie passgenaue Vorschläge in der Produktsuche.
Selbst innerhalb einer Firma scheinen die Interessen antonymisch zu sein: Der Datenschutzbeauftragte möchte in den meisten Fällen so wenig wie möglich an Daten sammeln, wobei das Online Marketing am liebsten direkt die Kontaktdaten hätte. In der Praxis spiegelt sich oft ein ähnliches Szenario wider: Bei der Integration eines neuen Marketing-Tools sitzen Legal, Web Tracking, Online Marketing und die Datenschutzbeauftragten an einem Tisch und diskutieren über das Für und Wider dieser Anwendung. Dabei sollte jedes Unternehmen individuell klar abwägen, wann ein Feature wirklich essenziell ist und wann diese z.B. eher der Kategorie Marketing angehören. Beispielsweise würden Produktbewertungen, die über eine Dritt-Software zur Verfügung gestellt werden, solch eine delikate Diskussion ins Rollen bringen.
Welche Consent Management Anbieter gibt es?
Die technische Gretchenfrage betrifft die Auswahl einer geeigneten CMP, die das vollumfängliche Cookie Consent Management abdeckt.
Im ersten Schritt macht es Sinn, sich klar darüber zu werden, welchen Stellenwert die Website im Unternehmen hat, wie viele Websites betreut werden und in welchem Detailgrad das Consent Management aufgebaut werden soll. Wenn das Projekt z.B. in einem Konzern etabliert werden soll, macht ein fundierter Fragenkatalog Sinn, der von einer Long auf eine Short List bei der Anbieterauswahl hilft. Gerne stelle ich eine vollständigen Fragekatalog mit praxiserprobten Fragen hier zur Verfügung.
Bekannte Anbieter
Inzwischen gibt es im Markt etliche gute Anwendungen, die in verschiedenen Fällen helfen, das Thema anzugehen. Die nachfolgende Liste ist eine kurze Auswahl zu gängigen Tools, die keinesfalls vollständig ist:
(Alle Preise beziehen sich auf eine monatliche Gebühr)
Für kleinere Websites
- Preis: Startet bei 0€, in der größten Variante 49€ für bis zu 3500 Unterseiten
- Funktionsumfang: Basic (Crawler, Banner Design, rudimentäres Reporting)
- Dänisches Unternehmen
- Quelle: cookiebot.com
BoarLabs Cookies (nur WordPress)
- Preis: Startet bei 4€, in der größten Variante 41,50€ für bis zu 99 Webseiten
- Funktionsumfang: Basic (Crawler, Banner Design, Double-Click für Content)
- Deutsches Unternehmen
- Quelle: de.borlabs.io
Für mittelgroße Websites
- Preis: Startet bei 0€, in der größten Variante 195€ für bis zu 10. Mio Aufrufe/Monat, Enterprise-Version auf Anfrage
- Funktionsumfang: Erweitert (zusätzlich Reportings, AB Testing, User Management etc.)
- Deutsches Unternehmen
- Quelle: consentmanager.de
Für große Websites mit erweitertem Governance-Bedarf
- Preis: Preis Seitenaufruf und Anzahl Domains/Apps, Start bei ca. 500€
- Funktionsumfang: Vollumfänglich (zusätzlich Reportings, AB Testing, User Management, Geo-Regeln, Cookie-Datenbank, großes Rechtemanagement)
- US-Amerikanisches Unternehmen
- Quelle: onetrust.com
Usercentrics
- Preis: Startet bei 50€ für 50.000 Sessions, Enterprise auf Anfrage
- Funktionsumfang: Vollumfänglich (zusätzlich Reportings, AB Testing, User Management, Geo-Regeln, Cookie-Datenbank)
- Deutsches Unternehmen
- Quelle: usercentrics.com
Integration
Nach der Auswahl eines geeigneten Kandidaten folgt die Umsetzung. Die meisten Tools sind im ersten Schritt recht simpel zu integrieren. Die entscheidenden Nuancen offenbaren sich wie immer in der Detailarbeit.
Die erste Frage, die wir uns stellen sollten: Soll das Tool automatisch alles blockieren und nach der Interaktion der Nutzer:innen die entsprechenden nicht-essenziellen Anwendungen starten? Oder soll die CMP nur die Interaktionsinformation zur Verfügung stellen, damit danach ein exekutierendes Tool die Ausführung übernimmt? Dann können Tools wie der Google Tag Manager (GTM) oder Adobe Launch anschließend nachgelagerte Integrationen laden.
Option (1) Die CMP blockiert alle nicht essenziellen Tools und lädt diese nur nach Zustimmung. | Option (2) Die CMP stellt den Banner zur Verfügung und speichert den Zustimmungsstatus. Danach muss ein ausführendes Tool wie ein Tag Manager die Aussteuerung übernehmen.
Design
Anschließend folgt die Entscheidung des Designs. Hierbei hat sich in der Praxis die Banner-Wall als nützlich erwiesen. Die „Wall“ ist ein mittiger, unumgehbares Dialogfeld, wo der sichtbare Teil der Website ausgegraut wird. Der klare Vorteil liegt darin, dass die Nutzer:innen ohne Interaktion nicht auf die Website gelangen. Insight: So wird z.B. nicht erst nach dem dritten Seitenwechsel der Banner bestätigt und die Customer Journey so als direkter Einsprung im Web Tracking gewertet. Bestimmt gibt es Seiten, bei denen ein „Sticky Banner“ am unteren Bildschirmrand Sinn macht, wenn es nur um schnelle Informationsübermittlung geht.
Insight
Bei einem Mandanten haben wir über einen Zeitreihentest die Farben des Banners von Rot, dann Grün auf Gelb und anschließend weiß gewechselt und jeweils eine Woche laufen lassen. Jede Woche gab es weit über 200.000 Interaktionen mit der CMP. Ergebnis: Die Farbe spielte keinen relevanten Einfluss darauf, ob die Nutzer:innen dem Banner zustimmten oder nicht.
Consent-Kategorie-Management
Um im nächsten Step alle Anwendungen Consent-gerecht steuern zu können, bedarf es verschiedener Consent-Kategorien, nach Zweck des auszuführenden Tools. Die meisten Websites arbeiten inzwischen mit drei Kategorien:
- Essenziell (z.B. Warenkorb)
- Marketing & Personalisierung (z.B. Google Ads)
- Statistik (z.B. Google Analytics)
Manche Seiten haben zusätzlich die Kategorien Funktionell (wobei hier oft die essenziellen Cookies beinhaltet sind) und die Social Media Kategorie, in der Facebook, X (Twitter) usw. explizit gelistet sind.
Best Practice Tipps für die Integration
Folgende Punkte werden oft nicht von Websitebetreiber:innen beachtet, sollten aber auf jeden Fall berücksichtigt werden:
- Auf dem Consent Banner sollte direkt ein Link auf das Impressum und die Datenschutzerklärung gesetzt sein
- Auf der Datenschutzerklärungsseite sollte initial der Banner nicht erscheinen, damit der Nutzer oder die Nutzerin den Inhalt überhaupt lesen kann
- Auf jeder Seite sollte im Footer ein Button/Text-Link eingebaut sein, der die Einwilligungsauswahl erneut darstellt und abändern lässt (reconsent)
- Der Einwilligungsstatus der Nutzer:innen sollte in einer Datenbank nachgehalten werden, für ggf. spätere Rückfragen
Opt-in-Quoten aus der Praxis
Um ein paar interessante Statistiken beziffern zu können, nenne ich im Folgenden einige Metriken aus einem Praxisfall. Die Daten wurden aus Gründen der Vertraulichkeit leicht anonymisiert.
- Zeitraum: 12 Monate, April 2023 bis April 2024
- Branche: Gesundheit
- Interaktionen mit Banner: ca. 18 Millionen
Allgemeine Informationen
- Ca. 60% aller Nutzer:innen stimmen den Vereinbarungen des Consent-Banners zu (Opt-in).
- Ca. 35% aller Nutzer:innen lehnen die Vereinbarungen des Consent-Banners ab.
- Ca. 5% aller Nutzer:innen interagieren nicht mit dem Banner (z.B. nicht gefilterter Bot-Traffic oder Nutzer, die von dem Banner abgeschreckt sind = Bouncer).
Beispiel Opt-Quoten für einen Wall Consent Banner mit den Buttons: Zustimmen, Ablehnen und Einstellungen.
Im Laufe der Zeit kommen immer wieder Challenges auf, die gewisse Software-Implementierungen betreffen oder die Frage, ob es sich um einen Edgecase handelt. Folgend habe ich einige spannende Insights aufgelistet, die sich daraus ergeben haben:
Insight #1
Wenn ein:e Nutzer:in seine oder ihre Zustimmung gibt, dann stimmt er oder sie fast immer allen Kategorien zu:
Nur 0,07% aller Nutzer:innen, die dem Consent-Banner zustimmen, differenzieren zwischen den einzelnen Kategorien wie z.B. Marketing oder Statistik.
Insight #2
Der “Alles Ablehnen”-Buttons senkt die Zustimmungsquoten nicht drastisch:
Nach der Einführung eines “Alles Ablehnen”-Buttons sank die Zustimmungsquote nur um fünf bis sieben Prozentpunkte.
Insight #3
Derzeit noch nicht weit verbreitet, aber Tendenz steigend: Inzwischen gibt es Browser Extensions die automatisch den Cookie-Banner unterdrücken oder versuchen, die vorausgewählten Nutzer:innen Präferenzen automatisch auszufüllen. Entsprechend werden von diesen Nutzer:innen keine Daten gesammelt (z.B. Consent-O-Matic).
Maintenance im Consent Management
Ein viel vernachlässigtes Thema im Consent Management ist die Betreuung nach dem initialen Setup. Denn spätestens, wenn auf der Website ein neues Update gefahren wurde, ein neues Marketing Tool integriert wurde oder die Dev-Abteilung ein neues Features ausgefahren hat, kommen immer wieder neue unbekannte und häufig nicht-essenzielle Cookies oder Anwendungen zum Vorschein. Diese müssen genauso wie die Anderen über das Einwilligungsmanagement gesteuert werden.
In der Praxis haben sich folgende repetitive Tasks als hilfreich erwiesen, um eine stets gepflegte Website (aus Sicht des Consent Managements) vorweisen zu können:
Tägliche Aufgaben
- Tägliches überprüfen ob der Consent Banner überhaupt gesetzt wird
- Tipp: Nutzt dafür SaaS-Lösungen, die automatisch auf der Website nach dem Banner suchen und einen Ping per E-Mail senden, falls etwas nicht stimmt.
Wöchentliche Aufgaben
- Funktionstest: Werden nicht essenzielle Tools unterdrückt, wenn ein:e Nutzer:in den Consent ablehnt
- Funktionstest: Werden nicht essenzielle Tools gesetzt, wenn ein:e Nutzer:in den Consent zustimmt
- Funktionstest: Werden je nach Kategorie die richtigen Tools ausgespielt?
- Tipp: Nutzt auch hier eine SaaS-Lösungen, die automatisch auf der Website diese Szenarien durchspielt.
Monatliche Aufgaben
- Automatischer Scan auf neue Tools/Cookies auf der Website: Die meisten CMPs bieten von Haus aus einen Scan an, der diese Funktion übernimmt.
- Kategorisiert die neuen Cookies in Kategorien, schreibt einen Beschreibungstext und testet die Funktionalität
Quartalsweise Aufgaben
- Überprüft die Opt-Quoten des Consent Banners: Willigen weniger Nutzer:innen ein? Gab es mehr Personen, die gar bouncen und überhaupt nicht mit dem Banner interagieren? Zieht Erkenntnisse und passt ggf. den Banner an.
Epilog und die Zukunft des Consent Managements
Das Consent Management ist für viele Unternehmen eine Pflicht statt Kür. Es bringt keinen Umsatz und kostet im Zweifel viel Zeit bei der Integration. Dennoch wird es immer wichtiger und ist unumgänglich. Eine saubere Integration spart später Zeit in der Maintenance und ggf. Ärger bei unnötigen Fehlern.
Auch ist es wichtig immer auf dem aktuellen Stand zu bleiben. So hat Google z.B. den Consent Mode aus der Beta-Phase rausgeholt und verpflichtet alle Marketer:innen diese zu integrieren, wenn z.B. bei Google Ads die Remarketinglisten weiterhin befüllt werden müssen.
Spannend wird es vor allem, wenn das Thema Cookieless immer mehr in den Fokus tritt. Also ein Marketingkonstrukt, in dem keine Cookies mehr genutzt werden sollen. Google rudert hier seit einiger Zeit immer wieder vor und zurück.
Auch werden durch die Browser inzwischen Pings durch die Tracking Preventions gesendet, die z.B. die Cookie-Laufzeit sehr stark beschränken. Teilweise können wiederkehrende Benutzer nicht mehr erkannt werden, da die Cookies bereits nach einem Tag abgeräumt werden.
Consent Management wird wie jedes Thema im Internet dynamisch bleiben und sich immer wieder an neue Konzepte und Technologien anpassen. Regularien werden sich lockern oder in manchen Bereichen verstärken. Es bleibt spannend!
*Disclaimer: Bitte beachte, dass die in diesem Artikel präsentierten Informationen nicht als rechtliche Beratung ausgelegt werden sollten. Als Autor dieses Artikels und Berater im Bereich E-Commerce bin ich nicht befähigt, rechtliche Angelegenheiten zu klären oder spezifische Rechtsberatung zu geben. Die Inhalte dieses Artikels basieren auf meinem Fachwissen und meinen Erfahrungen und sollen ausschließlich zu Informationszwecken dienen. Für rechtliche Anliegen oder spezifische Fragen empfehle ich nachdrücklich, einen qualifizierten Rechtsanwalt oder Rechtsanwältin zu konsultieren, um eine fundierte und maßgeschneiderte Beratung zu erhalten.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen
