Cookie-Consent Banner - SEO-Perspektive

Das heiß und kontrovers diskutierte Thema Cookie-Consent Banner ist gerade in aller Munde. Damit wir uns selbst nicht die Finger an Gesetzbüchern verbrennen und Dir trotzdem hilfreiche Tipps und Beispiele an die Hand geben können, starten wir diesen Wissensartikel mit einem Disclaimer. Ergänzungen und Feedback sind wie immer sehr willkommen.

Viel Spaß beim Lesen!

Disclaimer

Wir können, wollen und dürfen Dir zu diesem Thema keine rechtlich verbindliche Beratung bieten, denn wir sind keine Juristen. Dieser Leitfaden befasst sich mit dem Thema Cookie-Consent-Banner primär aus der SEO-Perspektive. Diesen Aspekt solltest Du unbedingt beachten, er ist jedoch nur einer von vielen. Am Ende solltest Du eine Lösung implementieren, die Du von einer rechtlich qualifizierten Person absegnen hast lassen. Natürlich haben wir den Leitfaden nach bestem Wissen und Gewissen erstellt, er ist jedoch ohne Gewähr.

Erhebst Du auf Deiner Website personenbezogene oder personenbeziehbare Daten Deiner Nutzer? Mit Sicherheit. Daher solltest Du Dir intensiv Gedanken machen, wie Du diesen Prozess Deinen Nutzern transparenter machst und ihnen mehr Steuerungsmöglichkeiten bietest.

Die DSGVO/GDPR (Europäische Datenschutz-Grundverordnung) fordert von Dir eine sparsame Erhebung von Daten und die informierte Einwilligung des Nutzers in die Erhebung der Daten. Die E-Privacy-Richtlinie fordert von Dir außerdem eine Einwilligung des Nutzers, wenn nicht technisch unbedingt notwendige Cookies beim Aufruf Deiner Seite im Browser des Nutzers gespeichert werden. Darüber hinaus gibt es auch eine Reihe von internationalen Richtlinien (beispielsweise der California Consumer Privacy Act (CCPA)), die unter Umständen zu berücksichtigen sind, aber im Wesentlichen das gleiche Aussagen. Etwas irreführend ist die Einschränkung auf "Cookies", denn generell ist jegliche Form der Verarbeitung von personenbezogenen Daten via Zählpixeln, Browser-Fingerprinting, serverseitigem Tracking, etc. gemeint. Da hier ernst zu nehmende rechtliche Konsequenzen drohen, sollte im Idealfall ein Rechtsanwalt beratend zur Seite stehen.

Gleichzeitig ist ein sauberes Einwilligungsverfahren – auch, wenn es vermutlich nicht besonders viel Aufmerksamkeit durch den Nutzer erfährt – ein Gebot der Fairness in der Partnerschaft zwischen Dir und Deinen Nutzern.

Um diesen Anforderungen gerecht zu werden, musst Du ein Einwilligungsformular einbinden, dass dem Nutzer Kontrolle über die Cookies bietet und über

  • die Art der erfassten Informationen,
  • den Zweck der Erhebung,
  • die Dauer der Speicherung
  • und Rechtsgrundlage

informiert. Das gilt insbesondere, wenn Drittsysteme (wie beispielsweise Google Analytics, Etracker, Webtrekk, Conversion Tracking oder (Newsletter-)Formulare) genutzt werden.

Um den Nutzer zu informieren und die Einwilligung zu verwalten werden in der Regel Popups in Form von Interstitials oder Cookie-Consent-Bannern eingesetzt.

Das musst Du bei der Implementierung beachten

Mit dieser Checkliste kannst Du einfacher Deinen Weg durch den Regelungsdschungel finden. Besonderer Fokus liegt für uns dabei auf dem SEO-Aspekt. Du wirst aber auch an anderer Stelle schwierige Abwägungen treffen müssen.

Zum Thema Cookie Consent stehen verschiedene Interessen im Wettbewerb:

  1. Datenvollständigkeit: Um Dein Online-Marketing optimieren zu können, bist Du darauf angewiesen möglichst gute und umfangreiche Daten mit Deinen Tools zu erheben. Verschiedene Optimierungen (beispielsweise des Adwords-Spendings oder Affiliate-Provisionen) sind nur sauber möglich, wenn das Speichern eines Cookies vom Nutzer zugelassen wird.
  2. Rechtliche Anforderungen: Den rechtlichen Anforderungen gerecht zu werden ist schwer. Zum einen soll es dem Nutzer einfach gemacht werden, zum anderen soll er detailliert informiert sein und volle Kontrolle haben. Das klingt nach einem Spagat. Die rechtliche Entscheidungsfreiheit des Nutzers steht daher oft im Widerspruch zu Deinem Interesse, möglichst viele Daten zu erheben und unterschiedliche Systeme zu füttern.
  3. Usability und SEO: Viele Nutzer sind von Cookie-Bannern genervt. Andere wünschen die Konfigurationsfreiheit. Alle Nutzer sind allerdings von Dir enttäuscht, wenn sie bemerken, dass Du versuchst sie in eine bestimmte Richtung zu manipulieren oder Du ihnen den Prozess unnötig erschwerst.

Um Dir das Finden Deines Weges zu erleichtern, haben wir für Dich verschiedene Beispiele und Handlungsleitlinien gesammelt.

Aktuell entwickelt sich das Transparency & Consent Framework (TCF) der IAB-Europe zu einem Standard für die Backend-seitige Umsetzung des Consent Managements. Dabei gibt das TCF nicht vor wie ein Cookie-Consent-Banner technisch umgesetzt wird. Es liefert einen Standard, wie für bestimmte Anbieter und Zwecke das Consent Management dokumentiert wird und bietet hierzu spezifische Consent Strings. Durch das standardisiertes Verfahren steigt die Transparenz für die Nutzer und erleichtert Wartung und Kontrolle der Implementierung. Einige Wingmen-Kunden setzen dieses Framework bereits ein, da die bisherige Entwicklung vielversprechend klingt. Wir werden diese weiter beobachten und an dieser Stelle aktuell halten.

Interstitials können die Indexierung und das Ranking Deiner Inhalte behindern, wenn sie den Zugriff des Nutzers auf den Inhalt übermäßig einschränken.

Cookie-Consent-Banner und andere aus rechtlichen Gründen verpflichtend anzuzeigende Informationen, wie beispielsweise Jugendschutz-Hinweise, sind davon ausgenommen. Allerdings musst Du immer prüfen, ob Deine Implementierung für Googles Systeme als solches Banner erkennbar ist.

Teilweise sind Consent-Banner sogar verpflichtend, wenn Du Google-Tools einsetzt. Beispielsweise fordert Google Adsense die Einbindung eines Consent-Banners und macht Dir konkrete Vorschläge zur Implementierung: http://www.cookiechoices.org/

Das Crawling darf nicht beeinträchtigt werden

Der eigentliche Inhalt der Website darf nicht blockiert werden und sollte im Hintergrund des Cookie-Consent Banners ganz normal angezeigt werden.

Für Clients, die weder Cookies speichern noch mit der Seite interagieren, muss der eigentliche Inhalt der Seite verfügbar sein. Das gilt beispielsweise für den Googlebot und kann unter anderem mit dem Mobile-Friendly-Test geprüft werden. Eine ausführliche Aussage dazu hat Google am 29. Mai 2018 in diesem Webmaster Hangout getätigt.

A question about GDPR pop-ups. How will they affect SEO and usability?

...if the content loads within HTML and you're using Javascript to show a pop-up on top of that, then we'll still have that normal content behind the pop-up to index normally...

What doesn't work on our side is if you replace all of the content with just an interstitial or if you redirect to an interstitial and Googlebot has to click a button to actually get to the content itself...

You can test this on a technical level with things like the mobile-friendly test...

Außerdem sollten die Buttons natürlich keine crawlbaren Links mit Parametern erzeugen, wie in diesem Beispiel. Das führt zu Problemen im Crawling, weil pro URL Duplikate (annehmen und ablehnen) erzeugt werden:

Alle Templates & Formate beachten

Nicht überall kann die Implementierung eines Cookie-Consent-Banners technisch identisch vorgenommen werden.

Durch ein Crawling kannst Du sicherstellen, dass auf allen Templates und Seiten das Cookie-Banner korrekt eingebunden ist.

Stellst Du Teile Deiner Inhalte auch als AMP zur Verfügung kannst Du kein eigenes JavaScript verwenden. Glücklicherweise gibt es die AMP-Komponente amp-consent dafür. Achtung: die hier getätigte Einwilligung des Nutzers gilt nur innerhalb der AMP-Umgebung. Sollte der Nutzer wieder zurück in die Nicht-AMP-Umgebung wechseln ist ggf. eine zweite Einwilligung notwendig, sollte eine Synchronisierung der Einwilligung nicht möglich sein.

Außerdem solltest Du sicherheitshalber Cookies nur auf HTML-Seiten setzen und bei Bildern und PDF-Dateien auf das Setzen von Cookies komplett verzichten, da Du hier die Einwilligung des Nutzers schwer prüfen kannst.

Ladezeiten

Deine gewählte Consent-Lösung – unabhängig davon, ob Du einen Dienstleister oder ein eigenes JavaScript nutzt – sollte asynchron funktionieren. Das bedeutet, dass das Consent Management das Laden und Darstellen der Inhalte nicht blockiert.

Das ist insbesondere dann wichtig, wenn der Nutzer schon eingewilligt hat oder der "Nutzer" eine Suchmaschine ist. Blockiert die Prüfung des Consents den Ladevorgang, dann verschlechtert sich die Nutzererfahrung derjenigen, die bereits eingewilligt haben, unnötig.

Das Tracking und das Laden externer Datenquellen muss natürlich trotzdem blockiert werden, bis der Consent geprüft ist. Häufig kannst Du die Usability für Deine Nutzer verbessern, wenn Du beispielsweise für Werbemittel – für die eigentlich ein Consent erforderlich wäre – einen Platzhalter vorsiehst. Messbar wird diese Optimierung mit dem CLS-Wert (Cumulative Layout Shift) (der auch für Google wichtig ist).

Auswirkungen testen

Je nach Gestaltung kann die Einführung eines Cookie-Consent-Banners erhebliche Auswirkungen auf das Nutzerverhalten haben.

Dein Ziel: Notwendige Informationen zur Verbesserung Deines Angebotes messen Nutzerziel: Möglichst schnell eine Lösung für das aktuelle Problem finden

Dabei ist wichtig und man kann es gar nicht oft genug sagen: Rechtliche Rahmenbedingungen sind (anwaltlich) zu prüfen und mit den Zielen in Einklang zu bringen.

Wenn man eine Internetseite optisch ändert, geht damit meistens auch eine messbare Änderung des Nutzerverhaltens einher. Ein überspitztes Beispiel wäre ein Cookie-Consent-Banner, das sich in einer langen Textwüste ohne CI-konformes Styling und klar erkennbare Einwilligungs- oder Ablehnenbuttons über die komplette Seite erstreckt. Bei so einer Lösung ist die Wahrscheinlichkeit sehr hoch, dass die Nutzer sogar komplett von der Seite abspringen und schon gar nicht ihre Einwilligung zum Tracking abgeben.

Tipp: Die Akzeptanz der Umsetzung mit Nutzer- und A/B-Testing sukzessive verfeinern. Bitte achte bei der Optimierung wieder auf die Rechtssicherheit. Sogenanntes Nudging, also die Lenkung des Nutzers durch Reizoptimierung, etwa das (Nicht-)Einfärben von Links und Buttons ist insbesondere bei dieser Form der Einwilligungsabfrage eine Grauzone.

Rechtliches

Dein Consent-Banner solltest Du zwingend mit Deinem Datenschutzbeauftragten und einem Rechtsanwalt besprechen. Wir können Dir gerne helfen, die Sachverhalte für Juristen aufzubereiten und Lösungsvorschläge zu entwickeln. Wir sind aber keine Juristen und dürfen keine juristische Einschätzung vornehmen.

Beim Cookie-Consent sind rechtlich 3 Punkte entscheidend:

  1. Du darfst keine Vorauswahl treffen, sondern der Nutzer muss gewünschten Datenquellen explizit selbst anhaken. Du darfst ihm diesen Prozess aber, beispielsweise durch das Anbieten von „Alle auswählen", vereinfachen.
  2. Die Einwilligung sollte mit einem Klick abgelehnt werden können. Die Buttons zu Ablehnung und Annahme sollten dabei „graphisch identisch" gestaltet sein. Wenn es "Alle auswählen" gibt, muss es auch "Alle abwählen" geben.
  3. Du musst dem Nutzer vollständig auflisten welche Anbieter Cookies setzen und erklären, welche Daten wo, wie lange und zu welchem Zweck gespeichert werden. Dein Nutzer soll eine informierte Entscheidung treffen können.

Bei mehrsprachigen Seiten muss das Cookie-Banner in jeder verfügbaren Sprache aufrufbar sein, in der auch die Seite ausgespielt wird. Das gilt in der Regel für sämtliche Rechtstexte auf Deiner Seite.

Bei den rechtlichen Anforderungen ist noch einiges im Fluss. Die Gesetzgebung ist noch nicht sehr alt und die Rechtsprechung erarbeitet sich noch ihren Rahmen. Außerdem weichen die Regelungen europaweit in gewissen Detail voneinander ab.

Daher gibt es bei der Auslegung einen gewissen Interpretationsspielraum, den sich einige Cookie-Lösungen zu Nutze machen. Andere Lösungen gehen (bewusst oder aus Unkenntnis) ein relativ hohes rechtliches Risiko ein. Sichere Dich also entsprechend ab und informiere Dich über mögliche rechtliche Konsequenzen!

Erfahrungen aus der Praxis

Merke: Personenbezogene oder personenbeziehbare Daten sind schützenswert. Das Erheben dieser Daten ohne eine Einwilligung des Nutzers ist verboten.

In der Praxis bedeutet das, dass de facto alle Verbindungen zu Drittsystemen unterbunden werden sollten, solange der Consent nicht gegeben ist. Das schließt insbesondere alle Systeme ein, die ein Cookie setzen. Gleiches gilt für die Speicherung auf eigenen Systemen.

Manche Einbindungen können als technisch notwendig definiert werden und brauchen dann unter Umständen keine Einwilligung. Das kann beispielsweise für das Laden von...

  • Daten von einem CDN, wie etwa Google Fonts,
  • JavaScripten von https://cdnjs.com/ oder einem anderen JavaScript-CDN oder
  • schlicht notwendigen Funktionalitäten wie ein Warenkorb in einem Shopsystem

gelten.

Wir haben häufiger die Diskussion erlebt, das Tracking als technisch notwendig zu definieren. Wir sind überzeugt, dass eine solche Definition einer rechtlichen Prüfung keinesfalls standhalten würde.

Eine gängige Idee ist, zusätzlich, zu dem vollumfänglichen Tracking, ein zweites Tracking aufzubauen, dass gar keine nutzerbezogenen Daten speichert. Damit verzichtest Du auf detaillierte Informationen, aber erhältst auch ohne eine Einwilligung einen Einblick in das Verhaltensmuster Deiner Besucher.

Achtung! Die Gestaltung des Cookie-Consent-Banners hat wesentlichen Einfluss auf die Akzeptanz beim Nutzer. Farbgebung, Schriftgröße, Formulierung und Art der Einbindung solltest Du vor Umsetzung testen. Ziel sollte es sein, dass möglichst viele Nutzer sich aktiv für ein vollumfängliches Tracking entscheiden.

Dabei muss bedacht werden, das ein Cookie-Banner immer eine Abwägung aus drei Zielen ist, die sich untereinander zum Teil entgegenstehen: Rechtssicherheit, Datenvollständigkeit und Usability.

Je nach Prioritäten der Ziele kann die Umsetzung sehr unterschiedlich aussehen:

Rechtssicherheits-Beispiel

Wenn Du rechtlich auf der ganz sicheren Seite stehen möchtest, dann wirst Du ein sehr großes Banner mit viel Text benötigen, um dem Nutzer eine freie, informierte und rechtssichere Entscheidung zu ermöglichen.

Die Textmenge und der Mangel an optischer Priorisierung gehen dabei direkt zu Lasten der Usability. Nutzer sind meist nicht motiviert diese Texte durchzuarbeiten bevor sie das Banner wegklicken. Meist gehen diese Banner ebenfalls zu Lasten der Datenvollständigkeit, da Nutzer oft – von den Wahlmöglichkeiten überfordert – die vermeintlich sicherere Variante wählen und alle Cookies ablehnen.

Ein Beispiel mit sehr viel Text und verwirrenden Optionen:\ (Quelle: https://www.soldan.de, 05.11.2020):

Datenvollständigkeits-Beispiel

Eine möglichst vollständige Datenerhebung kannst Du erreichen, wenn Du versuchst den Nutzer durch die Gestaltung des Cookie-Banners in Deinem Sinne zu beeinflussen. Der Übergang von einer zulässigen, sanften Beeinflussung hin zu einem Dark Pattern, bzw. dem oben beschriebenen Nudging, ist dabei oft fließend.

Fakt ist: die Bedienbarkeit der Cookie-Wall darauf auszulegen, das möglichst viele Nutzer (versehentlich) die Cookies akzeptieren ist rechtlich umstritten und klar gegen den Regelungswillen des Gesetzes. Die Zustimmung des Nutzers ist nur gültig, wenn die Entscheidung bewusst und informiert getroffen wurde.

Aktuell sehen wir häufig solche oder ähnliche Umsetzungen: (Quelle: https://christiane-sohn.de/, 05.11.2020):

Ein solches Design steigert die Akzeptieren-Rate für den Cookie-Consent, aber es sollte definitiv eine Risiko-Abwägung getroffen werden, ob die konkrete Umsetzung im Zweifel einer gerichtlichen Überprüfung standhält.

Usability-Beispiel

Ein Fokus auf Usability wird die Nutzer freuen, im Einzelfall aber nicht alle rechtlichen notwendigen Informationen liefern können. Im Optimalfall lädt eine freundliche Gestaltung und ein knapper, hilfreicher Text zum Akzeptieren ein, ohne das Akzeptieren der Cookies aggressiv zu forcieren. In diesem Fall ist die Annahme-Quote sicherlich signifikant geringer als mit Nudging-Methoden, aber rechtlich weniger strittig. Außerdem fühlen sich die Nutzer wenig gegängelt oder gelangweilt, weshalb es in der Regel ein guter Mittelweg ist auf die Usability zu achten, solange die rechtlichen Risiken sorgsam abgewägt wurden.

Beispiel mit strukturierter Aufteilung: (Quelle: https://www.lufthansa.com/de/de/homepage 15.10.2020):

Beispiel eines österreichischen Anbieters mit gestalteten An/Aus-Schaltern: (Quelle: https://legalweb.io, 05.11.2020):

Fazit

Wenn Du Tracking betreiben möchtest oder personenbezogene Daten verarbeitest, musst Du Dir Gedanken machen. Viele Umsetzungen, die aktuell im Web zu finden sind, befinden sich bereits in der Grauzone. Stumpfes Nachbauen ist also sehr gefährlich. Die Balance zwischen sauberer Nutzerführung, Rechtssicherheit und detailliertem Tracking ist eine schwierige Angelegenheit.

Empfehlung

Don't copy & paste - finde Deine Lösung für Deine Website, Deine Nutzer und Deine weiße Weste. Wir unterstützen Dich dabei gern.

Weitere Literatur

Wir helfen Dir gern bei der Umsetzung

Wir sind keine Anwälte, helfen Dir aber gerne bei allen Fragen rund um das Thema SEO. Gern testen wir für Dich Deine aktuelle Implementierung auf Suchmaschinentauglichkeit oder unterstützen Dich bei der Konzeption eines neuen Consent-Banners nebst notwendiger Nutzertests und stellen gerne die Verbindung zu Juristen her. Ruf uns gerne an unter +49 40 22868040, schreibe uns eine E-Mail an kontakt@wngmn.de oder nutze das Kontaktformular auf unserer (cookiefreien) Website wngmn.de.