Cookie-Compliance: Gültige Einwilligung, nicht nur ein Banner

Cookie-Compliance in Spanien wird durch Artikel 22(2) des Gesetzes 34/2002 über Informationsgesellschaftsdienste und elektronischen Handel (LSSI-CE) geregelt, zusammen mit der EU-Datenschutz-Grundverordnung (DSGVO, Verordnung 2016/679) und den Cookie-Richtlinien der AEPD (aktualisiert 2023). Nicht wesentliche Cookies — einschließlich Analytics-, Werbe- und Social-Media-Cookies — erfordern eine vorherige, frei gegebene, spezifische, informierte und unzweideutige Einwilligung, bevor sie auf dem Gerät eines Benutzers gesetzt werden; durch Dark Patterns erlangte Einwilligung (wie ein auffälligerer "Akzeptieren"-Button oder in Konfigurationsmenüs verborgenes Cookie-Ablehnen) erfüllt nicht den rechtlichen Standard. Die bevorstehende ePrivacy-Verordnung wird die LSSI-CE-Cookie-Bestimmungen auf EU-Ebene ersetzen.

Cookie-Compliance ist der Datenschutzbereich, in dem die größte Lücke zwischen der Wahrnehmung der Unternehmen ihrer Position und der regulatorischen Realität besteht. Ein Cookie-Banner auf einer Website ist keine Compliance — es ist der Ausgangspunkt eines Systems, das, um gültig zu sein, sicherstellen muss, dass die erhaltene Einwilligung alle Anforderungen der DSGVO und der Cookie-Richtlinien der AEPD erfüllt.

Warum Cookie-Compliance für Ihr Unternehmen wichtig ist

Die aktualisierten Cookie-Richtlinien der AEPD von 2023 legen konkrete Kriterien fest, die viele aktuelle Implementierungen nicht erfüllen. Die Gleichwertigkeitsanforderung — dass Akzeptieren- und Ablehnen-Optionen in der ersten Ebene des Banners gleichermaßen auffällig und zugänglich sein müssen — erzeugt die meisten Verstöße. Die übliche Praxis, eine Alle-akzeptieren-Schaltfläche in der ersten Ebene zu platzieren und die Ablehnung nur über einen in der sekundären Navigation vergrabenen Einstellungslink verfügbar zu machen, steht ausdrücklich im Widerspruch zu den AEPD-Richtlinien.

Das technische Cookie-Audit enthüllt auch regelmäßig Situationen, derer sich Organisationen nicht bewusst waren: Drittanbieter-Skripte, die laden, bevor der Benutzer mit dem Banner interagiert hat, Cookies, die unabhängig von der gewählten Option gesetzt werden, oder aktive Werbe-Tracker, die das technische Team vergessen hatte und die nicht in der Cookie-Richtlinie erscheinen.

Unser Cookie-Compliance-Audit- und CMP-Implementierungsprozess

Für Unternehmen mit fortgeschrittenen digitalen Marketingstrategien bedeutet Cookie-Compliance nicht zwangsläufig, auf Messung zu verzichten. Die korrekte Implementierung von Google Consent Mode v2, kombiniert mit einer ordnungsgemäß konfigurierten CMP, ermöglicht es, nützliche Konversionsmessung aufrechtzuerhalten, selbst wenn ein Teil der Benutzer Cookies ablehnt — unter Verwendung von Googles Datenmodellierung für Nicht-Einwilligungs-Sitzungen.

Die Vor-Einwilligungs-Blockierung von Drittanbieter-Skripten ist die kritische technische Kontrolle, die eine funktionierende CMP von einer kosmetischen trennt. Ein Banner, das Benutzereinstellungen aufzeichnet, aber die zugrunde liegenden Skripte vor der Einwilligung nicht blockiert — ein häufiges Versagen bei CMP-Implementierungen — bietet keinen tatsächlichen Schutz und ist bei einer technischen Inspektion leicht zu erkennen.

Vorbereitung auf ePrivacy und den regulatorischen Weg nach vorne

Die ePrivacy-Verordnung wurde wiederholt verzögert, aber ihr eventuelles Inkrafttreten wird wesentliche Änderungen an Einwilligungssystemen, dem Umgang mit Metadaten elektronischer Kommunikation und digitalen Werberegeln erfordern. Organisationen, die ihre Einwilligungsinfrastruktur jetzt korrekt aufbauen — mit einer gut strukturierten CMP, dokumentierten Einwilligungsprotokollen und einer modularen Architektur — werden sich weit leichter anpassen, wenn die Verordnung schließlich gilt.