von Manuel Brückmann

Das optimale Consent Cookie Banner im A/B-Test: Maximales Tracking trotz DSGVO

Wie häufig stimmst du eigentlich Cookie Bannern auf Websites zu und fragst dich, welche Entscheidung deine User bei der Abfrage wohl treffen?

Wenn mangels nutzerseitiger Zustimmung die Acceptance-Rate um 50% fällt, kann das schwerwiegende Auswirkungen auf Marketing-Setup, Testlaufzeiten und Performance haben, genauso wenn Datenschutzbehörden aufgrund fehlender DSGVO-Konformität an die Tür klopfen.

In der Marketingabteilung sind die Verzerrung, der Verlust und die Sicherheit von Daten daher beständiges Thema. Von deinem Datenschutzbeauftragten und der Rechtsabteilung ganz zu schweigen.

Da das Cookie Consent Layer (aktuell wieder) sehr viele unserer Kunden umtreibt, konnten wir feststellen, dass sich einige Irrtümer und Mythen rund um die Einflussnahme von Cookie-Bannern hartnäckig halten, die immer wieder für Zündstoff in Unternehmen sorgen.

In diesem Beitrag teile ich daher unsere Einblicke, wie man trotz DSGVO für maximales Tracking und eine gute User Experience auf der Website sorgen kann.

Cookie Banner im Alltag: Datenverlust durch unsichere Rechtslage

Cookie Banner im A/B-Test: Mythen und Irrtümer, die deine Performance verringern

Mythos #1: Besucher interessieren sich nicht für Cookie-Banner

Mythos #2: Business-Ziele stehen im Konflikt zur Customer Experience

Irrtum #1: Ohne Zustimmung der Nutzer kann nichts getrackt oder ausgespielt werden

Irrtum #2: Die Banner müssen eine detaillierte Konfiguration der Cookies ermöglichen

Irrtum #3: Cookie-Banner (Versionen) können nicht getestet werden

Fazit

Bereits mit Ablauf der Schonfrist zur DSGVO am 25. Mai 2018 waren Sicherstellung der Messbarkeit und des Datenschutzes ein heißes Thema, wurden jedoch im Sommer 2019 durch das EuGh Urteil, bzgl. dem Opt-In statt Opt-Out für die Auswahl der Consent-Inhalte, wieder neu entfacht.
Die ePrivacy – welche Status quo Juni 2020 immer noch nicht final verabschiedet wurde und je nach EU-Staat unterschiedlich umfangreich ausfällt – sollte diese Verarbeitung regulieren.

Was ist die ePrivacy-Verordnung?

Im Prinzip geht es bei dem ganzen Thema darum, die persönlichen Daten der Nutzer vor unerwünschter Nutzung (durch Unbekannte) zu schützen und mit anderen Worten zu verhindern, dass ein Nutzer über mehrere Websites und Besuche hinweg verfolgt werden kann, ohne dass er sich dafür entschieden hat (z.B. Re-Targeting).

Leider ist diese Regulierung – soweit es von mir nachvollzogen werden kann – teils sehr schwammig formuliert, so dass viel in der Auslegung interpretiert werden kann und deshalb nicht selten als „unsichere Rechtslage“ bezeichnet wird.
Das führt dazu, dass sich diverse Irrtümer und allerlei Interpretationen hartnäckig halten. Weil Verantwortliche anschließend „auf Nummer sicher gehen“ wollen, leidet gezwungenermaßen die Performance und wird stark beeinträchtigt.

Die aktuelle Realität: Debatten und Probleme beim Thema Cookie Banner:

  1. Der Designer fragt: Interessieren sich unsere User eigentlich für die Cookie Banner, können wir das Consent Layer nicht kleiner machen?
  2. Der Datenschutzbeauftragte: Wie gewährleisten wir die Rechtssicherheit?
  3. Der Marketer: Wo sind meine Daten? So kann ich nicht arbeiten!

Wenn bspw. die Acceptance-Rate von 80% auf unter 20% fällt, dann ist das ein Horrorszenario für das Onlinemarketing bzw. auch alle anderen On- und auch Offsite-Optimierungen.

Wenn der verfügbare Traffic eingebrochen ist, werden Performance- und Marketingmaßnahmen stark beeinträchtigt.

Als Customer Experience Optimierer benötigen wir Daten, um diese analysieren und Maßnahmen ableiten und testen zu können.

Es gibt auch einige Betreiber, die teils kreative Lösungen gefunden haben, den (aktuellen) Anforderungen gerecht zu werden, ohne den Besucher zu schaden und trotzdem das Onlinemarketing aufrecht zu erhalten.

Dazu nun in den Beispielen mehr.

Cookie Banner Beispiele im A/B-Test: Mythen und Irrtümer, die deine Performance verringern

In Gesprächen mit Entscheidern sowie Leidtragenden der neuen Einschränkungen durch Cookie Consent, sind immer wieder die gleichen Themen aufgetaucht, aber auch „allgemeine Irrtümer“, bezüglich des Einflusses der ePrivacy auf Tracking-Möglichkeiten und das Nutzerverhalten.

Nicht wenige Unternehmen scheinen bisher eher in folgendem Modus unterwegs gewesen zu sein:

So lange es auch andere (Marktbegleiter) so handhaben und sich niemand beschwert, lassen wir unsere Cookie Banner wie gehabt.

Zumindest war das unserer Eindruck, wenn wir uns mit Verantwortlichen unterhalten bzw. uns die unterschiedlichen Versionen der Consent Layer, und wie diese das Recht umsetzen, angeschaut haben.

Nachfolgend kläre ich häufige Mythen und Irrtümer die deine Performance bremsen und zeige, was du dagegen tun kannst bzw. was wir gelernt haben.

Wir leisten keine Rechtsberatung:

Ich bin weder Rechtsanwalt noch Datenschutz-Experte sondern habe im Rahmen der Kundenberatung, insbesondere im Zusammenhang mit Technologie & Datenverarbeitung, viele Berührungspunkte mit dem Thema Datenschutz.
Ich selbst muss mich dabei aber auch bei unserem Rechtsanwalt Dr. Martin Schirmbacher und Datenschutzbeauftragten Dr. Ralf W. Schadowski absichern.

Deshalb hier klar der Hinweis: Für alle Rechtsfragen im Kontext dieses Artikels bitte in Rücksprache mit der eigenen Rechtsberatung oder dem Datenschutzbeauftragten klären!

Mythos #1: Besucher interessieren sich nicht für Cookie-Banner

Wir starten direkt mit dem beliebtesten Mythos im Zusammenhang mit Cookie Consent Layern.

Die Hypothese:

Nutzer interessieren sich nicht für Cookie Einstellungen, denn sie haben völlig andere Ziele wenn sie eine Website besuchen.

Und das kann schon als pauschale Annahme bezeichnet werden, unabhängig um welche Art von Webangebote – z.B. Onlineshop, Medienportal, Vermittlungsseite usw. – es sich dabei handelt.

Es wird sogar von Phänomenen wie „Cookie-Banner-Blindness“ gesprochen, weil diese „nervigen“ Pop-Ups, Banner und Leisten einfach inzwischen gelernt sind.

Aus Probandenbefragungen hören wir Aussagen wie z.B.

„Sie kommen auf jeder Website, sehen zwar teilweise unterschiedlich aus, kommen aber immer gleich um die Ecke und wollen, dass ich auf einen Button klicke.“

oder

„Durchlesen tue ich die Cookie Banner Texte nie. Steht ja eh immer der gleiche langweilige Botschaft von wegen Statistik usw. drin.“

oder

„Interessiert mich nicht, klicke ich gleich weg.“

Was ist also dran, an diesem Mythos?

Interessiert die Besucher wirklich nicht was drin steht?

Interessieren sich die Besucher überhaupt für die Banner?

Wir wollten es genauer wissen und haben es einfach getestet. Kleiner Spoiler an dieser Stelle zu Irrtum #3: Ja, man kann durchaus auch Cookie-Banner testen 😉

Wie genau verraten wir im weiteren Verlauf.

Unser A/B Test Szenario

Im Rahmen eines A/B Tests haben wir 3 verschiedene Beispiele eines Cookie-Banners getestet.

Bevor Vermutungen aufkommen: Die Button-Farbe hatte nichts mit dem Test-Szenario zu tun 😉 Während der Tests hat sich unsere CI verändert, so dass die Screenshots der Varianten teilweise noch die alten, teilweise schon die neuen Farbcodes enthalten.

Auch der Default-Zustand war immer gleich, die Screenshots zeigen unterschiedliche Zustände. Zu Beginn waren immer die Checkboxen leer und die primäre CTA “Alles auswählen”. Je nach Variante und Auswahl der Nutzer hat sich die CTA textuell verändert.

Drei Beispiele für Cookie Banner mit dem Ziel, DSGVO Vorschriften zu erfüllen
Vergleich Cookie Banner Beispiele: Fokus Business-Ziel, Hybrid-Version und Customer Journey Fokus
  1. V1 Fokus auf Business-Ziel (Control)
  2. V2 Hybrid-Version
  3. V3 Fokus auf Nutzerziel

V1 Fokus auf Business-Ziel

Beispiel für Cookie Banner Modalauswahl
Fokus Business-Ziel: Cookie Banner Beispiel als Modal ohne Schließen-Button

In diesem Cookie Banner Beispiel war das Banner nicht zu übersehen. Ein echter Störer als Modal.

Es gab also keine Möglichkeit das Banner weg zu klicken, ohne sich für „Alle akzeptieren“ als primäre CTA oder „Auswahl speichern“ als sekundäre CTA zu entscheiden.

Wurde „Auswahl speichern“ gewählt, so wurde die aktuelle Wahl – EuGh konform – ohne Vorauswahl gespeichert. Im Zweifel also gar nichts.

Aber die Nutzer mussten sich entscheiden, ohne Beantwortung ging es nicht weiter, die Website im Hintergrund konnte nicht bedient werden.

Diese Version entspricht der Empfehlung unseres Datenschutzbeauftragen und wurde vor dem A/B Test Live genommen. Sie ist somit gleichzeitig die Control-Variante.

V2 Hybrid-Version

Zweite Variante für Cookie Banner Hybrid Version
Cookie Banner Beispiele als Hybrid-Version, optisch abgespeckt mit Schließen-Funktion

In einer Hybrid-Version wurde dieses restriktive Verhalten aufgeweicht.

Das Banner wurde optisch reduziert und zusätzlich mit einem Schließen-Button ausgestattet, so dass man es schnell – als gelerntes Verhalten – „weg-x-en“ konnte.

Auch in diesem Fall wurde die aktuelle Auswahl gespeichert, jedoch war im Unterschied zu V1 die Website im Hintergrund bedienbar und nicht ausgegraut.

Außerdem wurde nur noch eine CTA – um es möglichst einfach zu halten – angeboten. Zu Beginn, ohne Vorauswahl der Kategorien lautete diese “Alle auswählen”, sobald eine Kategorie per Checkbox gewählt wurde “Auswahl speichern”.

V3 Fokus auf Nutzerziele

Dritte Variante für Cookie Banner: Cookie Consent Layer
Fokus Customer Journey: Cookie Consent Layer als Leiste am unteren Bildrand

In dieser Version wurde die Customer Journey des Nutzers fokussiert:
In der Annahme (siehe Mythos #2), dass der Nutzer andere Ziele hat als das Banner zu beantworten, wurde es nicht als Störer sondern dezenter als Leiste am unteren Bildschirmrand eingeblendet. Um mehr Fokus auf das Element zu legen wurde die Leiste verzögert reingefahren.

Der Besucher konnte also völlig frei, ohne das Banner beantworten zu müssen seinem Ziel, z.B. Artikel zu lesen oder Tickets zu buchen folgen und das Banner gut ignorieren.

Technisch entspricht diese Version ansonsten V2 mit dem Unterschied, dass in der mobilen Ansicht erst nach dem Klick auf den Link „Mehr“ die Konfiguration möglich war.

Beschreibung der KPIs

Neben den gewählten Kategorien sowie der Bestätigung der Auswahl haben wir die Bounce-Rate und Zeit, bis eine Auswahl getroffen wurde gemessen.

Was haben wir gelernt?

Damit wir einschätzen konnten, ob die Hypothese bestätigt oder widerlegt werden kann, haben wir folgendes berücksichtigt:

  • die Zeit, die ein Nutzer benötigt, um eine Auswahl zu treffen
  • die Art, wie sie das Banner schließen
  • an der Anzahl der Nutzer, die überhaupt mit dem Banner interagieren

Was wir dabei feststellen konnten ist, dass die Nutzer bei allen Varianten die Banner durchschnittlich nach 2 Sek. schließen, bei V1 sogar unter 2 Sek.

Graph der die Zeit bis zur Interaktion abbildet.

Auch der schnellste Leser schafft es nicht so schnell den Cookie Banner Text zu lesen.

Demnach schließen wir darauf, dass gar nichts gelesen wurde, nur kurz gescreent á la:

„Ah ja, Cookie Banner…und weg damit“.

In der V2 wurde das x sehr viel häufiger als die CTA geklickt.

Vergleich der Bannerinteraktionsrate der Cookie Varianten

Also auch hier unsere Interpretation „gleich weg damit“.

Die V3 wurde wie erwartet so gut wie gar nicht bearbeitet (62% weniger als in V1, 66% weniger als mit V2) mit anderen Worten: Freiwillig beschäftigt sich nur ein geringer Teil damit.

Vergleich der Cookie Banner Auswertung
Die meisten Nutzer haben mit der Hybrid V2 interagiert (+6%). Am wenigsten V3 (-62%).

Fazit: Mythos #1 bestätigt

Den Mythos konnten wir also bestätigen.

Die Besucher unserer Websites interessierten sich tatsächlich nicht für die Banner, was wir an der Interaktion und „Time-to-Exit-Banner“ KPI bestätigen konnten.

Mythos #2: Business-Ziele stehen im Konflikt zur Customer Experience

Dieser Mythos im Kontext der Cookie-Banner steht im direkten Zusammenhang mit dem ersten und lässt sich davon ableiten.

Das Business-Ziel hinter den Cookie-Consent ist in der Regel, dass der Besucher alle oder wie in unserem Fall zumindest „Statistik“ und „Personalisierung“ akzeptiert werden, damit Analysen zum Nutzerverhalten und Maßnahmen verprobt werden können.

Je nach Businessmodell können natürlich andere Ziele verfolgt werden, z.B. Marketingpixel, um die Werbemaßnahmen besser und zielgerichteter steuern zu können.

Die Hypothese:

Da sich Nutzer nicht für Banner interessieren scheint es plausibel, dass ein Zielkonflikt zwischen Betreiber und Besucher besteht.

Auch das wollten wir genauer wissen und haben es im Rahmen von Testing ausprobiert.

Unser A/B Test Szenario

Auch hier haben wir das bereits vorgestellte Test-Szenario angewendet.

Unser Ziel als Betreiber ist es, dass der Besucher alle Cookies akzeptiert, damit wir arbeiten können.

Das Ziel des Nutzers – im Fall unserer Plattformen – ist, Content zu erhalten bzw. Tickets für Veranstaltungen zu kaufen. Somit war V1 voll auf unser Business Ziel und V3 voll auf das Nutzer Ziel ausgerichtet, V2 ein Kompromiss.

Beschreibung der KPIs

Für die Bewertung des Tests haben wir auch hier primär die Acceptance Rate gemessen, dabei vordergründig welche Kategorien gewählt werden. Primäre KPI ist somit „Alles“, sekundär aus Business-Sicht zumindest Statistik. Außerdem haben wir uns die Bounce Rate angeschaut.

Was haben wir gelernt?

Grundsätzlich wollten die Nutzer das Banner schnell los werden (siehe Mythos #1).

Insofern ging die Strategie auf, die primäre CTA „Alles Auswählen“ anzubieten und die Formulierung „Auswahl speichern“ optisch zurückzunehmen. Im weitesten Sinne könnte man das schon als “Dark-Pattern” bezeichnen – worauf uns übrigens treue Community Leser auch hingewiesen haben. Im Vergleich zu den teils kreativen Beispielen die wir im weiteren Verlauf vorstellen waren wir mit der Verwendung dieses Patterns jedoch noch eher zurückhaltend.

Marketing Performance der verschiedenen Cookie Banner
Trotz der optischen Hervorhebung in V1, haben mehr Nutzer eine Auswahl getroffen.

Aber in diesem Mythos dreht es sich ja um den Konflikt, und dass haben wir damit nicht gelöst.

Wenn man wirklich den Nutzer in den Vordergrund stellt und die Business-Ziele zurücknimmt, müsste V3 die Variante der Wahl sein.

Hier konnten wir im Test bestätigen, dass rund 3,2% weniger Besucher in V3 im Vergleich zu V1, bzw. 2,3% weniger zu V2 abspringen und dafür den Cookie-Banner mehr oder weniger einfach links liegen lassen. Dies bestätigt uns, dass ihr Ziel von unserem (Daten erheben und verarbeiten um unser Business zu optimieren) im Widerspruch steht. Allerdings fallen diese Werte nicht besonders in’s Gewicht.

Bouncerate der Cookie Banner im Vergleich (Balkendiagramm)

Fazit: Mythos #2 bestätigt

Auch diesen Mythos konnten wir bestätigen.

Die Varianten die nicht auf das Business-Ziel einzahlten, sondern den Besucher und seine Journey in den Fokus stellten, haben genau dieses Paradigma bestätigt. Sie interagieren weniger mit dem Banner (beachten es nicht) und bouncen (etwas) weniger.
Die naheliegende Lösung dieses Paradigmas lautet, den Besucher die Beantwortung des Consents möglichst einfach zu machen, damit der Konflikt nicht in’s Gewicht fällt.

Unsere Varianten waren sehr unterschiedlich und der erste Schritt um Herauszufinden, welche Variante besser akzeptiert wird.
Es gibt natürlich nicht nur Schwarz (Nutzer zwingen) und Weiß (Business-Ziel ignorieren).

Behält man dieses Paradigma im Hinterkopf, lässt sich ein Kompromiss finden, die beide Welten vereint. Unsere V2 konnten diesen Spagat noch nicht erreichen. Aber dafür testen wir einfach weiter, vor allem auch um unsere Acceptance Rate zu erhöhen 😉

Übrigens wenn es um die Kategorien geht, welche Nutzer – wenn sie dann mit dem Banner interagieren und sich für individuelle Konfiguration entscheiden – dann gewinnt in jeder Variante Komfort, weit vor Personalisierung und Statistik. Letzteres verliert tatsächlich sogar bei jeder Variante. Sicherlich keine Allgemeingültige Aussage, aber für unser Experiment (bezogen auf unsere Zielgruppe des Blogs) ein zusätzlicher Insight der bei der Gestaltung zukünftiger Banner-Versionen hilfreich sein kann.

Acceptance Rate im Vergleich als Balkendiagramm

Irrtum #1: Ohne Zustimmung der Nutzer kann nichts getrackt oder ausgespielt werden

Dieser Irrtum hat vor allem rechtliche Hintergründe.

Ohne dass Nutzer aktiv zustimmen, sollen dem Mythos zufolge nicht nur keine Cookies – übrigens ist „Cookie“ generell ein Platzhalter für jede Form der Speicherung auf dem Gerät des Besuchers, egal in welcher Form – gespeichert werden, sondern auch die Implementierung etwaiger Tools (z.B. Web Analytics, Testing, usw.) darf erst nach der Zustimmung stattfinden.

Mit anderen Worten gibt es kein Web Analytics, so lange der Nutzer dem nicht aktiv zustimmt und auch kein A/B-Testing etc..

Die Hypothese

Ohne Einwilligung des Nutzers dürfen keinerlei Daten gespeichert werden, so dass auch keine Ausspielung von Tags erlaubt ist.

Das konnten wir natürlich nicht einfach im Rahmen von A/B-Tests ausprobieren, weshalb wir uns dazu mit einem Experten ausgetauscht haben.

Wie man Tracking und A/B-Testing trotz Cookie Consent erreicht, haben wir Dr. Schadowski, Sachverständiger für Datenschutz und IT-Sicherheit im Bundesverband BISG e.V., gefragt:

kK: Ist ein Einverständnis der Nutzer für eine lokalen Speicherung auf dem Endgeräten des Nutzers (unabhängig von der technischen Umsetzung z.B. Cookie oder Local Storage) erforderlich?

Dr. Schadowski: Wichtig ist die Zustimmung zu den Nutzungsbedingungen. Es ist grundsätzlich zu unterscheiden zwischen einer Nutzungseinwilligung und einer Datenschutzeinwilligung. Wenn die erhobenen Daten nicht personenbezogen sind, reicht die Zustimmung zu den Nutzungsbedingungen. Andersherum: die Einwilligung ist nicht DSGVO-relevant, wenn die Daten nicht personenbezogen sind. Achtung bei Logfiles: wenn wir Daten auf das System des Nutzers speichern, brauchen wir eine Zustimmung.

kK: Wenn wir beim A/B-Testing, die Browser-URL nicht persistent speichern und keine ID ohne Zustimmung generieren, wäre die Übertragung von Varianten- Kombinationen über die Browser-URL rechtlich ohne Zustimmung möglich?

Dr. Schadowski: Ja, das ist möglich.

kK: Die Browser-URL wird nicht persistent gespeichert, d.h. beim nächsten Besuch der Seite wäre die User Experience ggf. wieder inkonsistent, aber, wenn jemand den Tab offen lässt, bookmarkt oder die URL aus der History wieder aufruft, wäre die User Experience wieder konsistent, und über die URL wäre sogar eine serverseitige Logauswertung der Bestellhäufigkeit bezogen auf die verschiedenen Varianten möglich. Wie verhält es sich damit?

Dr. Schadowski: Da hier nichts dauerhaft gespeichert wird, und der Nutzer erst durch außerordentliche Handlungen eine Logauswertung ermöglicht, wäre dies eher als eine Einwilligung zu verstehen. Kurz: Das ist abhängig vom Nutzerverhalten, und wenn der Nutzer so agiert, ist das „seine eigene Verantwortung“.

Fazit Irrtum #1: Technisch und rechtlich einwandfrei das Maximum herausholen

Technisch stellt es kein Problem dar, Experimente und Performance-Maßnahmen schnell, synchron und flackerfrei auch beim ersten Seitenaufruf sicherzustellen. Eine 100%-Ausspielung funktioniert immer, unabhängig von der Einwilligung.

Auch wenn die Rechtslage aktuell schwammig ist, so ist es nach Einschätzung der Rechtsexperten dennoch möglich, Tools und etwaige Maßnahmen auszuspielen, sowie nicht personenbezogene Daten zu speichern, auch wenn noch kein Opt-In erfolgt ist.

Irrtum #2: Die Banner müssen eine detaillierte Konfiguration der Cookies ermöglichen

Dieser Mythos geht etwas mehr in’s Detail und beschreibt eher die Inhalte von Cookie-Bannern, denn es existieren aktuell im Wesentlichen zwei Versionen von Consent-Layern:

  1. Einfache Textversionen mit einer oder mehreren Call-to-Actions
  2. Konfigurierbare Layer mit Optionen, angefangen bei den Kategorien bis hin zu detaillierten Auswahlmöglichkeiten der Anbieter

Die Hypothese

Es muss Besuchern im Cookie Banner möglich sein, Umfang, Anbieter und Kategorie (direkt) wählen zu können

Um mit diesen Irrtum auszuräumen, haben wir uns die unterschiedlichen Banner angeschaut, sowie mit Betreibern und unseren Rechtsexperten gesprochen.

Beispiel für Cookie Banner vor dem EuGh-Urteil
Beispiel Cookie Banner vor dem EuGh-Urteil

Hier ein Beispiel, wie wir die Cookie-Banner vor dem EuGh-Urteil eingesetzt haben. Ein einfacher Hinweis, dass Cookies verwendet wurden. Ist man auf der Seite geblieben, so wurde das als “Stille Akzeptanz” gewertet. Mehr erfahren führte einfach zu den Datenschutzbestimmungen mit der Möglichkeit, einzelne oder mehrere Anbieter per Opt-Out zu deaktivieren.

Beispiel für DSGVO Konformes Cookie Banner bei Debitel
Aktuelles Beispiel Cookie Consent Layer Debitel

Das Beispiel zeigt den Banner von mobilcom Debitel. Die Telekom verwendet einen ähnlichen.

Beispiel für DSGVO Konformes Cookie Banner von Telekom
Aktuelles Beispiel Cookie Consent Layer Telekom

Im Layer selbst gibt es nur eine CTA “Akzeptieren” oder im Fall von Telekom “Zustimmen”. Damit werden alle Cookies akzeptiert.
Erst wenn man dem unscheinbaren Textlink “Zu den Optionen” oder “Einstellungen” folgt, werden die Cookies sehr Umfangreich Konfigurierbar. Im Gegensatz zum mobilcom Beispiel bietet die Telekom auch direkt einen “ablehnen” Link, der im Vergleich zu den Einstellungen etwas mehr hervorgehoben wird.

Beide Beispiele folgen den auch von uns angewendeten Patterns. Cognitiv möglichst einfache Beantwortung, in diesem Fall mit sehr reduzierten sekundären CTAs (als Textlinks).

Beide Varianten sind Datenschutzkonform und ermöglichen dennoch dem Besucher
a) schnell den Banner los zu werden und
b) für jene die es wirklich entscheiden wollen, auch die Auswahl zu treffen

 

Einstellungsoptionen für Datenschutz
Einstellungsoptionen für DSGVO-konforme Cookie Consent Layer

 

Beispiel Datenschutzmanager von Debitel
Datenschutzmanager für DSGVO-konforme Cookie Consent Layer

 

DSGVO Plugin für Website
Datenschutzmanager inkl. Anbieter für DSGVO-konforme Cookie Consent Layer

Fazit Irrtum #2:

Es ist richtig, dass die Besucher eine Option benötigen, um die Art der Speicherung wählen zu können.

Außerdem muss es ihnen ermöglicht werden, sich gegen spezifische Speicherung auszusprechen.

Das bedeutet jedoch nicht, dass sie diese Option in einem (komplizierten) Cookie-Setup Formular tun müssen. Und schon gar nicht direkt im ersten Dialog.

Es ist völlig ausreichend die Besucher über die Nutzung der Cookies zu informieren und eine Möglichkeit anzubieten, sich für oder gegen Kategorien und Anbieter zu entscheiden. Dass muss jedoch nicht direkt im Consent-Layer erfolgen.

Irrtum #3: Cookie-Banner (Versionen) können nicht getestet werden

Da wir im Verlauf dieses Artikel einige der Mythen durch Testing auf die Probe stellten, haben wir diesen Irrtum im Prinzip schon widerlegt. Deshalb im Folgenden ein paar Tipps, wie sich grundlegend auch Cookie-Banner testen lassen.

Die Hypothese

Cookie-Banner kommen vor dem Testing, insofern kann ohne die Zustimmung des Besuchers kein Test ausgespielt werden.

Ob und wie einfach Consent Layer getestet werden können, steht und fällt mit den verfügbaren Tools und deren Möglichkeiten. Könnte man zumindest meinen. Tatsächlich ist es jedoch auch möglich, das “Henne – Ei”-Problem (ohne Cookies kein Testing, ohne Testing keine Cookies) zu umgehen, unabhängig vom Testingtool. Die einfachste Möglichkeit ist natürlich, wenn eine Consent Management Plattform wie beispielsweise User Centrics verwendet wird, welche bereits A/B Testing von Banner-Varianten zumindest in der Enterprise Version mitbringt oder CookieBot, wo A/B Test mit unterschiedlichen Domain Gruppen als Workarround möglich sind.

Steht eine solche Plattform jedoch nicht zur Verfügung, z.B. weil kein Consent-Management eingesetzt und wie in unserem Fall das TagManagement auch hierfür verwendet wird, so können mit dem von uns gewählten Setup sehr einfach Varianten innerhalb des Consents getestet werden und grundsätzlich sogar auch verschiedene Consent Management Tools gegeneinander.

Dazu stellen wir euch im Folgenden 2 verschiedene Szenarien vor:

  1. Session basierte Ausspielung (Testingtool unabhängig)
  2. Verzögerte Messung (Testingtool abhängig)

1. Session basierte Ausspielung

Bei diesem Szenario, welches wir auch für unsere A/B Tests gewählt haben, werden keinerlei personenbezogenen Daten über den Nutzer erhoben und auch nicht auf dem Device gespeichert, so dass dies in jedem Fall DSGVO konform ist.

Bei jeder neuen Generierung eines Banners bei einem Besucher – dies lässt sich einfach durch die Nicht-Existenz eines Cookie-Consent-Cookies erkennen, welches als Mandatory-Cookie legitim ist – wird per Math-Random eine Variante “gewürfelt“.

Diese Variante und weitere – nicht personenbezogene Informationen wie Beispielsweise Device, Referrer, etc. – werden systemseitig gespeichert. In unserem Fall einfach in der bereits aktiven Datenbankverbindung in einer eigenen Tabelle.
Der letzte Schritt ist die Interaktion mit dem Banner, je nach gewünschten KPIs, ebenfalls anhand der Session-ID des Nutzers abzuspeichern. In unserem Fall

  • die Auswahl der Kategorien,
  • welche CTAs verwendet wurden,
  • ob eine Folgeseite besucht wurde und
  • wie viel Zeit vergangen ist, zwischen der Einblendung des Banners bis mit einer CTA interagiert wurde.

Mit anderen Worten:

Dieses Szenario beschreibt die Programmierung eines eigenen kleinen Testingtools. Dies soll jedoch keinesfalls ein Plädoyer gegen den Einsatz von etablierten Lösungen und Plattformen sein. Diese bieten natürlich weit mehr Möglichkeiten und Funktionen. Aber um vorgeschaltet und nur für den Zwecke der Entscheidung welche Banner-Variante zum Erfolg führt, ein pragmatisches Szenario. Denn der Aufwand dafür ist mit wenigen Zeilen Code in der Regel eher überschaubar. Grundsätzlich lässt sich das auch per Tag Management umsetzen.

Vorteil des Szenarios:

  • Testingtool unabhängig (kein weiteres Tool erforderlich)
  • maximale Flexibilität und Kontrolle (sowohl über die Inhalte als auch die Daten)
  • einfache Umsetzung (nativ im vorhanden Tech. Stack)

Nachteil des Szenarios:

  • manuelle Auswertung (z.B. bzgl. Bot-Traffic, Statistik etc.)
  • Keine weiteren Insights (nur dass was im Vorfeld bedacht wurde)
  • Keine Ready-to-Use Features (z.B. für Targeting, Analyse etc.)

2. Verzögerte Messung

Die Verzögerte Messung nutzt die Widerlegung des Irrtums #1 bzgl. der Speicherung von Daten ohne Einwilligung des Nutzers.
Grundsätzlich kann das Testingtool in diesem Szenario sehr wohl vor dem Consent-Layer verwendet werden und diesen in verschiedenen Varianten darstellen – oder die Darstellung und Inhalte im Rahmen eines Experiments den Hypothesen folgend verändern.

Wichtig dabei ist, dass hier ebenfalls keine personenbezogenen Daten über den Nutzer erhoben und ohne seine Einwilligung gespeichert werden. Dies darf dann erst nach dem Consent erfolgen (z.B. die Visitor-ID, IP-Adresse). Bis dahin darf nur das gespeichert werden, was für die Konsistenz der Customer Journey erforderlich ist.

Sofern das Testingtool diese Möglichkeit bietet, lässt sich damit sehr umfangreich Testen und vor allem auch die weiteren üblichen Funktionen der Tools nutzen. In diesem Zusammenhang vor allem die viel einfachere Analyse der Ergebnisse.

Vorteil des Szenarios:

  • Einfacheres Setup (z. B. bzgl. Targeting)
  • IT unabhängig (die IT muss nichts am System ändern)
  • Weitere Features (z. B. Audience Analysis, Templates etc.)

Nachteil des Szenarios:

  • Keine, sofern das Testingtool / Plattform die genannten Anforderungen erfüllt
  • Unter Umständen muss lediglich die Implementierung des Tools angepasst werden

Fazit Irrtum #3:

Auch Cookie-Banner lassen sich testen und Insights daraus generieren.

Da die Banner erheblichen Einfluss auf die Möglichkeiten zur Optimierung der Customer Journey, Durchführung von Marketingmaßnahmen etc. haben, sollten sie sogar zwingend getestet und optimiert werden.

Wir kennen Beispiele aus Gesprächen mit betroffenen Unternehmen, welche nach der Umsetzung des EuGh-Urteils von über 80% auf unter 20% Acceptance-Rate gerutscht sind.

Das legt unter Umständen schon mal eine ganze Division oder sogar das ganze Unternehmen lahm.
Optimierung der Banner lohnt sich also!

Fazit: Cookie Banner Testing lohnt sich

So lange die ePrivacy nicht final verabschiedet und klarer geregelt ist, wird weiterhin Spielraum für (Falsch-)Interpretationen geben.

Nichtsdestotrotz besteht – zumindest aktuell – nach wie vor die Möglichkeit, sowohl Business- als auch Nutzerziele in Einklang zu bringen und die Customer Journey zu optimieren, ohne dass sich das auf die Sicherheit der Daten der Besucher auswirkt und umgekehrt die Möglichkeiten der Unternehmen einschränkt.

Du hast noch weitere Mythen und Irrtümer im Zusammenhang mit Cookie Consent erlebt oder andere Erfahrungen gemacht?
Ich freue mich auf dein Feedback hier im Blog oder als PN.

Manuel Brückmann

Manuel Brückmann

Manuel Brückmann, Jahrgang 1982, ist als Principal Technology Consulting bei konversionsKRAFT – Deutschlands führende Agentur für Conversion Optimierung – für den Bereich Technologie Beratung verantwortlich.

Sein Werdegang begann 2007 im Bereich Design & Usability. Mit dem Abschluss als Dipl. Ing. (FH) Medieninformatik sammelte er als Consultant und Projektmanager in den darauf folgenden 2 Jahren Erfahrungen, bis er 2009 in den Bereich Interaction Design & Interface Development wechselte. Zwei Jahre später sammelte er in der Rolle des Senior User Experience Engineer Erfahrungen im UX-Bereich. In den folgenden Jahren übernahm er seit Anfang 2012 die Verantwortung für den Bereich Conversion Engineering bei konversionsKRAFT und führte eine interdisziplinäre Business Unit. Seit Anfang 2016 gehört er zur Geschäftsleitung und übernahm dort die Führung der Technologie im Unternehmen. Seit 2019 konzentriert er sich als Principal Technology Consulting auf die technischen Beratungsthemen im Unternehmen.

Neben umfangreichen Kenntnissen aus dem Bereich Technologie und Engineering (Web Oberflächentechnologien, Rich-Media, User Experience, Mobile / Responsive) weist er 12 Jahre Erfahrungen in den Bereichen Conversion Optimierung, E-Commerce, Lead-Gen, Usability, Projekt-, Account -und Team-Management vor.

Frage zum Artikel? Frag den Autor!

6 Reaktionen auf „Das optimale Consent Cookie Banner im A/B-Test: Maximales Tracking trotz DSGVO

  1. Testing von Consent-Dialogen macht auf jeden Fall Sinn. Aber Vorsicht ist geboten: Dark Patterns und Nudging führen dann zwar zu einer höheren Einwilligungsrate, diese nützt nur nichts, wenn die Einwilligungen ungültig sind. Laut BGH-Urteil ist es rechtswidrig, wenn der Dialog „angelegt erscheint, den Verbraucher von einer Kenntnisnahme abzuhalten und ihn dazu zu veranlassen, das Wahlrecht der Beklagten zu übertragen.“ Außerdem orientieren sich Aufsichtsbehörden und Gerichte am Leitfaden des obersten Europäischen Gremiums: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf (insbesondere auch Punkte 44, 82, 114)

  2. von Manuel Brückmann

    Hallo Olaf,
    danke für dein Feedback und die wertvollen Details zu den Leitfäden.

    Ich stimme Dir völlig zu. Dark-Patterns sind generell mit größter Vorsicht zu genießen, insbesondere wenn diese Einfluss auf rechtliche Anforderungen nehmen.

    In unserem Fall und den Beispielen bezieht sich das „Dark“ auf die Hervorhebung der primären CTA (aus Unternehmenssicht) im Vergleich zur sekundären. Das „verstecken“ oder verschleiern von erforderlichen Inhalten, z.B. in Form eines nicht erkennbaren Textlinks (keine Farbe, keine Unterstreichung) halte ich ebenfalls für fragwürdig. Grundsätzlich mit einer Mischung aus Buttons und Text-Links zu arbeiten, und damit den Fokus auf eine einfache Bedienung zu legen, halte ich persönlich durchaus für legitim.

  3. Hallo Manuel,
    Du schreibst bei „Irrtum #3: Cookie-Banner (Versionen) können nicht getestet werden“, dass du die Session-ID für die Auswertung nutzt. Ich habe von einem Anwalt gehört, dass eine Session mit Cookies erst dann gestartet werden darf, wenn ein Besucher etwas in den Warenkorb legt, nicht vorher. Wie siehst du das? Viele Shopsysteme erfordern ein Cookie von Anfang an, können diese Anforderung also gar nicht erfüllen. Und das wäre ein klarer Nachteil für Shopsysteme, die ohne Cookie arbeiten bis zum Warenkorb.

  4. von Manuel Brückmann

    Hallo Emile,
    sehr gute Frage! Hier sind wir bei der unsicheren Rechtslage. Meine persönliche Meinung dazu ist: Eine Session-ID ist eine vom System erforderliche ID und demnach „Mandatory“. Sonst sind wir wieder in den 90er Jahren, in welchen die Session-IDs den URLs als Parameter angehängt werden. Im genannten Beispiel handelt es sich um die PHP Session (Cookie PHPSESSIONID). Dieses Cookie wird automatisch und immer von PHP selbst erzeugt. Sicherlich wäre es technisch möglich das zu verhindern, aber damit würden wir in die Funktionsweise der Website zugrunde liegenden Programmiersprache eingreifen und dass nur, um das schreiben eines generischen Cookies zu verhindern.

    Dabei stelle ich – so wie andere sicherlich auch – die Verhältnismäßigkeit in Frage. Es geht ja „eigentlich“ darum zu verhindern, dass der Besucher ohne seine Kenntnis (wieder)erkannt und über mehrere Websites verfolgt werden kann (z.B. durch ReTargeting-Maßnahmen). Eine generische Session-ID gespeichert als Cookie hat darauf keinen Einfluss. Sie lässt weder einen Rückschluss auf die Person zu, noch ermöglicht sie eine Wiedererkennung. Sie hält lediglich die aktuelle Session „Stabil“, was technische Hintergründe hat.

    Demnach fühlen wir uns mit der Einstufung der PHPSESSIONID als „Mandatory“ (System) Cookie sicher. Übrigens auch das Cookie zur Speicherung der Entscheidung halten wir für ein System-Cookie. Der Nutzer kann sich auch hier nicht gegen die Speicherung dieser Information entscheiden, denn ohne dieses Cookie können wir uns nicht merken, welche Entscheidung der Besucher überhaupt getroffen hat und würden ihm sonst immer wieder das Banner anzeigen müssen.

    So würde ich das auch bzgl. deinem Beispiel mit dem Warenkorb sehen. Damit die Produkte im Warenkorb gespeichert werden können, muss klar sein, zur welcher Session dieser aktuelle Warenkorb gehört. Diese Information in einem Cookie zu speichern ist m.M.n. eine Systemrelevante Information. Kein Personenrückschluss, kein personenbezogenes Datum, aber Systemrelevant und deshalb legitim zu speichern.

    Aber ich bin kein Rechtsexperte 😉 Ich empfehle das immer mit dem verantwortlichen DSB zu klären.

  5. Hallo Manuel,
    Noch eine Frage: Ich verstehe die Grafik zu „Trotz der optischen Hervorhebung in V1, haben mehr Nutzer eine Auswahl getroffen.“ nicht. Müssten nicht für jede der Varianten A/B/C der rote plus der blaue Balken 100% (-Bouncerate) ergeben? Alle Besucher klicken doch entweder „Alles akzeptieren“ oder „Auswahl speichern“?

  6. von Manuel Brückmann

    Hallo Emile,
    Danke für dein Feedback! Grundsätzlich hast du völlig recht. Hier ist unser Reporting (bzw. das Monitoring-Setup) leider nicht so differenziert wie es sein könnte. Die Bouncerate bezog sich lediglich auf die Landing-Experience. Es ist möglich weitere Seitenbesuche zu haben, je nach Variante auch das Banner zu ignorieren und in diesem Fall konnten wir nicht nachvollziehen, wieviel Einfluss das Banner auf die Bouncerate hatte. Daher betrachteten wir zu diesem Zeitpunkt lediglich die relative Bouncerate zwischen Variante B und C im Vergleich zu A und nur bezogen auf den Erstbesuch. In Folgetests haben wir besser gelöst 😉

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.