Cookie Löschung bei Consent Ablehnung

Seit der Einführung der DSGVO am 25. Mai 2018 sind Cookie Banner auf Webseiten im EU Raum gar nicht mehr wegzudenken. Fast jede Seite hat sie: Zustimmen, Ablehnen, Weitere Einstellungen – diese drei Optionen werden beim ersten Öffnen einer Webseite zumeist angezeigt. Als EU Nutzer*in wird eine Auswahl erzwungen. Ein Wegklicken ist meistens nicht möglich.

Was passiert aber, wenn die Einwilligung zuerst erteilt und danach wieder entzogen wird? Werden alle Spuren von Trackern und 3rd Parties auf der besuchten Seite wieder gelöscht, oder bleiben diese Spuren vorhanden, bis der Consent wieder der Seite gegeben wird?

So werden Cookies gesetzt, Quelle: e-dialog

Cookies werden nicht gelöscht

Wird der Consent zuerst für alle oder nur einzelne Dienste erteilt und danach wieder entzogen, passiert … gar nichts.

Die Webseite darf dann einfach nur die Dienste von Dritten nicht mehr auf der Webseite verwenden. Das heißt, Pixel wie GA4, Google Ads, das Meta/Facebook Pixel und alles was von Drittanbietern irgendwie geladen werden kann, darf nun nicht mehr auf der Website verwendet und eingesetzt werden. Doch beim erstmaligen Erteilen des Consents werden Cookies von diesen Tracking Tools gesetzt.

Das Setzen von Cookies wird unterschieden in

1st Party Kontext
3rd Party Kontext

Beim Setzen von Cookies im 3rd Party Context wird ein Cookie nicht unter z.B. e-dialog.group gesetzt, sondern unter der Domain des Tracking Pixels, also zB google-analytics.com. Das Setzen von Cookies im 3rd Party Kontext wird von immer mehr Browsern blockiert und wird in Zukunft mit ziemlicher Sicherheit komplett deaktiviert sein.
Der Grund für die datenschutzrechtliche Problematik mit den 3rd Party Cookies ist die weitreichende Verfügbarkeit dieser Cookies, wodurch ein Profiling von Benutzer*innen sehr einfach umsetzbar ist. Ein 3rd Party Cookie, welches unter google-analytics.com gesetzt werden würde, könnte bei jedem Aufruf von GA4 auf egal welcher anderen Seite ausgelesen und verwendet werden.
Unter anderem deshalb setzt GA4 nur 1st Party Cookies.

Beim Setzen von Cookies im 1st Party Kontext wird von Cookies gesprochen, die direkt unter der Domain der besuchten Seite gesetzt werden, also im Kontext von z.B. e-dialog.group.

Beim Erteilen von Einwilligungen auf einer Webseite, wird die Zustimmung erteilt, dass Inhalte von Fremdanbietern auf der Webseite geladen werden können. Dabei werden Pixel geladen und sie setzen wiederum Cookies.

Wird der Consent später wieder entzogen, bleiben diese Cookies auf der Maschine/Endgerät (Desktop, Tablet, Handy, Smart TV, Smart Car Screen, Smartwatch etc.) gespeichert, werden aber nicht mehr an die Fremdanbieter gesendet.

Was passiert, wenn der Consent nach einer vorherigen Zustimmung abgelehnt wird?, Quelle: e-dialog

Cookies bleiben beim Ablehnen - wie wirkt sich das aus?

Nun kann angenommen werden, dass diese Cookies für “tot” erklärt werden können, da die Werte (zum Beispiel IDs, Kennungen, Schlüssel), die zur Identifikation der Nutzer*innen dienen, nicht mehr an die verschiedenen Tools weitergeleitet werden dürfen.

Die Cookies sind aber weiterhin da und die Natur des HTTP(S) Protokolls sieht vor, dass bei jeder Kommunikation mit dem Webseiten-Server alle Cookies ausgetauscht werden müssen, die im Browser gesetzt wurden. Bei jedem Aufruf einer Webseite, bei jedem Aufruf einer Ressource einer Webseite, werden alle gespeicherten Cookies vom Browser automatisch an den Webserver übermittelt.

Welche Ressourcen hat eine Webseite?

Die Seite selbst besteht aus HTML, welcher beim initialen Aufruf vom Server bereitgestellt wird
Multimedia, Bilder, Videos
JavaScript Dateien
Fonts (Schriftarten)
HTML Inhalte, die in IFrames nachgeladen werden

Bei jedem Aufruf einer Ressource wird über den HTTP Header dem Server mitgeteilt, welche Cookies im 1st Party Kontext unter z.B. e-dialog.group vorhanden sind.

Wie verhalten sich Cookies, die übrig bleiben? Alle Cookies werden bei allen HTTP Ressourcen (HTML, Bilder, JS) übermittelt., Quelle: e-dialog

Nun kann unser Webserver im Hintergrund diese Informationen weiter verwenden, an ein serverseitiges Tracking senden und das Tracking dadurch wiederherstellen, obwohl der Consent über die Consent Management Platform (CMP) abgelehnt wurde.

Wieso löschen die CMPs die Cookies nicht?

Aus der Sicht von einer Consent Management Platform (also eines CMP Anbieters), kann das mehrere Gründe haben:

1. Verschiedene Pixel setzen viele verschiedene Cookies
Es könnte sich als schwierig herausstellen, wirklich alle Cookies eines jeden Pixels verlässlich zu löschen, ohne dabei wichtige, technisch notwendige Cookies zu entfernen. Das Google Analytics 4 Pixel setzt z.B. die “ga” und “_gid” Pixel, welche einfach zu löschen wären. Es setzt jedoch noch 3-4 weitere Cookies wie z.B. “_ga_27YEXKDRRJ”, “_ga_4JV80G7R91”. Diese Cookies könnten zwar auch anhand des Präfixes “_ga_*” erkannt werden. Jedoch besteht das Risiko, dass zu viel gelöscht werden könnte.

2. Bagatellisierung, Verharmlosung
Einige CMP Anbieter sind der Meinung, dass der Consent für das Setzen der Cookies in der Vergangenheit erteilt wurde und eine Löschung nach einer darauffolgenden Ablehnung unnötig ist, da der/die Webseiteninhaber*in dafür Sorge tragen muss, dass die Drittanbieter-Pixel nicht mehr geladen werden dürfen und dadurch ja diese Cookies obsolet werden.
Der CMP Anbieter geht davon aus, dass die Cookies “tot” sind und nicht mehr verwendet werden.

3. Cookies behalten, mehr Daten sammeln
Werden die Cookies nach der Ablehnung nicht gelöscht, kann es ja sein, dass ein*e Benutzer*in den Consent irgendwann in der Zukunft wieder gibt. Hier passiert dann etwas Spannendes: Alle IDs in allen Cookies erwachen aus ihrem Tiefschlaf und leben wieder – der*die Nutzer*in wird einfach mit den bisherigen IDs weiter erfasst, als gäbe es keine Unterbrechung beim Tracking.

Können die Cookies beim Ablehnen gelöscht werden?

Ja. Mit dem Google Tag Manager lässt sich das einrichten.

Um die Cookies beim Ablehnen des Consents zu löschen, müssen folgende Bedingungen erfüllt werden:

Auflistung aller zu löschenden Cookies, die von Pixeln gesetzt werden
1.a. Die Liste muss laufend gewartet werden, wenn neue Pixel hinzugefügt oder entfernt werden
Der Google Tag Manager muss auf der Seite geladen sein, wo der Consent abgelehnt wird.
Die Consent Management Platform (CMP) muss ein entsprechendes Signal in den dataLayer Pushen, damit im GTM ein Trigger auf das Signal hören kann
Im GTM muss eine entsprechende Logik gebaut werden, die bei dem Signal von der CMP aktiv wird. Es müssen dann alle Cookies nacheinander gelöscht werden.

Können Cookies auch bei serverseitigem Tracking nach dem Ablehnen gelöscht werden?

Ja. Auch bei serverseitigem Tracking können alle Cookies restlos entfernt werden. Hier würde dann die Logik fürs Löschen der Cookies vom serverseitigem Tag Manager durchgeführt werden, um auch Cookies zu löschen, die nicht über JavaScript zugänglich sind. Ein Beispiel für so ein Cookie wäre das “FPID” = First Person ID Cookie, welches bei der Verwendung des serverseitigen Google Tag Managers standardmäßig gesetzt wird.

Das “FPID” Cookie wird als “httpOnly = true” gesetzt, was ein Löschen über einen JavaScript Code im clientseitigen GTM nicht möglich macht. Die Löschung muss daher im Server Side GTM erfolgen.

Der Server Side GTM bietet mit seinen benutzerdefinierten Client Vorlagen sogenannte Sandboxed-Scripts an, die man genau für diesen Zweck bauen und nutzen kann.

Fazit

Bleiben Cookies nach dem Annehmen und in weiterer Folge nach dem Ablehnen von Consent weiterhin gespeichert, so werden sie weiterhin in der Kommunikation bei weiteren Webseiten-Aufrufen übermittelt. Dies kann datenschutzrechtliche Fragen aufwerfen. Wir empfehlen in diesem Fall, Cookies beim Ablehnen des Consent zu löschen.

Gehe auf Nummer sicher und entferne lieber alle Cookies beim Ablehnen des Consents. Wir unterstützen dich gerne – kontaktiere uns unter: kontakt@e-dialog.group

Cookie Löschung bei Consent Ablehnung

Management Summary

Cookies werden nicht gelöscht

Cookies bleiben beim Ablehnen - wie wirkt sich das aus?

Wieso löschen die CMPs die Cookies nicht?

Können die Cookies beim Ablehnen gelöscht werden?

Können Cookies auch bei serverseitigem Tracking nach dem Ablehnen gelöscht werden?

Fazit

Gehe auf Nummer sicher und entferne lieber alle Cookies beim Ablehnen des Consents. Wir unterstützen dich gerne – kontaktiere uns unter: kontakt@e-dialog.group

Weitere Themen

Usercentrics CMP Version 3

Privacy-first Marketing: Die Zukunft des verantwortungsvollen Marketings

Ausblick des Consent Managements: Trends und Entwicklungen

DMA entschlüsselt: 3 Dinge, die Marketer für die Nutzung von Google-Diensten wissen sollten

Google reCAPTCHA DSGVO konform nutzen

Warum Consent Management eine strategische Chance für Unternehmen ist

Regeln und Änderungen für Data-driven Advertising 2024 durch Post Cookie und DMA

Digital Marketing Trends 2024

Consent Mode für Google Ads, Google Marketing Platform & GA4 – was ist zu tun?

Das neue Datenschutzgesetz in der Schweiz ab 1.9.2023 – worauf Sie achten müssen!

Bessere Conversion-Performance dank Advanced Matching

Google Fonts & Datenschutz – geht das?

Google Analytics datenschutzkonform nutzen

DSGVO, TMG, TKG und nun TTDSG: was bringt das neue deutsche TTDSG?

ADPC – der neue Standard für Consent Management?

Consent Management in der Schweiz – Notwendigkeit oder Best Practice?

Das Leben nach den 3rd-Party Cookies – Ein Leitfaden

Wie konform muss ein Cookie-Banner sein?

Tracking-Systeme & Datenschutz

Consent Optimization – OptIn Optimierung: Damit schmecken die Cookies auch meiner Zielgruppe!

Happy New Digital Marketing Trends 2021

Server Side Tagging (GTM vs. Tealium iQ vs. TagCommander)

TCF 2.0 – Aktueller Stand und Entwicklungen

Datenweitergabe von Inhalten Dritter – wer haftet?

Schrems III bis CIV

Cookies außerhalb des GTM – Keine gute Idee?

New Year, New Data: Digital Marketing Trends 2020

Cookie Löschung bei Consent Ablehnung

Management Summary

Cookies werden nicht gelöscht

Cookies bleiben beim Ablehnen - wie wirkt sich das aus?

Wieso löschen die CMPs die Cookies nicht?

Können die Cookies beim Ablehnen gelöscht werden?

Können Cookies auch bei serverseitigem Tracking nach dem Ablehnen gelöscht werden?

Fazit

Gehe auf Nummer sicher und entferne lieber alle Cookies beim Ablehnen des Consents. Wir unterstützen dich gerne – kontaktiere uns unter: ​​kontakt@e-dialog.group

Weitere Themen

Gehe auf Nummer sicher und entferne lieber alle Cookies beim Ablehnen des Consents. Wir unterstützen dich gerne – kontaktiere uns unter: kontakt@e-dialog.group