Privacy UX: Bessere Cookie-Zustimmungserfahrungen

Veröffentlicht: 2022-03-10
Kurze Zusammenfassung ↬ In dieser Artikelserie geht es um datenschutzbezogene Designmuster. Wir werden einige der respektvollen Vorgehensweisen zum Umgang mit Datenschutz und Datenerfassung untersuchen und den Umgang mit diesen berüchtigten Cookie-Zustimmungsaufforderungen, aufdringlichen Push-Benachrichtigungen, glorreichen Erlaubnisanfragen, böswilligem Tracking durch Dritte und Offboarding-Erfahrungen.
  • Teil 1: Allgemeine Bedenken und Datenschutz in Webformularen
  • Teil 2: Bessere Erfahrungen mit der Cookie-Einwilligung
  • Teil 3: Bessere Benachrichtigungen UX und Berechtigungsanfragen
  • Teil 4: Datenschutzbewusstes Design-Framework

Mit dem Inkrafttreten der EU -Datenschutz-Grundverordnung (DSGVO) im Mai 2018 hat sich das Web in eine riesige Ausstellung von Einwilligungs-Popups, Benachrichtigungen, Symbolleisten und Modals verwandelt. Während die Absicht der meisten Cookie-bezogenen Eingabeaufforderungen die gleiche ist – die Zustimmung eines Benutzers zu erhalten, sein Verhalten auf die gleiche Weise zu sammeln und auszuwerten, wie sie es seit Jahren tun – unterscheiden sich die Implementierungen erheblich, was es oft lächerlich schwierig oder einfach unmöglich macht für Kunden, sich vom Tracking abzumelden.

Darüber hinaus respektieren viele Implementierungen die Entscheidungen der Benutzer ohnehin nicht einmal und setzen Cookies trotz ihrer Entscheidungen, in der Annahme, dass die meisten Menschen trotzdem ihre Zustimmung erteilen.

Zugegeben, ganz unrecht haben sie nicht. In unseren Untersuchungen gibt die überwiegende Mehrheit der Benutzer bereitwillig ihre Zustimmung, ohne den Cookie-Hinweis überhaupt zu lesen . Der Grund liegt auf der Hand und ist nachvollziehbar: Viele Kunden erwarten, dass eine Website „wahrscheinlich nicht funktionieren würde oder die Inhalte sonst nicht zugänglich wären“. Natürlich ist das nicht unbedingt wahr, aber Benutzer können es nicht sicher wissen, es sei denn, sie probieren es aus. In Wirklichkeit möchte jedoch niemand Pingpong mit der Cookie-Einwilligungsaufforderung spielen, und so klickt er die Zustimmung weg , indem er die naheliegendste Option wählt: „OK“.

Hinweis : Es ist wichtig zu verstehen, dass die in diesem Artikel besprochenen Cookies und Einwilligungsmechanismen über die DSGVO hinausgehen. In Europa werden sie durch ein separates Gesetz geregelt, die ePrivacy-Richtlinie, die derzeit im Entwurf für eine Überarbeitung ist (Stand: April 2019). Es könnte bis Sommer 2019 fertiggestellt sein. Wir wissen nicht, wie seine endgültige Form aussehen wird, aber es wird die Zukunft der Cookie-Zustimmungsaufforderungen bestimmen.

Mehr nach dem Sprung! Lesen Sie unten weiter ↓

Nun, bei diesem verbreiteten Online-Verhalten könnte man feststellen, dass Cookie-Eingabeaufforderungen nicht besonders nützlich sind, und das stimmt teilweise. Aber sie haben sicherlich dazu beigetragen, das Bewusstsein für Datenschutz und Datenerfassung im Internet zu schärfen. Tatsächlich wissen die Benutzer jetzt, dass Websites ihre Daten verfolgen, was ihnen vor einigen Jahren nicht bewusst war. Aber sie sehen es oft als notwendiges Übel im Austausch für den „kostenlosen“ Zugriff auf die Inhalte.

Es ist nicht so, dass Benutzer ihre persönlichen Daten immer gerne teilen, aber sie halten den Widerruf der Einwilligung nicht wirklich für eine praktikable Alternative. Für viele von ihnen besteht die einzig vernünftige Option darin, ihre Zustimmung zu erteilen, während sie sich für eine Adblocker-Erweiterung oder einen anderen Tracking-Blocker in ihrem Browser entscheiden.

oreo-Website
Cookie-Zustimmungs-Popups müssen nicht winzig und unlesbar sein. Wir könnten auch versuchen, sie in unser Gesamterlebnis zu integrieren. Ein typisches Beispiel: Oreo, mit einem Oreo-Cookie, das als Cookie-Zustimmungsaufforderung angezeigt wird. (Große Vorschau)

Da Cookie-Zustimmungsaufforderungen dem Inhalt immer im Weg stehen , werden sie oft fast instinktiv abgetan, ähnlich wie Karussells beim Onboarding. Daher könnte es aus Sicht des Designers Zeitverschwendung sein, Wochen damit zu verbringen, diese einzigartige Eingabeaufforderung zu verfeinern. (Tut mir leid, dass ich deine Träume an dieser Stelle zerstört habe.)

Iamsterdam.com-Cookies
Iamsterdam.com ermöglicht es Besuchern, die Cookie-Einstellungen anzupassen und erklärt die verschiedenen Arten von Cookies, mit einer Option, bestimmte Cookies einfach abzulehnen. (Große Vorschau)

Da viele Websites stark auf das Sammeln von Daten, das Durchführen von A/B-Tests und das Bereitstellen von zielgerichteter Werbung für Benutzer angewiesen sind, wird das Design des Cookie-Zustimmungshinweises häufig stark von Geschäftsanforderungen und Geschäftszielen beeinflusst. Ist es für das Unternehmen akzeptabel, Benutzern zu erlauben, das gesamte Tracking schnell zu schließen? Welche Cookies sind (anscheinend) erforderlich, damit die Seite funktioniert, und welche sind optional? Welche Cookies sollten standardmäßig zur Genehmigung ausgewählt werden und welche erfordern eine manuelle Zustimmung? Sollte der Kunde in der Lage sein, die Einwilligung einfach zu widerrufen, sobald sie erteilt wurde, und wenn ja, wie genau würde dies geschehen, wenn er kein Konto auf der Website hat?

Diese Geschäftsentscheidungen haben einen großen Einfluss auf Designentscheidungen, obwohl das optimale Design aus Sicht des Benutzers ziemlich offensichtlich wäre: überhaupt keine Cookie-Einwilligung . Das würde beispielsweise bedeuten, dass Benutzer Datenschutzeinstellungen in ihren Browsern definieren und auswählen könnten, welchen Cookies sie zustimmen möchten. Der Browser sendet dann einen Hinweis an jede Website, die ein Benutzer besucht, und aktiviert oder deaktiviert automatisch die Cookie-Einstellungen, je nach den bereitgestellten Einstellungen.

Benutzer wissen jetzt, dass Websites ihre Daten verfolgen, was ihnen vor einigen Jahren nicht bewusst war. Aber sie sehen es oft als notwendiges Übel im Austausch für den „kostenlosen“ Zugriff auf die Inhalte.

Tatsächlich ist ein Do Not Track (DNT)-Header bereits implementiert und wird von Browsern weitgehend unterstützt (obwohl er aus Safari entfernt wurde, um eine potenzielle Verwendung für Fingerabdrücke zu verhindern), aber es gibt keinen etablierten Mechanismus, um diese Präferenz in eine granulare Auswahl von Akzeptierten umzuwandeln Cookie-Gruppen. Es sollte nicht sehr überraschen, dass die meisten Werbetreibenden auch nicht besonders glücklich darüber wären, dass dieses Muster an Bedeutung gewinnt, aber vielleicht könnte es ein etwas besserer Weg nach vorn sein, wie es von den Benutzern bevorzugt wird, überhaupt keine Cookie-Einwilligung einzuholen.

Zugegeben, Benutzer finden manchmal trotzdem einen Weg. Einige Benutzer, die bereits einen Werbeblocker verwenden, verwenden auch einen Cookie-Eingabeaufforderungsblocker. Letzterer erteilt jedoch normalerweise standardmäßig die vollständige Zustimmung im Namen des Benutzers. Offensichtlich widerspricht es in erster Linie dem eigentlichen Zweck der Cookie-Eingabeaufforderung, und im Idealfall würden solche Erweiterungen automatisch nur für essentielle Cookies zustimmen, während sie sich für alles andere abmelden (wenn es überhaupt möglich ist).

Als Designer sind wir jedoch gesetzlich dazu verpflichtet, zu erklären, was mit den Daten eines Benutzers passiert und wie sie im Rahmen der bereitgestellten Geschäftsanforderungen gespeichert werden. Wie Geoffrey Keating in seinem Artikel „Das Cookie-Gesetz und UX“ erwähnte, der sich laut dem Büro des Datenschutzbeauftragten speziell auf die Gesetzgebung in Irland konzentriert, „ist die Mindestanforderung eine klare Kommunikation mit dem Benutzer darüber, was er/sie ist in Bezug auf die Verwendung von Cookies um Zustimmung gebeten werden und eine Möglichkeit, die Zustimmung zu erteilen oder abzulehnen.“

Es ist erwähnenswert, dass die Einwilligung „eindeutig“ und „frei gegeben“ sein muss, da sie „keinen Zweifel an der Absicht der betroffenen Person zulassen muss, ein aktives Zeichen für die Wünsche des Benutzers sein sollte und nur gültig sein kann, wenn die betroffene Person es ist in der Lage, eine echte Wahl zu treffen.“ Daher sollten stillschweigende, vorausgewählte Kontrollkästchen oder Inaktivität keine Zustimmung darstellen.

Das mag offensichtlich klingen, aber einige Lösungen erkunden das rechtliche Neuland, das der Interpretation überlassen bleibt. Beispielsweise gibt der Website-Besucher manchmal „automatisch eine Cookie-Einwilligung ab, indem er auf einen Link auf der Website klickt“, und manchmal können Sie auswählen, welche Aktionen „offensichtlich genug“ sind, damit Sie sie als stille Zustimmung wahrnehmen. Offensichtlich ist dies keine informierte Entscheidung und solche Techniken gehören zu Recht zum Reich der schelmischen Übeltäter, die um jeden Preis vermieden werden sollten.

Vor diesem Hintergrund gibt es ein paar Optionen, die wir in Betracht ziehen könnten:

Vermeiden Sie optionale Cookies und behalten Sie nur funktionale Cookies: Keine Aufforderung erforderlich

Es mag den Anschein haben, dass jede einzelne Website ihren europäischen Besuchern einen Cookie-Einwilligungshinweis anzeigen muss, aber wenn Ihre Website keine personenbezogenen Daten von Benutzern sammelt, verfolgt und auswertet oder nur anonyme Daten sammelt, benötigen Sie möglicherweise keine . Tatsächlich ist eines der Grundprinzipien des Privacy-by-Design-Frameworks, dass nicht unbedingt erforderliche Cookies standardmäßig deaktiviert sein sollten und der Benutzer sich aktiv dafür entscheiden muss.

Jetzt können Cookies beispielsweise erforderlich sein, um den eingeloggten Zustand oder die Benutzereinstellungen aufrechtzuerhalten, und gemäß den EU-Vorschriften benötigen Sie dafür keine ausdrückliche Zustimmung. Aus diesem Grund sind bei vielen Eingabeaufforderungen auch funktionale Cookies standardmäßig aktiviert, ohne dass eine Option zum Deaktivieren vorhanden ist. Und einige Websites, wie GOV.UK, informieren Benutzer lediglich über Cookies, erfordern überhaupt keine Eingabe, bieten aber auch keine Möglichkeit, sich vom optionalen Google Analytics-Cookie abzumelden.

gov.uk
GOV.UK speichert mindestens 18 Cookies, und viele davon sind für ein besseres Erlebnis erforderlich; B. um den Fortschritt bei der Beantragung einer Lizenz zu verfolgen, multivariate Tests, sichere Verbindungen zu Websites, YouTube-Videos, E-Mail-Abo-Updates herzustellen. Allerdings ist nur ein Cookie optional: Google Analytics (anonymisiert). (Große Vorschau)

Anstupsen von Benutzern zur impliziten Zustimmung

Allerdings kommt nicht jede Website ohne werbebezogene Cookies von Drittanbietern aus. Ein scheinbar leichter Ausweg wäre das Hinzufügen einer einfachen Benachrichtigung wie „Durch die Nutzung unserer Website stimmen Sie der Verwendung von Cookies zu.“ Aber das allein reicht nicht. Da wir einen aktiven Hinweis auf die Zustimmung des Benutzers benötigen, müssen wir eine eindeutige Aktion verlangen. Aus diesem Grund fügen einige Websites ein „Schließen“-Symbol hinzu, wodurch das Zustimmungsfeld als Benachrichtigung angezeigt wird, die geschlossen werden kann. Um eine deutlichere Bestätigung zu gewährleisten, ist es eine gute Idee, das „Schließen“-Symbol durch eine Schaltfläche zu ersetzen. In vielen Implementierungen würde die Schaltfläche einfach „Schließen“ oder „Speichern“ oder „Fortfahren“ sagen, obwohl „Akzeptieren und fortfahren“ klarer ist.

In den meisten Fällen verschwindet die Benachrichtigung nicht, bis darauf reagiert wird, und ist daher das allererste, was Benutzer sehen, wenn sie eine Seite auf der Website besuchen. Benötigen Sie jedoch auf jeder Seite die Zustimmung des Benutzers? Sie könnten selektiver sein und nur dann um die Cookie-Zustimmung bitten, wenn dies tatsächlich erforderlich ist. zum Beispiel, wenn der Benutzer ein Konto einrichtet oder seine Einstellungen speichern möchte.

Twitter-Website
Twitter informiert seine Besucher über die verwendeten Cookies, es besteht jedoch keine Möglichkeit, die Cookie-Einstellungen anzupassen. Die Eingabeaufforderung wird weggeklickt, indem Sie auf das „ד in der oberen rechten Ecke klicken. Aber Vorsicht: Manche sehen darin eine Zustimmung, andere sehen darin ein Aufschieben der Entscheidung auf einen späteren Zeitpunkt, ähnlich wie beim Schlummern von Benachrichtigungen. (Große Vorschau)
Nachschärfer
JetBrains hat sich dafür entschieden, eine Nur-Text-Eingabeaufforderung so anzuzeigen, als wäre sie in einem Terminalfenster. Es gibt ausgewogene Optionen zum Opt-in oder Opt-out der Cookie-Zustimmung. (Große Vorschau)

Benutzern erlauben, Datenschutzeinstellungen anzupassen

Während die vorherige Option vollständigen Gehorsam oder vollständige Sperrung vorschreibt, könnten Sie der Absicht des Benutzers mehr Empathie entgegenbringen. Der Benutzer könnte starke Gefühle in Bezug auf die Offenlegung seiner persönlichen Daten haben, sodass er durch die Bereitstellung eines Auswegs – nicht unähnlich den zuvor erwähnten persönlichen Fragen – auf der Website gehalten werden könnte. Um dies zu erreichen, könnten wir eine Option zum Ändern der Einstellungen hinzufügen, gefolgt von einer Übersicht über verschiedene Gruppen von Cookies, von denen einige für die einwandfreie Funktion der Website erforderlich sind und andere optional sind.

Die Gruppierung könnte sich auf den Zweck von Cookies wie Werbung, Analysen und Statistiken oder Tests beziehen. Es könnte auch viel weiter gefasst sein und es den Benutzern ermöglichen, zwischen „Ich bin mit personalisierten Anzeigen einverstanden“ oder „Ich möchte keine personalisierten Anzeigen sehen“ zu wählen. Es ist auch eine gute Idee, dem Benutzer zu erklären, welche Funktionen auf der Website nicht verfügbar sind, sobald eine bestimmte Gruppe von Cookies blockiert wird. TrustArc tut dies mit einem Schieberegler, der eine Reihe von Datenschutzebenen ermöglicht, von der Zulassung nur erforderlicher Cookies über funktionale Cookies bis hin zu Werbe-Cookies, und zeigt gleichzeitig seine Auswirkungen auf die Gesamtfunktionalität der Website.

nngruppe
In der Nielsen Norman-Gruppe sind alle Cookies gruppiert. Notwendige Cookies können nicht deaktiviert werden, aber alle anderen Gruppen können mit ein paar Fingertipps geschlossen werden. Idealerweise gäbe es eine Möglichkeit, alle optionalen auf einmal abzubestellen. (Große Vorschau)
mailchimp
Registerkartengruppen für Cookies auf MailChimp. (Große Vorschau)
the-guardian 'Ihre Privatsphäre' Seite
(Große Vorschau)
the-guardian 'Ihre Privatsphäre' Seite
The Guardian bietet klare Optionen, die auf der Seite „Ihre Privatsphäre“ (allerdings nicht in der ersten Eingabeaufforderung) das gleiche Gewicht haben. Das Modal auf der Titelseite ist groß, bietet aber klare Optionen. (Große Vorschau)
die täglichen Mash-Datenschutzeinstellungen
Der Daily Mash bietet eine Option zum Anpassen der Datenschutzeinstellungen (wenn auch nicht hervorgehoben), und im Einstellungsfenster können Besucher alle Cookies einfach ablehnen oder akzeptieren. Außerdem ist „Save & Exit“ eine sehr klare Bezeichnung für eine Schaltfläche am unteren Rand. Die Erfahrung ist vielleicht nicht erfreulich, aber sie ist ziemlich klar. (Große Vorschau)
myfitnespal-Cookie-Einstellungen
MyFitnessPal, powered by TrustArc, zeigt einen Schieberegler an, der erklärt, welche Funktionalität für jede Gruppe von Cookies erlaubt oder nicht erlaubt ist. (Große Vorschau)
Cookie-Einstellungen
Ein fantastisches Muster, wie ein Dashboard für Cookie-Einstellungen gestaltet werden könnte, um die Transparenz zu verbessern. Ein Mock-up von Matthias Ott und Joschi Kuphal gebaut auf dem letzten @indiewebcamp in Düsseldorf. Sie können auch die Adobe XD-Quelldatei herunterladen, die freundlicherweise von den Autoren zur Verfügung gestellt wurde. (Große Vorschau)

Eine subtile oder prominente Anzeige der Einwilligungsersuchen

In Bezug auf das Layout kann die Eingabeaufforderung subtil und kaum wahrnehmbar oder offensichtlich und schwer zu ignorieren sein. Wir könnten es in der Kopfzeile der Seite oder am unteren Rand des Ansichtsfensters platzieren, oder wir könnten es auch als Modal in der Mitte der Seite positionieren. Alle diese Optionen könnten schwebend und dauerhaft sein, wenn der Benutzer die Seite scrollt, wodurch der Zugriff auf einen Teil des Inhalts (oder den gesamten Inhalt) blockiert wird, bis die Zustimmung erteilt wird.

De Telegraaf zum Beispiel platziert eine ausführliche Cookie-Einwilligung in der Mitte der Seite, verwischt den darunter liegenden Inhalt, entführt die Seite buchstäblich und steht im Weg. Es sollte keine große Offenbarung sein, dass von allen Optionen, die wir getestet haben, diese für Benutzer die nervigste zu sein scheint. Im Allgemeinen sollten subtile Eingabeaufforderungen bevorzugt werden, und je weniger Platz sie angezeigt werden müssen, desto besser war die Gesamtreaktion des Benutzers.

Telegraaf Cookie-Zustimmungsaufforderung
Es wird üblich, den Inhalt unkenntlich zu machen, während eine Cookie-Zustimmungsaufforderung angezeigt wird. Diese Technik lenkt den Fokus auf die Eingabeaufforderung, erhöht aber auch die Wahrscheinlichkeit, dass Besucher sie wegklicken, wodurch häufig die Privatsphäre gegen den Zugriff auf Inhalte eingetauscht wird. Eine etwas subtilere Eingabeaufforderung wäre effektiver und hilfreicher, da Benutzer herumsuchen und ohne Verpflichtung gehen könnten. Beispiel: Telegraaf.nl. (Große Vorschau)
pathe Cookie-Zustimmungsaufforderung
Den Inhalt unkenntlich zu machen, ist selten eine gute Idee. Außerdem gibt es hier eine sehr klare Primär- und Sekundäraktion. Es sieht nicht nach einer fairen Wahl zwischen den beiden Optionen aus. Beispiel: Pathe.nl. (Große Vorschau)
Cookie-Einwilligung von Empire-Bio
Kannst du den Keks erkennen? Eine kleine Benachrichtigung in der unteren rechten Ecke fragt nach der Zustimmung des Benutzers auf Empirebio.dk. (Große Vorschau)
Hoistgroup-Cookie
Bei HoistGroup gibt es keine Möglichkeit, Cookies abzulehnen – sie sind erforderlich, und es gibt keinen Ausweg. (Große Vorschau)
zeitonline-Cookie
Auf Zeit Online gibt es keine Möglichkeit, Cookies abzulehnen – sie sind erforderlich, und es gibt keinen Ausweg. (Große Vorschau)
Ticketveiling-Cookie-Eingabeaufforderung
Ticketveiling.nl zeigt unten eine Cookie-Eingabeaufforderung, aber auch ein Chat-Widget an. Nur eine befragte Person erwartete, dass der Chat hier Hilfestellung bei den Cookie-Einstellungen geben sollte. Es ist jedoch wahrscheinlich eine gute Idee, das Widget nicht neben der Cookie-Anzeigeaufforderung anzuzeigen. (Große Vorschau)

Aussehen und Wortlaut auf Schaltflächen

Wir müssen uns auch Gedanken über das Erscheinungsbild des Einwilligungsformulars machen, insbesondere über das Design von Schaltflächen und die Formulierung auf diesen Schaltflächen. Formulierungen wie „Einfach fortfahren“ oder „Speichern und beenden“ oder „Weiter mit der Nutzung der Website“ veranlassen Benutzer, mit einer Standardoption fortzufahren, und tatsächlich werden viele Benutzer wahrscheinlich genau das tun. Es ist respektvoller, zwei Schaltflächen zu haben, eine primäre zum Erteilen der Zustimmung und eine zweite zum Anpassen von Einstellungen, wobei beide Schaltflächen neutrale Mikrokopien wie „Akzeptieren“ und „Ablehnen“ oder „Okay“ und „Nein, danke“ haben. Das ist der Weg, den wir mit Smashing Magazine gewählt haben.

zerschlagende Cookie-Optionen
Akzeptieren oder ablehnen. Schwerer sollte es nicht sein. (Große Vorschau)
nhs-Optionen für Cookies
NHS bietet sehr klare Optionen zum Akzeptieren von Cookies oder zum „Deaktivieren von Cookies“. (Große Vorschau)
nhs-Cookie-Einstellungen
Große Optionsfelder, um auszuwählen, welche Art von Cookies der Besucher akzeptiert. Ein fantastisches Beispiel für ehrlich und transparent gestaltete Datenschutzeinstellungen. Das einzige, was fehlt, ist die standardmäßige Deaktivierung aller optionalen Cookies. Beispiel: NHS. (Große Vorschau)
Fandom-Cookie-Wahl
Akzeptieren oder ablehnen mit einem einzigen Tippen, obwohl beide Optionen nicht das gleiche Gewicht haben. Beispiel: Fandom.com. (Große Vorschau)

Es sollte nicht überraschen, dass die Benutzer von allen Optionen überraschend zufrieden und dankbar für die Option sind, alle Cookies mit einem einzigen Klick auf eine Schaltfläche abzulehnen. Einige Benutzer waren überrascht, dass diese Option überhaupt angeboten wurde, und während sich eine Mehrheit für die Zustimmung entschied, verweigerte jeder fünfte Benutzer die Zustimmung. Dadurch gingen sie davon aus, dass die Website ohne Cookies voll funktionsfähig wäre, und das zu Recht.

Anpassen der Cookie-Einstellungen

Nicht viele Benutzer würden in Betracht ziehen, die Cookie-Einstellungen nach der Zustimmung zu widerrufen oder anzupassen, aber wenn sie dazu aufgefordert wurden, erwarteten sie, die Optionen in der Kopf- oder Fußzeile der Website zu finden, entweder in der Datenschutzerklärung oder in der Cookie-Richtlinie. Es ist nicht sehr überraschend, und natürlich müssen wir dort die Optionen zum Anpassen der Einstellungen platzieren, falls der Benutzer dies wünscht.

Jamie-Oliver Cookie-Einstellungen
(Große Vorschau)
Jamie-Oliver Cookie-Einstellungen
Standardmäßig sind alle Optionen auf der Jamie Oliver-Website deaktiviert, mit einer Option zum Aktivieren. Der Haupt-Call-to-Action-Button ist jedoch „Empfohlene Einstellungen akzeptieren“, wodurch alle Schalter aktiviert werden. Die Option, ohne Cookies fortzufahren, befindet sich ganz unten auf der Seite mit einem dezenten „Schließen“. Es ist wahrscheinlich nicht offensichtlich genug, und ein weiterer Knopf oben wäre hilfreicher. (Große Vorschau)

Benutzer verstehen, wenn sie ausgetrickst werden

Bisher sollte die gesamte Erfahrung recht unkompliziert sein, oder? Nun, wenn ein Geschäftsmodell stark auf das Sammeln und Verfolgen von Daten angewiesen ist, werden Sie möglicherweise in schattige Bereiche gezwungen, wenn Sie etwas anderes als die einfachste Option auswählen, was verwirrend ist und viel Arbeit verursacht. In unseren Interviews konnten die Benutzer die Agenden der Unternehmen leicht durchschauen und sogar etwas sagen wie „Ah, ich verstehe, was Sie dort gemacht haben“. Einige Dinge waren jedoch weniger offensichtlich als andere.

Immer wenn die Cookie-Einwilligung eine Option zum Überprüfen von Cookies oder zum Anpassen von Cookie-Einstellungen vorschlug, erwarteten Benutzer, dass sie eine Übersicht aller Cookies sehen und einstellen können, welche Cookies gesetzt werden dürfen und welche nicht. In Bezug auf das Design der Benutzeroberfläche erfolgt dies normalerweise mit Abschnitten mit Registerkarten innerhalb eines Cookie-Zustimmungs-Widgets, wobei einige Gruppen standardmäßig ausgewählt sind. Es ist üblich, funktionale Cookies, Analyse-Cookies, Werbe-Cookies und Website-Einstellungs-Cookies zu sehen. Dieses Maß an granularer Kontrolle wird nicht oft erwartet, aber es wird als hilfreich und freundlich angesehen und als solches bevorzugt – allerdings nur, wenn die gesamte Kategorie von Cookies auf einmal abgewählt werden kann, mit einem einzigen Tippen auf ein einzelnes Kontrollkästchen.

Seltsamerweise gehen einige Implementierungen bis zum Äußersten und bieten den Benutzern einen überwältigenden Überblick über jedes einzelne Cookie, das von Drittanbietern gesetzt wurde. Es ist nicht ungewöhnlich, dass alle von ihnen standardmäßig aktiviert sind, und um sich abzumelden, müssen Sie nacheinander auf jeden einzelnen von ihnen tippen. Mit fünf Cookies mag es nicht wie eine große Sache erscheinen, aber es ist eine Monstrosität mit über 250 Cookies, die großzügig von Dutzenden von Trackern auf der Website bereitgestellt werden. In solchen Fällen gaben viele Benutzer nach einigen Abmeldungen auf, gewährten vollen Zugriff auf ihre Daten und zogen weiter.

Kajak-Cookie-Eingabeaufforderung
Was würden Sie erwarten, wenn Sie auf das Symbol „Schließen“ klicken? Wie unterscheidet sich ein Klick auf eine Schaltfläche von einem Klick auf das Kreuz? Ist da ein Unterschied? Auf Kayak waren die Benutzer während des Tests verwirrt. (Große Vorschau)

Leider kratzt das nur an der Oberfläche. Stellen Sie sich eine Eingabeaufforderung für Cookie-Einstellungen mit einer Schaltfläche „Schließen ד vor. Welches Verhalten würden Sie erwarten, wenn Sie auf „Schließen“ klicken? Würden Sie erwarten, dass die Eingabeaufforderung verworfen wird und schließlich wieder erscheint? Oder würden Sie erwarten, dass alle Tracking-Skripte standardmäßig deaktiviert sind? Angemeldet? Es überrascht nicht, dass die meisten Benutzer nicht einmal so weit gedacht haben – sie wollten nur, dass das Popup verschwindet. Niemand erwartete, dass die Tracker standardmäßig deaktiviert würden, aber viele Benutzer waren der Meinung, dass es sich um eine „vorübergehende Sache“ handelte, die „irgendwann“ wieder auftauchen würde. In der Praxis wurde das Schließen der Aufforderung fast immer von Website-Betreibern als Zustimmung des Benutzers wahrgenommen und tatsächlich wurden alle Cookies in vollem Umfang gespeichert. Das ist nicht unbedingt das, was der Benutzer erwartet hat.

speisekarte-Datenschutzrichtlinie
Eine etwas verwirrende Erfahrung auf Speisekarte.de, mit einer Option zum Akzeptieren oder „Abwählen aller“ Optionen in der oberen linken Ecke, in der gleichen Farbe, mit einem Trennzeichen > dazwischen. Auch die Formulierung „Zustimmen und fortfahren“ oder „Weitere Informationen“ ist nicht offensichtlich. (Große Vorschau)

Die Formulierungen auf Schaltflächen und Links sorgten bei den Benutzern für große Verwirrung. Auf Speisekarte.de können Sie entweder „Zustimmen und fortfahren“ (primärer, großer grüner Button) oder „Mehr erfahren“ (dezenter grauer Link, nicht einmal unterstrichen) tun. Was würden Sie erwarten, nachdem Sie auf „Mehr erfahren“ geklickt haben? Während viele Benutzer erwarten, dass eine Datenschutzrichtlinie angezeigt wird, veranlasst die Aktion tatsächlich die Verwaltung von Cookies mit 405 Partnern für Anzeigenauswahl, Lieferung und Berichterstellung, 446 Partnern für Informationsspeicherung und Zugriff, 274 Partnern für Inhaltsauswahl, Lieferung und Berichterstellung, 372 Messpartnern und 355 Personalisierungspartner. „Agree and Proceed“ gewährt 1.852 Partnern Zugriff auf die Speicherung und Auswertung personenbezogener Kundendaten. Das ist nicht zu schäbig, nicht wahr?

Es ist nicht offensichtlich, dass der Listenbereich für all diese Partner überhaupt scrollbar ist, und es gibt keine offensichtliche Möglichkeit, sie alle abzuwählen. Würden Sie es als angenehm empfinden, 1.852 Schalter einzeln manuell abzuwählen? Wahrscheinlich nicht. Wie sich herausstellt, können Sie in der oberen linken Ecke des Fensters „alle Partner abwählen“ – diese Option wird jedoch praktischerweise so dargestellt, dass sie eher einer Breadcrumb-Navigation als einer Schaltfläche ähnelt. Und natürlich sind alle Partner standardmäßig angemeldet. Das ist irreführend, unehrlich und respektlos.

Sobald Sie sich angewöhnt haben, Cookies standardmäßig abzulehnen , können Sie eine Reihe von zwielichtigen und fragwürdigen Praktiken finden, die weit verbreitet zu sein scheinen. Manchmal platzieren Unternehmen Facebook- und Twitter-Tracking-Cookies in der Kategorie „Notwendig“. Manchmal ist die Option zum Ablehnen von Cookies praktischerweise hinter einer zusätzlichen „Verwalten“-Option versteckt. Und manchmal gibt es eine Option, sich von Analysen abzumelden, aber ein Benutzer wird automatisch für „anonyme Analysen“ angemeldet.

Einige Unternehmen gehen darüber hinaus und erfinden neue Geschäftsmöglichkeiten, falls der Benutzer Tracking vermeiden möchte. Manchmal erscheint es mit einem „Premium-EU-Abonnement“ ohne Werbung vor Ort und Tracking-Skripts, und manchmal mit einer nicht verfügbaren Website oder einem „EU-Erlebnis“ (das ehrlich gesagt viel schneller und leichter ist als sein Gegenstück außerhalb der EU). ). Keine einzige Person, die auf die Website zugreift, schätzt eine dieser Optionen. Das sollte keine große Offenbarung sein, aber es gibt eine beträchtliche Anzahl von Benutzern, denen angesichts einer solchen Behandlung nichts anderes übrig bleibt, als die Website auf der Suche nach Alternativen zu verlassen.

usa-heute EU-Erfahrung
USA Today bietet ein EU-Erlebnis, das viel sauberer und schneller ist als das Original. Für EU-Besucher sammelt die Website keine personenbezogenen Daten oder dauerhaften Identifikatoren von Personen, bietet ihnen keine personalisierte Erfahrung oder verfolgt oder überwacht anderweitig Personen, die vernünftigerweise als Besucher unserer Website aus der Europäischen Union identifiziert wurden. (Große Vorschau)
the-washington-post Premium-EU-Abonnement
Die Washington Post hat ein „Premium EU-Abonnement“ eingeführt, das keine Werbung vor Ort oder Werbeverfolgung durch Dritte enthält. (Große Vorschau)
die Meldung der Los-Angeles-Times, dass die Website in den meisten europäischen Ländern nicht verfügbar sei
Für eine Weile zeigte die Los Angeles Times eine Meldung an, dass die Website in den meisten europäischen Ländern nicht verfügbar sei. (Große Vorschau)

Richtlinien und Strategien für besseres Design

Laut EU-Verordnung sollte jedes Cookie, sein Anbieter, Zweck, Ablaufdatum und Art in einer Datenschutzerklärung ausführlich erklärt und ausgearbeitet werden, und viele Dienste wie TrustArc, IAB Consent Framework, Cookiebot, OneTrust, Cookie Consent, und Viele andere bieten diese Funktion standardmäßig an. Sie bieten auch eine Option zum Anpassen, welche Gruppen von Cookies dem Benutzer als Auswahl angezeigt werden sollen, und obwohl die Standarderfahrung anständig ist, kann sie oft verwendet werden, um es dem Kunden unnötig schwer zu machen, seine Einstellungen anzupassen.

sourceforge Datenschutzeinstellungen
(Große Vorschau)
sourceforge Datenschutzeinstellungen
(Große Vorschau)
sourceforge Datenschutzeinstellungen
Klare Optionen, ehrliche Erfahrung, transparente Oberfläche. Ein tolles Beispiel auf Sourceforge. (Große Vorschau)

Letztendlich müssen wir gute Erfahrungen machen und gleichzeitig unsere Geschäftsziele erreichen. Wir können das mit einer Reihe von Schritten tun:

  1. Wir müssen alle auf der Website erforderlichen Cookies prüfen und gruppieren;
  2. Wir müssen entscheiden, wie jede dieser Gruppen gekennzeichnet werden soll, welche erforderlich und welche optional sind;
  3. Wir müssen verstehen, welche Auswirkungen das Deaktivieren einer Gruppe von Cookies auf die Funktionalität der Website haben würde, und dem Benutzer jede Auswahl mitteilen;
  4. Zu guter Letzt müssen wir entscheiden, welche Einstellungen standardmäßig ausgewählt werden sollen und welche Anpassungsoptionen wir dem Benutzer präsentieren möchten.

Das einfachste Designmuster scheint offensichtlich zu sein. Wenn Sie die Zustimmung des Benutzers benötigen, zeigen Sie einen schmalen Benachrichtigungshinweis in der Kopfzeile oder am unteren Rand des Ansichtsfensters an. Der Inhalt muss nicht verwischt oder abgedunkelt werden, um die Benachrichtigung wahrnehmbar zu machen; Stellen Sie nur sicher, dass es sich nicht in den Rest der Website einfügt. Wenn möglich, erlauben Sie Benutzern, Cookies mit zwei offensichtlichen Schaltflächen zu akzeptieren oder abzulehnen : „Okay“ und „Nein, danke“. Stellen Sie andernfalls eine Option zum Anpassen der Einstellungen bereit, indem Sie einer Übersicht der Cookie-Kategorien folgen. Dort müssen Sie die Auswirkungen jeder Auswahl auf die Website-Funktionalität deutlich machen und Benutzern ermöglichen, Cookies auf einmal „zu genehmigen“ oder „alle abzulehnen“ – für die gesamte Website und für jede Kategorie.

Wo soll die Benachrichtigung platziert werden? Die Position scheint nicht wirklich wichtig zu sein – sie hat bei der Entscheidungsfindung keinen Unterschied gemacht. Das Overlay, das die Hälfte der Seite bedeckt, wurde jedoch als die nervigste Option empfunden – und es sollte nicht allzu überraschend sein, da es buchstäblich einen großen Teil des Inhalts auf der Seite blockiert. Die meisten Benutzer wissen fast instinktiv, was ihnen präsentiert wird, und sie wissen auch, welche Maßnahmen sie ergreifen möchten, um mit der Website fortzufahren, sodass lange Erklärungen genauso schnell ignoriert oder abgelehnt werden wie Push-Benachrichtigungen oder Erlaubnisanfragen.

Im nächsten Artikel der Serie werden wir uns mit der UX von Benachrichtigungen und Berechtigungsanfragen befassen und wie wir das Erlebnis um sie herum besser gestalten können – und unter Berücksichtigung der Privatsphäre der Benutzer.

  • Teil 1: Allgemeine Bedenken und Datenschutz in Webformularen
  • Teil 2: Bessere Erfahrungen mit der Cookie-Einwilligung
  • Teil 3: Bessere Benachrichtigungen UX und Berechtigungsanfragen
  • Teil 4: Datenschutzbewusstes Design-Framework

Ein herzliches Dankeschön an Heather Burns für die Durchsicht dieses Artikels vor der Veröffentlichung.