Cookie Banner
Kennen Sie das?
Sie haben auf Ihrer Website ein Cookie Management Tool installiert.
Dieses hat Ihre Seiten gescannt und nun erscheint wie gewünscht ein Pop-Up.
Sie sind sich unsicher, ob das wirklich schon alles war?
Datenschutz ist mehr als Cookies
Wann immer wir den Weg in das Internet finden, erhalten wir von unserem Provider, dem Firmennetzwerk u.ä. eine Internet Protokoll Adresse (IP). Egal ob temporär, fest oder dynamisch, diese ist ein Persönlichkeitsmerkmal, das uns genauso zugeordnet werden kann wie Klarname oder Ausweisnummer.
Ich gebe im folgenden meine intensiven Erfahrungen zum Thema wider, diese stellen weder eine Rechtsberatung dar noch können diese eine solche ersetzen. Alle Angaben daher ohne Gewähr.
Nicht nur bei Cookies, auch für jegliche andere Weitergabe bzw. Verarbeitung persönlicher Daten wird eine Einwilligungserklärung benötigt. Vielen ist beim Einsatz von Consent-Tools oft nicht bewusst, dass beispielsweise das Laden von Schriften direkt von Dritten einen Verstoß gegen die Datenschutzgrundverordnung darstellen kann “da der Einsatz der Schriftarten auch möglich ist, ohne dass eine Verbindung von Besuchern zu Google Servern hergestellt werden muss” (Landgericht München, Urteil vom Januar 2022).
Dass Cookie-Banner so ihre Macken haben, sieht auch das Landgericht München in einem im Januar 2023 veröffentlichten Urteil gegen ein deutsches Medienunternehmen so. Bemerkenswert sind über zehn Dutzend Screenshots als Teil des Urteils, die sich Nutzer:innen wohl durchlesen sollten bzw. müssten, um Einwilligungen zu rund hundert Diensten gültig abzugeben. Revision wurde durch die Beklagte zwischenzeitlich angekündigt.
Meiner Meinung nach gilt dies nicht nur für Schriften (fonts.gstatic.com sowie fonts.googleapis.com), sondern auch für Toolkits für Schriftarten und Symbole wie Font Awesome ebenso wie für Skriptbibliotheken (z.B. jQuery), da auch hierbei eine Übertragung persönlicher Daten stattfindet. Diese selber hosten tut zumindest nicht weh.
Auch sollten Sie Ihre WordPress-Themes sowie die von Ihnen eingesetzten bzw. in Ihrer Installation verfügbaren Plugins überprüfen, ob diese mit deutschem bzw. europäischem Recht vereinbar sind.
Consent Management Tools sind nur so gut, wie ihre Programmierer.
Die Tools können nur den Aufgaben nachkommen, für die sie erstellt wurden.
Deren Aufgabe ist es nicht, Verstöße gegen den Datenschutz festzustellen, die außerhalb ihres eigentlichen Einsatzzweckes liegen. Farblich unterschiedliche Buttons für Zustimmen und Ablehnen dürften an dieser Stelle zumindest fragwürdig sein. Häufig ist zu beobachten, dass Impressum und Datenschutzbestimmungen entweder gar nicht zugänglich sind, weil durch das Cookie-Banner verdeckt oder hierfür eine Einwilligung notwendig ist. Sind diese beiden Topics nur über ein Menü erreichbar, das JavaScript verwendet, sollten auch in diesem Fall Vorkehrungen ergriffen werden, damit diese auch für Besucher:innen erreichbar sind, die in ihrem Browser selbiges deaktiviert haben.
Sie möchten, dass ich einmal einen Blick aus der Praxis auf Ihre Website werfe?
Mein Service: Sichern Sie sich Ihr kostenfreies Vorgespräch
Häufig erlebe ich in der Praxis auch, dass einfach ein “berechtigtes Interesse” angenommen wird, das de facto aber wohl nicht gerichtsfest nachgewiesen werden könnte, um beispielsweise Tracking-Tools wie Google Analytics als unabdingbar zu deklarieren und diese dann Besuchern ohne aktive Einwilligung unterzuschieben. Oder es werden beispielsweise externe Chatbots als essenziell eingebunden, obwohl die Websites auch ohne selbige funktionieren würden.
Session Cookies, oft auch als essenzielle Cookies bezeichnet, sind alle Kekse, die allein der Funktionsfähigkeit der Webseiten dienen, bzw. stark vereinfacht solche, die keine Daten weitergeben. Beispiele: Session Cookies für Sprachauswahl und Warenkorb sowie Einstellungen für technisch nicht erforderliche Cookies. Eine Einwilligung ist nicht erforderlich, aber eine Dokumentation in der Datenschutzerklärung.
Tracking und Third Party Cookies sind u.a. Kekse zur Analyse des Nutzerverhaltens und für das Marketing, insbesondere alle Arten von Keksen für Statistiken (z.B. Google Analytics) sowie Marketing Cookies aus Programmen für Affiliates und alle Arten von sozialen Medien etc. Eine Zustimmungen bzw. Ablehnung ist ausdrücklich einzuholen und muss aktiv geschehen z.B. durch freiwilliges Ankreuzen.
Gehen Sie in sich! Werden außer Session Cookies wirklich Tracking und Third Party Cookies benötigt? Sind für die letzten beiden keine erkennbaren Vorteile vorhanden, ist ein Verzicht die günstigste und rechtssicherste Variante. Gleichzeitig verbessern Sie die Ladezeit gepaart mit höherer Benutzerfreundlichkeit ohne ein mehr als nerviges Pop-up.
Datenschutzkonforme Lösungen nutzen
Grundsätzliche verfolge ich den Ansatz größtmöglicher Datensparsamkeit. Statt Daten unreflektiert in Drittstaaten schaufeln gibt es für zahlreiche vermeintliche Probleme Lösungsansätze, zugleich stärken wir den eigenen Standort. Alle Tools und Plugins, die personenbezogene Daten in den Vereinigten Staaten speichern, dürften seit dem sogenannten Schrems-II-Urteil von 2020 nicht als datenschutzkonform bzw. als einwilligungspflichtig gelten, dies betrifft m.E. u.a. auch Google Ads und Jetpack.
- Für den Google Tag Manager, der abhängig von einer Nutzerinteraktion dem Nachladen von Skripten dient, gibt es entsprechende Alternativen. Häufig beobachte ich auch, dass dieser eingebunden ist, obwohl er gar nicht benötigt wird.
- Statistiken haben wir alle gerne, aber muss es Google Analytics sein? Kleinen Websites reicht oft Statify oder Koko Analytics aus, um sich über Besucherströme auf der eigenen Homepage zu informieren. Beide sind schlank und erfassen keine persönlichen Daten. Wer es etwas komplexer mag, kann Matomo Analytics nutzen. Das Plugin lässt sich auf dem eigenen Server(platz) einbinden und datenschutzkonform konfigurieren.
- Formulare brauchen kein Google Recapta! Mit Rechenaufgabe, selbst gehostetem Captcha und einem Honeypot lässt sich das genauso gut bewerkstelligen. Formularübermittlung ohne Verschlüsselung via Secure Sockets Layer bzw. darauf aufbauender Transport Layer Security ist ein No-Go!
- Videos und Karten lassen sich mit einem Bild visualisieren, erst nach einem Klick wird der entsprechende Inhalt geladen, noch sicherer wäre eine reine Verlinkung.
- Alle von Dritten bezogenen Daten sowie Schriften, jQuery Bibliotheken können in aller Regel mehr als bequem auf dem eignen Server in WordPress eingebunden werden. Bei jeder Art von Content Delivery Network sollte abgewogen werden, ob dieses überhaupt notwendig ist.
- Die meisten Social Plugins sowie die von sozialen Netzwerken angeboten sogenannten Remarketing-Tools sammeln persönliche Daten. Ich nutze für das Teilen auf sozialen Netzwerken die von Heise entwickelte Shariff-Lösung, da personenbezogene Daten an die sozialen Netzwerke erst übertragen werden, nachdem auf einen Teilen-Button geklickt wurde.
Lassen Sie sich bei der Analyse Ihrer Seiten hinsichtlich Suchmaschinenoptimierung und Geschwindigkeit auch nicht durch das ein oder andere im Internet verfügbare Tool beeinflussen, das Ihnen die Nutzung eines Content Delivery Network wie Google Hosted Libraries o.ä. vorschlägt. Gleiches gilt für Prefetching, also das Laden einer Ressource, bevor der Nutzer diese anfordert, da diese Anfragen häufig nicht zwingend erforderlich sein dürften.
Plugins nicht nur für WordPress
Die meisten Lösungen sind meiner Meinung nach alle kritisch zu betrachten, da bei jedem Anbieter irgendwelche Probleme auftreten können, seien es Links zu englischen statt deutschen Datenschutzerklärungen, dem Fehlen eines Buttons für einen Widerruf der Zustimmung u.ä. Alle werben mit einfacher Installation, aber um Hintergründe zu verstehen, sollte man dies eher einem Profi überlassen. Die meist eingesetzten Plugins:
Pixelmate
Das Plugin glänzt mit einem günstigen Preis (kein Abo), zahlreichen Möglichkeiten für individuelle Anpassungen und arbeitet auch zusammen mit WooCommerce.
Borlabs
Platzhirsch unter den Cookie Tools für WordPress. Es können beliebig viele Cookie-Gruppen angelegt werden. Besuchern kann so die Wahl gegeben werden, zu welcher Kategorie sie zustimmen.
Usercentrics
Usercentrics Consent Management Plattform (CMP) soll für Transparenz bei der Verwendung von Cookies und anderen Tracking-Technologien auf Websites und in Apps sorgen.
Die beiden Anbieter Usercentrics und Cookiebot haben sich im September 2021 unter dem Dach von Usercentrics zusammengeschlossen. Hinsichtlich der cloudbasierten Lösung von Cookiebot und der Übermittlung von Daten aus der Zustimmung in eine Cloud in einem Drittland ist ein Rechtsstreit im Hauptsacheverfahren noch anhängig, nachdem eine im Eilverfahren erlassene einstweilige Verfügung vom Hessischen Verwaltungsgerichtshof aus formalen, nicht aber sachlichen Gründen Mitte Januar 2022 aufgehoben wurde (Az. 10 B 2486/21).
Und ja, bitte schmücken Sie Ihre Datenschutzhinweise nicht mit dem Passus, dass Sie diesen ernst nehmen, wenn dem nicht so ist. Oft wird auch Geld in ein Cookie-Banner investiert, im Impressum fröhlich mit Paragrafen herumgewirbelt (was nebenbei nicht erforderlich ist), aber Hinweise zum Datenschutz fehlen gänzlich. Misstrauisch dürfen Sie auch bei Formulierungen wie “Cookies sind kleine Textdateien (…)” werden. Das sind Cookies eben nicht, sondern vielmehr statt Dateien Daten- bzw. Datensätze, oft Binär- und eben nicht Textdateien. Über deren Art der Speicherung entscheidet der Browser (heute größtenteils in einer Datenbank). Gerade bei unklaren oder sehr komplexen Projekten sollte daher der Einsatz sowie Hinweise auf Cookies und die Datenschutzgrundverordnung etc. unbedingt mit entsprechend spezialisierten Anwält:innen besprochen werden.
Fallbeispiel Lageplan bzw. Karte einer Hausarztpraxis auf Basis einer Karte von Openstreet www.praxis-nothnagel.com/kontakt/lageplan/ bzw. Formular mit einfacher Rechenaufgabe statt einem Re-Captcha unter www.mundenbruch.de/info/kontakt/.
Cookies, e-Privacy- und Datenschutzgrundverordnung sind eine nahezu unendliche Geschichte.
Meine Checkliste auf www.internet-marketing.de/tools/cookies.