Cookie Banner sind eine lästige (und DSGVO-konforme?) Erscheinung unserer Zeit, wenn man auf Webseiten geht und deren Inhalte lesen möchte. Sie sind eine technische Umsetzung von rechtlichen Anforderungen aus der GDPR (General Data Protection Regulation) oder DSGVO (Datenschutzgrundverordnung). Sie sollen Webseiten-Besuchern eine Opt-in Möglichkeit geben aktiv zu entscheiden, ob ihr Surfverhalten getrackt werden darf oder nicht. CookieYes ist eine Lösung, um Cookie Banner DSGVO-konform zu managen. In WordPress nutze ich das dazugehörige Plugin GDPR Cookie Consent von WebToffee.
Die GDPR/DSGVO ist nur eingeführt worden, weil Marktteilnehmer mit kommerziellen Interessen die technischen Möglichkeiten zu ihren Gunsten missbraucht haben und die Privatsphäre der Nutzer missachtet haben. Zum Schutz der Privatsphäre des Einzelnen im Internet müssen nun wirksame Maßnahmen von allen Webseiten-Betreibern umgesetzt werden.
Was sind Cookie Banner?
Wer hat sie nicht schon gesehen und hat sich geärgert, dass der Alle ablehnen Knopf nicht auf der obersten Ebene auswählbar ist? Nein man muss sehr häufig in die Cookie Banner Einstellungen gehen. Sehr häufig ist dieser Punkt selbst auf dieser Ebene nicht vorgesehen von dem Webseitenbetreiber.
Cookie Banner können sehr unterschiedlich gestaltet sein. Dies liegt daran, dass es keine verbindliche Vorgabe für die Umsetzung der rechtlichen Anforderungen gibt. Deshalb tummeln sich viele Rechtsberater und Softwareentwickler auf diesem Markt. Jede Webseite, die persönliche Daten seiner Besucher erfasst und eventuell mit Dritten teilt, muss tätig werden und eine Lösung implementieren. Hier ein paar Beispiele, die ich mal schnell gesammelt habe.
Cookie Banner der Kategorie “Got it oder Akzeptiert”
Dies sind die ganz einfachen Cookie Banner, die dem Besucher nur mitteilen, dass Cookies genutzt werden und keine Auswahlmöglichkeit erlauben. Der Benutzer kann also entweder nur akzeptieren, oder das Cookie Banner nicht weiter beachten. In jedem Fall genügt diese Implementierung nicht den rechtlichen Vorgaben. Auch ich habe diese Art Cookie Banner bei der Ersterstellung bei meiner Webseite lange genutzt. Auf WordPress.com war dies für Webseiten ohne Plugin-Nutzung die einzige Möglichkeit auf Cookie-Verwendung hinzuweisen.
Cookie Banner der Kategorie “Allem zustimmen”
Diese Art Cookie Banner findet man am häufigsten. Der Besucher der Webseite bekommt prominent einen hervorgehobenen Button angezeigt, den er drücken soll. Damit stimmt er der Verwendung aller Cookies und sonstigen Messmethoden uneingeschränkt zu. Für eine kommerzielle Webseite ist es erforderlich, dass man die Nutzung der Webseite durch seine Besucher messen kann. Zum Beispiel setzt das Affiliate Marketing stark auf Cookies und damit die Verfolgung der Kunden und ihres Kaufverhaltens.
Natürlich gibt es noch einen zweiten Button oder einen (versteckten) Link auf Einstellungsmöglichkeiten. Sehr häufig wird dieser mit Cookie Settings, More Options, Manage Settings, oder einfach Einstellungen bezeichnet. Erst dort hat dann der Besucher die Möglichkeit entweder eine Auswahl zu treffen, die vorgewählten Einstellungen zu akzeptieren oder auch alle abzulehnen.
Cookie Banner der Kategorie “Alle Ablehnen”
Diesen Button direkt auf der obersten Cookie Banner-Ebene zu finden stellt für Besucher die komfortabelste Möglichkeit dar, die Verfolgung durch Cookies abzulehnen.
In den seltensten Fällen haben Kunden ein Interesse daran, in ihrem Kaufverhalten oder auf ihrem Weg durchs Internet verfolgt zu werden. Sie werden diesen Button suchen und auswählen. Ich persönlich kenne keinen, der sich anders verhält.
Dieser Button ist nur durch die GDPR/DSGVO möglich geworden. Anders hätte man die kommerziellen Anbieter nicht am Missbrauch unserer persönlichen Daten hindern können.
Auch ich habe diesen Weg gewählt. Ich biete diesen Button direkt an. Und ich gehe sogar noch weiter, indem ich diesen Button prominent farblich markiere.
Cookie Banner der Kategorie “Akzeptieren oder als Kunde anmelden”
Diese Variante sehe ich immer häufiger. Gerade Nachrichtenmagazine wenden diese Methode an, um Leser an sich zu binden. Sei es über die Verfolgung durch Cookies oder durch die Zwangsanmeldung, wenn der Besucher die Inhalte Cookie-frei konsumieren will. Eine Alles ablehnen Möglichkeit gibt es also nicht. Der Besucher soll vollständig erfasst und verfolgt werden. Ob das im Sinne der GDPR/DSGVO ist?
Wie habe ich den Cookie Banner implementiert?
Ich nutze die Software CookieYes, die von WebToffee als GDPR Cookie Consent Plugin für WordPress Blogs umgesetzt wurde. Dieses Plugin habe ich auf meinen von WordPress.com gehosteten Blog installiert und aktiviert. Es ist eines der am meisten installierten kostenfreien Cookie Consent Tools am Markt. Natürlich gibt es auch eine kostenpflichtige Version mit Zusatzfeatures (ab 69$).
Deaktivierung des Standard Cookie Banners
Zuerst musste ich den Standard Cookie Banner von WordPress noch deaktivieren. Aber es war gar nicht einfach diesen zu finden. Weder unter Einstellungen noch unter Werkzeuge habe ich es gefunden.
Man findet es unter Widgets in den Theme-Einstellungen. Dann ist es aber schnell entfernbar. Dann kann die Konfiguration des neuen Cookie Consent Plugins beginnen.
Erstkonfiguration des GDPR Cookie Consent Plugins
Die Software spricht deutsch. Die gesamte Bedienoberfläche ist gut verständlich übersetzt. Aber die Texte, die angezeigt werden sind komplett auf Englisch. Aber alles kein Problem. Man kopiert einfach seinen deutschsprachigen Text für das Cookie Banner in den Hinweistext und schon ist das meiste erledigt. Dann übersetzt man noch die Button-Texte auf deutsch und schon erscheint das Cookie Banner vollständig in deutscher Sprache. Super. Das war einfach.
In den Hinweistext habe ich noch den Shortcode [cookie reject] für Alles ablehnen aufgenommen und farblich hervorgehoben. Den Button für Alle akzeptieren habe ich farblich gleich mit dem Cookie Settings Button gestaltet. So sollte es meiner Meinung nach dann aussehen.
Verwendete Cookies identifizieren
Eine vollständige Liste aller durch meine Webseite gesetzten Cookies zu erstellen ist eine der schwierigsten Aufgaben für Webseitenbesitzer. Ich hatte keine Ahnung, welche Cookies bereits auf meiner Webseite verwendet werden, als ich mich erstmals dieser Herausforderung stellte. Die üblichen Verdächtigen sind WordPress selbst, Facebook, YouTube, Google, Pinterest, Jetpac und Twitter.
CookieYes hat einen eigenen Cookie-Scanner. Das ist schon mal ein guter Start mit der kostenlosen Version. Dieser Scan-Vorgang ist allerdings nur auf 100 URLs beschränkt. Diese initial erfassten Cookie-Informationen importiert das Plugin und weist es den passenden Kategorien zu. Hoffentlich wird dann auch das passende JavaScript gesetzt. Das ist sehr komfortabel.
Für einen vollständigen Überblick musste ich auch andere Cookie-Scanner einsetzen.
Eine weitere Quelle ist der Entwicklermodus vom Google Chrome Browser. Wenn man auf einer Webseite das Kontextmenü mit der rechten Maustaste öffnet, dann erhält man als untersten Eintrag Untersuchen im Kontextmenü. Unter dem Reiter App wird einem dann eine Übersicht von Cookies für die angezeigte Webseite angezeigt. Wohlgemerkt kann jede andere Seite eine andere Auswahl an Cookies haben, wenn zum Beispiel YouTube-Embeds oder andere Blöcke in Gutenberg zur Gestaltung der Seite genutzt werden. Dass man das für jede Seite, auch für Archivseiten machen muss, versteht sich. Ich muss zugeben, ich habe diese ermüdende Aufgabe nicht gemacht. Ich habe eine repräsentative Auswahl an komplexen Seiten auf meiner Website geprüft.
Cookie Liste erstellen
Beim Einstellen des Cookies in die Cookie-Liste des CookieYes-Plugins hilft der Aufruf der Website cookiedatabase.org.
Sie liefert Informationen über den Aussteller, den Zweck und das Ablaufdatum des nachgefragten Cookies. Außerdem erhält man noch die Kategorie (z.B. Advertisement, Analytics). Erst danach hatte ich ein recht vollständiges Bild und konnte damit manuell die Cookie-Liste fortschreiben. Diese Aufgabe könnte einem Cookie-Scanner von CookieYes in der kostenpflichtigen Version abnehmen. Nun ja, vielleicht steige ich doch mal auf diese Version um, da keiner der anderen Cookie Consent Plugins diesen Service so gut anbieten konnte. Das muss automatisiert gehen, gerade bei privaten Webseiten kann es nicht sein, dass man als Webseitenbetreiber diese kritische Aufgabe ohne technische Unterstützung leisten muss.
Cookie Consent Logs erfassen
Die kostenlose GDPR Cookie Consent Plugin-Version verwaltet bis zu 5000 Cookie Consent Logs pro Monat in seiner Datenbank. Wichtig ist aber auch, dass der Besucher jederzeit seine Cookie-Entscheidung nach Bedarf anpassen kann. Dafür habe ich einen zusätzlichen Eintrag in den Footer meiner Webseite aufgenommen, der dies erlaubt. Der Eintrag ist als Shortcode sinnvoll in der Nähe von Impressum und Datenschutzerklärung platziert und nennt sich Cookie-Entscheidung anpassen.
Cookie-Entscheidung anpassenIst meine Webseite damit DSGVO-konform?
Ganz ehrlich, ich weiß es nicht. Ich bin kein Jurist, der alle rechtlichen Aspekte auf Vollständigkeit und Gültigkeit prüfen kann. Und ich bin auch kein Webentwickler, der jetzt nachprüfen kann, ob alles auch technisch richtig umgesetzt wurde. Gerade die Einbindung von Cookies in die Cookie-Liste setzt natürlich auch voraus, dass die richtigen JavaScripte Anwendung finden. Es soll ja erreicht werden, dass die Cookies je nach Cookie-Entscheidung des Besuchers gesetzt oder auch nicht gesetzt werden. Gerade die lästigen 3rd Party Tracking Cookies will man ja wirksam verhindern.
Ich vertraue teilweise darauf, dass der Plugin-Entwickler WebToffee und CookieYes wissen, was zu tun ist. Auch für die kostenfreie Version. Andererseits überprüfe ich nun regelmäßig die Cookies, die auf meiner Webseite durch Plugins und eingebauten Features meiner Webseite gesetzt werden. Dazu nutze ich Cookie Scanning Services wie Cookiebot, CCM19 oder Consent Manager.
Auch die regelmäßige Überprüfung meiner Datenschutzerklärung gehört nun zu den regelmäßigen Aufgaben.
Den Cookie Banner solltet ihr alle beim Aufruf einer Seite meiner Webseite angezeigt bekommen haben.
Und mich würde eure Meinung interessieren, ob ihr den Dialog einfach verstanden habt und eure Cookie-Entscheidung für euch einfach zu dokumentieren war? Wir werden ja offensichtlich diese Dialoge beim Surfen im Internet nicht mehr verhindern können. Es sei denn die Tracking-Konzepte wie Cookies werden abgeschafft und durch andere, datenschutzfreundlichere Wege auf Anbieterseite ersetzt.
Nächste Schritte
Diese Maßnahmen waren die Voraussetzung dafür, dass ich den nächsten Schritt in meiner technischen Agenda zur Entwicklung meiner Webseite machen konnte. Ich wollte sehen welchen Mehrwert Google Analytics liefern kann. Natürlich ist es mir klar, dass bei einem richtig konfigurierten Cookie Consent Banner keine Daten mit Google Analytics geteilt werden, wenn der Leser entscheidet, alle Cookies abzulehnen.
Aber diese Konformität zu DSGVO und GDPR kann man damit auch sehr gut testen. Das Ergebnis muss sein, dass das Google Analytics Script überhaupt nicht gestartet wird, wenn die Analytics-Cookiekategorie abgelehnt wurde. Das wollte ich testen.
Google Analytics – Statistiken über Userverhalten auf meiner Webseite
Zu Google Analytics werde ich auch einen Erfahrungsbericht schreiben, wenn ich mehr Erfahrungen damit gesammelt habe, wie ich die Reports interpretieren muss. Der Einrichtungsprozess ist relativ einfach. Google ist allerdings gerade im Umbruch zwischen der alten Systematik mit Universal Analytics (UA) und der neuen Systematik Google Analytics 4 (GA4). Die meisten Empfehlungen lauten zur Zeit: aktiviere beide. Die Datenmodelle dahinter sind jeweils völlig unterschiedlich. Zukunftsfähiger und besser soll natürlich GA4 sein, deshalb empfiehlt Google all denjenigen, die bisher mit UA auswerten, dass sie bis Juli nächsten Jahres auf GA4 migrieren sollen.
Nach der Einrichtung erhält man einen Javascript-Code, den man auf seiner Webseite einbinden kann. Da ich die kostenlose Version des Plugins von WebToffee einsetze habe ich geschaut, wie ich hier unterstützt werde. In den Einstellungen des GDPR Cookie Consent Plugins gibt es die Möglichkeit die Cookie Scripte zu managen. Dabei wird das MonsterInsights Google Analytics Dashboard Plugin für WordPress erwähnt. Nachdem ich dieses installiert habe, verbindet sich das Plugin mit meinem Google Analytics Account und sorgt dann dafür, dass der entsprechende Javascript-Code in jede Seite in den Header-Bereich eingefügt wird.
Das Cookie Consent Plugin wiederum erkennt dies in seinem Menüeintrag Manage Script Blocking sofort. Ein zusätzlicher Cookie-Scan sorgt dafür, dass die neuen Google-Analytics Cookies erkannt werden und in die Analytics-Cookiekategorie aufgenommen werden.
Ausserdem schalte ich noch die IP-Anonymisierung in dem MonsterInsights-Plugin ein. Damit ist auch diese Voraussetzung nach DSGVO und GDPR erfüllt.
Und tatsächlich ist genau das erwartete Ergebnis mit dieser Konfiguration eingetroffen. Das Google Analytics-Script wird nicht gestartet. Das GDPR Cookie Consent Plugin sorgt dafür, dass die Entscheidung des Lesers respektiert wird. Und das weitere erwartete Ergebnis ist auch eingetroffen. Google Analytics erhält nur selten Daten zur Auswertung. Deshalb wird es ein wenig länger dauern, bis ich mal belastbare Statistiken aus Google Analytics vorliegen habe.
Google Adsense – Werbung auf meiner Webseite
Der nächste Schritt in meiner Agenda war die Aktivierung von Google Adsense für meine Webseite. Diese Entscheidung habe ich getroffen, nachdem das GDPR Cookie Consent Plugin bewiesen hat, dass es in der Lage ist die Ausführung von Javacript-Code von Google Analytics wirksam zu verhindern.
Wer Google Adsense noch nicht kennt sollte wissen, dass dies das weltweit größte digitale Werbenetzwerk ist. Dieser Service ist in der Lage passende Werbung auf all meine Seiten auszuliefern. Sollte ein Leser auf einen der Werbeblöcke klicken, dann erhalte ich eine Gebühr als Einnahme. Ausgezahlt wird aber erst, wenn mehr als 100€ aus Werbeeinnahmen aufgelaufen sind.
Man meldet sich bei Google Adsense an und beantragt diesen Service für die eigene Webseite. Nach wenigen Tagen erhält man eine kurze Mitteilung und man kann diesen Service in seine Webseite einbinden.
Auch das ist ein guter Test für das GDPR Cookie Consent Plugin und die Cookie Consent-Einstellungen. Die Cookies, die von Google Adsense gesetzt werden, sind Advertisement-Cookies. Auch die Auslieferung von Werbung muss man ablehnen können. Dafür benötige ich allerdings die Pro-Version von CookieYes, denn nur diese enthält die Möglichkeit auch Google Adsense Scripte wirksam zu blockieren.
Aber Vorsicht: auch für diesen Google-Service gibt es Regeln. In meinem Cookie Banner hatte ich eine Bitte aufgenommen, den Advertisement Cookie zu akzeptieren und auf Werbungen zu klicken, um meine Website finanziell zu unterstützen. Damit habe ich gegen Google AdSense Regeln verstossen und bin dafür 30 Tage aus dem Programm entfernt worden. Interessant, auf was man alles achten muss. Natürlich habe ich dann den entsprechenden Passus wieder aus dem Cookie Banner herausgenommen.
Google Fonts
Im Jahr 2022 hat das LG München einem Kläger in einer Klage zur Privatsphären-Verletzung durch das Nachladen von Google Fonts Recht gegeben. Es geht dabei um die Verwendung von nachgeladenen Google Fonts von Google Servern ohne besondere Aufklärung des Website-Besuchers. Beim Nachladen der Dateien wird die IP-Adresse des Website-Besuchers von Google erfasst und für Analysezwecke verwendet. Dies stelle nach DSGVO eine Verletzung der Privatsphäre dar. Deshalb müsse der Website-Betreiber
- entweder den Website-Besucher darauf hinweisen, bevor sich dieser bewusst dafür entscheiden kann (Opt in),
- oder die Google Fonts werden lokal auf den eigenen Servern gespeichert und von dort geladen.
Im Grunde ist das keine Thematik für ein Cookie-Tool, weil Google für seine Fonts keine Cookies setzt. Das GDPR Cookie Consent Plugin kann aber auch hier weiterhelfen.
Der erste Schritt ist die lokale Speicherung der verwendeten Google Fonts. Dabei habe ich mich für das Plugin OMGF Pro (19€/Jahr) entschieden. Die Konfiguration ist einfach und sorgt dafür, dass das Nachladen der Fonts von Google Servern erkannt wird und diese Schriften und Schriftarten in einem lokalen Ordner gespeichert werden. Danach werden vom Plugin noch die Scripte angepasst, so dass nur noch die lokale Kopie nachgeladen wird.
Bei eingebetteten iFrames wie von Google Ads und YouTube ist das Tool allerdings machtlos. Dabei hilft das GDPR Cookie Consent Plugin in Verbindung mit der Datenschutzerklärung. Über Google Fonts informiere ich in der Cookie-Kategorie Advertisement, weil dort auch die Google Ads und YouTube Cookies hinterlegt sind. Und ich weise in der Datenschutzerklärung darauf hin, dass Google Fonts nachgeladen werden, wenn der Advertisement-Cookie aktiviert wird. Damit ist der Website-Besucher über die Verwendung von nachgeladenen Google Fonts aufgeklärt.
Kauf der Pro-Version von CookieYes
Für 69$ netto pro Jahr erhalte ich die Pro-Version des GDPR Cookie Consent Plugins von WebToffee. Zuerst muss ich die kostenlose Version des Plugins deaktivieren und löschen. Die Settings bleiben allerdings erhalten. Dann lade ich das Pro-Plugin hoch und aktiviere es. Alle Einstellungen sind dann wieder da und das Look & Feel hat sich kaum verändert.
Nach der Freigabe durch Google erscheinen unmittelbar die Werbungen auf meiner Webseite. Es ist dann auch ein Cookie Scan erforderlich, um die Google Adsense Cookies in die Advertisement-Cookiekategorie aufzunehmen. Der Haken für Google Adsense ist auf der Manage Script Blocking Seite unter Skripte zu setzen und schon kommt das erwartete Ergebnis.
Werden die Advertisement-Cookies zugelassen, dann erscheinen die Werbeflächen innerhalb der Webseite. Manchmal gefüllt. Manchmal aber auch nicht, wenn Google keine passende Werbebeiträge auswählen konnte. Das sieht leider unschön und wenig elegant aus. Aber Werbeeinnahmen sind damit nun möglich.
Werden die Advertisement-Cookies abgelehnt, dann sind tatsächlich keine Werbeflächen sichtbar und die Seite sieht völlig unverändert und weiterhin elegant aus. So soll es sein.
Fazit
Ich persönlich kann das GDPR Cookie Consent Plugin für WordPress von WebToffee empfehlen. Auch in seiner kostenpflichtigen Version, da damit zielgerichtet viele Services im Sinne von DSGVO und GDPR blockiert werden. Auch eingebettete YouTube-Videos werden dann nicht mehr angezeigt. Vor allem ist es mit dieser Version nun möglich einen Cookie Scan auf bis zu 2000 Seiten durchzuführen. Die kostenfreie Version war auf 100 beschränkt.
Weiterhin besteht trotz aller eingesetzter Technik viel Unsicherheit, ob die Anforderungen aus DSGVO und GDPR richtig und vollständig umgesetzt wurden. Das liegt vor allem darin, dass man viel Technik einsetzt dessen Komplexität man als einfacher Webseiten-Owner nicht richtig einschätzen kann. Und mit jedem zusätzlichen Service öffnet man Scheunentore, die man wieder mit Technik schließen muss. Zum Beispiel wurde ich nach der Aktivierung von Google Adsense aufgefordert eine ads.txt-Datei auf meiner Webseite zu hinterlegen. Dabei half wieder ein Plugin namens ads.txt-Manager, der sich in die Einstellungen meiner WordPress-Konsole einbindet. Dort muss ich dann den von Google Adsense gelieferten String einbinden. Warum? Wird zwar erklärt, erschließt sich mir aber nicht wirklich.
Eine weitere Möglichkeit Werbung einzusetzen auf meiner WordPress-Webseite ist WordAds von Automattic. Noch ein interessantes Thema, mit dem ich mich beschäftigen kann.
