Autor: Petru Leuthold

Am 28. Mai 2020 beschloss der Bundesgerichtshof (BGH), dass die Nutzung von Cookies auf Websites zwar weiterhin erlaubt sei, jedoch nur unter der Bedingung, dass der Besucher, seine Einwilligungen dafür gibt. Dies gilt nicht nur für Websites, sondern auch für Onlineshops, sonstige Internetportale und Apps. Influencer und Creator sollten spätestens jetzt aktiv werden, falls sie diesbezüglich noch nichts unternommen haben.

Für die Praxis bedeutet das Urteil, dass Websitebetreiber dafür zu sorgen haben, dass beim Erstbesuch einer Website alle nicht funktionalen Cookies, bis zur Einwilligung, ausgeschaltet sein müssen. Aber auch, dass eine Option zur Änderung der Einwilligung bestehen soll. Damit du nicht in Gefahr kommst abgemahnt zu werden, zeigen wir dir, in diesem Artikel, (1) was Cookies sind, (2) stellen dir vier Cookie Consent Tools vor und (3) zeigen auf, wie man bei der Implementierung vorgeht.

Was sind Cookies und wofür werden sie verwendet? 

Cookies sind kleine HTML-Textschnipsel, die auf Websites, meist im Header- oder Footer-Bereich eingesetzt werden. Ihr Hauptzwecks ist die Identifikation des Nutzers, für ein personalisiertes Erlebnis auf der Website. Cookies kann man grob in drei Arten unterteilen, die jeweils ein anderes Ziel verfolgen. Diese Unterteilung ist wichtig, um zu verstehen welche Cookies unterdrückt werden müssen.

Zum einen werden Cookies genutzt um eine Webseite mit nützlichen Funktionen zu erweitern. Z.B. Benutzer werden wiedererkannt und einem geschützten Login-Bereich oder einem Warenkorbs zugeordnet. Solche Cookies nennt man auch funktionale Cookies. Sie ermöglichen den Betrieb von bestimmten Funktionen auf der Website.

Ein weiteres Nutzungsgebiet von Cookies ist die Überwachung und Aufzeichnung des Nutzerverhaltens auf der eigenen Website. Aus den gewonnen Daten sollen Erkenntnisse abgeleitet werden, die zur Optimierung der Website und des inhaltlichen Angebots dienen. So, zum Beispiel, welche Unterseiten angeklickt werden, wie lange die Verweildauer darauf ist usw. Diese Art von Cookies nennt man auch statistische Cookies oder auch performance Cookies. Bei diesen Cookies bleiben die Daten in der Regel beim Websitebetreiber und gelangen nicht an Dritte.

Ein drittes Einsatzfeld sind sogenannte Marketing-Cookies, die die Verknüpfung der eigenen Website mit einem Drittanbieter für Statistiken und Marketingleistungen ermöglichen. Konkret heißt das, dass der Websitebetreiber die gesammelten Daten an andere Unternehmen übergibt, damit diese sie anschließend für einen anderen Zweck verarbeiten. 

Wo ist da nochmal der Unterschied zwischen Marketing Cookies und Statistische Cookies?

Lass uns ein bisschen tiefer gehen für ein besseres Verständnis.
Marketing-Cookies sind sich mit statistischen Cookies sehr ähnelich. Die Unterschiede werden wir anhand vom sehr häufig eingesetzten Websiteanalyse-Tool Google Analytics verdeutlichen. Das im folgenden beschriebene Prozess gilt aber auch für andere Plattformen wie zum Beispiel Facebook, usw. 

Betreiber von Websites benutzen Google Analytics gerne um Statistiken über die Nutzung Ihrer Websites zu erhalten. Dabei können, neben beispielsweise Zugriffe auf Unterseiten, auch Daten über die Nutzer selbst gesammelt werden. Zu nennen sind zum Beispiel Altersstruktur, ungefährer Standort usw. Aus diesem Grund und weil es zudem komplett kostenlos angeboten wird, ist Google Analytics das wahrscheinlich am weitesten verbreiteste Websiteanalyse-Tool im Internet. Und jetzt kommt der Clou.
Indem das Tool, über einen Cookie, auf der Website eingebunden wird, stimmt der Websitebetreiber zu, die erhobenen Nutzerdaten mit Google zu teilen und ebenfalls auch der Verarbeitung der Daten durch Google. Das ist der Deal für die kostenfreie Nutzung von Google Analytics.

Nun hast du Google die Internetidentität deiner Websitebesucher offenbart. Nun kann Google dessen Nutzungsverhalten auch auf anderen Seiten verfolgen, die ebenfalls Google Analytics verwenden. Somit kann über einen Nutzer weitreichende Informationen zu seinem Surf- und Suchverhalten erhoben werden. Die Informationen, die du Google zur Verfügung gestellt hast, sind nur ein kleiner Teil vom Ganzen. Auf diese aggregierten Daten hat der Websitebetreiber jedoch keinen Zugriff.
Was passiert aber mit diesen?

Google verwendet die Daten unter anderem um personalisierte Anzeigenplätze an Unternehmen zu verkaufen. Das ist praktisch für den Unternehmer aber auch für den Nutzer, sofern dies nicht missbraucht wird. Nehmen wir ein Unternehmen als Beispiel, dass Kinderwagen verkauft. Dieser kann bei der Schaltung von Anzeigen auf der Google Plattform angeben, dass die Anzeige, nur Eltern angezeigt werden soll. Das macht Sinn, denn wer keine oder ältere Kinder hat, für den ist diese Anzeige eher störend.

Ein weiterer Zwecks ist auch der Verkauf von Retargeting-Anzeigen. Retargeting bedeutet nichts anderes, als die Schaltung von Werbeanzeigen auf anderen Websites. Empfänger der Anzeigen sind aber nicht irgendwelche Leute im Internet sondern die, die schonmal deine Website genutzt haben.
Ein Beispiel: Du bist Betreiber eines Onlineshops für Kinderwagen. Ein Nutzer schaut sich in deinem Shop um. Später liest er einen Artikel in einem Onlinemagazin. Im Artikel sind Anzeigen von Google eingebaut, die dem Leser plötzlich den zuvor besuchten Onlineshop empfehlen und zudem auch den von ihm zuvor gesuchte Kinderwagen anpreisen. Das ist die magische Kraft von Marketing-Cookies.

Der Einsatz von Marketing Cookies hat maßgeblich zum Gefühl des gläsernen Internetnutzers geführt. Und dazu, dass sie nun ohne Einwilligung nicht mehr einsetzbar sind.

Welche Cookies benötigen eine Einwilligung?

Funktionale Cookies sind für den Betrieb einer Website dringend nötig. Aus diesem Grund darf man sie auch ohne eine Einwilligung nutzen. 

Statistische und Marketing-Cookies sind seit dem Urteil vom 28. Mai 2020, ohne die Einholung einer Einwilligung rechtlich nicht mehr erlaubt. Wer doch alles beim Alten belässt, begibt sich in Gefahr abgemahnt zu werden. Diese Regelung gilt übrigens nicht nur in Deutschland sondern in der kompletten EU. Aber auch andere Staaten, wie zum Beispiel der US amerikanische Bundesstaat Kalifornien, hat ähnliche Vorgaben für Websitebetreiber gesetzlich festgelegt.

Erstens muss, technisch gesehen, ein Cookie Consent-Tool Cookies unterdrücken, bevor eine Einwilligung erfolgt. Zweitens, sollte die Einwilligung protokolliert werden zwecks Dokumentation bei einer Datenschutzprüfung zum Beispiel. Zudem muss auch ein Widerruf möglich sein.
Zur Lösung dieser Aufgaben gibt es in der Regel zwei Formen von Tools beziehungsweise Anbeiter. 

Zum einen sind, auf Cookie-Einwilligungen spezialisierte, Softwareunternehmen zu nennen. Das sind die sogenannte Consent Management Provider oder kurz CMP. Hier mietet man, in der Regel auf monatlicher Basis, deren Software. Die Einbindung auf der Website, erfolgt meist über einen HTML-Code oder Java Script, das im Head-Bereich der Website eingefügt wird. Aber auch durch Plugins, sofern der CMP eins bereitstellt. 

Hervorzuheben ist, dass die Einwilligung und Protokollierung auf den Servern des CMP-Anbieters erfolgt. D.h. man gibt Nutzerdaten an Dritte weiter. Indem man den Nutzer in seiner Datenschutzerklärung darauf aufmerksam macht, ist das erlaubt.

Möchte man die Weitergabe der Einwilligungen an Dritte vermeiden, ist dies über Plugins möglich. Ob es für dein eingesetztes Content Management System ein Plugin gibt findest du einfach heraus indem du in Google danach suchst. 

Die vier Cookie Consent Tools haben wir nach folgenden Kriterien ausgewählt und beurteilt:

  • Bezahlbarkeit
  • Einfachheit bei der Implementierung
  • ansprechende Ästhetik
  • Anpassbarkeit des Cookie Banners
  • Support oder Community

Zum Punkt Einfachheit der Implementierung muss hinzugefügt werden, dass keine Lösung wirklich einfach einzubinden ist. Die Cookies verhalten sich oft widerwillig. Zudem ist die Identifikation von Cookies und deren Verwendung nicht immer eindeutig. Deswegen, ist zu empfehlen Zeit für Recherche und Geduld beim Testen mitzubringen. 

Wir möchten hier schonmal den Tipp geben, die Tools einfach mal auszuprobieren. Es gibt kein richtiges oder falsches Tool. Das Richtige ist immer das was funktioniert und womit du am einfachsten umgehen kannst.

Borlabs Cookies - Die Plugin Lösung für Wordpress

Für Wordpressnutzer, die ein selbst gehostetes Cookie Management-Tool nutzen und von einem Cookie Management Provider unabhängig sein möchten (Stichwort Datenweitergabe), ist das Plugin des deutschen Anbieters Benjamin A. Bornschein die erste Wahl. 

Das Plugin sorgt für die nötige Unterdrückung von Cookies, die Speicherung der Einwilligung auf dem eigenen Server bzw. in der Wordpress Datenbank und gibt die Möglichkeit zur Änderung der Einwilligung. Ebenfalls wichtig: Es unterdrückt auch sogenannte Content Cookies, die sich z.B. in eingebetteten YouTube-Videos, Instagram-Beiträgen etc. verbergen und ebenfalls das Nutzerverhalten auf der Website erfassen.

Das Plugin lässt sich einfach über den Plugin-Upload in Wordpress installieren. Trotz der vielen Funktionen ist die Bedienoberfläche des Plugins übersichtlich gestaltet. Cookies werden manuell eingegeben und auch kategorisiert. Der Cookie Banner ist sehr schick und kann nach Wunsch, angepasst werden. Über die Plugins WPML oder Polylang kann der Banner auch in anderen Sprachen übersetzt werden.

Durch die ausführliche Dokumentation mit Text, Bild und Videos sollte die Inbetriebnahme nach kurzer Einarbeitung gut funktionieren. Und falls es mal doch hakt, hilft der Support weiter.

Borlabs Cookies ist unser Preis-Leistungs-Tipp. Eine Lizenz kostet zum Zeitpunkt der Veröffentlichung einmalig 39 € für eine Seite. Im Preis inklusive ist ein Jahr Updates und Support. Nach den zwölf Monaten kann man den Support optional verlängern. 

Übrigens verwenden wir für unseren INFLZR-Magazin ebenfalls Borlabs Cookies.

Usercentrics

Usercentrics ist eine beliebte Consent Lösung des gleichnamigen deutschen Cookie Management Providers aus München. Es sorgt ebenfalls für die nötige Unterdrückung von Cookies aller Art und auch Content Cookies. Es Dokumentiert die Einwilligungen und bietet zudem eine schicke Widerrufsmöglichkeit. Die Einwilligungen sind auf den Servern des Anbieters gespeichert, die sich in der EU befinden.

Bedient wird das Tool über die Website von Usercentrics. Ebenfalls über die Website wird das Design des schicken Cookie-Banners angepasst. Dieser kann in Deutsch und Englisch dargestellt werden.

Die Implementierung auf der Website erfolgt zunächst über einen HTML-Code, dass im Header-Bereich über alle Cookies eingefügt wird. Zur Unterdrückung der Content-Cookies muss ein zweiter HTML-Tag unter dem Ersten eingefügt werden. Damit die Unterdrückung der Cookies nun funktioniert, müssen die Cookies selbst jeweils um jeweils einen Tag der von Usercentrics vorgegeben wird, ergänzt werden. Zuvor muss jedoch auf deren Website, die zu blockieren Cookies, mit einem Klick ausgewählt werden. Usercentrics deckt einen Großteil der bekannten Cookies ab. Darunter auch viele die von Wordpress Plugins, wie zum Beispiel Jetpack, verwendet werden.

Auch bei Unsercentrics wird man bei der Implementierung nicht alleine gelassen. Es werden ein FAQ-Bereich, ein Live-Implementierungs-Webinar und ein Ticket Support angeboten.

Die Usercentrics Preise varieren je nach Anzahl der eingesetzten Seiten und monatlichen Zugriffen. Das Standard-Paket bei 8€ monatlich und deckt eine Seite mit 20.000 Zugriffen monatlich ab. 

Falls du zufällig den kostenpflichtigen Service für Rechtstexte von E-Recht24.de nutzt, sei erwähnt, dass die Usercentrics-Technologie bereits in dessen Paketen inbegriffen ist. Die Funktionen sind zwar eingeschränkt, jedoch zur Erfüllung des Consent vollkommen ausreichend.

In meinem Agenturjob durfte ich Usercentrics auf einigen Websiten Implementieren. Hat man einmal das System verstanden, lassen sich die Cookies relativ leicht einbauen.

Cookiebot

Nach eigenen Angaben ist Cookiebot, mit über 250.000 Installationen, das meist genutzte Consent Tool im Internet. Cookiebot bietet im Vergleich zu den hier vorgestellten Tools eine sehr nützliche Funktion. Nach Implementierung des Tools erkennt das System automatisch alle Cookies auf der Website, darunter auch Content-Cookies. Über deren Seite können die Cookies verwaltet, einkategorisiert und beschrieben werden. Darüber kann auch der Cookie Banner designtechnisch angepasst und in bis zu 45 Sprachen dargestellt werden. Die Einwilligungen werden auf den Servern des dänischen Cookie Management Providers gespeichert. 

Die Implementierung der Lösung erfolgt in vier Schritten. Im ersten Schritt wird ein von Cookiebot bereitgestellter HTML-Tag im Header über allen Cookies gesetzt. Dieser erkennt die Cookies auf der Seite und liefert den Cookie-Banner aus. 

Anschließend wird ein zweiter HTML-Tag auf einer selbst gewählten Unterseite eingefügt. Dieser Tag ist ein Platzhalter für die Dokumentation aller genutzten Tags auf der Seite und liefert die Links für die Änderung der Cookie-Präferenzen.

Im dritten Schritt sollte die zuvor angelegte Unterseite mit der Cookie-Information in der Navigation oder im Footer verlinkt werden. Das ist nötig, damit die Nutzer der Website von jeder Stelle aus, zur Widerrufsseite gelangen können.

Im vierten Schritt müssen erkannte Cookies auf der Website von Cookiebot nach funktionalen, Statistik- oder Marketing-Cookies eingeordnet und deren Funktion in kurzen Worten beschrieben werden. 

Insgesamt ist Cookiebot, aufgrund der automatischen Erkennung von Cookies, vor allem für Laien eine einfache Lösung. Herausfordernd wird es aber, wenn man den Zweck der auf der eigenen Website eingesetzten Cookies nicht kennt. Der Anbeiter kennt zwar sehr viele Cookies von Drittanbietern. Funktionale Cookies sind jedoch oft unbekannt und werden bis zur Kategorisierung unterdrückt. Das hat zur Folge, dass das Layout der Seite, nach der Implementierung unter Umständen zerschossen wird oder bestimmte Funktionen zunächst nicht mehr in Anspruch genommen werden können. Indem man jedoch diese Cookies als funktional einordnet, behebt sich schnell der Fehler.  Wie man Cookies erkennt, wird weiter unten beschrieben.

Auch hier wird man nicht alleine gelassen. Cookiebot bietet über den Support Installations-Guides für die Einrichtung. Über die Cookiebot Community kann man sich mit anderen Nutzern in einer Art Forum zwecks Hilfe zur Selbsthilfe austauschen. Es gibt aber auch ein E-Mail Support, der ebenfalls auf englisch Unterstützung anbietet. 

Für maximal eine Domain mit bis zu 99 Unterseiten ist Cookiebot kostenlos. Vor allem für kleine bis mittlere Websites ist das sehr attraktiv. Darüber hinaus gibt es unterschiedliche Pakete, beginnend beim Premium mit 9€ monatlich für eine Domain mit bis zu 499 Unterseiten.

Auch Cookiebot durfte ich in der Vergangenheit immer wieder auf Websites implementieren, was gut geklappt hat. Wie bereits oben beschrieben, sollte man etwas Geduld mitbringen, wenn Cookies zwar erkannt aber für Cookiebot nicht bekannt sind. Da muss manuell angepasst werden. 

Truendo

Auf den Content Management Provider Truendo sind wir bei der Recherche für diesen Artikel aufmerksam geworden. Das Produkt des österreichischen Anbieters Decidio GmbH aus Wien, ist nicht nur schick im Aussehen. Es verspricht auch eine einfache Implementierung in Wordpress per Plugin, in Shopify über das Einfügen eines HTML-Tags im Header sowie in Wix, ebenfall per HTML-Tag im Header. Die Einwilligung und Dokumentation dessen wird ebenfalls, wie bei CMP üblich, auf dem Servern von Truendo gespeichert. Sexy bei diesem Tool ist, dass es ebenfalls Cookies automatisch erkennt.

Nach Implementierung, lässt sich Truendo über dessen Website steuern. Das Design des Cookie Banner lässt sich ebenso anpassen. Und auch für Mehrsprachigkeit ist gesorgt.

Vor allem in Shopify sowie in Websites die Wix als Content Management System nutzen, sind Cookies nicht einfach zu bändigen. Was habe ich mich geärgert weil sich das eine oder andere Cookie nicht ausschalten wollte oder die Darstellung der Cookie-Info auf der Unterseite grottig ausgesehen hat. Das heißt nicht, dass die obigen zwei zuvor vorgestellten Tools in Shopify und Wix nicht funktionieren. Sie tun es, jedoch mit einiger Geduld. Hätte ich zuvor die Lösung von Truendo gekannt, hätte ich sie gerne ausprobiert. 

In der 14-tägigen Testphase ist das Ausprobieren auch kostenlos. Danach kostet das Tool 7,90 € pro Monat bei jährlicher Zahlung. Darin ist ein Benutzer inklusive und 12 automatischen Cookie-Scans pro Jahr. Für Website mit mehr Datenaufkommen gibt es weitere Pakete, die preislich etwas höher liegen.

Falls in der obigen Auswahl noch nicht das passende Tool gefunden hast: Eine gute Übersicht über vorhandene Content Management Provider stellt die Organisation IAB Europe hier.

Bevor du mit der Umsetzung beginnst, stelle dir noch zwei Fragen: Verwendet meine Website Cookies und wenn ja welche?

Bevor du dich für einen Cookie Consent-Tool entscheidest, ist es ratsam zu überprüfen, ob Deine Website überhaupt Cookies verwendet und wenn ja, welche. Falls ja, benötigst du diese Erkenntnisse für die Einrichtung des Consent Tools. Hier zwei Wege wie Du Cookies auf Deine Website entdeckst.

Ghostery

Ghostery ist ein Browser-Plugin, das Cookies bzw. Tracker erkennt und dir auch die Möglichkeit gibt, auf Wunsch sie auszuschalten. Das Plugin gibt es für alle großen Browser. Einmal installiert, informiert es dich auf jeder Internetseite über die dort eingesetzten Tracker, siehe Screenshot. Öffnest du deine Seite, zeigt es auch welche Cookies du einsetzt. 

Die Google Chrome Entwicklerkonsole

Die empfohlene Lösung: Die Chrome Console ist von Haus aus im Chrome Browser installiert und ist gemacht um Programmierer bei der Entwicklung von Websites zu unterstützen. Sie zeigt aber auch alle auf der Website befindlichen Cookies an. Auf den ersten Blick wirkt die Console etwas kompliziert, mit folgende Anleitung solltest du die Cookies aber schnell finden.

  1. Öffne die Chrome Console über das Programm-Menü unter “Anzeigen > Entwickler > Entwicklertools” öffnen. Alternativ kannst Du auch die Tastenkombination [Option] + [Command] + [I] auf dem Mac oder [Strg]+[Umschalt]+[J] auf Windows nutzen.
  2. Navigiere anschließend mit der Maus in der obersten Leiste zum Reiter “Application” und klicke diesen an.
  3. Klicke anschließend in der linken Spalte auf Cookies, damit sich die Cookie-Quellen öffnen.
  4. Ein Klick auf eins der Quellen, lässt die Cookies einzeln in der Mitte erscheinen. Jede Zeile zeigt einen Cookie an. “_fbp” ist beispielsweise der Facebook Pixel.

Cookiemetrix

Zuletzt möchte ich noch auf dem Dienst Cookiemetrix.com zu sprechen kommen, der für HTML-Laien einfach zu bedienen ist. Um die eigene Seite nach eingesetzten Cookies zu untersuchen, gibt man einfach im einzig verfügbaren Formularfeld auf der Seite die eigene Domain ein. Anschließend werden die eingesetzten Cookies gelistet. Cookies die nicht unterdrückt werden, werden in Rot hervorgehoben.

Wie weiter oben beschrieben kann es vorkommen, dass der automatische Cookiescanner Cookies erkennt, die unbekannt sind. An dieser Stelle muss man entscheiden, ob der Cookie funktional ist oder unter der Kategorie Statistik oder Marketing fällt.

Das ist nicht immer leicht, da vor allem funktionale Cookies tief mit dem eingesetzten Content Management System oder Template verwurzelt sind. Es gibt aber zwei einfache Möglichkeiten der Recherche.

Zunächst kann man die Bezeichnung des Cookies (in der Chrome Console unter der Spalte Name zu finden) in Google eingeben. Mit hoher Wahrscheinlichkeit findest du dazu Ergebnisse. Notiere dir wofür der Cookie verwendet wird. Diese Info musst du in dein Cookie Tool eingeben, zwecks Information für deine Websitebesucher.

Falls die Suchmaschine keine passenden Ergebnisse liefert, wende dich an deinen Entwickler, falls du mit jemandem zusammenarbeitest. Alternativ kannst du auch in  Community-Foren des von dir eingesetzten CMS oder Onlineshops nachfragen. Und zuletzt stell deine Frage an die Publisher deines Templates, die meist hilfsbereit sind.

Fazit: Etwas zäh aber machbar

Online Cookies sind zwar sinnvoll, schmecken aber noch lange nicht so gut, wie echte. Doch, mit etwas Geduld und mit dem richtigen Cookie Consent Tool, solltest du, auch selbst, die nun vorgeschriebene Einwilligungsmöglichkeit einbinden können. Hier noch abschließend die groben Arbeitsschritte aufgelistet:

  1. Website/Onlineshop auf das Vorhandensein von Cookies überprüfen.
  2. Auswahl des Cookie Consent Tools basierend auf dem von dir genutzten Websitesystem (Kompatibilität) und deinem Wunsch an Funktionalität bzw. Anpassung des Cookie Banners.
  3. Consent Tool auf der Website installieren/implementieren
  4. Je nach Tool: Cookies manuell mit dem Cookie Manager verbinden/eingeben.
  5. Je nach Tool: Cookie-Erklärung und Wiederrufsmöglichkeit (Opt-out) auf einer Unterseite einbinden.
  6. Verwendetes Consent Tool in die Datenschutzerklärung aufnehmen.

Viel Erfolg dabei.

Teile diesen Beitrag