Bild von Pezibear auf Pixabay

Was sind Cookies?

Cookie sind kleine Dateien, die Daten der besuchten Website auf deinem Computer speichern. Sie sollen hauptsächlich das Surfen im Web erleichtern, denn sie enthalten z.B. die Einstellungen zur Sprache, Farbe, E-Mail-Adresse u.ä.

Besuchst du die Website erneut, übermittelt dein Browser die gespeicherten Daten an die Website zurück. So kannst du z.B. deine Login-Daten speichern und muss sie nicht jedes Mal komplett manuell eingeben.

Was ist das Problem mit den Cookies?

Auch wenn die Cookies eigentlich ganz nützliche kleine Helfer sind, hat der EuGH am 01.10.2019 (Urt. v. 01.10.2019, Az. C-673/17) entschieden, dass das Speichern von Cookies nur nach ausdrücklicher Einwilligung des Users erlaubt sei. Es sei zudem vollkommen irrelevant, ob während dieses Prozesses personenbezogene Daten erfasst werden oder nicht.

Dabei bezog sich das Urteil hauptsächlich auf sogenannte Marketing- und Tracking-Cookies. Diese erlauben es den Websitebetreibern das Surfverhalten ihrer Website-Besucher nachzuvollziehen, zu analysieren und/oder interessenbezogene Werbung auszuspielen. Cookies, die zum einwandfreien technischen Betreiben der Website notwendig sind, wie z.B. der Session-Cookie von WordPress oder der Warenkorb-Cookie benötigen demnach allerdings die explizite Einwilligung nicht.

Das große Problem mit den „bösen“ Cookies liegt darin, dass sie meist ohne Wissen bzw. ohne einer bewussten Entscheidung des Users auf seinem Computer gespeichert werden. Der ganze Speicherungsprozess geschieht vollkommen automatisch im Hintergrund ohne, dass der User was merkt. Zwar kann er jederzeit die Cookie-Dateien von seinem Computer löschen bzw. durch die Einstellungen in seinem Browser das Setzen von vornhinein unterbinden (z.B. Cookie-Einstellungen Firefox: Menü Einstellungen --> Datenschutz & Sicherheit --> Cookies und Website-Daten), doch wer macht es schon!

Für Websitebetreiber heißt es also:

  • Für die meisten Cookies ist eine explizite Einwilligung des Users notwendig
  • Die Einwilligung darf nicht durch die vorausgewählte Checkbox eingeholt werden
  • Der User muss über die Funktion, Dauer und Verwendung durch Dritte informiert werden
  • Die Einwilligung muss jederzeit widerrufbar sein
  • Kein Tracking vor der Einwilligung
  • Protokollierung und Speicherung von Einwilligungen. Indirekte Nutzeridentifizierung reicht aus

Übersicht - welche Cookies erfordern eine Einwilligung?

Cookies, die keine Einwilligung erfordernCookies, die eine Einwilligung erfordern
SessioncookiesFacebook-Pixel
Login-CookiesGoogle Analytics-Cookie
Warenkorb-CookiesAnalyse Cookies
Cookies, die eine Länder- oder Sprachauswahl betreffenTracking Cookies
Cookies, die Consent Tools für die Cookie Einwilligung setzenAffilate-Cookies
Opt-Out-Cookies, mit denen Cookie-Einwilligungen widerrufen werden könnenRetargeting- und Remarketing- Cookies
Cookies, von eingebundenen Zahlungsdiensteanbietern (Außer Amazon Pay, Paypal-Express-Checkout-Button)Cookies aus Social-Media-Plugins (Facebook, Instagram, Google+, LinkedIn, Pinterest, Twitter)
Live-Chat-Systemen / Messenger-DiensteCookies aus Video-Embedding-Anwendungen (Vimeo, Youtube)
Cookies zum Ausblenden von Pop-Ups oder BannernCookies aus skalierbaren zentralen Messverfahren (SZM)
Online-Kartendienste wie Google Maps und OpenStreetMaps

Nach dem Urteil des EuGH verfiel die Branche zum gefühlt 100ten Mal in komplette Panik. Ist Onlinemarketing jetzt ausgestorben, wenn man die User nicht mehr tracken und analysieren kann? Ich persönlich denke, das ist Quatsch. Die meisten User, wie Statistiken zeigen, haben nichts gegen die Cookies. Vorausgesetzt sie werden ordentlich informiert.

Cookies datenschutzkonform in WordPress nutzen

Als Betreiber einer WordPress Seite musst du dich natürlich auch an die neuen gesetzlichen Vorgaben halten. Dies ist aber in den meisten Fällen gar nicht so schwer. Denn es sind bereits einige gute Lösungen und Plugins auf dem Markt. Zwei von ihnen möchte ich dir im Folgenden kurz vorstellen.

Aber eins vorweg, falls du auf deiner Website ein Banner im Einsatz hast, der die User zwar über die Cookienutzung informiert, ansonsten aber keine Funktion hat, reicht dieser nicht aus! Du musst ein Cookie-Consent-Plugin verwenden.

DSGVO Pixelmate

Pixelmate- Cookies rechtskonform in WP 2019

Ein einfaches, aber absolut empfehlenswertes Plugin, das ich auf meiner Seite und bereits auf einigen Seiten meiner Kunden einsetze, ist DSGVO Pixelmate* von Christian Wedel (Soulsite) in Zusammenarbeit mit der Rechtsanwältin Sabrina Keese-Haufs (Lawlikes).

Preis: 39 € für 1 Lizenz, 89 € für 3er Lizenz, 199 € für 10er Lizenz und 349 € für unendlich viele Websites. Alle Preise sind einmalige Zahlungen.

Das Plugin wurde vor kurzem komplett überarbeitet und erfüllt nun die nötigen Vorgaben:

  • Explizite Einwilligung: Solange der User keine Einwilligung erteilt bzw. die Erlaubnis für Cookiesetzung verboten hat wird die Seite durch einen Layer „gesperrt“. Das zwingt den User auf jeden Fall eine Entscheidung zu treffen

  • Keine Vorauswahl: Der User kann entweder alle oder nur einzelnen Cookies erlauben. Dafür muss er selbst ein Häkchen an der entsprechenden Stelle setzen.

  • Information über Dauer, Verwendung etc.: Wird der Menüpunkt zur Bestätigung einzelner Cookie ausgewählt, wird der User über die Art der Verwendung des jeweiligen Cookies informiert. Für Analytics, Facebook-Pixel sowie für den Tagmanager bringt das Plugin einen vorformulierten Text mit. Dieser kann und sollte individuell angepasst werden, da z.B. keine Aussage zu Dauer der Speicherung enthalten ist.

    Die Blockierung der genannten Cookies wird durch einfache Einstellungen im Plugin ausgelöst. Du brauchst keinen zusätzlichen Code bzw. Script. Du musst nur deine jeweilige ID eintragen. Weitere Cookies müssen allerdings manuell mit geeignetem Code blockiert werden.

  • Widerrufbarkeit: Nachdem die Einstellungen für Cookies vorgenommen wurden, erscheint ein kleiner Button am unteren Bildschirmrand. Mit einem Klick auf den Button gelangt man erneut zu den Einstellungen und kann sie wie gewünscht anpassen.

    Zusätzlich können "Aktivieren"- und "Deaktivieren"-Buttons per Shortcode in die DSE eingebaut werden. Mit einem weiteren Shortcode kannst du dem User seine aktuellen Einstellungen anzeigen.

  • Kein Tracking vor der Einwilligung: Alle von mir getesteten Cookies wurden erfolgreich vor Erteilung der Einwilligung blockiert. Sogar externe Content Bestandteile wie YouTube, Vimeo, Google Maps oder Google Fonts können über die Aktivierung der Datenkontrolle blockiert werden. Ausnahmen für einzelne externe Ressourcen sind aber auch möglich.

  • Protokollierung: Indirekte Nutzeridentifizierung gegeben da das Speichern von Cookies erst nach der Einwilligung erfolgt. Ein Erfassen von Einwilligungen zur dauerhaften Speicherung erfolgt bei diesem Plugin nicht.

    Der Entwickler begründet dies mit der Tatsache, dass die Cookies ohne Einwilligung nicht auf dem Computer des Users gespeichert werden. Würde man die Einwilligungen speichern, wäre ein Verarbeitungsvertrag notwendig, da persönliche Daten verarbeitet werden. Das möchte man vermeiden, so der Entwickler.

Cookie Einwilligung Borlabs

Das Plugin bietet also schon einige Möglichkeiten für den rechts- und datenschutzkonformen Einsatz von Cookies in WordPress. Der Preis ist meiner Ansicht nach gerechtfertigt. Ich mag, dass es bei einer Einmalzahlung bleibt und ich kein weiteres Abo abschließen muss.

Ein aus meiner Sicht nicht zu vernachlässigender Pluspunkt dieses Plugins ist zudem die Möglichkeit das Design des Layers bzw. des Banners anzupassen. So kann das Ganze sehr einfach und schnell an das Design der Website adaptiert werden.

Borlabs Cookie

Borlabs - Cookies rechtskonform in WP 2019

Ein weiteres Cookie-Consent Tool, das speziell für WordPress entwickelt wurde ist das Borlabs Cookie* Plugin.

Preis: 39 € für 1 Lizenz, 59 € für 2er Lizenz, 149 € für 25er Lizenz, 299 € für 99er Lizenz. Alle Preise sind Abopreise für 1 Jahr!

Im Vergleich zu DSGVO Pixelmate hat es sehr viel mehr Einstellungs- und Anpassungsmöglichkeiten. Das macht das Plugin mächtig, aber gleichzeitig auch schwieriger in der Einrichtung. Dennoch gewinnt es definitiv, wenn es vor allem um komplexere Seiten geht. Denn es ermöglich u.a. die Verwaltung von mehrsprachigen Seiten und die Nutzung mehrerer Facebook-Pixel.

Doch schauen wir im Detail nach, ob auch Borlabs Cookie die gesetzlichen Vorgaben erfüllt.

  • Explizite Einwilligung: Auch bei Borlabs Cookie wird vor der Einwilligung ein Layer über die Seite gelegt, der zwar das Scrollen aber nicht das Klicken auf der Website erlaubt. Das Banner fordert den User auf eine eindeutige Einwilligung durch das Akzeptieren bzw. Ablehnen aller oder einzelner Cookies.

  • Keine Vorauswahl: Nur die essentiellen Cookies, die ja per Gesetz keine Einwilligung erfordern, sind sozusagen vorausgewählt. Bei allen anderen muss der User selbst tätig werden.

  • Information über Dauer, Verwendung etc.: Wählt der User „Individuelle Datenschutzeinstellungen“ und klickt dann auf „Cookie-Informationen anzeigen“, bekommt er zu jedem einzelnen Cookie umfangreiche Informationen, die aus meiner Sicht alle Informationspflichten erfüllen.

    Die Darstellung gefällt mir persönlich noch besser als bei Pixelmate, da sie aufgeräumt und sehr übersichtlich ist. Dabei sind die Cookies in Gruppen eingeteilt, die der Websitebetreiber individuell anlegen kann. Der User kann auch die ganze Gruppe auf einmal erlauben.

  • Widerrufbarkeit: Die Möglichkeit die Cookieeinstellungen zu ändern besteht. Allerdings ist sie aus meiner Sicht nicht so intuitiv, denn sie wird meist als Button in der Datenschutzerklärung eingebaut. Das heißt, der User muss erst zur DSE-Seite gehen, um Änderungen vorzunehmen.

    Was allerdings cool ist, dass der User eine individuelle Benutzer-ID bekommt, mit der Borlabs ihm ein kurzes Protokoll seiner Einstellungen anzeigt. Mit dieser Benutzer-ID kann der User u.U. auch das Löschen der Cookie anfordern. Du kannst deinerseits im Borlabs-Dashboard jederzeit dir die Historie des bestimmten Users anzeigen lassen.

  • Kein Tracking vor der Einwilligung: Ja, alle Tracking-Cookies werden zuverlässig geblockt solange die Einwilligung nicht erteilt wurde. Hier hat Borlabs für dich als Websitebetreiber viel mehr Optionen zur Verfügung als Pixelmate oder andere vergleichbare Plugins. Zum Beispiel auch fürs Blockieren von Matomo (bei Matomo ist die rechtliche Grundlage noch nicht ganz geklärt, Tendenz geht aber eher in Richtung einer expliziten Einwilligung).

    Auch Borlabs erlaubt das Blockieren externer Content Skripte wie YouTube oder Maps. Weitere Skripte können manuell hinzugefügt werden.

  • Protokollierung: Beim Protokollieren nutz Borlabs nutzt wie schon erwähnt die Benutzer-ID und speichert dazugehörige Einstellungen inklusive Datum, Uhrzeit in deiner Datenbank.

Cookie Einwilligung Borlabs

Das Design des Cookie Consent Banners kann individuell angepasst werden. Sogar verschiedene Formate wie Box und Bar bietet das Plugin. Farbliche Anpassung sowie das Einsetzen eigenen Logos sind da schon fast selbstverständlich.

Ein weiterer Vorteil von Borlabs ist die Analyse der Einstellungen. Im Dashboard findest du eine Statistik, über die Einwilligungen in den einzelnen Cookie-Gruppen. Je nach Ergebnis kannst u.U. bestimmte Verbesserungen an deinem Banner bzw. an den Beschreibungen zu den einzelnen Cookies vornehmen und so die Einwilligungen steuern.

Der größte Nachteil von Borlabs ist der Preis. Das Plugin kann natürlich extrem viel, aber bei fast 500 € im Jahr nur für ein Plugin muss ich mir es als Websitebetreiber gut überlegen.

Hast du Lust auf noch mehr Tipps und Anleitungen?

Dann abonniere schnell meinen Newsletter. Ich sende dir ziemlich regelmäßig neueste Blogbeiträge zu WordPress, Onlinemarketing und gesetzlichen Entwicklungen direkt an deine E-Mail-Adresse. So verpasst du nichts mehr und kannst deine Website selbst pflegen und aktuell halten.

Welche Cookies benutzt meine Seite?

Um entscheiden zu können, welches Plugin du zur datenschutzkonformen Cookienutzung auswählst, musst du natürlich erstmal wissen, welche Cookies von deiner Seite gesetzt werden.

Eine ganz einfache Variante es rauszufinden ist das Onlinetool Webbkoll. Das zeigt dir alle Cookies an, die von deiner Seite selbst oder von einem Drittanbieter gespeichert werden.

Die zweite Möglichkeit ist die Browser-Erweiterung Ghostery. Auch hier siehst du genau welche Cookies deine Website (und übrigens alle anderen Seiten, die du besuchst) nutzt.

Und die dritte Möglichkeit den Cookies auf die Spur zu kommen sind Entwicklungstools deines Browsers. Wenn du z.B. im Mozilla Firefox auf die rechte Maustaste klickst und dann „Element untersuchen“ auswählst, werden die Entwicklertools angezeigt. Unter „Web-Speicher“ kannst du alle Cookies und deren Ursprung sehen. Für welche du eine Einwilligung brauchst, findest du heraus, wenn du dich an den oben in der Tabellen aufgeführte Hinweisen orientierst.

* Dies ist eine Affiliate Link. Wenn du die Plugin-Lizens über diesen Link kaufst, bekomme ich eine kleine Provision. Dir entstehen keine zusätzlichen Kosten! Klickst du auf den Link, wird auf deinem Rechner ein Cookie gespeichert, der deinen Kauf mit mir in  Verbindung setzt, um die korrekte Abwicklung zu gewährleisten. Im Fall von DSGVO Pixelmate wird er nach 50 Tagen und im Fall von Borlabs Cookie nach 30 Tagen automatisch gelöscht.