Die Pseudo-Zustimmung zu Cookies – gestatten Sie Cookies auf dieser Website – Ja, natürlich! – ist illegal, als “dark pattern” verschrien und kann Geld kosten, wenn einem Verbraucherschutzverbände oder Wettbewerber abmahnen. Ein neues Cookie-Consent WordPress PlugIn muss her!
Cookie Notice: nicht mehr ausreichend!
In der Vergangenheit habe ich das freie WordPress-PlugIn Cookie-Notice von Hu-manity.co eingesetzt. Dieses einfache Cookies-Zustimmungs-PlugIn reicht aber rechtlich schon lange nicht mehr aus. Das wird auch auf der Plugin-Seite https://de.wordpress.org/plugins/cookie-notice/ selbst beschrieben und es wird darauf hingewiesen, dass man doch mal „gratis“ zu Cookie Compliance upgraden soll. In den Einstellungen von Cookie Notice kann man dann zusätzlich Cookie Compliance bestellen mit z.B. monatlicher oder jährlicher Lizenz. Allerdings: Es werden nirgendwo Lizenzpreise angegeben, die dann mal in Zukunft gelten. Cookie Notice hat zwar eine exzellente Bewertung mit 4.9 Sternen von dzt. 2.926 Reviewern: ist aber ohne das Zusatzprodukt Cookie Compliance obsolet.
Und zu den Kosten von Cookie Compliance fand ich nur den Hinweis in den kurzen FAQs:
Is Cookie Compliance free?
Yes, but with limits. Cookie Compliance includes both free and paid plans to choose from depending on your needs and your website traffic.
Aber nirgendwo Hinweise auf die Kosten. Damit werde ich Cookie Notice auf allen von mir betreuten Websites löschen.
Besucher über Cookies informieren
Derzeit gilt noch die ePrivacy Richtlinie aus 2002, die 2009 reformiert wurde. Darin heißt es:
„Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.“
Viele Webseiten-Betreiber machten sich das Leben nun leicht – und Cookie Notice macht das auch so: Es wird nur die einfache Frage „Stimmen Sie der Verwendung von Cookies zu?“ gestellt, auf die man eigentlich sowieso nur mit „ja“ antworten kann. Das ist nicht erlaubt. Dem Besucher der Website muss es ermöglicht werden, genau auszuwählen, welche Cookies/Cookie-Kategorien man zulässt.
Was sind denn diese Cookies überhaupt?
Cookies sind kleinste Textdateien, die von den besuchten Websites im Browser Deines Gerätes gespeichert werden. Manche dieser Textdateien sind unbedingt notwendig – zB eine Session-ID, die nur für Deine SWitzung (deinen Besuch) gilt, oder im Shop der Warenkorb. Andere dienen dem Marketing, der Werbung und dem Tracking (Wiedererkennung einer Person), um die gewonnenen Daten personalisieren zu können (facebook Pixel, Google Analytics).
Rechtliche Grundlage: ePrivacy-Richtlinie
Websites, die sich an Nutzer aus der EU richten, benötigen (fast immer) ein Cookie Banner, dass eine ausdrückliche Einwilligung (Opt-in-Verfahren) für Cookies einholt und diese Einwilligung dokumentiert. Man könnte zwar Website ohne Cookies und zustimmungspflichtige externe Dienste betreiben, würde da aber auf viele Funktionen und Dienste wie Google Analytics, Google Fonts, YouTube Videos, persönliche Empfehlungen usw. verzichten.
Die rechtliche Grundlage ist die ePrivacy-Richtlinie der EU aus 2002, die 2009 reformiert wurde (Richtlinie 2009/136/EG, Art. 66), die beschreibt, dass das Setzen von Cookies, die nicht unbedingt technisch notwendig sind, die ausdrückliche Einwilligung des Nutzers erfordert.
Übrigens: Bezüglich Cookies finden sich die relevanten Regelungen in der ePrivacy-Richtlinie, nicht in der DSGVO. Der Nachfolger der ePrivacy-Richtlinie, die sogenannte ePrivacy-VO (Verordnung) ist in der EU noch in Diskussion und sie tritt frühestens 2023 in Kraft.
Hier eine Info-Website der EU zu den Cookies: https://ec.europa.eu/info/cookies_de
Datenschutzorganisation noyb und Max Schrems
noyb, eine europäische Datenschutzinitiative von Max Schrems, dem facebook-Schreck, mahnt Websites ab, deren Cookie-Formulare nicht den EU-Vorgaben entsprechen. noyb will dabei vor allem erreichen, dass es genauso einfach ist, Cookies abzulehnen, wie ihnen zuzustimmen: Laut noyb sind die Cookie-Banner trickreich so gestaltet (Stichwort: “dark pattern”), dass 90 % der Benutzer sich mit allem einverstanden erklären, obwohl eigentlich nur drei Prozent der BesucherInnen allen Cookies zustimmen wollen (zitiert aus einem Video-Statement von noyb).
Nach dem Versand von Warnungen und „Beschwerdeentwürfen“ von noyb an mehr als 500 Unternehmen am 31. Mai 2021 wurden 42 % aller Verstöße behoben. Allerdings hatten 82 % dieser Unternehmen ihr DSGVO-widriges Handeln nicht vollständig eingestellt. Daher hatte noyb am 10.8.2021 422 formale Beschwerden bei zehn Datenschutzbehörden eingereicht und in Aussicht gestellt, weitere 10.000 Websites zu checken. Übrigens: noyb gab den UnternehmerInnen technische Informationen und ein Monat Zeit, die Mängel zu beheben. Hatte nicht gereicht.
Was passiert, wenn ich keinen Opt-In Cookie-Banner habe?
Die Verbraucherzentralen in Deutschland haben rund 1.000 Website-Betreibern eine offizielle Abmahnung zukommen lassen. Google wurde bereits mit einem Bußgeld von 120 Millionen Euro und Amazon mit 42 Millionen Euro wegen fehlerhafter Cookie Banner bestraft.
Ein transparentes Cookie-Banner muss her, das die Website BesucherInnen verstehen
So muss ich nun auch die von mir betreuten Websites mit einer komplexeren Cookie-Zustimmungs/Ablehnungs-Banner ausstatten. Im WordPress-Umfeld gibt es da eine Reihe von Plug-ins, die das sehr gut erledigen. Bei einigen gibt es auch eingeschränkte Gratis-Versionen. Schauen wir mal, was der Markt Anfang 2022 da so bietet.
Persönliche Auswahl von Cookie-PlugIns für WordPress
Complianz.io
Sehr interessant finde ich hier die Veröffentlichung der Cookie- und Tracking-Informationen der Complianz-nutzenden WordPress-Sites auf cookiedatabase.org. Da entsteht – in Zusammenarbeit mit dem SIDN Fund aus Arnheim/Holland eine gemeinsame Datenbasis, die sich laufend aktualisiert und für alle Admins weltweit frei erreichbar ist. Jedermann/-frau kann dort auch neue Cookies zur Prüfung einreichen.
Die Hersteller haben mit Really Simple SSL schon früher ein sehr gutes PlugIn angeboten, das damals den Weg zu mehr Sicherheit für WordPress durch die Umstellung auf https:// ebnete: heute ist dieses Plugin aus meiner Sicht (kaum) mehr nötig, da Let’s Encrypt nun von allen Hostern geboten wird und neue WordPress-Websites ja bereits mit SSL eingerichtet werden. Aber das WordPress Plugin Complianz ist es wert, genauer geprüft zu werden.
WordPress-Real-Cookie-Banner
Die süddeutsche devowl.io GmbH punktet mit sehr viel Transparenz und bietet sehr übersichtliche und detaillreiche Vergleiche mit ihrer Konkurrenz: Vor allem eine Features-Übersichtstabelle, aber auch eigene Artikel. Ich schätze solche Battle-Cards sehr, da sie auch zeigen, dass dieser Hersteller genauestens den Markt beobachtet und wohl auch seine Features laufend erweitert, um seine Position zu optimieren. Multisite, viele wichtige PageBuilder und die wichtigsten Multilanguage-Plugins werden unterstützt: da sind WordPress-Profis am Werk. Die abgegebenen Bewertungen liegen alle bei 5.0. Außergewöhnlich.
Borlabs-Cookie
Borlabs Lösungen (z. B. auch Caching) findet man nicht auf WordPress.org sondern nur auf der eigenen Website dieser Einzelfirma von Benjamin Bornschein aus Hamburg. Somit gibt es auf WordPress.org auch keine Benutzer-Bewertungen oder Supportforen oder Updates. Nun, Borlabs bietet ja auch keine Gratis-Lösung. Bei den Kosten punktet Borlabs bei Agenturen: um € 299,-/Jahr kann man 99 Websites damit beglücken: Die Konkurrenz Complianz und Real-Cookie unterstützen um diesen Preis nur 25 Websites, was wohl nur bei ganz kleinen Agenturen reicht: Man muss hier ja auch jede Landing-Page extra zählen …
Cookiebot
Dieses Cloudservice kommt aus Dänemark und kann eigentlich überall, in jedem System, mit Hilfe von JavaScript eingebunden werden. Das WordPress Plugin regelt halt die Einbindung in unser System. Die Bewertung des PlugIns ist mit 4.3 nicht ganz so gut, wie die von den anderen Lösungen. Kleine Websites mit zusammen maximal 100 Seiten (pages) und Beiträgen (posts) können diese Lösung gratis einsetzen. Im Backend ist aber – noch – keine deutschsprachige Version vorhanden. Vielleicht die 1. Wahl für kleine Präsenzen (Visitenkarten).
Newcomer clickskecks.at
Unter WordPress.org findet sich auch eine relativ neue österreichische Lösung: clickskecks.at Der Hersteller selbst meldet bereits 1.000 Unternehmen, die das Tool nutzen, auf WordPress.org werden davon 100+ momentan angeführt. clickskeks bietet auf seiner Website auch ein gratis E-Book, das sehr anschaulich in die Thematik einführt und wichtige Lösungen vergleicht. Sie unterstützen nicht nur WordPress sondern auch Typo 3 mit Plugins an: Das WordPress-Plugin bietet zum einen den Shortcode [ clickskeks ] an, mit dem man in die Datenschutz-Website die Cookie-bezogenen Texte automatisch einbinden kann. Den Einbindungscode erhält man innerhalb von 24h vom Anbieter per E-Mail: Diesen trägt man einfach im WordPress Plugin clickskeks ein. Wenn ich das richtig verstanden habe, dann wird da nicht nur ein Lizenzschlüssel sondern das ganze JavaScript beigestellt.
Vergleichsüberblick Cookie-Consent WordPress PlugIns (Auswahl)
Die persönliche Auswahl der untenstehenden Lösungen bieten gut designte Cookie-Banner, wo man der Verwendung einzelner Cookies oder Cookie-Kategorien einfach zustimmen kann.
| Complianz GDPR/CCPA Cookie-Einwilligung |
WordPress Real Cookie Banner: DSGVO (GDPR), ePrivacy & TTDSG Cookie Consent |
Borlabs Cookie | Cookiebot | GDPR/CCPA Compliant Cookie Consent and Control | clickskeks Cookiebanner | |
| Hersteller | Really Simple Plugins | devowl.io GmbH | Borlabs – Benjamin A. Bornschein | Cybot A/S | clickskeks GmbH & Co KG |
| Firmensitz | Groningen, Niederland | Grafling (zwischen Passau und Regensburg in Deutschland) | Hamburg, Deutschland | Kopenhagen, Dänemark | Wien, Österreich |
| Version | 5.5.3 (9.1.2022) | 2.12.0 (9.1.2022) | 2.2 | 3.11.3 (Dez. 2021) | 1.2.1 (20.4.2021) |
| Anzahl Installationen | 200.000+ | 60.000+ | 90.000+ | 100+ | |
| Bewertung max. 5 Sterne (Anzahl) | 4.9 (677) | 5.0 (131) | 4.3 (211) | 5.0 (7) | |
| Sprachen im Backend | 43 Sprachen | 3: Deutsch, Englisch, Schweizerdeutsch | 5: Dänisch, Holländisch, Flämisch, Englisch und Französisch | Englisch | |
| Sprachen im Frontend | bei Premium 10 Sprachen standardmäßig | Deutsch (Du, Sie). Englisch | |||
| Service (Cookie) Vorlagen | 25+ Vorlagen, beste Ergebnisse mit Cloud-Service | 100+ Vorlagen | 25+ Vorlagen | sichtbar nach dem Website-Scan | |
| integrierter Cookie-Scan | ja | nein, aber viele Vorlagen in der Premium-Version | nein | ja, in Forum eines Cloudservices, monatlich wiederholt. Bei täglichem Scan: € 62,- pro Domain und Monat |
ja |
| Multisite-Unterstützung | ja (299 €) | ja | |||
| Mehrsprachigkeits-Plugins-Unterstützung | WPML, Polylang und Loco Translate | WPML, Polylang, TranslatePress und Weglot | WPML, Polylang und Weglot | ||
| Formular-Unterstützung | WPForms, Gravity Forms, Contact Form 7, etc. | ||||
| Pagebuilder-Unterstützung | Gutenberg, Elementor, Divi, WPBakery. etc. | Avada, Beaver Builder, Divi, Elementor Pro, The7, WPBakery Visual Composer | |||
| Unterstützt cookiedatabase.org | ja | ||||
| Rechtliche Dokumente | Cookie-Richtlinie, Datenschutzerklärung, Datenschutzerklärung für Kinder (COPPA), Vereinbarungen mit Datenverarbeitern und Dienstleistern, Seite „Meine persönlichen Informationen nicht verkaufen“ (CCPA), einen Haftungsausschluss und ein Impressum, AGBs | Cookie-Informationen können per Shortcode in der Datenschutz-Page eingebunden werden. | |||
| Transparency & Consent Framework (TCF) | ja | ja | |||
| Anpassbares Design | 45+ Designeinstellungen | 200+ Designeinstellungen | 85+ Designeinstellungen | 8 Designeinstellungen | |
| Fremium-Version (gratis) | ja | ja | nein | ja (bis 100 Webpages) | nein |
| Einige Features der Kaufversion | jeweils passende Cookie-Notices für EU, USA, CA, UK, AU, ZA und BR parallel. A/B-Test, Premium-Support, Impressum (Deutschland & Österreich). Haftungsausschluss, Records of Consent aufbewahrt, etc. |
100+ Service Vorlagen und 60+ Content Blocker Vorlagen | nur Kaufversion vorhanden | nur Kaufversion vorhanden (30 Tage Test) |
|
| Premium-Versionen: Kosten für eine Website |
€ 39,-/Jahr | € 49,-/Jahr | € 39,-/Jahr | € 9,-/Monat: bis 500 Pages € 21,-/Monat bis 5.000 Pages € 37,-/Monat über 5.000 Pages |
€ 4.9/Monat: bis 100 Pages € 9,9/Monatbis 500 Pages € 19,9/Monat bis 5.000 Pages € 39,9/Monat über 5.000 Pages |
| Kosten 3 Websites | € 79,-/Jahr | ||||
| Kosten 5 Websites | € 149,-/Jahr | € 119,-/Jahr | € 99,-/Jahr | ||
| Kosten 10 Websites | € 219,-/Jahr | ||||
| Kosten 20 Websitres | |||||
| Kosten 25 Websites | € 299,- /Jahr (Multisite-Unterstützung) |
299,-/Jahr | € 199,-/Jahr | ||
| Kosten 99 Websites | € 299,-/Jahr | ||||
| unbegrenzter Einsatz | anfragen | anfragen | anfragen | anfragen | eigenes Programm |
| bei Umstieg von anderer Lösung | € 1,-/für das erste Jahr | im 2. Jahr 30 % Rabatt | |||
| Staging-Kosten (Entwicklerversion der Website) | keine, falls sie unter staging.meinedomaine laufen. | keine | |||
| Systemvoraussetzungen | ab WP 5.2 und PHP 7.2 | ab PHP 5.6 | ab PHP 7.2 |
Wofür entscheide nun ich mich?
Danke für diese Frage. Da muss ich nun auch mit meinen Partnern und Kunden Rücksprache halten, da fast immer zusätzliche jährliche Kosten auf uns zukommen. Ich brauche wohl mehr als eine 25er Lizenz, Multisite-, Multilanguage-Unterstützung (WPML, Polylang) und die gesicherte Einbindung in Divi und Elementor. Außerdem hätte ich gerne, dass das Tool selbst die Website scanned und die Cookies herauszuzelt. Da weiß man oft selbst nicht, was so alles läuft.
Cookies meiner Website auslesen – aber wie?
P.S.: Aber, verwendet meine Website überhaupt Cookies? Gute Frage, einige Websites, die einem helfen, mal zu sehen, welche Cookies eine Website hat:
-
- Chrome Erweiterung: Cookie Editor von Hotcleaner: https://www.hotcleaner.com/cookie-editor/ – zeigt aber nur einige Cookies und man weiß nicht, wer der Herausgeber ist. Nicht sehr brauchbar. Browser-Plugins rund um Cookies sind angeblich selbst auch schon in Verruf gekommen – vielleicht geben ja sie selbst auch Daten weiter, da sie ja Zugriff auf alle Cookies haben … da ist sozusagen die Hintertür offen.
- Cookiebot (siehe oben): Kann mal eine kostenlose Erstanalyse machen: https://www.cookiebot.com/de/
- Cookiepro von OneTrust: https://www.cookiepro.com/products/cookie-consent/
- Cookiemetrix: https://www.cookiemetrix.com/ Bei diesem kostenlosen Test, den man täglich für 10 Websites machen kann, zeigt ein Ampel-Feedback, wie gut eine Website Cookie-Informationen in drei Bereichen wiedergibt: Ob sie einen Cookie-Banners hat, welche Cookies von dritten Domainen eingebunden werden (wie facebook und Google) und welche Cookies gespeichert werden.
- Der deutsche Consentmanager bietet auch einen gratis Cookie-Checker: https://www.consentmanager.de/cookies/ Auch ein interessantes Tool, das wiederum eine ganze Reihe von Systemen unterstützt.
- Cookieserve, https://www.cookieserve.com/, liefert nur eine Liste der eingesetzten Cookies auf der Website.
- Der CCM19 Cookie Scanner, https://www.ccm19.de/cookie-scanner/ ist hier auch noch zu nennen. Sein Ergebnis ist aber sehr technisch, immerhin clustert auch er die Cookies in Kategorien (technisch notwendig, Werbung, Analytics, Personalisierung und Statistik).
In all diesen Fällen muss man halt für den Gratis-Check auch seine Mailadresse bekanntgeben und wenn man da nicht aufpasst, welche Checkboxes angekreuzt sind, wird man wohl mit Werbemails und Angeboten eingedeckt. Aber das sind, soweit ich das beurteilen kann, seriöse Anbieter, wo man sich von den Newslettern auch wieder abmelden kann.
Das für mich brauchbarste Ergebnis für die Erstanalyse der sich auf meiner WordPress im Hintergrund angehäuften Cookies lieferte (answer coming soon):
Vielen Dank für diesen Beitrag und die Vorschläge zu Cookie Banner Seiten.