Cookie-Banner (DSGVO- bzw. ePrivacy-Richtlinien-konform) in WordPress

Photo by Khajonkiet Noobut on Unsplash

Die Pseudo-Zustimmung zu Cookies – gestatten Sie Cookies auf dieser Website – Ja, natürlich! – ist illegal, als “dark pattern” verschrien und kann Geld kosten, wenn einem Verbraucherschutzverbände oder Wettbewerber abmahnen. Ein neues Cookie-Consent WordPress PlugIn muss her!

Cookie Notice: nicht mehr ausreichend!

In der Vergangenheit habe ich das freie WordPress-PlugIn Cookie-Notice von Hu-manity.co eingesetzt. Dieses einfache Cookies-Zustimmungs-PlugIn reicht aber rechtlich schon lange nicht mehr aus. Das wird auch auf der Plugin-Seite https://de.wordpress.org/plugins/cookie-notice/ selbst beschrieben und es wird darauf hingewiesen, dass man doch mal „gratis“ zu Cookie Compliance upgraden soll. In den Einstellungen von Cookie Notice kann man dann zusätzlich Cookie Compliance bestellen mit z.B. monatlicher oder jährlicher Lizenz. Allerdings: Es werden nirgendwo Lizenzpreise angegeben, die dann mal in Zukunft gelten. Cookie Notice hat zwar eine exzellente Bewertung mit 4.9 Sternen von dzt. 2.926 Reviewern: ist aber ohne das Zusatzprodukt Cookie Compliance obsolet.

Und zu den Kosten von Cookie Compliance fand ich nur den Hinweis in den kurzen FAQs:

Is Cookie Compliance free?

Yes, but with limits. Cookie Compliance includes both free and paid plans to choose from depending on your needs and your website traffic.

Aber nirgendwo Hinweise auf die Kosten. Damit werde ich Cookie Notice auf allen von mir betreuten Websites löschen.

Besucher über Cookies informieren

Derzeit gilt noch die ePrivacy Richtlinie aus 2002, die 2009 reformiert wurde. Darin heißt es:

„Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.“ 

Viele Webseiten-Betreiber machten sich das Leben nun leicht – und Cookie Notice macht das auch so: Es wird nur die einfache Frage „Stimmen Sie der Verwendung von Cookies zu?“ gestellt, auf die man eigentlich sowieso nur mit „ja“ antworten kann. Das ist nicht erlaubt. Dem Besucher der Website muss es ermöglicht werden, genau auszuwählen, welche Cookies/Cookie-Kategorien man zulässt.

Was sind denn diese Cookies überhaupt?

Cookies sind kleinste Textdateien, die von den besuchten Websites im Browser Deines Gerätes gespeichert werden. Manche dieser Textdateien sind unbedingt notwendig – zB eine Session-ID, die nur für Deine SWitzung (deinen Besuch) gilt, oder im Shop der Warenkorb. Andere dienen dem Marketing, der Werbung und dem Tracking (Wiedererkennung einer Person), um die gewonnenen Daten personalisieren zu können (facebook Pixel, Google Analytics).

Rechtliche Grundlage: ePrivacy-Richtlinie

Websites, die sich an Nutzer aus der EU richten, benötigen (fast immer) ein Cookie Banner, dass eine ausdrückliche Einwilligung (Opt-in-Verfahren) für Cookies einholt und diese Einwilligung dokumentiert. Man könnte zwar Website ohne Cookies und zustimmungspflichtige externe Dienste betreiben, würde da aber auf viele Funktionen und Dienste wie Google Analytics, Google Fonts, YouTube Videos, persönliche Empfehlungen usw. verzichten.

Die rechtliche Grundlage ist die ePrivacy-Richtlinie der EU aus 2002, die 2009 reformiert wurde (Richtlinie 2009/136/EG, Art. 66), die beschreibt, dass das Setzen von Cookies, die nicht unbedingt technisch notwendig sind, die ausdrückliche Einwilligung des Nutzers erfordert.

Übrigens: Bezüglich Cookies finden sich die relevanten Regelungen in der ePrivacy-Richtlinie, nicht in der DSGVO. Der Nachfolger der ePrivacy-Richtlinie, die sogenannte ePrivacy-VO (Verordnung) ist in der EU noch in Diskussion und sie tritt frühestens 2023 in Kraft.

Hier eine Info-Website der EU zu den Cookies: https://ec.europa.eu/info/cookies_de

Datenschutzorganisation noyb und Max Schrems

noyb, eine europäische Datenschutzinitiative von Max Schrems, dem facebook-Schreck, mahnt Websites ab, deren Cookie-Formulare nicht den EU-Vorgaben entsprechen. noyb will dabei vor allem erreichen, dass es genauso einfach ist, Cookies abzulehnen, wie ihnen zuzustimmen: Laut noyb sind die Cookie-Banner trickreich so gestaltet (Stichwort: “dark pattern”), dass 90 % der Benutzer sich mit allem einverstanden erklären, obwohl eigentlich nur drei Prozent der BesucherInnen allen Cookies zustimmen wollen (zitiert aus einem Video-Statement von noyb).

Nach dem Versand von Warnungen und „Beschwerdeentwürfen“ von noyb an mehr als 500 Unternehmen am 31. Mai 2021 wurden 42 % aller Verstöße behoben. Allerdings hatten 82 % dieser Unternehmen ihr DSGVO-widriges Handeln nicht vollständig eingestellt. Daher hatte noyb am 10.8.2021 422 formale Beschwerden bei zehn Datenschutzbehörden eingereicht und in Aussicht gestellt, weitere 10.000 Websites zu checken. Übrigens: noyb gab den UnternehmerInnen technische Informationen und ein Monat Zeit, die Mängel zu beheben. Hatte nicht gereicht.

Was passiert, wenn ich keinen Opt-In Cookie-Banner habe?

Die Verbraucherzentralen in Deutschland haben rund 1.000 Website-Betreibern eine offizielle Abmahnung zukommen lassen. Google wurde bereits mit einem Bußgeld von 120 Millionen Euro und Amazon mit 42 Millionen Euro wegen fehlerhafter Cookie Banner bestraft.

Ein transparentes Cookie-Banner muss her, das die Website BesucherInnen verstehen

So muss ich nun auch die von mir betreuten Websites mit einer komplexeren Cookie-Zustimmungs/Ablehnungs-Banner ausstatten. Im WordPress-Umfeld gibt es da eine Reihe von Plug-ins, die das sehr gut erledigen. Bei einigen gibt es auch eingeschränkte Gratis-Versionen. Schauen wir mal, was der Markt Anfang 2022 da so bietet.

Persönliche Auswahl von Cookie-PlugIns für WordPress

Complianz.io

Sehr interessant finde ich hier die Veröffentlichung der Cookie- und Tracking-Informationen der Complianz-nutzenden WordPress-Sites auf cookiedatabase.org. Da entsteht – in Zusammenarbeit mit dem SIDN Fund aus Arnheim/Holland eine gemeinsame Datenbasis, die sich laufend aktualisiert und für alle Admins weltweit frei erreichbar ist. Jedermann/-frau kann dort auch neue Cookies zur Prüfung einreichen.

Die Hersteller haben mit Really Simple SSL schon früher ein sehr gutes PlugIn angeboten, das damals den Weg zu mehr Sicherheit für WordPress durch die Umstellung auf https:// ebnete: heute ist dieses Plugin aus meiner Sicht (kaum) mehr nötig, da Let’s Encrypt nun von allen Hostern geboten wird und neue WordPress-Websites ja bereits mit SSL eingerichtet werden. Aber das WordPress Plugin Complianz ist es wert, genauer geprüft zu werden.

WordPress-Real-Cookie-Banner

Die süddeutsche devowl.io GmbH punktet mit sehr viel Transparenz und bietet sehr übersichtliche und detaillreiche Vergleiche mit ihrer Konkurrenz: Vor allem eine Features-Übersichtstabelle, aber auch eigene Artikel. Ich schätze solche Battle-Cards sehr, da sie auch zeigen, dass dieser Hersteller genauestens den Markt beobachtet und wohl auch seine Features laufend erweitert, um seine Position zu optimieren. Multisite, viele wichtige PageBuilder und die wichtigsten Multilanguage-Plugins werden unterstützt: da sind WordPress-Profis am Werk. Die abgegebenen Bewertungen liegen alle bei 5.0. Außergewöhnlich.

Borlabs-Cookie

Borlabs Lösungen (z. B. auch Caching) findet man nicht auf WordPress.org sondern nur auf der eigenen Website dieser Einzelfirma von Benjamin Bornschein aus Hamburg. Somit gibt es auf WordPress.org auch keine Benutzer-Bewertungen oder Supportforen oder Updates. Nun, Borlabs bietet ja auch keine Gratis-Lösung. Bei den Kosten punktet Borlabs bei Agenturen: um € 299,-/Jahr kann man 99 Websites damit beglücken: Die Konkurrenz Complianz und Real-Cookie unterstützen um diesen Preis nur 25 Websites, was wohl nur bei ganz kleinen Agenturen reicht: Man muss hier ja auch jede Landing-Page extra zählen …

Cookiebot

Dieses Cloudservice kommt aus Dänemark und kann eigentlich überall, in jedem System, mit Hilfe von JavaScript eingebunden werden. Das WordPress Plugin regelt halt die Einbindung in unser System. Die Bewertung des PlugIns ist mit 4.3 nicht ganz so gut, wie die von den anderen Lösungen. Kleine Websites mit zusammen maximal 100 Seiten (pages) und Beiträgen (posts) können diese Lösung gratis einsetzen. Im Backend ist aber – noch – keine deutschsprachige Version vorhanden. Vielleicht die 1. Wahl für kleine Präsenzen (Visitenkarten).

Newcomer clickskecks.at

Unter WordPress.org findet sich auch eine relativ neue österreichische Lösung: clickskecks.at Der Hersteller selbst meldet bereits 1.000 Unternehmen, die das Tool nutzen, auf WordPress.org werden davon 100+ momentan angeführt. clickskeks bietet auf seiner Website auch ein gratis E-Book, das sehr anschaulich in die Thematik einführt und wichtige Lösungen vergleicht. Sie unterstützen nicht nur WordPress sondern auch Typo 3 mit Plugins an: Das WordPress-Plugin bietet zum einen den Shortcode [ clickskeks ] an, mit dem man in die Datenschutz-Website die Cookie-bezogenen Texte automatisch einbinden kann. Den Einbindungscode erhält man innerhalb von 24h vom Anbieter per E-Mail: Diesen trägt man einfach im WordPress Plugin clickskeks ein. Wenn ich das richtig verstanden habe, dann wird da nicht nur ein Lizenzschlüssel sondern das ganze JavaScript beigestellt.


Vergleichsüberblick Cookie-Consent WordPress PlugIns (Auswahl)

Die persönliche Auswahl der untenstehenden Lösungen bieten gut designte Cookie-Banner, wo man der Verwendung einzelner Cookies oder Cookie-Kategorien einfach zustimmen kann.

Complianz
GDPR/CCPA Cookie-Einwilligung
WordPress Real Cookie Banner:
DSGVO (GDPR), ePrivacy & TTDSG Cookie Consent
Borlabs Cookie Cookiebot | GDPR/CCPA Compliant Cookie Consent and Control clickskeks Cookiebanner
Hersteller Really Simple Plugins devowl.io GmbH Borlabs – Benjamin A. Bornschein Cybot A/S clickskeks GmbH & Co KG
Firmensitz Groningen, Niederland Grafling (zwischen Passau und Regensburg in Deutschland) Hamburg, Deutschland Kopenhagen, Dänemark Wien, Österreich
Version 5.5.3 (9.1.2022) 2.12.0 (9.1.2022) 2.2 3.11.3 (Dez. 2021) 1.2.1 (20.4.2021)
Anzahl Installationen 200.000+ 60.000+ 90.000+ 100+
Bewertung max. 5 Sterne (Anzahl) 4.9 (677) 5.0 (131) 4.3 (211) 5.0 (7)
Sprachen im Backend 43 Sprachen 3: Deutsch, Englisch, Schweizerdeutsch 5: Dänisch, Holländisch, Flämisch, Englisch und Französisch Englisch
Sprachen im Frontend bei Premium 10 Sprachen standardmäßig Deutsch (Du, Sie). Englisch
Service (Cookie) Vorlagen 25+ Vorlagen, beste Ergebnisse mit Cloud-Service 100+ Vorlagen 25+ Vorlagen sichtbar nach dem Website-Scan
integrierter Cookie-Scan ja nein, aber viele Vorlagen in der Premium-Version nein ja, in Forum eines Cloudservices, monatlich wiederholt.
Bei täglichem Scan: € 62,- pro Domain und Monat
ja
Multisite-Unterstützung ja (299 €) ja
Mehrsprachigkeits-Plugins-Unterstützung  WPML, Polylang und Loco Translate  WPML, Polylang, TranslatePress und Weglot WPML, Polylang und Weglot
Formular-Unterstützung WPForms, Gravity Forms, Contact Form 7, etc.
Pagebuilder-Unterstützung Gutenberg, Elementor, Divi, WPBakery. etc. Avada, Beaver Builder, Divi, Elementor Pro, The7, WPBakery Visual Composer
Unterstützt cookiedatabase.org ja
Rechtliche Dokumente Cookie-Richtlinie, Datenschutzerklärung, Datenschutzerklärung für Kinder (COPPA), Vereinbarungen mit Datenverarbeitern und Dienstleistern, Seite „Meine persönlichen Informationen nicht verkaufen“ (CCPA), einen Haftungsausschluss und ein Impressum, AGBs Cookie-Informationen können per Shortcode in der Datenschutz-Page eingebunden werden.
Transparency & Consent Framework (TCF) ja ja
Anpassbares Design 45+ Designeinstellungen 200+ Designeinstellungen 85+ Designeinstellungen 8 Designeinstellungen
Fremium-Version (gratis) ja ja nein ja (bis 100 Webpages) nein
Einige Features der Kaufversion jeweils passende Cookie-Notices für EU, USA, CA, UK, AU, ZA und BR parallel.
A/B-Test, Premium-Support, Impressum (Deutschland & Österreich).
Haftungsausschluss, Records of Consent aufbewahrt, etc.
100+ Service Vorlagen und 60+ Content Blocker Vorlagen nur Kaufversion vorhanden nur Kaufversion vorhanden
(30 Tage Test)
Premium-Versionen:
Kosten für eine Website
€ 39,-/Jahr € 49,-/Jahr € 39,-/Jahr € 9,-/Monat: bis 500 Pages
€ 21,-/Monat bis 5.000 Pages
€ 37,-/Monat über 5.000 Pages
€ 4.9/Monat: bis 100 Pages
€ 9,9/Monatbis 500 Pages
€ 19,9/Monat bis 5.000 Pages
€ 39,9/Monat über 5.000 Pages
Kosten 3 Websites € 79,-/Jahr
Kosten 5 Websites € 149,-/Jahr € 119,-/Jahr € 99,-/Jahr
Kosten 10 Websites € 219,-/Jahr
Kosten 20 Websitres
Kosten 25 Websites € 299,- /Jahr
(Multisite-Unterstützung)
299,-/Jahr € 199,-/Jahr
Kosten 99 Websites € 299,-/Jahr
unbegrenzter Einsatz anfragen anfragen anfragen anfragen eigenes Programm
bei Umstieg von anderer Lösung € 1,-/für das erste Jahr im 2. Jahr 30 % Rabatt
Staging-Kosten (Entwicklerversion der Website) keine, falls sie unter staging.meinedomaine laufen. keine
Systemvoraussetzungen ab WP 5.2 und PHP 7.2 ab PHP 5.6 ab PHP 7.2

Wofür entscheide nun ich mich?

Danke für diese Frage. Da muss ich nun auch mit meinen Partnern und Kunden Rücksprache halten, da fast immer zusätzliche jährliche Kosten auf uns zukommen. Ich brauche wohl mehr als eine 25er Lizenz, Multisite-, Multilanguage-Unterstützung (WPML, Polylang) und die gesicherte Einbindung in Divi und Elementor. Außerdem hätte ich gerne, dass das Tool selbst die Website scanned und die Cookies herauszuzelt. Da weiß man oft selbst nicht, was so alles läuft.

Cookies meiner Website auslesen – aber wie?

P.S.: Aber, verwendet meine Website überhaupt Cookies? Gute Frage, einige Websites, die einem helfen, mal zu sehen, welche Cookies eine Website hat:

    • Chrome Erweiterung: Cookie Editor von Hotcleaner: https://www.hotcleaner.com/cookie-editor/ – zeigt aber nur einige Cookies und man weiß nicht, wer der Herausgeber ist. Nicht sehr brauchbar. Browser-Plugins rund um Cookies sind angeblich selbst auch schon in Verruf gekommen – vielleicht geben ja sie selbst auch Daten weiter, da sie ja Zugriff auf alle Cookies haben … da ist sozusagen die Hintertür offen.
    • Cookiebot (siehe oben): Kann mal eine kostenlose Erstanalyse machen: https://www.cookiebot.com/de/
    • Cookiepro von OneTrust: https://www.cookiepro.com/products/cookie-consent/
    • Cookiemetrix: https://www.cookiemetrix.com/ Bei diesem kostenlosen Test, den man täglich für 10 Websites machen kann, zeigt ein Ampel-Feedback, wie gut eine Website Cookie-Informationen in drei Bereichen wiedergibt: Ob sie einen Cookie-Banners hat, welche Cookies von dritten Domainen eingebunden werden (wie facebook und Google) und welche Cookies gespeichert werden.
    • Der deutsche Consentmanager bietet auch einen gratis Cookie-Checker: https://www.consentmanager.de/cookies/ Auch ein interessantes Tool, das wiederum eine ganze Reihe von Systemen unterstützt.
    • Cookieserve, https://www.cookieserve.com/, liefert nur eine Liste der eingesetzten Cookies auf der Website.
    • Der CCM19 Cookie Scanner, https://www.ccm19.de/cookie-scanner/ ist hier auch noch zu nennen. Sein Ergebnis ist aber sehr technisch, immerhin clustert auch er die Cookies in Kategorien (technisch notwendig, Werbung, Analytics, Personalisierung und Statistik).

In all diesen Fällen muss man halt für den Gratis-Check auch seine Mailadresse bekanntgeben und wenn man da nicht aufpasst, welche Checkboxes angekreuzt sind, wird man wohl mit Werbemails und Angeboten eingedeckt. Aber das sind, soweit ich das beurteilen kann, seriöse Anbieter, wo man sich von den Newslettern auch wieder abmelden kann.

Das für mich brauchbarste Ergebnis für die Erstanalyse der sich auf meiner WordPress im Hintergrund angehäuften Cookies lieferte (answer coming soon):

One thought on “Cookie-Banner (DSGVO- bzw. ePrivacy-Richtlinien-konform) in WordPress”

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

fünfzehn − fünf =