Cookie-Banner: Was ist Pflicht, was ändert sich und welche WordPress Plugins gibt es?

Cookies selbst sind nichts anderes als kleine Dateien, die vom Browser gespeichert werden. Stellt euch vor, wie eine Text-Datei, die Einstellungen und personalisierte Informationen enthält. Beispielsweise ob der Nutzer den Dark-Mode aktivieren möchte, aber auch, ob er lieber Hiphop News auf der Startseite sehen will oder Volksmusik Nachrichten.

Außerdem können Cookies automatische Logins gewährleisten und allerlei andere Annehmlichkeiten liefern, die eine Website bereithält. Oder anders gesagt: Sie sind nicht nur für die Personalisierung im Marketing verantwortlich, sondern eben auch, um Websites für Nutzer*innen einfacher und individueller zu gestalten.

Problem dabei ist nur, dass es mittlerweile normal geworden ist, dass Drittanbieter ebenfalls Cookies speichern dürfen, über die der Websitebetreiber dann keinerlei Einfluss hat. Damit sammeln die Firmen fleißig Daten im Netz, ohne dass für Nutzer*innen direkt offensichtlich ist, dass gewisse Dinge über sie getrackt werden. Dieses Vorgehen führte dazu, dass nun die DSGVO regeln muss, was genau in dem Bereich überhaupt erlaubt ist und was nicht.

Die wenigsten wissen, dass sie überhaupt Cookies setzen. WordPress macht es einfach. Eine Website wird erstellt, meist von jemandem aus dem eigenen Unternehmen, der sich nicht wirklich auskennt. Das führt zwangsläufig zu Problemen. Nämlich immer dann, wenn es technisch wird.

Am einfachsten sind Online-Tools wie Webbkoll. Sie zeigen sofort an, wie viele Cookies gesetzt werden. Auch im Browser ist dies schnell überprüfbar. Bei Chrome reicht es beispielsweise, links neben der URL auf das Schloss zu klicken. Dort dann auf »Cookies« und schon werden alle von der Website gesetzten Cookies angezeigt.

Vorsicht, wenn eine Internetseite unter Umständen nicht auf jeder Seite direkt einen Cookie sichert. Manchmal sind es spezielle Plugins, die lediglich auf gewissen Unterseiten aktiv werden (beispielsweise bei Formularen oder dynamischen Inhalten) und nur dort entsprechende Cookies anlegen. Diese »versteckten« Cookies sollten bei der Analyse nicht übersehen werden.

Am Anfang galt für Cookie-Banner, dass lediglich ein einfacher Hinweis erfolgen sollte. Daraufhin gab es bei den meisten ein paar kleine Popups, die dann wiederum für ausreichend erklärt wurden. Waren sie aber nicht, wie ein Beschluss des Bundesgerichtshofs klarstellte. So muss Nutzer*innen stets die Wahl gelassen werden, ob sie der Speicherung von Cookies zustimmen oder eben nicht. Stimmen sie den Cookies nicht zu, dürfen diese auch nicht erstellt werden.

Opt-Out meint in diesem Fall, dass die Verweigerung der Cookies durch die Nutzer*innen selbst erfolgen muss. Beim Betreten der Seite werden also Cookies angelegt, denen Besucher*innen zunächst aktiv widersprechen müssen, damit diese nicht gespeichert werden. Im Zweifelsfall ist das nur über Umwege möglich oder bestimmten Links in der Datenschutzerklärung. So ein Vorgehen ist in Deutschland nicht rechtssicher.

Vielmehr ist der Opt-In die erlaubte und empfohlene Verfahrensweise für Deutschland. Der Opt-In meint das genaue Gegenteil. Daten werden erst dann gesammelt, wenn aktiv zugestimmt wurde. Beim Betreten einer Website werden also auch keine automatischen Cookies erstellt. Gerade für Werbe-Cookies oder Cookies, die über Third-Party-Tags kommen (Google Analytics, Facebook etc.), ist der Opt-In somit absolut zwingend notwendig.

Seit 2018 gilt die DSGVO, doch bezüglich Cookies sollte die E-Privacy-Verordnung geltende Regeln aufstellen. Die gibt es bis heute aber nicht final, weshalb nur Urteile (Präzedenzfälle) als Grundlage herangezogen werden können.

In einem BGH-Urteil wurde beispielsweise festgelegt, dass Nutzer*innen der Speicherung von Cookies tatsächlich aktiv zustimmen müssen. Bevor also das Verhalten der Besucher*innen gespeichert werden darf, müssen diese der Sicherung von Cookies erst einmal einwilligen. Ohne Zustimmung darf somit nichts aufgezeichnet werden.

Beim Betreten einer Website muss seitdem aktiv danach gefragt werden. Der Zugang darf dabei auch nicht verweigert werden, wenn Besucher*innen die Sicherung von Cookies untersagen. Sie müssen also die freie Wahl haben, eine Website mit oder ohne Cookies betreten zu dürfen. Dabei geht es allerdings vor allem um Werbe-Cookies, nicht um Cookies, die zum Betrieb der Internetseite zwingend notwendig sind.

Kommt die sogenannte E-Privacy-Verordnung (welche eigentlich schon 2020 erscheinen sollte), treten neue und hoffentlich klare Regeln in Kraft. Die E-Privacy-Verordnung wird dann ganz deutliche Richtlinien beinhalten, wie Websitebetreiber mit den Daten umgehen dürfen und wie die Verwendung von Cookies geregelt wird.

Bis diese veröffentlicht wird, sollte das Urteil des Bundesgerichtshofs als Leitlinie gelten. Nach diesem wird zwischen werblichen und notwendigen Cookies unterschieden. Für technische und somit notwendige Cookies besteht eine Informationspflicht (Opt-Out), während werbliche Cookies nur nach aktiver Zustimmung gesetzt werden dürfen (Opt-In).

Wer das CMS WordPress verwendet, hat es dabei wie immer einfach. Für diese gibt es bereits mehrere namhafte Plugins, die entsprechend gepflegt werden und den Cookie-Hinweis automatisch integrieren, inklusive aller technischen Aspekte.

Besonders gut gefällt uns hier das Borlabs Cookie Plugin und das WordPress-Plugin von CookieBot. Beide erledigen ihre Aufgabe mehr als zufriedenstellend und sind vor allem sehr umfangreich. Dafür erfordern beide allerdings eine Lizenzierung, wenn ihr sie mit vollem Umfang verwenden möchtet.

Kostenlos im Plugin-Verzeichnis gibt es hingegen GDPR Cookie Consent. GDPR meint dabei General Data Protection Regulation, also quasi die europäische oder internationale Bezeichnung der DSGVO.

Machen wir es am Ende kurz und knapp. Ohne ein Cookie-Hinweis ist eure Unternehmenswebsite nicht rechtssicher und Schwierigkeiten sind vorprogrammiert. Überhaupt sollte der Hinweis schon aus dem Grund erfolgen, dass ihr eure Kund*innen entsprechend informieren möchtet. Transparenz ist wichtiger als jemals zuvor, auch bei den gesammelten Daten.

Zudem hat das Urteil des Bundesgerichtshofs sehr genau festgelegt, wie und wofür dieser Hinweis erfolgen muss. Technisch notwendige Cookies sind also kein Problem, es sollte nur darüber informiert werden. Third-Party Cookies sind hingegen ausschließlich dann erlaubt, wenn Nutzer*innen diesen aktiv zustimmen können, bevor selbige gespeichert werden.

Seit die DSGVO 2018 eingeführt wurde, wird bereits über die E-Privacy-Verordnung diskutiert. Diese regelt das Thema noch ein wenig ausführlicher und auf europäischer Ebene. Eigentlich sollte diese längst erscheinen – ist sie aber nicht. Wann sie kommt, bleibt unklar. Wenn sie eintrifft, ist unter Umständen noch einmal ein Update notwendig. Behaltet das Thema also unbedingt im Auge.