Bild für den Blogbeitrag DSGVO WordPress Tutorial, Teil 2: Umgang mit CookiesCookies

DSGVO WordPress Tutorial [2]: Umgang mit Cookies

Hinweis: Wir sind keine Juristen und dieser Blogbeitrag ist keine Rechtsberatung und kann eine solche nicht ersetzen. Bitte wenden Sie sich im Zweifelsfall immer an einen Rechtsanwalt.

Am 1. Oktober 2019 hat sich der Europäische Gerichtshof (EuGH) für einen ganz klar eingeholten Cookie-Opt-In ausgesprochen (ausführlicher zu lesen unter datenschutzbeauftragter-info.de). Nicht unbedingt erforderliche Cookies sollten ab sofort also nur noch eingesetzt werden, wenn Ihre Website Besucher zuvor ausdrücklich Ihr Einverständnis gegeben haben.

Denn: eine Verarbeitung von personenbezogenen Daten darf generell nur rechtmäßig erfolgen. Das DSGVO nennt die Bedingungen zur Nutzung von Cookies im Artikel 6 DSGVO (Rechtmäßigkeit der Verarbeitung). Es ist also ratsam, nur wirklich notwendige Cookie zu verwenden, zum Beispiel für den Betrieb einer Website (Sprachauswahl, Mitgliederbereiche bei Communities, Warenkorbfunktion, Cookies zur Speicherung der Cookie-Einstellungen).

Welche Cookies sind nun aber „unbedingt erforderlich“, welche zählen zu denjenigen, welche erst nach Zustimmung genutzt werden dürfen? Was muss ich noch beachten, wenn es um das Thema DSGVO und Cookies geht? Und: wie löse ich das Cookie-Thema in meiner Datenschutzerklärung? Wir beantworten Ihre Fragen im folgenden Blogbeitrag.


Was sind Cookies?

Ein Cookie ist eine kleine Textdatei, die Einstellungen beim Surfen im Internet speichert. Beinahe auf jeder Website wird Cookie-Technologie verwendet. Beim ersten Besuch einer Website wird das Cookie vom Browser des Surfenden heruntergeladen. Wird die Website erneut aufgerufen (vom gleichen Gerät aus) werden das Cookie und die gespeicherte Information an die ursprüngliche Website zurückgeschickt (First-Party-Cookie) oder aber an eine andere Website, zu der das Cookie gehört (Third-Party-Cookie). Letzteres geschieht dann also domainübergreifend. So können sich Cookies an Vorlieben des Surfenden erinnern, z.B. mit welchen Einstellungen derjenige eine Seite nutzt und angezeigte Angebote können relevanter platziert werden.

Cookies können anhand ihrer Verwendung und Funktion folgendermaßen eingeteilt werden:

  • Unbedingt erforderliche Cookies
  • Performance Cookies
  • Funktionale Cookies
  • Cookies für Marketingzwecke

Die wichtigsten Cookie-Kategorien in Kürze

„Unbedingt erforderliche“ Cookies

Diese Cookies werden benötigt um eine reguläre Funktion einer Website zu ermöglichen. Sie werden vom jeweiligen Website-Betreiber eingesetzt. Die gespeicherten Daten bzw. Informationen aus diesen Cookies werden nur an die besuchte Website geschickt. Eine solche Nutzung dieser funktionalen Cookies benötigt keine Einwilligung des Besucher und die Cookies lassen sich auch nicht an- oder abschalten. Es besteht jedoch generell die Möglichkeit, Cookies permanent im Browser zu deaktivieren – allerdings werden dann eine Reihe von Websites nicht mehr richtig funktionieren und die Inhalte für den Besucher evtl. nicht mehr gut lesbar sein. Unbedingt erforderliche Cookies können ohne Einwilligung der Nutzer gesetzt werden. Welche Cookies jetzt aber explizit unter diese Kategorie fallen, ist derzeit nicht klar geregelt.

„Funktionale“ Cookies

In ihnen werden Angaben zum Besucher der Website, wie ein Benutzername oder der Ort, an dem der Benutzer sich befindet, abgelegt. Sie ermöglichen also ein verbessertes Surf-Erlebnis durch das Vornehmen personalisierter Einstellungen auf der Website. Die Informationen sind dabei (in der Regel) anonymisiert und können die Bewegungen von Besuchern auf anderen Websites nicht verfolgen. Diese Cookies sollten jederzeit durch den Besucher de- oder aktiviert werden können. Sie gehören zu den einwilligungspflichtigen Cookies.

Performance Cookies

Welche Seiten und Unterseiten ruft ein Besucher oft auf? Wie lange bleibt er auf bestimmten Seiten? Werden dem Benutzer Fehlermeldungen angezeigt? Welche Suchbegriffe werden auf Webseiten verwendet?Performance Cookies tragen Informationen über die Nutzungsweise einer Website zusammen, speichern aber keinerlei identifizierbare Informationen. Das heißt, die Daten werden aggregiert und anonymisiert gesammelt. Dennoch fallen diese Cookies unter die zustimmungspflichtigen Cookies und sollten nur verwendet werden, wenn ein vorheriges „Opt-In“ vorgeschaltet ist, beispielsweise durch ein geeignetes WordPress Plugin.

Marketing Cookies

Eindeutig als nicht unbedingt erforderlich erachtet werden Cookies für Marketingzwecke oder zur Erstellung von Statistiken. Eine informierte Einwilligung der Nutzer muss definitiv vor dem Einsatz eingeholt werden! Diese Cookies werden im Detail dazu genutzt, um den Besuchern an seine Interessen angepasste Werbeanzeigen einspielen zu können. Auch die Häufigkeit der Einblendung einer Anzeige wird dadurch geregelt und die Effektivität einer Werbekampagnen gemessen. Mit Hilfe der Marketing Cookies kann registriert werden, ob ein Besucher eine Website besucht hat, wo er zuvor war und Ähnliches. Diese Informationen werden zum Teil mit anderen Werbetreibenden geteilt. Sollten Sie also Marketing Cookies verwenden, ist ein informiertes, vorgelagertes Opt-In notwendig! Lesen Sie hierzu auch Cookie-Einwilligung ist Pflicht.

Bild eines Mannes am Laptop

Cookies in WordPress

Die Einwilligung zur Cookie-Nutzung

Laut Gesetz muss eine Einwilligung ausdrücklich und per Klick stattfinden (Schaltfläche oder Checkbox). Nicht zulässig laut EuGH: die Opt-Out-Lösung. Das heißt, die Cookies werden so beim Aufrufen der Webseite geladen und der Besucher muss sie erst aktiv abstellen. Eine Cookie-Einwilligung kann beispielsweise mit sogenannten Cookie-Opt-In-Bannern eingeholt werden. In WordPress gibt es verschiedene Anbieter für Plugins in dem Bereich.

Außerdem: der Besucher der Website muss laut EuGH informiert werden über die

  • Art und Funktionsweise der Cookies. Das heißt: welche Art von Daten wird verarbeitet und wozu werden die Daten verwendet? (IP-Adressen, Angaben zum Zweck von Onlinemarketing, Analyse der Surfer-Interessen und seines Verhaltens,…).
  • Lebensdauer von Cookies. Das heißt, es muss eine Angabe vorhanden sein, wie lange die Cookies gespeichert werden. Diese Angaben sind in manchen Opt-In Diensten bereits automatisch voreingetragen, ansonsten müssen sie beim Anbieter recherchiert werden.
  • Identität der Dienstleister, die die Cookies verarbeiten: Die Dienstleister müssen benannt werden bestenfalls bereits im Cookie-Opt-In-Banner. Auch ein Link zur Datenschutzerklärung der Dienstleister muss aufgeführt werden.

Desweiteren gelten natürlich die Informationspflichten zum Verantwortlichen der Webseite und den Betroffenenrechten, die in der Datenschutzerklärung erläutert werden müssen. Es bietet sich also an, dass Website Besucher direkt aus dem Cookie-Banner auch auf die Datenschutzerklärung und das Impressum zugreifen können, bzw. dass aus dem Banner darauf verlinkt wird.

Unsere Empfehlung: WordPress Cookie Opt-In mit BORLABS

Verwendet Ihre Website nicht unbedingt erforderliche Cookies, binden Sie also externe Medien ein wie YouTube oder Google Fonts? Verwenden Sie zur Analyse des Besucherverhaltens Google Analytics oder Matomo? Dann sollten Sie sich eine Einwilligung vom Besucher der Website holen BEVOR die entsprechenden Inhalte und Cookies geladen werden. Die derzeitige aus unserer Sicht empfehlenswerteste Lösung im Bereich WordPress Plugin stellt das Cookie Plugin von BORLABS dar. Es lohnt sich die Kosten für die Lizenz auf sich zu nehmen, da es sich bei dem Plugin um eine gut konfigurierbare, flexible Lösung handelt, die sehr gut funktioniert. Eine Demo der Funktionsweise findet sich hier: de.borlabs.io/borlabs-cookie/iframe-demo/

Problematische Lösung: passiver Cookie-Banner

Es gibt Websites, die nur unbedingt erforderliche Cookies verwenden. In diesem Fall kann es Sinn machen, einen rein informativen Cookie-Banner umzusetzen, der in seinem Informationsbereich beschreibt, dass alle verwendeten Cookies der betreffenden Website unbedingt erforderliche Cookies sind. Ein Link zur Datenschutzerklärung, in welcher diese Cookies im einzelnen aufgeführt werden, ist ebenfalls empfehlenswert.

Eine 100%-ige Garantie, dass dieser rein informative Hinweis ausreicht, gibt es derzeit nicht, da nicht klar geregelt ist, welche Cookies nun „unbedingt erforderlich“ sind und welche zustimmungsbedürftig. Diese Option ist also mit Vorsicht zu genießen.

Opt-Out als Widerspruchsmöglichkeit

Website Besucher müssen die Möglichkeit haben, dem voreingestellten Cookie-Einsatz auch widersprechen zu können. Eine gut sichtbare Platzierung des Opt-Outs ist deshalb empfehlenswert, zum Beispiel in der Datenschutzerklärung und/oder jederzeit gut auffindbar im Fußbereich der Webseite. Auch im Cookie-Banner sollte ein Passus über die Freiwilligkeit und die Widerspruchsmöglichkeit zur Cookie-Einstellung angebracht werden.


Cookies in der Datenschutzerklärung der Website

In der Datenschutzerklärung sollten genaue Angaben über die Nutzung von Cookies zu finden sein: Die eingesetzten Anbieter der Cookies, Arten und Funktionsweisen und die entsprechende Speicherdauer der Cookies (siehe oben).

Cookies lassen sich übrigens mit dem Entwickler-Tool des Browsers Chrome untersuchen. Hierzu gibt es einige hilfreiche Anleitungen im Netz.

Fazit

Die Rechtslage zum Einsatz von Cookies ist derzeit zum Teil noch unklar. Um auf der sicheren Seite zu stehen, empfiehlt es sich bei der Handhabung von Cookies folgende Punkte umzusetzen:

  • Cookie-Banner, der die Einwilligung zur Setzung von Cookies einholt
  • Informationen zu den Anbietern, Zweck und Speicherdauer der verwendeten Cookies zur Verfügung stellen (Datenschutzerklärung und Cookie-Banner)
  • eine Widerspruchsmöglichkeit anbieten (Datenschutzerklärung und beispielsweise Footer)

Haben Sie dazu noch Fragen? Kontaktieren Sie uns.