Cookie-Banner: 5 Plugins für WordPress
Welche Kekse darf ich anbieten?
Wie der Titel schon sagt: Ja, es gibt Plugins. Wir stellen in diesem Artikel fünf davon vor und sagen Ihnen, welches davon empfehlenswert ist.
Doch zuerst klären wir die wichtigsten Fragen und ToDos in Sachen Cookie-Banner.
Inhalt
DSGVO, Cookies und Tracking
3 Dinge, die Sie in Bezug auf Cookies beachten sollten
Die DSGVO und deren Implementierung in Deutschland sind sehr vage formuliert, sodass viele Webseitenbetreiber verunsichert sind.
Keine Panik! In den nächsten 3 Schritten erfahren Sie, was wirklich wichtig ist.
Die Idee hinter der DSGVO ist, dass die Daten von Websitebesuchern nicht ohne deren Kenntnis und Einwilligung gespeichert, verarbeitet oder an Dritte weitergegeben werden dürfen. Darum braucht jede Website eine Datenschutzerklärung, die von jeder einzelnen Seite aus erreicht werden kann. Zudem ist es wichtig, dass keine Daten gespeichert werden, bevor die Besucher zugestimmt haben. Mit diesen einfachen Grundregeln stehen Webseiten auf der sicheren Seite.
Die DSGVO selbst ist eher schwammig formuliert, daher orientieren sich viele Unternehmen an aktuellen Urteilen zu DSGVO-Verstößen. Doch selbst die Website des europäischen Gerichtshofs verstieß gegen das eigene Urteil zur Cookie-Einwilligung als dieses im Oktober 2019 verlesen wurde. Andere Unternehmen suchen in den Formulierungen Schlupflöcher, um Ihre Besucher weiterhin heimlich zu tracken. Dank der dadurch entstehenden Klagen und Urteile, erhalten wir ein immer besseres Bild darüber, was Webseiten nicht tun dürfen.
1. Seite zum Thema Datenschutz erstellen und im Banner verlinken
Website-Besucher müssen die Möglichkeit haben, sich ausgiebig über die Datenverarbeitung auf Ihrer Website zu informieren, insbesondere in Bezug auf ihre eigenen personenbezogenen Daten. Eine Seite zum Thema Datenschutz ist also Pflicht und sollte beim Cookie-Banner direkt verlinkt werden. Je nachdem, welche Tracking-Tools Sie verwenden, sollten Sie auf der Datenschutz-Seite die Möglichkeit bieten, die Zustimmung zum Tracking zu widerrufen.
Es gibt einige Generatoren für diese Datenschutz-Texte. Wer sicher gehen will, beauftragt damit aber lieber einen Profi.
Auf der Datenschutz-Seite sollten Sie zudem genaue Informationen über die Verwendung und Verwendungsdauer von Cookies bieten. Online-Shops mit Login-Funktion, Foren und Online-Plattformen funktionieren ohne bestimmte Cookies nicht. Für diese Cookies ist es nicht erforderlich, eine Einwilligung über das Cookie-Banner einzuholen, trotzdem müssen wir in der Datenschutz-Seite darüber aufklären.
2. Neue Opt-In-Regel beachten!
Cookies, die nicht unbedingt für das Funktionieren der Website erforderlich sind, dürfen nur dann gesetzt werden, wenn der Besucher ausdrücklich zugestimmt hat. Es gab bereits Klage und Urteil in diesem Fall. Von Grauzone können wir also nicht mehr sprechen.
Wichtig ist, dass Nutzer eine Option erhalten, Cookies aktiv abzulehnen und dem Setzen von Cookies aktiv zuzustimmen.
Dies gilt auch für iFrames die sich auf einer Website befinden, dazu gehören unter anderem eingebettete YouTube-Videos. Wird solch ein Video abgespielt, schnappt sich YouTube allerlei Daten und der Seitenbetreiber kann das nicht verhindern. Künftig sollten alle Webseiten ihre Nutzer vor einem Klick auf solche Videos in Kenntnis setzen.
Noch schlimmer sind Facebooks Like-Buttons, welche allein durch ihre Präsenz (ganz ohne Klick) personenbezogene Daten wie die IP-Adresse an Facebook senden. Mit solchen Methoden erzeugt Facebook Schattenprofile auch von Menschen, die gar kein Facebook-Profil haben. Die Verantwortung hierfür trägt laut EuGH jedoch auch der Seitenbetreiber, der den Button bei sich integriert hat.
3. Bieten Sie eine Möglichkeit, die Cookie-Einwilligung zu widerrufen
Wenn eine Person der Speicherung von Cookies zugestimmt hat, muss sie die Möglichkeit haben, ihre Einwilligung jederzeit zu widerrufen, z. B. auf der Datenschutz-Seite. Google Analytics bietet ein Browser-Plugin an, mit dem man dauerhaft Analytics auf allen Webseiten blockieren kann. Dieses Plugin sollte auf der Datenschutzseite verlinkt sein.
Matomo bietet hierfür ein iFrame-Snippet an, das den Besuchern die Einwilligung nachträglich zurückziehen lässt. Bevor Sie Tracking-Tools verwenden, sollten Sie immer prüfen, ob das Tool die Möglichkeit bietet, die Einwilligung nachträglich zu widerrufen.
Cookie-Typen
Welche Cookies brauche ich für was?
In der Regel unterscheiden wir Cookies in folgende vier Bereiche:
- Erforderlich: Diese Cookies werden für den Warenkorb und die Login-Funktionalität benötigt. Ohne diese Cookies funktionieren weder Shops noch Foren, daher können Besucher diese Cookies nicht ablehnen.
- Statistik: Mit diesen Cookies lernen wir, wie Besucher mit der Website interagieren. Damit erkennen wir was den Besuchern besonders gefällt oder wo es Fehler gibt. So wird die Seite stetig verbessert.
- Marketing: Diese Cookies ermöglichen, personalisierte Angebote anhand des Besucher-Verhaltens zu machen. Diese könnten dann als Werbung auf anderen Webseiten vorkommen.
- Externe Medien: Diese Cookies ermöglichen Inhalte von Video- und Social-Media-Plattformen auf der Webseite zu nutzen.
Wie spielen die verschiedenen Cookie-Typen zusammen?
Die Einwilligung zum Erheben der Statistik-Daten ist für Seitenbetreiber am wichtigsten. Da personalisiertes Marketing auf den Daten des Seitenbesuches basiert, wirkt es sich kaum aus, wenn jemand der Verwendung für Marketing aber nicht Statistik einwilligt. Auch Informationen über den Seitenbesuch, die an Dritte weiteregegeben würden, kommen so dort nicht an, da diese Daten mangels Statistik-Einwilligung gar nicht erst gesammelt werden.
Der Unterschied kommt mit Marketing Automation:
Wenn Besucher sich identifizieren, indem sie beispielsweise in einem Formular ihre E-Mail-Adresse hinterlassen, dürfen wir mit der Einwilligung ihre Daten fürs Marketing verwenden. Das Problem dabei: Ohne Statistik-Einwilligung haben wir diese Daten nicht. Hier müssten Seitenbetreiber spätestens beim Anmeldeformular sich nochmals die Einwilligung holen, Daten zum Seitenbesuch zu sammeln. Diese Checkboxen mit dem langen Text über Datenschutz, die niemand liest? Die dienen meistens genau diesem Zweck!
Cookie-Typen zusammengefasst
| Cookie-Typ | Speichert | Beschreibung | Erforderlich für |
|---|---|---|---|
| Erforderlich | Session-ID | Öffnet der Seitenbesucher eine Webseite in mehreren Tabs, lässt sich durch die Session-ID feststellen, dass es sich um die gleiche Sitzung handelt und so die gleichen Inhalte anzeigen, z. B. den Warenkorb. | Shop Intranet |
| Präferenzen | Benutzerdefinierte Einstellungen wie Sprache Komfortfunktionen, z. B. Dark Mode | Erleichtert die Website-Nutzung, da Besucher nicht jedes Mal die gleichen Einstellungen tätigen müssen. | Mehrsprachige Websites / Shops Webanwendungen mit benutzerdefinierten Einstellungen |
| Statistik | Client-ID Tracking-Opt-In | Matomo oder Google Analytics erfassen das Nutzerverhalten auf der Website innerhalb einer Sitzung (Session) nur dann, wenn das Cookie mit dem Tracking-Opt-In gesetzt ist. Über die Client-ID lassen sich Besucher über einen längeren Zeitraum wiedererkennen, die mit dem gleichen Gerät und Browser eine Website besuchen. | Optimierung der Website |
| Marketing | Marketing-Opt-In | Hiermit werden häufig Cookies von Werbepartnern gesetzt, die für personalisierte Werbung verwendet werden. Wenn die Website selbst keine Anzeigen schaltet und die Besucherdaten auch nicht an Dritte weitergibt, fallen trotzdem noch interne Marketing Automation und eigene Retargeting-Kampagnen darunter. Es dürfen nur Website-Inhalte, Angebote und Anzeigen auf den Website-Besucher zugeschnitten werden, wenn das entsprechende Marketing-Cookie gesetzt ist. | Retargeting (erfordert Statistik) Marketing Automation (erfordert Statistik) Individualisierte Werbung und Angebote |
Cookies und der Tag Manager
Doch wie erheben wir nur
bestimmte Daten?
Und nur mit Einwilligung der Besucher?
Cookie-Banner vor dem aktuellen „Opt-In“-Urteil bieten oft nur die Möglichkeit, alle oder gar keine Cookies zuzulassen. Und hier kommen die modernen Cookie-Banner mit ihren Checkboxen ins Spiel.
Die Cookie-Funktionen werden getrennt und die Besucher können jetzt auswählen, ob und wofür sie Cookies zulassen. Das ermöglicht ihnen dann auch ihre Präferenzen (wie etwa Spracheinstellungen) in einem Cookie zu speichern, ohne gleichzeitig ihre Daten an Werbetreibende zu verschenken.
Mit dem Tag Manager Cookie-Einstellungen gezielt umsetzen
Analytics sammelt eine Vielzahl an voreingestellten Daten über das Besucherverhalten. Wenn wir zusätzlich messen wollen, worauf die Besucher klicken, dann müssten wir normalerweise bei jedem Klick ein Skript ausführen, das diese Informationen an Analytics übermittelt. Damit wir diese und andere Aktionen viel einfacher und ohne Skripte erfassen können, wurde der Tag Manager entwickelt.
Conversion ist ein Fachbegriff aus dem Marketing, der in der Regel die Umwandlung eines Seitenbesuchers in einen Interessenten und schlussendlich in einen Kunden bezeichnet.
Im Tag Manager können wir Trigger (Auslöser) wie Klicks mit Tags (Datenschnipsel) verbinden. Der Tag sammelt die gewünschten Informationen, wenn die Bedingungen des Triggers erfüllt werden. Auf diese Weise können allerlei Aktionen, die zur Conversion führen, erfasst und zur Optimierung genutzt werden.
Beispiel ohne Einverständnis-Abfrage: Wenn „ein Button angeklickt wurde“ und „dieser Button zum Shop führt“, dann „notiere mir, auf welcher Seite dieser Klick stattfand“.
Und so kommen die Cookies ins Spiel
Damit der Trigger erst dann ausgelöst wird, wenn der Besucher den Cookies zugestimmt hat, fügen wir das Einverständnis den Trigger-Bedingungen hinzu.
Beispiel mit Einverständnis-Abfrage: Wenn „ein Button angeklickt wurde“ und „dieser Button zum Shop führt“ und „der Statistik-Cookie akzeptiert wurde“, dann „notiere mir, auf welcher Seite dieser Klick stattfand“.
Mit Tags und Triggern können wir die verschiedenen Verwendungszwecke der Cookies abfragen.
Mit regulärem Analytics kann ein Cookie-Banner das Tracking nur vollständig ein- oder abschalten. Mit Tags und Triggern hingegen, können wir die verschiedenen Verwendungszwecke der Cookies abfragen.
So erheben wir personenbezogene Daten nur dann, wenn der Besucher das Marketing-Cookie akzeptiert hat. Und anonymisierte Daten für die Statistik erheben wir nur dann, wenn der Besucher den Statistik-Cookie akzeptiert hat.
Über den Tag-Manager lassen sich auch weitere Tools (wie z.B.: Mautic für Marketing-Automation) einbinden, die ohne Marketing-Einverständnis gar nicht benutzt werden dürfen. Einfach indem wir im entsprechenden Trigger prüfen, ob das entsprechende Cookie akzeptiert wurde.
Cookie-Banner-Plugins für WordPress
Was ist das richtige Cookie-Law-Plugin für WordPress?
Für WordPress gibt es bereits einige sogenannte Cookie-Law-Plugins. Was diese Out-of-the-box liefern und welche Kosten eine Rolle spielen, fassen wir im Folgenden zusammen.
Das sollten Cookie-Law-Plugins können:
- Individualisierbarer Beschreibungstext: Dort erklären Sie kurz, welche Cookies Sie zu welchem Zweck setzen – Wozu sagt der Besucher ja?
- Link zu Datenschutzerklärung
- Tracking-Skripte deaktivieren / aktivieren
- (Nicht erforderliche) Cookies akzeptieren und nicht akzeptieren
- Cookie-Einstellungen nachträglich ändern / widerrufen
- Korrekte Darstellung auf Mobilgeräten und Desktop-PC
1. Cookie Notice
Cookie Notice bietet alle wichtigen Funktionen, die Unternehmen für die Umsetzung des Cookie-Banners brauchen. Allein bei der responsiven Darstellung müssen Sie selbst Hand anlegen und das Styling optimieren.
Highlights des Cookie-Banner sind die flexible Gestaltung des Banners, es ist sogar möglich HTML- und Inline-CSS-Code einzufügen sowie die Einbindung von Tracking-Skripten über das Plugin. Das Google-Analytics-Skript beispielsweise tragen Sie in ein Feld in den Plugin-Einstellungen ein. So wird es erst in die Website eingebettet und aktiv gesetzt, wenn der Besucher auf „Alle Cookies akzeptieren“ gedrückt hat.
| Kosten | Kostenlos |
| Individueller Beschreibungstext | Ja |
| Link zu Datenschutzerklärung | Ja |
| Tracking-Skripte deaktivieren / aktivieren | Ja |
| Button „Cookies akzeptieren“ | Ja |
| Button „Cookies ablehnen“ | Ja |
| Cookie-Einstellungen ändern / widerrufen | Ja |
| Responsive Darstellung | Nicht out-of-the-box |
2. Cookie Consent Plugin
Cookie Consent ist recht simpel gehalten, hat aber unserer Meinung nach nicht alle Funktionen, die für ein korrektes Cookie-Banner wichtig sind. Der Nutzer kann nur zustimmen oder eben mit dem Cookie-Banner auf der Website leben. Wir sind zwar keine Rechtsanwälte, aber sind überzeugt, dass dies rechtlich sehr fragwürdig ist. Zudem enthält das Cookie-Law-Plugin keine Funktion, um die gesetzten Cookie-Einstellungen zu ändern.
Highlight Cookie Consent: Responsive out-of-the-box und die Button-Farbe lässt sich einstellen.
| Kosten | Kostenlos |
| Individueller Beschreibungstext | Ja |
| Link zu Datenschutzerklärung | Ja |
| Tracking-Skripte deaktivieren / aktivieren | Ja |
| Button „Cookies akzeptieren“ | Ja |
| Button „Cookies ablehnen“ | Nein |
| Cookie-Einstellungen ändern / widerrufen | Nein |
| Responsive Darstellung | Ja |
3. EU Cookie Law Plugin
Beim EU Cookie Law Plugin vermissen wir ebenfalls eine Option das Cookie-Banner zu schließen, indem der Nutzer Ablehnen oder ähnliches auswählt. Daher fällt auch dieses Cookie-Law-Plugin raus. Das ist eigentlich schade, denn auch iframes lassen sich automatisch mit diesem Plugin deaktivieren.
Highlights: Es lassen sich auch iframes blockieren, das heißt eingebettete YouTube-Videos etc.
| Kosten | Kostenlos |
| Individueller Beschreibungstext | Ja |
| Link zu Datenschutzerklärung | Ja |
| Tracking-Skripte deaktivieren / aktivieren | Ja |
| Button „Cookies akzeptieren“ | Ja |
| Button „Cookies ablehnen“ | Nein |
| Cookie-Einstellungen ändern / widerrufen | Ja |
| Responsive Darstellung | Nicht out-of-the-box |
Borlabs Cookie
Borlabs Cookie setzen wir selbst auf unseren Webseiten ein, auf Empfehlung unserer Datenschutz-Agentur. Dieses Plugin ist kostenpflichtig und das merkt man: Mit diesem Cookie-Law-Plugin lassen sich Cookies nicht nur akzeptieren und ablehnen, sondern detailliert unterscheiden und auflisten. So haben Nutzer die Möglichkeit, alle Cookies über den Klick eines Buttons auszuwählen, nur die erforderlichen Cookies zu akzeptieren oder nur bestimmte Cookies zu akzeptieren. Externe Medien wie hier im Screenshot dargestellt, beziehen sich auf über Iframes eingebettete YouTube-Videos und ähnliches.
Highlight: Die gewählten Einstellungen lassen sich zudem detailliert im Nachhinein anpassen.
| Kosten | Ab 39 € / Jahr |
| Individueller Beschreibungstext | Ja |
| Link zu Datenschutzerklärung | Ja |
| Tracking-Skripte deaktivieren / aktivieren | Ja |
| Button „Cookies akzeptieren“ | Ja |
| Button „Cookies ablehnen“ | Ja |
| Cookie-Einstellungen ändern / widerrufen | Ja |
| Responsive Darstellung | Ja |
Usercentrics
Usercentrics bietet ebenfalls alle wichtigen Funktionen für das Cookie-Banner. Schön ist vor allem die Darstellung, wenn ein Nutzer die gewählten Cookie-Einstellungen im Nachhinein ändern möchte.
Highlights: Über einen „Fingerabdruck“, das links ganz klein immer sichtbar ist, können Nutzer jederzeit ihre Einstellungen jederzeit anpassen.
Achtung: Unser Datenschutzbeauftragter erhielt Meldungen, dass manche Nutzer Probleme bei der Einbindung von Usercentrics hatten und weist deshalb auf Borlabs Cookie als Alternative hin. Wir wissen allerdings nicht, welche Art von Probleme bei dem Plugin aufgetaucht sind und ob sie bereits behoben sind. Wenden Sie sich im Zweifel am besten direkt an Usercentrics.
| Kosten | Ab 8 € / Monat |
| Individueller Beschreibungstext | Ja |
| Link zu Datenschutzerklärung | Ja |
| Tracking-Skripte deaktivieren / aktivieren | Ja |
| Button „Cookies akzeptieren“ | Ja |
| Button „Cookies ablehnen“ | Ja |
| Cookie-Einstellungen ändern / widerrufen | Ja |
| Responsive Darstellung | Es ist davon auszugehen |
Fazit
Aus unserer Sicht empfehlenswert sind die beiden kostenpflichtigen Cookie-Banner sowie das kostenlose Cookie Notice. Da wir aber selbst keine Rechtsanwälte sind, garantieren wir keine Rechtssicherheit. Sprechen Sie also selbst nochmal mit Ihrem Datenschutzbeauftragten oder Rechtsanwalt.