Update 18.02.2020. Ich bin übrigens davon überzeugt, dass sich die Tools funktional mehr und mehr angleichen. Beispielsweise erreicht mich heute der Newsletter von Constentmanager mit der “News”, dass Consentmanager nun auch “Automatic Code & Cookie Blocking” kann. Eine Funktion, die Cookiebot schon lange beherrscht. Am Ende der “Angleichungsphase” werden der Preis und der einfache Umgang mit dem jeweiligen Interface den Ausschlag geben bei Kaufentscheidungsprozessen.
Update 30.01.2020. Im unteren Teil des Beitrags habe ich neue Systeme ergänzt, die mir bisher nicht bekannt waren. Ferner wurden die Ergebnisse eines ausführlichen Tests eines Cookie Plug-Ins für WordPress ergänzt.
Update 03.11.2019. Die von mir am 19.11.2019 verfasste Ausgangslage zu diesem Artikel war juristisch dünn – um es salopp auszudrücken. Logisch, denn ich bin kein Jurist. Sie begann mit den Worten “Ausdrücklich ist dieser Artikel nicht im Sinne einer Rechtsberatung zu verstehen. Ich bin kein Jurist”. Nun hat mein Artikel eine Aufwertung erfahren, wofür ich Rechtsanwalt Christian Schlundt von der Kanzlei https://whitefield.legal herzlich danken möchte. Er war auf meinen Artikel gestoßen und wir hatten ein interessantes Telefonat. Der Abschnitt “Ausgangslage” stammt nun von ihm und ist juristisch deutlich präziser als meine ursprüngliche Textpassage.
Ausgangslage
Am 01.10.2019 hat der Europäische Gerichtshof im Urteil EuGH C-40/17 ein unter Datenschützern lange diskutiertes Thema entschieden. Im Kern geht es um folgenden Sachverhalt: Die Verwendung nicht technisch notwendiger Cookies beim Betrieb einer Website stellt eine Verarbeitung personenbezogener Daten im Sinne der DSGVO dar. Strittig war in diesem Rahmen ob hierfür die Einwilligung des Websitebesuchers erforderlich ist.
Die Datenschutzgrundverordnung regelt – wie der Name schon verrät – viele Bereiche lediglich in Grundzügen. Die konkrete Umsetzung der Normen sollte den Rechtsanwendern (Unternehmen, Aufsichtsbehörden und Gerichte) überlassen werden. Dieses gesetzgeberische „Konzept“ führte bei vielen Frage zu einer vollkommen ungeklärten Rechtslage. Hiergegen sollte teilweise die E-Privacy- Verordnung der EU Abhilfe schaffen. Diese sollte konkrete Fragen wie die vorliegende klären.
Diesem gesetzgeberischen Akt hat nun der EuGH vorgegriffen. Er hat hierbei nicht seine Kompetenzen überschritten, denn mit dem Urteil wurde kein neues Gesetz geschaffen, sondern lediglich ein bestehendes Gesetz (DSGVO) konkretisiert. Genau dies ist Aufgabe eines Gerichts. Natürlich kann der EU-Gesetzgeber in der E-Privacy- Verordnung eine andere Regelung treffen. Doch ist bereits jetzt absehbar, dass auch in dieser Verordnung für die Verwendung von nicht notwendigen Cookies eine aktive Einwilligung des Users erforderlich ist. Damit hat der EuGH also eine in Deutschland bereits jetzt verbindliche Rechtslage geschaffen. Die Umsetzung in nationales (deutsches) Recht ist hierbei nicht erforderlich. Dies sollte die meisten Websitebetreiber vollkommen überrascht haben. Bislang ist man davon ausgegangen, noch zwei bis drei Jahre aufgrund der Übergangsfrist der E-Privacy-Verordnung Zeit zu haben.
Welche konkreten juristischen Folgen hat dieses Urteil für alle Websitebetreiber? Bereits heute ist die Verwendung von technisch nicht erforderlichen Cookies ohne Einwilligung rechtswidrig. Das bedeutet, in diesem Fall läge ein Verstoß gegen Art. 6 DSGVO vor.
Welche Konsequenzen kann ein solcher Verstoß mit sich bringen? Sollte die Aufsichtsbehörde hiervon erfahren wird dieser Verstoß mit einem Bußgeld geahndet. Dies kann jederzeit geschehen, wenn sich z.B. ein unzufriedener Kunde „abreagieren“ möchte und die fehlende Einwilligung bei der Aufsichtsbehörde anzeigt. Die Höhe des Bußgeldes bemisst sich nach mehreren Faktoren und ist im Wesentlichen vom Jahresumsatz des Unternehmens abhängig. Ein kleines Rechenbeispiel: Für ein Unternehmen mit einem Jahresumsatz von 3 Mio EUR würde das Bußgeld mindestens 11.400 EUR betragen. Wichtig: dies gilt für jeden einzelnen Websitebesucher, da stets von jedem neuen Besucher eine neue Einwilligung eingeholt werden müsste.
Da Unternehmen, welche derartige Verstöße zu verantworten haben, meist über kein ausreichendes Datenschutzmanagement verfügen, gesellen sich in der Regel weitere Bußgeldtatbestände hinzu wie z.B. ein fehlendes Verarbeitungsverzeichnis, fehlende TOM, keine ausreichende Dokumentation, fehlende DSE, fehlende AVV etc. Auf all diese Sachverhalte wird die Aufsichtsbehörde normalerweise erst in Zusammenhang mit der erwähnten Anzeige eines unzufriedenen Kunden aufmerksam.
Welche technischen Lösungen bieten sich nun an, um die erforderliche Einwilligung einzuholen? Wie der Name schon sagt, kann ein Lösungsansatz der Einsatz einer Consent Management Plattform sein.
Was muss eine Cookie- oder Consent Management Plattform nach der neuesten Gesetzeslage können?
Vorab: Wenn Du nur technisch notwendige Cookies auf Deiner Seite speicherst, brauchst Du Dich nicht weiter um das neue Gesetz zu kümmern. Notwendige Cookies sind z.B. Warenkorb-Cookies, Sprachauswahl-Cookies oder Cookies für Log-Ins (fast immer sind das First Party Cookies).
Wenn Du Software im Einsatz hast, wie Analyse-Tools (z.B. Google Analytics), oder Werbung schaltest mit Google Ads oder Facebook und ein Tracking-Pixel nutzt, oder Re-Marketing Kampagnen durchführst, oder ein Marketing-Automation-Tool einsetzt, oder auf Deiner Website Filme oder Werbemittel einsetzt, die von Dritten stammen, dann benötigst Du eine Cookie- oder Consent-Lösung, die folgendes regelt:
- eine explizite Einwilligung vom Nutzer einholt für das Setzen von Cookies. Der Nutzer muss diese Einwilligung aktiv erteilen. Sie darf nicht schon per Default voreingestellt (angekreuzt) sein (das haben einfache Cookie-Scripte ja bisher auch getan). ABER – Cookies dürfen erst gesetzt werden, NACHDEM die Einwilligung erfolgt ist. Das haben einfache Cookie-Scripte oft nicht getan. Einfache Cookie-Scripte haben oft nur als Benachrichtigungsinstrument fungiert und bieten kein sofortiges Opt-out. Das Setzen von Cookies ohne Einwilligung wird von einfachen Cookie-Scripten nicht verhindert.
- Demnach muss ein gesetzeskonformes Tool vor der Einwilligung alle Cookies (bis auf das eigene Cookie des Consent Tools) blocken. Die bis Dato gängigen Cookie-Scripte leisten das nicht – und genau hier der Knackpunkt.
- Im Idealfall scanned das CMP die Website und klassifiziert die gefundenen Cookies. Nicht identifizierte Cookies können manuell einer Kategorie zugewiesen werden. Die Klassifizierung erfolgt u. a. nach Zweck – denn genau dazu sieht das Gesetz ja eine Informationspflicht vor.
- Der Webseiten-Betreiber muss zwingend zu Detailinformationen über die eingesetzten Cookies, deren Lebensdauer und deren Zweck informieren. Ferner muss transparent gemacht werden, ob Dritte Zugriff auf den Cookie erhalten (das leisten die bis Dato gängigen Cookie-Script nicht. Die Aktualisierung dieser Infos ist im Normalfall auch eher komplex). CMPs müssen derartige Informationen bereitstellen. Die meisten CMPs bieten daher in der Einwilligungsbox einen Link der zu derartigen Informationen führt. Nun wird auch deutlich, warum der zuvor genannte Scan so wichtig ist. Ohne Scan gibt es keine Detailinformationen.
- Die Einwilligungen können (nach aktuellem Stand) in Gruppen zusammengefasst sein und müssen nicht für jedes Tool einzeln erklärt werden. Die meisten Tools orientieren sich dabei am Zeck des Cookies. Eine sinnvolle Gruppierung ist z.B. : Präferenzen/Funktional, Statistik, Marketing. Auch die Orientierung am IAB-Standard (Interactive Advertising Bureau) kann, je nach Website, sinnvoll sein.
- Webseiten-Besucher sollten ihre Zustimmung nachträglich widerrufen oder Detaileinstellungen ändern können.
- Im Idealfall verfügt das CMP über Mechanismen, die ein hohe Zustimmungsrate fördern. Beispielsweise A/B-Testings unterschiedlich gestalteter Einwillugungsmeldungen.
Große Unterschiede bei den am Markt erhältlichen Lösungen
Die Vielfalt der CMP-Lösungen ist groß. Praktisch aus jedem europäischen Land gibt es eine oder mehrere Lösungen. Hinzu kommen noch Lösungen aus den USA, die ebenfalls auch explizit Anforderungen aus dem europäischen Rechtsraum bedienen. Zumindest werben sie damit. Das was diese Systeme letztlich leisten und auch was sie kosten, unterscheidet sich sehr deutlich. Auch die Wurzeln der Systeme sind sehr unterschiedlich.
Vor allem aber ist die Qualität und das Pricing sehr unterschiedlich. Manche Systeme sind ihr Geld nicht wert – andere haben mich auf Anhieb überzeugt. Ich habe Systeme gefunden, die haben ein tolles Frontend, haben aber in meinen Tests nicht einen einzigen Cookie vor der Zustimmung blockiert. Manche Scanner haben bestimmte Cookies gar nicht gefunden, manche Lösungen waren von der Bedienung her eine Katastrophe, machen Systeme waren in Punkto Implementierung extrem aufwändig (so, dass es keinen Spaß mehr gemacht hat damit zu arbeiten). In der folgenden Tabelle stelle ich einmal ein paar wichtige Unterschied gegenüber. Die Spannbreite dazwischen ist oft aber sehr groß.
Preis | Kostenfrei oder OpenSource oder ab 8 Euro pro Monat | ab 1250 Euro in der Starterversion |
Herkunft | Eigens erstellte Lösung für den Bereich Cookie-Managment | Ergänzendes Produkt oder besser “Neben-Produkt”, welches nur einen kleinen Baustein im gesamten Produktportfolio des Unternehmens bietet. |
Funktionsumfang | Nur Consent-Meldung in einem Standardformat und Cookie-Managment | Ergänzend zum Cookie-Management werden auch Generatoren zur Erzeugung von AGBs oder Datenschutzhinweisen angeboten oder Scipte, die zumindest die Infos der Kategorie “Cookies in einem Datenschutzhinweis automatisiert erzeugen. Ich habe auch Systeme gefunden, die Generatoren für Betroffenenanfragen anbiten. Ferner ein Scanning von verwendeten Cookies und ausgefeilte Gestaltungsmöglichkeiten für die Consen-Meldung (Hintergrund: Man möchte natürlich von möglichst vielen Besuchern die Akzeptanz von Cookies einholen). Es gibt auch Syteme, die bieten ein Scanning völlig losgelöst von der Consentlösung an. |
Doku- und Support | Klare und gute Dokumentation, die einen nicht -ITler in die Lage versetzt, das Tool erfolgreich und gesetzeskonform zu einzurichten. | Verwirrende Dokumentation und ein Support, der entweder kurzsilibig oder gar nicht antwortet. |
Implementierungs- aufwand | 3 Stunden und alles läuft wie es soll | 2 Tage, und immer noch ungewiss ob alles gesetzeskonform eingerichtet ist |
Hier nun meine Notizen zu den betrachteten Tools. Einige habe ich sehr intensiv getestet und auf Live-Webs eingesetzt (bzw. noch heute im Einsatz). Andere sind früh ausgeschieden, weil der Service schlecht war oder die Nutzerführung und Bedienung zu kompliziert war.
www.consentmanager.de
Herkunft: Schweden
Preisgefüge: Freie Version (bis 10000 PIs und max. 1 Website, Standardpaket € 50 / Monat, Enterprise € 695 / Monat
Art: Plattform mit Backend zur Einrichtung, aber auch zum Monitoring. Cookie-Scans erfolgen regelmäßig und werden in Berichten dokumentiert.
Positves: Einfache Bedienung. Nach dem Log-In waren die Scripte in weniger als drei Stunden angepasst und live (über GTM). Für WordPress existiert zur Einrichtung der Scripte für die eigentliche Cookie-Meldung ein Plug-in. Hilfe und Doku gut.
Nicht so gut: Service war eher kurzsilbig. Keine Integration der Drittanbieter-Blockierung über vorgefertigte Templates im Google Tag Manager. Einrichtung muss manuell erfolgen über umständlich über eine manuelle Modifikation der GTM-Tags.
www.cookiebot.com/de/
Herkunft: Dänemark
Preisgefüge: Freie Version für 1 Domain mit max. 100 Setien. Dann Steffelungen für €9, € 21 und € 37/Monat.
Art: Kleine aber feine Plattform mit Backend zur Einrichtung, aber auch zum Monitoring. Cookie-Scans erfolgen regelmäßig und werden in Berichten dokumentiert.
Bedienung : Einfache Bedienung. Nach dem Log-In waren die Scripte in weniger als zwei Stunden angepasst und live. Noch besser – auch die Blockierung der Cookies war geregelt. Das lag im Kern daran, ich die Lösung über GTM implementiert habe und das Unternehmen vorgefertigte GTM-Templates anbietet. Total abgefahren. Bei anderen Anbietern braucht man um die Blockierung korrekt einzurichten echt lange. Stunden – oder wenn viele Cookies im Einsatz sind auch mal einen Tag. Bei Cookiebot war in 2 Std. alles erledigt. Auch abgefahren – Cookiebot bietet ein zweites Scipt, welches eine Cookie-Erklärung generiert, die man z. B. in die Datenschutzerklärung (Bereich Cookies) einbauen kann. Diese ist dynamisch, wird automatisch regelmäßig aktualisiert und enthält alle Informationen über verwendete Cookies, die man sich nur vorstellen kann. Eine derartige Funktion habe ich bisher nur bei Cookiebot gefunden. Auch ein Link zur Änderung oder Widerrufung der individuellen Einwilliung ist Bestandteil der Cookie-Erklärung.
Nicht so gut: eMails werden nur sehr schleppend beantwortet.
usercentrics.com
Herkunft: Deutschland
Preisgefüge: keine Angaben auf Website
Nicht so gut: Zwar wird auf der Website zur Vereinbarung einer Demo eingeladen, bei mir hat sich das Unternehmen diesbezüglich aber nach 5 Tagen nicht gemeldet. Mein Anruf landete in einem externen Büroservice und ein Rückruf erfolgte nicht. Daher habe ich diese Lösung nicht weiter verfolgt und werde sie auch niemandem empfehlen. Update: Nach über einer Woche meldete sich dann jemand aus dem Sales und bot einen Webinar-Termin an. Einzelne Demos würden aufgrund der hohen Anfragen aktuell nicht mehr gemacht. Das System richtet sich wohl primär an High-End Webseiten-Betreiber. Das erklärt auch, warum es keine Preisinfos auf der Website gibt. Einen Self-Service soll es aber in einigen Monaten geben, so der Sales-Mitarbeiter (Stand 15.11.2019)
www.conversantmedia.eu
Herkunft: UK
Preise: Keine Angaben auf der Website.
Nicht so gut: Das Thema Cookie Managment ist für Conversantmedia nur ein Nebenkriegsschauplatz. Das Unternehmen ist im Werbegeschäft und bietet zahlreiche Lösungen. Deren Consent-Tool habe ich lange suchen müssen und schließlich unter www.conversantmedia.eu/consent-tool gefunden. Hatte nur danach gesucht, weil ich einem Artikel gelesen hatte, dass das Unternehmen ein kostenfreies Cosent-Tool anbietet. Ich habe das Formular ausgefüllt, aber nie eine Antwort bekommen. Im Kern prüft die Lösung von Conversantmedia, die auf dem Framework des IAB Europe basieren, ob ein Nutzer zugestimmt hat sowie für welche Zwecke und welche Anbieter (Vendoren) ein User zugestimmt hat. Daraus wird ein sogenannter Consent-String generiert und in ein Cookie gepackt. Andere CMP können dann auslesen, ob bereits eine Einwilligung des Users vorliegt.
quantcast.com
Herkunft: USA
Preisgefüge: Kostenfreie Lösung (Choice) und kostenpflichtige Premium Lösung (Choice Premium, ab $ 1250 pro Monat)
Art: Quantcast ist ein Unternehmen mit über 700 Mitarbeitern. Consent-Managment ist nur ein kleiner Angebotsbaustein des Unternehmens. Man muss auf der Hoempage einige Zeit suchen, um die Lösung zu finden (www.quantcast.com/gdpr/consent-management-solution/). Im Reiter “Produkte” ist diese nämlich nicht mal verlinkt. In der freien Version wird kein Reporting angeboten.
Bedienung : Nachdem man über das Formulare auf www.quantcast.com/gdpr/quantcast-choice-self-serve/ die Cookie-Meldung angepasst hat, kann man das Script herunter laden und implementieren. Das geht über manuell oder über GTM bzw. andere Tagmanager. Für WordPress existiert ein Plug-In.
Nicht so gut: kein Cookie-Scanning in der freien Version und damit keine Auflistung der aktuell verwendeten Cookies (Stand 11/2019). Ob das in der Premium-Version der Fall ist, habe ich nicht untersucht. Nachdem ein Benutzer eine Einwilligungsentscheidung getroffen hat, teilt Quantcast Choice diese Einwilligung und überträgt sie an Drittanbieter im IAB-Framework. Deren Tags werden dann basierend auf den Zustimmungsentscheidungen des Benutzers ausgelöst. Qantcast Coice ist meiner Meinung nach extrem stark auf das Werberumfeld konzentriert und blockt beispielsweise keine Statistik-Cookies. Ich habe das Tool mittels WordPress-Plugin ( https://de.wordpress.org/plugins/tags/quantcast-choice/ ) implementiert, was bedeutet das sein Code vor dem GTM-Code ausgeführt werden müsste. Dennoch wurde – auch wenn ich die Ausführung von Statistik-Cookies verweigert habe – auch GA-Code ausgeführt. Vordergründig ist Quandcast Choice eine tolle Lösung. Wenn man genau hinsieht… na ja.
www.cookiepro.com
Herkunft: USA
Preisgefüge: Die Starter-Version geht bei $ 10 pro Domain los. Sie ist auf Webseiten mit maximal 500 Seiten limitiert. Die Standard-Version kostet $ 30 pro Monat und die Enterprise-Version kostet $ 45 im Monat. Typisch für Lösungen aus den USA ist, dass der Funktionsumfang und nicht nur die Quantität bei den teureren Paketen steigt.
Erfahrungen: Die Website macht zunächst einen guten und aufgeräumten Eindruck. Auch das System sieht nach dem Log-In sehr modern aus. Es wird eine Lösung für die Cookie-Einwilligung und eine für Betroffenenanfragen geboten. Vor jeder Lösung ist ein Erklärvideo geschaltet, welches zunächst einmal grob die Optionen der jeweiligen Lösung erläutert. Typisch für Lösungen aus den USA ist der extrem werbliche Charakter dieser Videos. Ein Klick weiter und man ist im Backend der Lösung zur Cookie-Einwilligung. Wie bei vielen anderen Lösungen auch, startet der Prozess mit einem initialen Scan der verwendeten Cookies. Diesen habe ich für eine meiner Webseiten initiiert. Der wurde am 20. November 2019 auch promt terminiert für den 13. Februar 2020. An dieser Stelle bin ich ausgestiegen. Ich hatte mich vier Tage lang gewundert, das nichts passierte in dem Tool. Dann endlich entdeckte ich den Grund. Man kann das Tool einsehen und erahnen, wie man damit arbeiten könnte – aber wirklich testen kann man es aufgrund der langen Terminierung für die Scans nicht.
www.iubenda.com
Herkunft: Italien
Preisgefüge: Es gibt eine kostenfreie Basisversion, die wg. einer Limitierung auf 25000 Pageviews für kleinere Webseiten ausreichen könnte. Die Pro-Version kostet $ 27 pro Jahr und die Ultra-Version $ 129 p. a..
Erfahrungen: Die Website sieht sehr modern aus. Gewundert habe ich mich über Preise in US-Dollar. In der italienischen Sprachversion erscheinen die Preise dann aber in Euro. Das angebotene Leistungsspektrum ist durchaus vielfältig. Neben einer Cookie-Lösung wird auch eine Constent-Lösung, ein Generator für Nutzungsbedingungen in acht Sprachen und eine Lösung für das interne Privacy Managment angeboten. Bei der Beschäftigung mit der kostenfreien Lösung musste ich leider feststellen, dass nach wenigen Klicks ständig Aufforderungen zur Buchung eines Kostenpflichtigen Paketes eingeblendet werde. Das nervt total. Außerdem habe ich nirgends Detailinformationen zur Lebensdauer von Cookies finden können und zu deren genauem Zweck. Daher habe ich mich mit dieser Lösung nicht mehr näher beschäftigt.
de.borlabs.io/borlabs-cookie (WordPress Plug-In)
Herkunft: Deutschland
Preisgefüge: Ab € 39 für eine Website (Kauf, nicht Miete wie bei den anderen Lösungen)
Die Vorgängerversion war ziemlich cool. Kürzlich kam die 2.1. raus. Diese habe ich mir jetzt auf meinen Development-Server ausführlich angesehen und getestet. Achtung: Es handelt sich hierbei um ein Plug-In, welches in WordPress installiert werden muss und nicht um ein externes Consent-Management-System, welches als SaaS außerhalb der Website betrieben wird. Dieses Plug-In kann nur für WordPress genutzt werden. Ein Plug-In-Version für andere Systeme wie z. B. Typo3 oder Drupal gibt es nicht und ist auch nicht geplant. Vorab: Das Teil ist richtig gut, ist spitzenmäßig dokumentiert und bietet bis vom Grundsatz her alles, was man für ein solides Cookie-Management braucht. Obwohl ich auf meinen Web ein Template verwende, welches nicht unbedingt WordPress Mainstream ist, hat alles auf Anhieb wie erwartet funktioniert. Natürlich haben Plug-Ins im Vergleich zu externen Constent-Management-Lösungen Vor- und Nachteile. Auf diese werde ich in einem der nächsten Videos auf meinen YouTube-Kanal näher eingehen. Wer Lust und Interesse hat, abonniert meinen YouTube-Kanal: https://www.youtube.com/c/lammenettKlartext
Aktuell teste ich noch weitere Lösungen. Dieser Artikel wird also in Kürze eine Fortsetzung erhalten. Weiter unten findest Du eine Liste der Tools, die ich mir noch ansehen werde. Vielleicht hast Du ja Lust, meinen Newsletter zu abonnieren oder bei Gelegenheit nochmal vorbei zu sehen…
Coming soon…. Eindrücke und Test-Erlebnisse zu den Tools:
cookiefirst.com, Niederlande
www.oiljs.org, von Axel Springer
www.trustarc.com
traffective.com, Deutschland
campaign.onetrustpro.com/onetrustpro
Faktor.io, Niederlande (aufgekauft von LiveRamp.com)
Didomi, FR
sourcepoint.com, UK
truendo.com, Österreich
www.ccm19.de, Deutschland
Hier noch ein sehr interessanter Artikel zum Thema: https://www.heise.de/hintergrund/DSGVO-Risiken-beim-Einsatz-von-Drittanbieter-Tools-4892277.html
Schöner, hilfreicher Artikel, danke. 🙂 Von den hier noch nicht getesteten finde ich CCM19 interessant. Vor allem ist die Standalone-Version auch für kleinere Kunden erschwinglich (knapp 10 Euro im Jahr für Vereine) und das ganze System läßt sich gut und schnell konfigurieren.
Am Consent Manager aus Schweden gefällt mir, dass man als User auch nachträglich noch zustimmen kann, wenn z.B. YouTube-Videos und Twitter-Widgets blockiert sind. Aber bei den meisten Lösungen muss man etwas Zeit mitbringen, vor allem wenn man Cookie-Laie ist 😉
Meine Frage: Recht viele meiner Kundensites kommen allein mit technisch notwendigen Cookies aus (ich benutze als CMS ExpressionEngine). Ich frage mich, ob man dann nicht ganz auf einen Cookie-Hinweis verzichten kann? Ich bin mir da unsicher. Wie hälst Du es damit?
Du sprichst des Thema “Cookieless Tracking” usw. an. Eine wirklich belastbare und verbindliche Rechtssprechung gibt es dazu noch nicht. Der logische Menschenverstand würde jetzt meinen, wenn es keine einwilligungspflichtigen Cookies gibt, dann kann auch der Hinweis entfallen. Aktuell halte ich das auch so. Man kann ja auch – z. B. Google Analytics ohne Cookies einsetzten. Es gibt aber auch Datenschützer die sagen… wenn es eine Statistik gibt – auch wenn diese keine Cookies einsetzt – dann sei dies auch Genehmigungspflichtig. Persönlich halte ich das für überzogen. Ich bin allerdings kein Jurist. Letztlich ist das ja eine juristische Frage. Bisher kenne ich jedoch niemanden, der cookieless einsetzt und trotzdem einen Cookie-Hinweis einsetzt. Was sollte auch da drauf stehen? “Wir setzen nur technisch notwendige Cookies ein und die sind nicht genehmigungspflichtig, also gibt es hier bei uns nichts zum Auswählen oder Zustimmen”. Das wäre doch echt be…..
Ja eben, was sollte da dann stehen, das habe ich mich auch gefragt. Das einzige, was man erreicht: Seine Besucher unnötig zu nerven (wie oft höre ich, dass einem das Weggeklicke auf die Nerven ginge).
Auf Deine Anregung habe ich heute einmal Cookiebot ausprobiert. 5 Cookies klassifiziert das Tool als “Notwendig”, darunter 2 unter “Notwendig” und 3 unter “Statistiken”. Und schon setzt wieder Verunsicherung ein. Anonyme Statistiken, eine als Session-Cookie und zwei mit 1jähriger Laufzeit (exp_last_activity z.B.). Abschalten kann ich die nicht. Anscheinend nötig für das CMS. Im Grunde macht für diese Site Cookiebot keinen Sinn. Trotzdem einfach stehen lassen?
Du kannst in Cookiebot die Klassifizierung bearbeiten und auch den Erläuterungstext zu den einzelnen Cookies klarer gestalten. Cookiebot setzt nicht immer alle Cookies in die richtigen Kategorien. Ach ja, die Kategorien kannst Du auch abändern, wenn Du das willst. Aktuell scheinen sich durchzusetzen: technisch notwendig, Statistik, Marketing und Präferenzen. Aber ich habe auch schon andere Kategorisierungen gesehen.
Was WordPress angeht, so habe ich heute zufällig hier noch einen interssanten Artikel gelesen. Neben Borlabs gibt es da weitere interessante Plug-Ins. https://raidboxes.de/dsgvo-plugins-im-vergleich/
Ausserdem haben viele Consten-Managment Systeme auch Plung-Ins für WordPress.
Bin inzwischen etwas schlauer: Sowohl ein Webinar der Dresdener Agentur webit! (https://www.webit.de/2020-Webinar-01-Consent-Management) als auch Recherchen der Agentur, die für mich arbeitet, kommen zur Empfehlung Usercentrics.
Bei Klaro! und Cookiebot fehlt laut webit! zum Beispiel die Erfassung der Consent-Historie, bei Klaro! noch einiges mehr im Vergleich zu anderen Anbietern.
Usercentrics gibt für den Einstiegstarif “Business Standard” (bis 20.000 Sessions/Monat) 8 Euro netto monatlich an.
.
Johannes, danke erneut für Deinen Input. Aber so pauschal wie Du das jetzt schreibst würde ich dem nicht zustimmen. Usercentrics ist sicher ein gutes Produkt und es hat eine Feature, die andere noch nicht haben. Aber ist ist von der Bedienung her im Moment noch eher ganz hinten anzusiedeln. Die haben den Self-Service super spät nachgezogen – da waren andere Systeme schon so weit, dass sie ohne viel Tech Know how gut zu bedienen waren. Ich würde heute eher dazu neigen, mir genau anzusehen was ein Kunde braucht, wie groß sein Web ist, wie viel Traffic er hat, wie wichtig für ihn ein hoher Consent ist, usw. usw. … und dann nach einer Analyse eine Empfehlung aussprechen. Ein pauschales “Produkt X ist das Beste” würde ich Stand heute nicht unterschreiben. Der Markt ist ja auch noch jung. Es wird nicht lange dauern, dann wird auf der Feature-Ebene Gleichstand herrschen.
Vielen Dank für den praxisnahen Erfahrungsbericht.
Bin gespannt auf Ihre Eindrücke von OIL, der Open-Source-Lösung von Springer.
Klaro! von KIProtect in Berlin ist ebenfalls Open Source (https://klaro.kiprotect.com/).
Danke Johannes für Deine Rückmeldung. Ich werde Klaro auch noch auf meine Liste setzten. Aktuell habe ich meine Researcharbeiten aber geparkt, da ich derzeit an den Neuauflagen bzw. Aktualisierungen meiner Bücher arbeite. Die muss ich bis Jan. Feb. 2020 fertig haben 🙂 VG Erwin