Cookie Hinweis: Ja oder nein?

Es gibt nur wenig, was auf Webseiten nutzloser als ein Cookie Consent ist und trotzdem kommt man um diese Dinger nicht drumherum - sie sind gesetzlich vorgeschrieben. Oder auch nicht ...

Ich glaube, es gibt nur einen Bruchteil von Seitenbesuchern, die diese Dinger ernsthaft nutzen. Die überwiegende Mehrheit dürfte auf den Button "Akzeptieren" klicken und gut ist. Schließlich will man ja den Inhalt einer Webseite sehen und nicht erst eine Datenschutzerklärung lesen müssen und/oder diverse Optionen auswählen. Wer diese Dinger erfunden hat und wozu, ist mir schleierhaft. Datenschutz ist in diesen corona-irrsinnigen Zeiten ohnehin nicht mehr viel wert, also können wir es auch gleich lassen und nicht irgendwelche Augenwischerei betreiben ...


Worum geht es bei Cookies?

Manche Cookies sind technisch notwendig, manche greifen aber auch Daten ab - das sind v.a. die sogenannten Tracking Cookies, die den Seitenbetreibern dabei helfen Seitenbesucher zu identifizieren und z.B. zu erfassen:

  • woher die Seitenbesucher kommen
  • wie lange sie auf der Seite geblieben sind
  • was sie dort gemacht haben
  • wohin sie entschwunden sind
  • etc.

Immerhin helfen solche Daten dabei, den Webinhalt an die Bedürfnisse der potentiellen Seitenbesucher anzupassen. Geschaffen wurde das Cookie-Monster, um zu verhindern, dass die großen Player im Geschäft wie Google, YouTube und v.a. Facebook nicht alle Daten fressen, die sie unbedachtsamerweise zum Fraß vorgeworfen bekommen. Nur: Nützt es etwas? Greift Facebook deshalb weniger Daten ab?

Eben ...!


Die EU-Cookie Richtlinie

Den rechtlichen Umgang mit dem Thema Cookies regelt in der EU die so genannte „Cookie-Richtlinie". Diese wurde von Deutschland bisher aber gar nicht umgesetzt denn: EU-Richtlinien sind nicht automatisch „Gesetz", sondern müssen von den einzelnen EU-Ländern erst in die dortige Gesetzgebung eingearbeitet werden. Da das in Deutschland nicht geschehen ist, gilt die Richtlinie bei uns eigentlich gar nicht.

Aaaaaber: Es gibt bei uns ein Telemediengesetz und das besagt in $ 15 Abs 3, dass es ausreicht, den Nutzer über das Datenabgreifen per Cookie zu informieren und auf ein eventuelles Widerspruchsrecht hinzuweisen. Das kann dann mit einem Cookie-Hinweis in einem Banner mit Link auf die Datenschutzerklärung erfolgen.

Wirklich klar wird es damit aber auch nicht und es gibt ja noch die Datenschutzgrundverordnung. Und die verlangt, dass in der Datenschutzerklärung die Rechtsgrundlagen für das Verwenden von Cookies genannt werden.

Also doch Cookie Hinweis ...?


Ist ein Cookie Banner nun Pflicht oder nicht?

Eindeutige Antwort: Jein. Oder anders: Wenn du irgendwelchen Schwierigkeiten aus dem Weg gehen willst, baust du einen Cookie Consent in deine Webseite ein - wenn die Seite überhaupt Cookie setzt, und das tut ein RapidWeaver-Projekt nicht zwingend.

Ein solcher Cookie-Hinweis sollte beim ersten Aufruf der Seite eingeblendet werden. Der Text für die Cookie-Nutzung sollte so konkret wie möglich sagen, um welche Daten es geht, wozu diese genutzt werden und an wen diese Daten ggfs. weiter gegeben werden.

Wichtig: Vor der Zustimmung des Nutzers dürfen noch keine Daten übertragen werden. Und das ist nur mit bestimmten Tools zu erreichen.


Benötigen alle Cookies eine Einwilligung?

Laut EuGH benötigt man nicht für alle für alle Cookies benötigt man eine Einwilligung:

  • Session-Cookies sind technisch bedingt und benötigen keine Einwilligung
  • Cookies für LogIns oder Warenkörbe, die keine Daten an Dritte weiter geben, können vom berechtigten Interesse des Webseitenbetreibers abgedeckt sein und benötigen damit auch keine Einwilligung.
  • eine Einwilligung benötigen aber Tracking- und Werbe-Cookies von Drittanbietern (es gibt Webseiten, die schicken über ihre Cookies Informationen an Dutzende von Drittanbietern)


Setzt die Seite überhaupt relevante Cookies?

Ein mit RapidWeaver erstelltes Projekt setzt von sich aus keine Cookies (außer technisch notwendigen Cookies - die sind aber nicht das Problem). Erst, wenn du anfängst, irgendwelche Drittanbieter-Inhalte einzubinden, wird dem Datenabgreifen Tür und Tor geöffnet. Allen voran ist da, wie könnte es auch anders sein, Facebook. Jeder Button, der Inhalte direkt an Facebook weiterleitet, schaufelt Massen an Nutzerdaten nach Facebook. Jedes YouTube-Video greift Inhalte ab etc.

Ob deine Seite Cookies setzt, kannst du ganz einfach überprüfen:

Du rufst Chrome auf (auch so ein Datenmonster), gehst dort in die Einstellungen (die drei Pünktchen recht oben in der Werkzeugleiste) und klickst auf Weitere Tools und dann Entwicklertools. Mach das beispielsweise mal bei www.spiegel.de - aber verschickt nicht.

Unter Application findest du die Cookies, die die entsprechende Seite setzt.

Cookies in Google Chrome anzeigen lassen


Andere Hilfsmittel zum Überpfüfen auf Cookies sind beispielsweise:


Cookie setzen verhindern

Um das Setzen von Cookies zu verhindern bzw. dem Seitenbesucher zu ermöglichen, zu entscheiden, ob seine Daten abgegriffen werden sollen oder nicht, reicht es nicht aus, einfach ein Fensterchen mit einem Warnhinweis aufpoppen zu lassen, sondern das Fensterchen muss eine tatsächliche Option zur Verhinderung von Cookies besitzen.

Und: Wenn die Seite bereits geladen wird und das Fensterchen aufpoppt, darf noch kein Cookie gesetzt werden, sondern erst dann, wenn sich der Seitenbesucher dazu entschieden hat. Das geht nicht ohne entsprechende Tools - oder nur mit Aufwand, der die Kompetenz des durchschnittlichen RapidWeaver-Nutzer übersteigt (meine auch).


RapidWeaver Privacy Message

RapidWeaver bietet einen eingebauten und optional nutzbaren Datenschutzhinweis. Diesen kannst du in den Grundeinstellungen des Projekts unter Privacy konfigurieren. Leider reicht er datenschutzrechtlich nicht aus, den er bietet weder den notwendigen Opt-out, aber auch keinen Opt-in. Es ist ein reines Infofenster, das weggeklickt werden kann und Cookies werden dadurch nicht verhindert.


Cookie Jar

Cookie Jar von Joe Workman ist ein einfach einzupflegendes und einzurichtendes Tool, mit dem zumindest mal das Google Tracking unterbunden werden kann. Bei anderen Tracking-Diensten wird es dann schon komplizierter und eine Möglichkeit zum Differenzieren zwischen unterschiedlichen Cookies hast du nicht.

Cookie Jar


Biscuit Box

Biscuit Box von Jürgen Barth bietet recht differenzierte Möglichkeiten, das Setzen von Cookies zu verhindern.

Biskuit Box


Privacy Center

Eine differenzierte Lösung bietet auch Privacy Center vom RWPro.

Privacy Center


Cookie Manager und Mini Cookie

Ebenfalls differenzierte Möglichkeiten bieten der Cookie Manager und Mini Cookie von stacks4stacks.

Cookie Manager

Mini Cookie


Was übrigens nicht geht

Mit den Cookie Tools kannst du Seiten so anlegen, dass bei Ablehnung von Cookies Seiteninhalte ausgeblendet bzw. nicht geladen werden. Wie löst du aber das Problem, dass du dem Seitenbesucher auch bei Ablehnung von Cookies den Seiteninhalt anzeigen musst? Immerhin ist das Rechtsvorschrift.

Geht nicht denn wenn man sich den Pelz waschen will, macht man sich nun mal nass.

Bildquelle: Pexels