Nach DSGVO und ePrivacy kommt man beim Besuch von Websites kaum noch an Cookie-Banners vorbei, es sei denn, eine Agentur war dran, die bis heute noch nie etwas von der DSGVO gehört hat (auch das gibt es). Manchmal lehnt ein Kunde die Implemtierung auch ab, oder deaktiviert sie gleich wieder nach der Projektübergabe, weil es „mir nicht gefällt“. – Das ist ganz ok, wenn dafür auf Google Analytics, reCaptcha oder sonstige Datenabgreifer verzichtet wird. Manche wollen eben beides, Daten sammeln, und frei vom Cookie-Banner bleiben. Im Recht sind sie damit nicht.

Dann gibt es Anbieter, die machen es einem unnötig (unerlaubt) schwer, den Anspruch auf Schutz der eigenen Privatsphäre geltend zu machen.

Da ich fast täglich auf der Suche nach Informationen bin, und diese auf den unterschiedlichsten Websites finde, sehe ich eine Vielzahl und Vielfalt an Cookie Banner. Die Qualität eines Cookie-Banners ist für mich längst zum Kriterium geworden, ob ich auf einer Website bleibe, oder sie gleich wieder verlasse. – Ich gehöre zu denjenigen, die grundsätzlich die Annahme unnötiger Cookies verweigern, es sei denn, ich kann sofort erkennen, dass ein Betreiber meine Privatsphäre respektiert, indem er zum Beispiel Matomo verwendet statt Google Analytics, oder OpenStreet- statt Google Map.

Nachfolgend ein paar Beispiele, was gar nicht mehr geht.

Vor vollendete Tatsachen stellen

Über den Einsatz von Cookies zu informieren, und die Kenntnisnahme der Tatsache per „Ok“ oder „gelesen und verstanden“ bestätigen lassen, hat nichts mit einer Zustimmung im Sinne von DSGVO und ePrivacy zu tun. Der Besucher muss die Wahl haben, ob er Cookies akzeptiert oder nicht. Es darf nicht Bedingung für die Nutzung der Website sein (wie es sich bei Online-Zeitungen verhält, die man entweder gegen Geld oder Cookies lesen darf, kann ich aktuell nicht einschätzen), es sei denn natürlich, ein Cookie ist für den Betrieb zwingend notwendig. So genannte essentielle Cookies müssen nicht abgesegnet werden. Alleine, um sich die Entscheidung für oder gegen die Akzeptanz von Cookies eines Besuchers zu merken, ist ein Cookie erforderlich, damit essentiell, und nicht zustimmungspflichtig.

Cookies vor Zustimmung setzen

Bevor die Zustimmung eingeholt wurde, dürfen andere als essentielle Cookies nicht gesetzt werden. Bei falsch oder unvollständig konfigurierten Cookie-Banner passiert es gerne, dass Cookies bereits vor der Zustimmung auf dem Rechner des Nutzers gespeichert werden. Code der dazu führt, dass Cookies gesetzt werden, muss so eingebunden sein, dass er erst geladen werden kann, nachdem die Zustimmung dafür erfolgte. Aber – dieses technische Randgebiet ist manchen offenbar nicht bewusst, oder sie wissen gar nicht, wie sie das anstellen können. Vielleicht glauben sie aber auch, das Cookie-Banner-Plugin kümmert sich automatisch drum.

Das Einrichten eines Cookie-Banners das Cookies und Inhalte die erst nach Zustimmung geladen werden dürfen, ist anspruchsvoll und komplex. Kein Plugin kann automatisch alles abfangen, was potentiell die Privatsphäre der Websitebesucher berührt. Nicht jeder, der eine Website betreibt, engagiert dafür einen Techniker, kann es sich vielleicht auch gar nicht leisten. Vielfach wäre es aber notwendig.

Grundsätzlich sollten Betreiber mit kleinem oder keinem Budget besonders auf den Datenschutz achten. Das erspart nämlich die komplexe Implementierung von Cookie- und Content-Blockern.

Vorausgewählte Cookies

Auch schon gesehen: zwar darf man individuelle Cookie-Einstellungen vorsehen, doch welche Cookies gesetzt werden, ist bereits vorausgewählt. Wer das nicht will, muss die Häkchen entfernen.

Alles ablehnen wird einem möglichst schwer gemacht

Alle Cookies ablehnen muss genauso relevant und leicht zu finden sein, wie alle Cookies annehmen. Stattdessen versuchen manche Anbieter, einen durch aufwendige Konfigurationen (X Cookies mit genauso vielen Erklärungen) dazu zu verleiten, den bequemen Weg zu wählen und alles anzunehmen, nur um sich nicht durch die ganzen Einstellungen wälzen zu müssen.

Man würde nicht glauben, was einem manche Websites alles auf den Rechner pflantschen, und durch wie viele Ebenen privatsphärebewusste Besucher geschickt werden, wenn sie nicht ausspioniert werden wollen. Das ist mehr als einfach nur unzumutbar!

Vernachlässigung von Drittanbieter-Inhalten durch Plugins oder Themes

Youtube-Videos, Google-Maps oder externe iframe-Inhalte werden von üblichen Cookie-Banner meist noch erkannt und behandelt. Anders jedoch sieht es mit Schriften oder Skripten von fremden Servern aus. Wer sich für seine Website einen gefälligen Google Font auswählt ahnt vielleicht nicht, dass dieser nicht integraler Bestandteil seines Themes ist, sondern direkt vom Google Server geladen wird. Auch das verletzt die Privatsphäre der Website-Besucher.

Plugins mit denen Elemente eingefügt werden, wie Formulare oder Slider, können ebenfalls betroffen sein. Neben Google Fonts kommen auch gerne Iconfonts (Font Awesome an erster Stelle) zum Einsatz. Fallweise werden auch diese von fremden Servern geholt.

Bei dieser Gelegenheit wird die IP-Adresse (die als persönliche Information gilt) des Besuchers an den Anbieter-Server weitergegeben. Im Falle von Google Fonts erhält Google so z.B. Informationen über die Bewegungen einzelner Menschen anhand der IP-Adressen im Web, kann Rückschlüsse auf Interessen und Kaufverhalten ziehen, und diese Informationen zum eigenen Vorteil (z.B. Zielgruppenwerbung) nutzen.

Würde ein Besucher die Annahme von Drittanbieter-Inhalten zurückweisen, dürfte auch die Schrift vom Google-Server nicht geladen werden. Daher ist es von vornherein sinnvoll, die gewünschte(n) Schrift(en) auf dem eigenen Webserver zu hosten und von dort einzubinden. Da das technisch nicht unaufwendig ist, lohnt es sich, lieber mal länger nach einem geeigneten Slider oder Formular-Plugin suchen.

Wer sich technisch überfordert fühlt, sollte den Umstand nutzen, dass WordPress eine große Community ist, es es Foren und Gruppen gibt, bei denen Wissen und Erfahrungen (gerne) geteilt werden.