Der Markt an Cookie Consent Tools ist inzwischen extrem unübersichtlich geworden, international sprießen die Anbieter aus dem Boden und versprechen das Cookie Problem zu lösen. Wie unterscheidet man nun, welches Tool sich für die eigene Webseite eignet oder nicht? Hier haben wir einmal die wichtigsten Punkte für Sie zusammen geschrieben. Am Ende des Textes finden Sie nochmal eine Excel Tabelle zum Download wo Sie die wichtigsten Punkte abhaken können, falls Sie noch auf der Suche sind.
Inhaltsverzeichnis
1. Daten DSGVO konform speichern
Der erste und wichtigste Punkt – die Daten die der Cookie Consent Tool Anbieter zu sehen bekommt, betreffen im Prinzip die Surfhistorie der gesamten Seite aller Besucher. Da das Skript zwangsweise eingebunden werden muss, bekommen die Anbieter im Zweifel einen extrem tiefen Einblick in Ihre Seite und Besucherstruktur. Der Anbieter des Cookie Consent Tools sollte die Daten daher nur auf Servern speichern die:
- Innerhalb des Geltungsbereichs der DSGVO, bevorzugt Deutschland liegen
- Die Daten nicht bei einem der großen Cloud Provider liegen, die von Unternehmen aus den USA angeboten werden.
Hintergrund ist folgender:
Seit dem Urteil des EuGH vom 16.07.2020 ist klar das der sogenannte Privacy Shield unwirksam ist und die Übertragen von personenbezogenen Daten in die USA unter diesem Schild nicht mehr rechtskonform ist. Dies bedeutet schlicht es „dürfen damit die meisten US-Dienstleister nicht eingesetzt werden“ (https://www.tigges.legal/jus-letter-datenschutz-eu-us-privacy-shield-unwirksam.html)
Dazu kommt folgendes – der sogenannt Cloud Act (https://www.heise.de/select/ix/2018/7/1530927567503187) ermöglicht es US-Behörden auch dann Zugriff auf gespeicherte Daten zu gewährleisten, wenn die Speicherung nicht in den USA erfolgt. Sprich – selbst wenn die Server der amerikanische Cloud Anbieter in Deutschland stehen – besteht dennoch ein Durchgriff durch die US-Behördern.
Beides zusammen genommen erscheint es derzeit als unmöglich personenbezogene Daten wie Consent Daten direkt auf Server usamerikanischer Anbieter zu speichern.
2. Dokumentationspflicht muss erfüllt werden.
Aus der DSGVO ergibt sich für Betreiber eine Dokumentationspflicht für die Speicherung des Consents. Man muss als Betreiber also jederzeit nach weisen können dass Besucher X den Consent Y gegeben hat. Dies wird idealerweise in einem durchsuchbaren Logfile festgehalten – so dass man als Betreiber jederzeit den Consent nachprüfen kann.
In Art. 5 Abs. 2 DSGVO wird die „Rechenschaftspflicht“ definiert. Verantwortliche müssen die Einhaltung bestimmter Datenschutzgrundsätze für die Sie verantwortlich sind nachweisen können. Art. 24 Abs.1 DSGVO spezifiziert das Verantwortliche verpflichtet sind den Nachweis dafür zu erbringen, dass die Datenverarbeitung DSGVO-gemäß erfolgt.
Damit fallen leider schon sehr viele einfache Cookie Banner Skripte hintenüber. Meist wird ein entsprechendes Logfile was auch noch angemessen anonymisiert ist und erst im Augenblick der Anfrage mit Hilfe des Anfragenden deanonymisiert werden kann nicht ermöglicht.
3. Einfach ändern oder widerrufen
Das Cookie Consent Tool muss den Besuchern die Möglichkeit bieten den Consent zu ändern oder zu Widerrufen und zwar genauso einfach, wie diese den Consent erteilt haben! Optimalerweise bringt Ihr Cookie Manager schon einen Button mit den Sie einfach nur einblenden lassen müssen per Knopfdruck der die Consent Maske dann wieder öffnet.
Auch dies ist ein Punkt, wo viele einfach Cookie Skripte schon wieder rausfliegen, da sie den Besuchern keine Möglichkeit bieten den Consent nachträglich zu ändern oder zu löschen. Dies funktioniert auch nur wenn die Daten korrekt im Browser der Besucher und auf dem Server (siehe Punkt 2) gespeichert wurden. Achten Sie bei Ihrer Entscheidung darauf ob auch das Tool in Ihrer Liste diese Funktion erfüllt.
4. Ausreichende Beschreibung und detaillierte Informationen
Die DSGVO schreibt vor dass Ihre Besucher eine informierte Entscheidung treffen können müssen, das bedeutet Sie sind als Webseitenbetreiber dazu verpflichtet, möglichst erschöpfend über jedes verwendete Cookie, jedes Skript und jede Einbindung von anderen Daten Auskunft zu geben.
Hier einmal der Vergleich zwischen einer entsprechend auskunftfreudigen Maske und einer die so gar nichts über Verwendung der Daten aussagt. Vermutlich ist augenscheinlich welche der Maske als Grundlage für eine informierte Entscheidung beurteilt werden kann und welche nicht. Links die einfache Maske, rechts die ausführliche.
5. Tag Manager Funktionalität nicht nur blocking
Es gibt immer noch viele, vor allem ältere Cookie Tools, die die verwendeten Skripte Ihrer Seite überhaupt nicht blocken oder unterbinden – diese scheiden von vorneherein aus, weil sie völlig ungeeignet sind. Erkennen können Sie dies, wenn Sie Ihre Seite durch einen Online Scanner laufen lassen. Werden noch Auffälligkeiten gemeldet, funktioniert Ihr Cookie Consent Tool nicht korrekt.
Ein besonders wichtige Funktion die viele andere Anbieter nicht bieten ist die Nutzung als Tag Manager. Das bedeutet Sie tragen z.B. Ihre Tracking oder sonstigen Skripte nicht in der Seite ein sondern über das Cookie Consent Tool. Denn grundsätzlich müssen die Seiten datensparsam aufgebaut sein – d.h. solange kein wirksam erteilter Consent vorliegt, darf kein Cookie oder Tracking Skript gesetzt werden.
Falls z.B. die Consent Maske nicht angezeigt wird oder werden kann und das Tracking oder andere Skripte ohne Zustimmung anlaufen, passiert genau das was Sie eben nicht dürfen. Aus diesem Grund sollten die Skripte nicht blockiert werden sondern dann erst eingebunden werden wenn ein Consent dafür erteilt wurde.
Leider ist das gerade bei Baukastensystemen oder in anderen Situationen oft nur mit hohem Aufwand oder gar nicht zu erreichen. Daher nutzen viele das Blocking Prinzip als Notlösung. Solange sie aber die volle Kontrolle darüber haben, sollten Sie auf das Tag Manager Prinzip setzen – wobei hier nicht der Google Tage Manager gemeint ist.
6. Support
Wenn mal Probleme auftauchen – und bei komplexeren Seiten können immer mal wieder Probleme auftauchen, gerade im Zusammenhang mit individuellen Skripten und Lösungen, dann brauchen Sie einen Support der Ihnen hilft und der Ihre Sprache spricht und wo Sie tatsächlich auch mal anrufen können. Prüfen Sie diese im Vorfeld ob ein entsprechender Support vorgehalten wird.
Und prüfen Sie ob Sie die Consentmaske im Zweifel einfach auf Knopfdruck deaktivieren können, falls in Zeiten Probleme auftauchen wo kein Support verfügbar ist!
7. Downloadversion – On-Premise Möglichkeit
Wenn Sie ihre Seite selber betreiben und nicht auf ein Baukastensystem setzen, dann haben sie in der Regel auch die Möglichkeit weitere Software Produkte auf Ihrem Hosting Account oder Ihrem Server zu installieren.
Falls das gegeben ist, sollten Sie diese Möglichkeit auch nutzen und das Cookie Consent Tool lokal betreiben! So bleiben alle Ihre Daten auf Ihrem Server und Sie behalten die volle Kontrolle über alle Daten.
Prüfen Sie welches Cookie Consent Tool Ihnen die Möglichkeit gibt es auch auf dem eigenen Server zu installieren, kleiner Spoiler – es sind sehr wenige!
8. Preis
Der letzte und natürlicht nicht unerhebliche Faktor ist der Preis. Kostenlos ist an der Stelle natürlich immer erstmal das beste – aber kostenlos ist in der Regel dann doch nicht kostenlos. Sie müssen z.B. Zeit dafür kalkulieren für die Einbindung, die Einrichtung, den Test Ihrer Seite und der Funktionalitäten.
Dort können dann doch schnell einige Minuten oder sogar Stunden zusammen kommen wenn Sie erst Programmskripte anpassen, mühsam in Templates fummeln müssen, evtl. muss man nochmal die Agentur einschalten wodurch weitere Kosten entstehen usw.
Idealerweise müssen Sie nur über die Oberfläche Ihres CMS / Shopsystems eine Zeile Javascript eintragen, speichern und dann ist es schon integriert. Die Konfiguration sollte idealerweise ebenfalls über eine Oberfläche stattfinden, so können Sie Zeit und Kosten sparen und die Einrichtung schnell hinter sich bringen.
Achten Sie beim Kauf darauf dass eine solche Lösung möglich ist.
Excel Tabelle Download
Hier finden Sie den Download der oben angesprochenen Excel Tabelle in der Sie Ihre Entscheidungsgrundlage packen können.