In den vorhergegangenen Artikeln hatte ich die EU-Richtlinie 2009/136/EG (E-Privacy-Richtlinie) vom 25. November 2009 näher beleuchtet und das Ansinnen von Google, AdSense Publisher bis zum 30. September 2015 zur Umsetzung dieser Richtlinie zu bewegen. Wie das genau zu tun ist, darüber hält sich Google relativ bedeckt, verweist aber auf ein paar Tools. Ich teste heute Cookie Consent von Silktide Ltd. und möchte wissen, ob und wie einfach damit die Anforderungen der EU-Richtlinie umgesetzt werden können.
Cookie Consent der britischen Firma Silktide Ltd. ist kostenlos und Open Source. Allerdings gibt es zwei Versionen dieses Tools und ich werfe zuerst einen Blick auf die neuere Version 2.0, die sich stark von der Vorgängerversion unterscheidet.
Cookie Consent 2.0
Einbindung
Zur Installation von Cookie Consent 2.0 gibt es auf der Webseite von Silktide einen Assistenten. Hier kann man zwischen verschiedenen Layouts wählen, also ob man die Einblendung des Cookiehinweises lieber oben oder unten haben möchte. Dann gibt man den Link zu seiner eigenen Cookie-Policy an, auf die dann im eingeblendeten Cookiehinweis verlinkt wird. Und schon erhält man einen kurzen Programmcode, der in jede Webseite zu kopieren ist und zwar oberhalb des schließenden </head> Tags. Ich hab das mal auf einer Beispielseite auf jsonp.eu gemacht und so sieht es aus:
Test
Über die Seite legt sich ein schmales Hinweisband und fordert die Zustimmung ein. Die Texte sind hier noch in Englisch, das lässt sich aber im Programmcode eindeutschen. Die Texte sind frei änderbar. Wenn die Zustimmung vom Besucher gedrückt wurde, wird ein Cookie gesetzt, das sich die Einwilligung für ein Jahr merkt, damit nicht erneut nachgefragt wird.
Mehr macht Cookie Consent 2.0 aber auch nicht. Cookies werden nicht unterdrückt, egal ob der Besucher einwilligt oder nicht. Cookie Consent 2.0 ist also reine Information, der Zustimmungsklick bewirkt nur, dass der Hinweis nicht mehr angezeigt wird. Auf die Cookies hat das keine Auswirkungen. Das wissen die Leute bei Silktide auch, denn unter dem Punkt „Compliance“ heißt es auf der Webseite:
Will Cookie Consent make me compliant with the law?
If you install Cookie Consent, you will be informing your users that your website is using cookies. This is the same approach that Google, Twitter and more have taken towards compliance: continue to use cookies, but tell users that they’re being used (often called ‘implied opt in’).
Whilst we can’t guarantee that our plugin will constitute total compliance for everyone in the EU, this approach does appear to have satisfied regulators for the time being. If you’re confused by the law and its vague requirements, you’re in good company.
Diese abgespeckte Form der Richtlinienumsetzung wird dabei als „Implied Opt-In“ bezeichnet.
Fazit zu Cookie Consent 2.0
+ Leicht zu implementieren
+ Funktioniert gut
+ Kleines leichtgewichtiges JavaScript Programm
– Texte müssen selbst auf Deutsch übersetzt werden
– Unterdrückt keine Cookies und erfüllt damit kaum alle Anforderungen der EU Cookie Richtlinie, wohl aber die von Google
Cookie Consent 1.0
Eine ältere Version eines Tools würde ich hier an sich nicht vorstellen, wenn nicht im Fall von Cookie Consent die 1.0er Version mehr drauf hätte als die neuere. Cookie Consent 1.0 ist ebenfalls Open Source und frei erhältlich.
Einbindung
Der sehr umfangreiche Konfigurationsassistent beginnt mit einer Abfrage, welche Arten von Cookies denn eingesetzt werden. Hier lässt sich bereits erahnen, dass dem Besucher der Webseite die Möglichkeit gegeben werden soll, für verschiedene Cookietypen Freigaben zu erteilen bzw. zu verweigern. In diesem Konfigurationsschritt lassen sich auch bereits die Texte verändern bzw. durch deutsche ersetzen. In der Vorgabe ist alles englisch. Im nächsten Schritt kann zwischen Opt-Out und Opt-In Verfahren gewählt werden. Dazu gibt es Stylingoptionen und die Möglichkeit vom Besucher ein so genanntes Global Consent einzuholen. Damit würde er Cookies auf allen Sites zustimmen, die Cookie Consent einsetzten – ein in meinen Augen etwas zweifelhaftes Feature, das sich aber auch komplett abschalten lässt.
Am Ende der umfangreichen Konfigurationsmöglichkeiten generiert der Assistent ein Skript, das in den <head>-Bereich aller Webseiten zu integrieren ist. Nun wird es aufwändig, denn es geht daran die Webseite so zu verändern, dass Cookie Consent die Bereiche, die Cookies auslösen, erkennen und den einzelnen Cookietypen zuordnen kann. Und die darin enthaltenen Skripte müssen so verändert werden, dass sie erst mal nicht ausgeführt werden, so lange keine Einwilligung vorliegt. Cookie Consent 1.0 erledigt das durch folgende beiden Maßnahmen, die vom Webmaster in allen Webseiten umzusetzen sind:
- Alle <script>-Tags bekommen anstelle des üblichen Attributs „text/javascript“ das Attribut „text/plain“. Damit sind die Scripte erst mal nicht mehr ausführbar, was dann später bei Einwilligung des Besuchers vom Programm wieder geändert wird.
- Alle <script>-Tags bekommen zusätzlich Klassen zugeordnet, die den verschiedenen Cookietypen entsprechen, also etwa
class="cc-onconsent-social".
Test
Beim ersten Aufruf durch einen Besuchers sind alle Werbeeinblendungen und Skripte, die Cookies auslösen, deaktiviert. Oben auf der Seite wird ein Hinweisband eingeblendet, das sich per Klick auf einen Link vergrößern lässt. Hier kann der Besucher nun Cookietypen auswählen, die er erlauben oder sperren möchte.
Speichert der Besucher seine Einstellungen, so werden sie umgesetzt, also zum Beispiel AdSense Werbungen wieder eingeblendet. Gleichzeitig wird das Hinweisband ausgeblendet und statt dessen unten ein Button aktiviert, mit dem der Besucher seine getätigten Einstellungen jederzeit überarbeiten kann. Damit bereits eingeblendete Werbung verschwindet, ist nach der Konfigurationsänderung ein Neuladen der Seite erforderlich. Die Einstellungen des Besuchers werden in mehreren Cookies für ein Jahr gespeichert.
Fazit zu Cookie Consent 1.0
+ Funktioniert zufriedenstellend
+ Umfangreiche Konfigurationsmöglichkeiten
+ Lässt den Besucher verschiedene Cookietypen erlauben und verbieten
+ Dürfte die Vorgaben der EU Cookie Richtlinie vollständig erfüllen
– Texte müssen selbst auf Deutsch übersetzt werden (ist im Assistenten möglich)
– Recht aufwendig zu implementieren
Aber …
… selbst wenn Cookie Consent 1.0 genau das macht, was die EU Richtlinie möchte, ein Punkt soll nicht verschwiegen werden: Webseitenbetreiber, die ihre Einnahmen über Werbung wie das AdSense-Programm erwirtschaften – sei es um die Unkosten des Webhostings wieder herein zu bekommen, oder um davon zu leben – die haben mit einer solchen Lösung ein größeres Problem. Wird der Besucher einer Webseite vor die Wahl gestellt Werbecookies zu erlauben oder zu verbieten, hat er nur wenig Veranlassung Cookies zuzulassen. Vor allem, wenn er alle Informationen auf der Webseite auch ohne Cookies bekommen kann. Allen Besuchern, die keine Werbecookies von sich aus aktiv erlauben, wird dem zufolge auch keine Werbung angezeigt. Das dürfte die finanziellen Einnahmen des Betreibers der Webseite stark beeinträchtigen, wenn nicht gar gegen Null reduzieren.
Und ich fürchte, dass das bei anderen technischen Lösungen, die die EU Cookie Richtlinie gut umsetzen, ähnlich sein wird.
Weitere Artikel in dieser Kategorie:
- EU Cookie Richtlinie – Google sorgt für Aufruhr
- EU Cookie Richtlinie – Was steckt dahinter?
- EU Cookie Richtlinie – Umsetzung in deutsches Recht
- EU Cookie Richtlinie – Test: Cookie Control
- EU Cookie Richtlinie – Cookie Audit
- EU Cookie Richtlinie – Handlungsalternativen
- EU Cookie Richtlinie – Weiter mit AdSense Geld verdienen
- EU Cookie Richtlinie – Was machen die Anderen?
- EU Cookie Richtlinie – Test: WordPress Plugins
- EU Cookie Richtlinie – Test: EU Cookiehinweis PHP-Klasse
- EU Cookie Richtlinie – Meine eigene Multi-Site-Lösung
Diese bescheuerten und überflüssigen Cookie Popups NERVEN GEWALTIG!!!
Warum lauft ihr plötzlich alle Google hinterher??? Die nutzlose EU Richtlinie ist bereits 6 Jahre alt – das hat Ewigkeiten NIEMANDEN INTERESSIERT – und das war auch gut so!!!
IHR VERDRECKT MIT EUREN WERTLOSEN POPUPS DAS GANZE INTERNET!!!
Gott, wie ich die EU-Schäfchenhüterei und ihre Mitläufer hasse.. ! :(
Nun, in den wenigsten Fällen sind das ja Popups, die der Anwender wegklicken muss, sondern schmale Einblendungen am oberen oder unteren Bildschirmrand. Auch die nerven – das verstehe ich schon. Aber ich bitte zu bedenken, dass viele Blogger und Websitebetreiber Ihre Angebote kostenlos für Jedermann ins Internet stellen und auf Werbung angewiesen sind um ihre Unkosten zu decken. Webseiten ohne Werbung, Cookies, Google AdSense und Cookiehinweise – das würde bedeuten, dass viele Inhalte kostenpflichtig sein würden, oder gar nicht erst entstehen. Was auch niemand wirklich wollen kann.
Wie kann man denn den Cookie Banner von Silktide optisch anpassen?
Ich finde so eine Einblendung am unteren Rand des Bildschirms nicht schlimm…
Dazu musst Du Cookie Consent auf Deinen eigenen Server übertragen, dann kannst Du das Banner per CSS stylen.
Hallo Helmut, danke für die Info die Bereitstellung des Scripts.
Beste Grüsse
Christian
Erstmal danke, für den informativen Artikel. ICh bin ebenfalls der Meinung, dass es gewaltig nervt. Ein popup hier, eins da, über smartphone richtig ätzend.
Dieses Ding trackt doch mit oder
Du meinst Cookie Consent würde Besucherdaten mitschneiden?
In meiner Implementierung nicht. Es liegt auf meinem eigenen Server und speichert die Entscheidung des Anwenders – falls dieser den Button drückt – in einem Cookie auf dessen Rechner. Dabei werden keinerlei Daten auf andere Server übertragen – ich habe das selbst mitgetraced und bin mir sehr sicher, dass Du Dir auf meinem Blog in diese Richtung keine Sorgen machen musst.
Hallo Helmut,
wichtig wäre hier noch zu erwähnen, dass eine Webseite mit einem „Cookie Banner“ leider nicht DSGVO konform ist (sondern lediglich der ePrivacy folgt).
Zu Version 2 schreibst du, dass es wohl mit Google konform ist. Das ist leider nicht der Fall. Google erfordert, dass die Zustimmung rechtskonform eingeholt wird. Das ist hier nicht der Fall, insofern ist die Version also auch nicht konform mit dem Google Regeln.
Du hast recht, dass dieser Artikel einige Jahre alt ist, damals gab es noch keine DSGVO.