Das Thema Datenschutz ist nach der Anwendbarkeit der DSGVO1 im Jahr 2018 zu einem Dauerthema für Online-Marketer und Webseitenbetreiber geworden.
Das Inkrafttreten der DSGVO aus dem Jahr 2016 traf viele unvorbereitet und ist bis heute ein Buch mit sieben Siegeln. Durch zahlreiche Anleitungen und Umsetzungsempfehlungen im Internet hat sich die Lage mittlerweile etwas verbessert. Doch, auch wenn knapp nach zwei Jahren nach der Anwendung noch vieles unklar und Auslegungssache ist, hat sich die Internetlandschaft in einer Hinsicht klar verändert: Cookie-Banner und Cookie-Hinweise dominieren das WWW und sind seit dem 25. Mai 2018 ein scheinbar notwendiges Übel für viele Internet-Surfer.
Doch ist das wirklich so? Rechtfertigt der Mehrwert an gespeicherten Daten wirklich einen Cookie-Banner bzw. eine Cookie-Einwilligung? Oder ist eine datenschutzfreundliche Website mit verbesserter Usability und daraus resultierender Reputationssteigerung nicht doch das höhere Gut?
Bisweilen wird dem Thema noch wenig Aufmerksamkeit geschenkt, Zeit dies zu ändern. Dieser Artikel beschäftigt sich mit Deiner bestehenden WordPress-Website und wie diese in 7 Schritten datenschutzfreundlicher wird, damit Du auf die Cookie-Banner/-Einwilligung als Conversion-Killer #1 verzichten kannst.
Haftungsausschluss: Dieser Blog-Artikel beinhaltet keine Rechtsberatung. Weder OMT noch ich übernehmen Haftung für etwaige Schäden. Du bist in der Verantwortung, die entsprechenden Umsetzungen von einem Juristen überprüfen zu lassen.
Aktuelle Rechtslage
Die aktuelle Rechtslage beim Datenschutz für Websites ist undurchsichtig. Das hat u. a. damit zu tun, dass es neben der DSGVO weitere Gesetze und Richtlinien gibt. Zu nennen wären hier das Telemediengesetz (TMG), die EU-Cookie Richtlinie und die ePrivacy-Verordnung.
Cookies
Das TMG besagt, dass es ausreichend ist, die Nutzer auf die Verwendung von Cookies und die Widerspruchsrechte hinzuweisen. Dies wird in der Praxis oft mit einem Cookie-Hinweis und Verlinkung auf die Datenschutzerklärung umgesetzt.
Die EU-Cookie-Richtlinie besagt wiederum, dass eine ausdrückliche Einwilligung des Nutzers verpflichtend ist. Diese Cookie-Richtlinie wurde von Deutschland nicht umgesetzt und laut EU-Kommission besteht hierzulande auch keine Umsetzungspflicht.
Die ePrivacy-Verordnung sollte ursprünglich mit der DSGVO eingeführt werden. Sie wurde bereits mehrfach verschoben und wird nicht vor 2021/2022 in Kraft treten2 und die DSGVO und EU-Cookie-Richtlinie im Bereich “Tracking” und “Cookies” ablösen.
Sollte die ePrivacy-Verordnung verabschiedet werden, muss vor der Verwendung von Cookies eine aktive Einwilligung eingeholt werden. Ein bloßer Cookie-Banner als Hinweis ist nicht mehr ausreichend. Von der Zustimmungspflicht ausgenommen sind funktional notwendige Cookies.
Auch wenn die Anwendung der ePrivacy-Verordnung erst in ein paar Jahren eintreten wird, so dürfen Tracking-Cookies laut aktuellem EuGH-Urteil zu Cookies von 1. Okober 2019 nur noch mit ausdrücklicher Einwilligung der Nutzer gesetzt werden3. Dabei ist es irrelevant, ob personenbezogene Daten oder nur anonyme Daten gespeichert werden.
Zusammenfassend lässt sich sagen:
- Nutzt Du keine Cookies, ist kein Cookie-Hinweis nötig.
- Nutzt Du nur technisch notwendige Cookies (z. B. Login-Session-Cookies, Warenkorb-Cookies) ist ein informierender Cookie-Banner ausreichend.
- Nutzt du Cookies, die für die Nutzung der Website nicht notwendig sind (z. B. FB-Pixel, Google Analytics), so ist eine Cookie-Einwilligung (Opt-In-Lösung) nötig.
Aufbau zu Drittservern
Neben der Verwendung von Cookies, muss die Datenschutzerklärung erläutern, aus welchem Grund bestimmte Daten an Drittanbieter-Server geschickt/geladen werden und wie mit diesen umgegangen wird. Die externen Unternehmen müssen ebenfalls DSGVO-konform arbeiten. Werden persönliche Kundendaten übertragen, so ist ein Auftragsverarbeitungs-Vertrag nach DSGVO notwendig.
Da es sich meist nur um einen Aufruf von technischen Ressourcen handelt, kann dieser Verbindungsaufbau durch das lokale Speichern der Ressource, überflüssig werden.
Der digitale Türsteher als Conversion-Killer #1
Stell dir vor: Du stehst vor einem Ladenlokal und entdeckst im Schaufenster einige interessante Angebote. Du zögerst aber einzutreten, weil vor der Eingangstüre eine Person steht, die dich beim Eintreten ansprechen und dich über die Hausordnung aufklären wird. Vielleicht fordert dieser Türsteher sogar eine aktive Rückmeldung von Dir, welche Teile der Hausordnung Du akzeptierst? Würdest Du das gut finden oder Unbehagen, Überforderung oder sogar Stress beim Eintreten verspüren?
Cookie-Hinweis der Website t3n.de
Cookie-Einwilligung der Website cookiebot.com
So ähnlich können Cookie-Banner und insb. Cookie-Einwilligungen auf die Nutzer deiner Website wirken. Der Mensch vermeidet es von Natur aus unnötig Energie zu verbrennen. Wenn diese Energieverschwendung beim Aufrufen der Website stattfindet, ist der Cookie-Hinweis bzw. die Cookie-Einwilligung der erste Conversion-Killer Deiner Website. Der WordPress-Hoster Raidboxes zeigte in einem Blogartikel, dass Abbruchquote, Verweildauer sowie Seitenaufrufe je Besuch sanken. Die Anzahl der Sitzungen nahm um ca. 25% ab4.
Damit musst Du dich jedoch nicht abfinden, denn es geht auch anders! Ich zeige Dir in 7 Schritten, wie Du Deine bestehende WordPress-Website datenschutzfreundlicher gestaltest und damit dem Conversion-Killer #1 den Kampf ansagst:
0. Schritt: Technische Basis schaffen
1. Schritt: Plugins entrümpeln
2. Schritt: Datenschutzfreundliche WordPress-Einstellungen
3. Schritt: Lokale Einbindung externer Ressourcen
4. Schritt: Funktion auf Klick
5. Schritt: Passendes Cookie-Plugin implementieren
6. Schritt: Tracking ausschalten oder datenschutzfreundliche Alternative nutzen
0. Schritt: Technische Basis schaffen
Deine WordPress-Website muss in Deutschland oder in anderen EU-Mitgliedstaaten gehostet werden. Die Datenschutz-Grundverordnung verlangt, dass Unternehmen personenbezogene Daten ausschließlich innerhalb der Grenzen der Europäischen Union gespeichert werden. Eine Ausnahme stellt die USA, mit ihrem Privacy Shield-Abkommen, dar. Um eine abhörsichere Kommunikation zwischen dem Website-Besucher und deiner WordPress-Website zu gewährleisten, ist eine verschlüsselte Übertragung mittels HTTPs zwingend erforderlich.
Solltest Du beides nicht berücksichtigen, ist deine Website nicht datenschutzkonform.
1. Schritt: Plugins entrümpeln
Der Erfolg von WordPress liegt an seinen über 50.000 Plugins. Jedes installierte Plugin macht WordPress jedoch langsamer und ist ein potenzielles Sicherheitsrisiko. Daher gilt es, die Zahl so gering wie möglich zu halten. Notwendige Plugins sollten regelmäßig aktualisiert werden. Es sollte zusätzlich überprüft werden, ob diese DSGVO-konform arbeiten, falls sie Daten an den Hersteller oder sogar Dritte schicken. Im Internet findet man Audits, die die DSGVO-Konformität einzelner Plugins einschätzen. Meist ist weiterhin eine Recherche im Plugin-Verzeichnis von WordPress oder der direkte Kontakt zum Entwickler nötig. Anstatt für jede benötigte Zusatzfunktion ein weiteres Plugin zu installieren, setze lieber auf moderne Page-Builder wie Elementor oder Divi. Sie decken oft benötigte Funktionalitäten, ohne den Einsatz von weiteren Plugins, ab.
2. Schritt: Datenschutzfreundliche WordPress-Einstellungen
WordPress ist in seiner aktuellen Version sehr datenschutzfreundlich. Trotzdem kann man mit kleinen Eingriffen dafür sorgen, dass keine unnötigen Ressourcen von Servern Dritter geladen werden:
2.1 Emojis deaktivieren
WordPress lädt ein Script von externen Servern nach, welches die Emoji-Funktionalität auf älteren Browsern ermöglicht. Da diese Funktionalität in den meisten Fällen nicht benötigt wird, ist eine Deaktivierung ratsam. Eine gute Anleitung findest Du auf kinsta. Ich empfehle die Entfernung in der “functions.php”-Datei Deines WordPress-Themes.
2.2 Embeds deaktivieren
WordPress ermöglicht das Einbetten und Anzeigen von diversen Diensten wie z. B. YouTube durch hineinkopieren der entsprechenden URL. Da dabei automatisch eine direkte Verbindung zum Dienstleister aufgebaut wird, ist diese Funktionalität datenschutztechnisch ein Problem.
Ich empfehle Dir die Deaktivierung mit folgendem Code in der “functions.php”-Datei Deines WordPress-Themes:
function deactivate_scripts(){
wp_dequeue_script( 'wp-embed' );
}
add_action( 'wp_footer', ‘deactivate_scripts’ );
Falls du WP Rocket als Caching-Plugin einsetzt, kannst du Emojis und Embeds mit einem einfachen Klick deaktivieren:
Deaktivierung von Emojis und Embeds in WP Rocket
2.3 Kommentarfunktion deaktivieren
Falls du die Kommentarfunktion auf deiner WordPress-Website nicht verwendest, solltest Du auch diese deaktivieren. Das erspart dir den entsprechenden Eintrag in Deiner Datenschutzerklärung.
Die Deaktivierung ist über die Option “Erlaube Besuchern, neue Beiträge zu kommentieren” unter “Einstellung” → “Diskussion” im WordPress-Backend möglich:
Deaktivierung der WordPress-Kommentarfunktion im Backend
Wird die Kommentarfunktionalität allerdings benötigt, so aktiviere die Anonymisierung von IP-Adressen mit dem folgenden Code in deiner “functions.php”:
function remove_comments_ip( $comment_author_ip ) {
return '';
}
add_filter( 'pre_comment_user_ip', ‘remove_comments_ip’ );
2.4 Gravatar-Bilder deaktivieren
Gravatar ist ein integrierter WordPress-Dienst, der Deiner E-Mail-Adresse ein Avatar bei Kommentaren zuordnet. Dabei werden Daten an Server Dritter gesendet.
Diese Funktion lässt sich ebenfalls unter “Einstellung” → “Diskussion” im WordPress-Backend deaktivieren:
Deaktivierung von Gravatar in WordPress
3. Schritt: Lokale Einbindung externer Ressourcen
Abhängig von Templates, Plugins und Tracking-Software wird bei einer WordPress-Website auf weitere Ressourcen von anderen Servern zugegriffen. Meist handelt es sich hierbei um externe JavaScript- und CSS-Dateien, aber auch Schriftarten werden oft von Googles Servern nachgeladen. Mit ein bisschen Aufwand, kann man diese Dateien auf den eigenen Webserver kopieren und einbinden. Dazu muss man als Erstes analysieren, welche Daten nachgeladen werden.
Hierbei kommt die Entwicklerfunktion des Webbrowsers zum Einsatz.
In Chrome lässt sich diese mit einem Rechtsklick auf die Website, unter der Option “Untersuchen”, nutzen:
Entwicklerfunktion in Google Chrome
Ein Klick auf “Sources” offenbart alle geöffneten Serververbindungen und den entsprechenden Link zu der externen Ressource. Diese lässt sich herunterladen und auf dem eigenen Webserver platzieren. Je nach Ressource, muss die Referenz im Quellcode entsprechend angepasst werden. Oft passiert dies im Header- oder Footer-Bereich der Website.
Um manuelle Eingriffe zu verhindern, gibt es für viele externe Ressourcen einfache Lösungen. Beispielsweise lassen sich Google Fonts mit dem Plugin OMGF leicht identifizieren und lokal einbinden.
Ein weiteres Tool ist CAOS, welches Googles Analytics-JavaScript-Dateien lokal einbindet und in regelmäßigen Abständen aktualisiert.
Das Plugin WP Rocket bietet diese Funktionalität ebenfalls an und kann zusätzlich Facebooks Pixel-Script lokal installieren:
Lokale Einbindung von Googles Analytics-Script und Facebooks Pixel-Script in WP Rocket
Achtung: Die lokale Implementierung von Tracker-Scripten unterbindet nicht die komplette Kommunikation. Eine entsprechende Cookie-Einwilligung und ein Eintrag in der Datenschutzerklärung sind weiterhin Pflicht. Bei der lokalen Nutzung der “Google”-Schriftarten kann jedoch beispielsweise auf einen Datenschutzhinweis verzichtet werden.
4. Schritt: Funktion auf Klick
Um einen Cookie-Hinweis bzw. eine Cookie-Einwilligung als Conversion-Killer #1 abzuschwächen, kann man erst kurz vor Nutzung entsprechender Funktionalitäten um Einwilligung bitten. Dies ist u. a. möglich bei der Einbindung von YouTube, Google Maps und Sharing-Funktionalitäten.
Folgende Vorteile ergeben sich daraus:
- Dezentralisierung des Cookie-Hinweises bzw. der Cookie-Einwilligung
- Größere Einwilligungsbereitschaft direkt vor Nutzung der Funktion
Leider bieten nur wenige Templates oder Plugins eine sogenannte “2 Klick”-Lösung an. Selbst beliebte Page-Builder wie Elementor oder Divi behandeln dieses Thema noch recht stiefmütterlich. Diverse Lösungsansätze lassen sich allerdings im Internet finden: Ein wenig Abhilfe schaffen Erweiterungen wie “Extra Privacy for Elementor” oder “Google Maps Click’n Load” für Divi. Aber auch das WordPress-Cookie-Plugin von Borlabs bietet einen Blocker für eingebettete Website-Elemente an.
5. Schritt: Passendes Cookie-Plugin implementieren
Was im Jahr 2018 noch ein Problem war, ist heute keines mehr: Das passende Cookie-Plugin zu finden.
In den letzten zwei Jahren haben sich viele Cookie-Lösungen für WordPress aufgetan. Je nach Anforderungsprofil, sind einige Lösungen besonders hervorzuheben:
5.1 Integrierte Page-Builder-Funktionen nutzen
Wer mit Page-Buildern arbeitet, kann mit diesen einen einfachen Cookie-Hinweis erstellen. Das geht recht schnell vonstatten. Ebenfalls hat dieser Ansatz den Vorteil, dass kein weiteres Plugin installiert werden muss.
5.2 Cookie Notice for GDPR von dFactory
Dieses kostenlose Plugin ist recht einfach gestrickt und für den Einsatz als Cookie-Hinweis bestens geeignet. Von der mitgelieferten “Opt-Out”-Funktionalität würde ich, aufgrund der aktuellen und zukünftigen Rechtslage, abraten. Wer sich vor diversen CSS-Anpassungen nicht scheut, hat das ideale Cookie-Hinweis-Plugin für WordPress gefunden.
5.3 Borlabs Cookie
Borlabs Cookie ist eine moderne “Opt-In”-Lösung für WordPress. Dies ist insb. für größere Websites ideal, da viele Einstellungen und Zusatzfunktionen geboten werden. Allerdings ist das Plugin mit 39 € im Jahr verhältnismäßig teuer.
5.4 Cookiebot
Bei Cookiebot handelt es sich ebenfalls um eine moderne “Opt-In”-Lösung. Der Einsatz ist nicht nur auf WordPress-Websites limitiert. Die Softwarelösung kümmert sich um die Cookie-Einwilligung, Cookie-Überwachung und die Cookie-Kontrolle. Für kleine Websites, mit bis zu 100 Unterseite
6. Schritt: Tracking ausschalten oder datenschutzfreundliche Alternative nutzen
Wer bis hierher alle vorherigen Schritte umgesetzt hat, ist auf dem besten Weg, seine Website technisch so datenschutzfreundlich wie nur möglich zu gestalten. All die Mühen machen jedoch eine Cookie-Einwilligung nicht überflüssig, wenn weiterhin Nutzer- und Verhaltensdaten an Drittanbieter wie Google oder Facebook gesendet werden. In diesem Schritt gilt es persönlich abzuwägen, ob die erwirtschafteten Daten mehr Wert generieren, als eine niedrige Abbruchrate durch das Erzwingen aktiver Cookie-Einwilligungen.
Eine datenschutzfreundliche Alternative ist das Matomo Analytics Plugin für WordPress. Matomo ist vielleicht vielen unter dem früheren Begriff “Piwik” bekannt.
Screenshot der datenschutzfreundlichen Tracking-Alternative Matomo
Durch das neu entwickelte WordPress-Plugin, läuft Matomo in Deiner WordPress-Instanz, somit werden keine Daten an andere Server geschickt. Neben zahlreichen Anonymisierungsfunktionen, kannst du sogar Cookie-freies Tracking aktivieren. Da Matomo Website-Besucher nur noch über “Device Fingerprinting” unterscheidet, werden Ungenauigkeiten in der Zuordnung von Besuchern größer. Ob und wie weit diese Cookie-freie Ersatzmethode datenschutztechnisch eingestuft wird, ist noch ungewiss.
Datenschutzfreundlichkeit als Chance
Abschließend ist festzuhalten, dass ein Datenschutz-freundliches Auftreten eine Chance für jedes Unternehmen sein kann. Einerseits kann man durch die Vermeidung von Cookie-Einwilligungen eine geringere Abbruchrate erzielen und die Usability verbessern. Andererseits lässt sich ein datenschutzfreundlicher Ansatz, richtig kommuniziert, als Verbesserung der eigenen Markenbotschaft und damit zum Aufpolieren des eigenen Images nutzen.
Beispielsweise lässt sich der Cookie-Hinweis dafür nutzen, den Nutzer auf die datenschutzfreundliche Website hinzuweisen. Oft sorgt eine auflockernde Botschaft für eine zusätzliche Akzeptanz beim Website-Besucher. Auf meiner Agentur-Website gehe ich mit gutem Beispiel voran.
Bist Du bereit mir zu folgen?
Cookie-Hinweis meiner Agentur-Website sukzess.io
Quellen:
1 https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679
2 https://www.bvdw.org/themen/recht/kommunikationsrecht-eprivacy/
3 https://www.e-recht24.de/artikel/datenschutz/11648-eugh-urteil-cookies-einwilligung.html
4 https://raidboxes.io/blog/it-law/nachteile-datenschutz-seo/
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen
5 Stimmen, Bewertung: 4,20 von 5)
Hallo Markus, ich glaube es ist schwer heute eine 100%ige DSGVO konforme Webseite zu erstellen. Das Problem ist die deutsche Rechtsprechung. Die unteren Instanzen entscheiden teilweise unterschiedlich, zu einigen Themen gibt es aber auch keine höchstrichterliche Entscheidung vom BGH, nach denen sich die unteren Instanzen auf Amtsgericht-, Landgerichts, und Oberlandesgerichtsebene orientieren können. Nehmen wir zum Beispiel den Cookie Banner, der aktuell ein Opt-In notwendig macht. Doch das reicht nicht. Der Besucher darf den Banner nicht wegklicken können. Außerdem darf er eigentlich vor der Entscheidung auch keinen Content sehen bekommen. Aber da scheiden sich die Meinungen der Juristen. Wie also soll… Weiterlesen »