Cokies DSGVO konform im Blog [Kommentar]
Einleitung
Zuerst möchte ich auf meinen ursprünglichen Blogbeitrag zum Thema Addons und DSGVO verweisen. Wär sich für eher witziges zu dem Thema interessiert, der ist in diesem Beitrag gut aufgehoben.
Obwohl die entsprechende Gesetzesgrundlage nicht mehr neu ist, gehen die Auslegungen der Texte wie üblich auseinander. Während einige der Meinung sind, dass Cookiebanner reichen, gehen andere Weiter und meinen, dass die DSGVO nahelegt beim initialen Aufruf der Seite nur notwendige Cookies zu speichern, bis der Anwender einer weiteren Verwendung zustimmt.
Dieser Blogbeitrag ist keine Rechtsberatung und auch keine Aussage, dass ihr damit eure Seite rechtskonform betreiben könnt. Ich lege die DSGVO aber so aus, dass ein Informationsbanner nicht reicht und der im folgenden Dargestellte Ansatz erforderlich ist.
Hintergrund ist, dass so wenig wie möglich Daten in Bezug zum Benutzer (personenbezogene Daten) gespeichert werden.
Verschiedene Ansätze
Es gibt Plugins, die lediglich Informationsbanner anzeigen frei nach dem Motto – “Diese Seite verwendet Cookies, sie können dies mit ok bestätigen oder die Seite verlassen”. Wenn der Nutzer dies sieht, sind aber zumindest die Cookies von der Startseite bereits abgelegt worden. Es ist also eigentlich zu spät.
Das viel verwendete XXX stellt eine Funktion bereits, die es erlaubt Skripte erst auszuführen, nachdem der Anwender die Cookies bestätigt hat. Das ist zwar nett gemeint, geht aber meiner Meinung nach vollkommen an der Realität vorbei.
Man installiert in der Regel ein beliebiges Addon (z.B. Übersetzer, Jetpack, …) und dieses legt eigenmächtig Cookies ab. Selbst wenn man das Skript zur Cookieablage identifiziert ist es aber unrealistisch das Skript aus dem Addon auszubauen und in das Cookieaddon zu kopieren.
Wenn ihr das versucht, wird es aufgrund des nicht geladenen Codes / Ladereihenfolge wahrscheinlich zu Problemen kommen. Selbst wenn das nicht der Fall ist, wird beim nächsten Update der Code wieder in das Plugin kopiert und automatisch ausgeführt. Das ist also vollkommen unpraktikabel.
Es muss also eine Lösung her, die die Ausführung von bestimmten Skripten / Addons / externen Aufrufen (denn meistens wird extern Code nachgeladen oder Daten an externe Adressen übertragen) blockt.
Die Plugins
Wie bereits erwähnt habe ich bisher das Plugin Cookie Notice verwendet, das auf sehr vielen Blogs installiert ist. Aus meiner Sicht stellt dies aber keine rechtskonforme Lösung dar bzw. die lässt sich praktikabel damit nicht umsetzen.
Das einzige kostenlose Addon für eine mutmaßlich rechtskonforme Abbildung, das ich gefunden habe heißt Complianz. Im Folgenden werde ich mich mit diesem Plugin beschäftigen.
Eine weitere Variante, die für den Normalblogger noch in einem bezahlbaren Rahmen liegt ist Borlabs Cookie, dass 40€ pro Jahr kostet. Leider gibt es keine kostenlose Testversion.
Es gibt z.B. auch noch Cookiebot, dass ich kurz getestet habe (hat bei mir nicht funktioniert) und es ist für den Normalblogger vollkommen unbezahlbar. Man befindet sich bei einem kleinen Blog wie meinem schon in Regionen von über 10€ pro Monat.
Warum sind Cookies böse?
Per se sind Cookies erst mal nicht gut oder böse. Sie dienen schlicht der Ablage von Informationen über eine Browsersitzung hinaus. Oft werden sie aber auch verwendet, wenn es eigentlich nicht nötig ist.
Beispielsweise verwende ich ein Übersetzungs Plugin auf dem Blog. Das speichert die eingestellte Sprache. Da aber die Browsersprache abgefragt wird und man mit PHP auch die Möglichkeit hat Sitzungsinformationen zu speichern (ohne Cookies) ist das Cookie ziemlich überflüssig. Schlimmer noch, dass Plugin setzt sogar mehrere Cookies.
Die sind aus DSGVO Sicht inhaltlich wahrscheinlich nicht problematisch, da lediglich die ausgewählte Sprache gespeichert wird.
Anders sieht es aus, wenn das Cookie zur Identifikation verwendet wird. Beispielsweise könnte Facebook im rahmen der Einbettung des Like Buttons ein Cookie platzieren, dass dazu dient mich eindeutig zu identifizieren. Somit ist dann später ersichtlich, dass ich auf Blog x war, bei Amazon eingekauft habe und auf irgendwelchen anderen Blogs oder Social Networks war. In Kombination lässt sich dann Mein Surfverlauf nachvollziehen. Das will die DSGVO verhindern.
Externe Aufrufe
Externe Aufrufe können aber müssen nicht mit Cookies einhergehen. Grundsätzlich gibt es aber vergleichbare Probleme wie bei den Cookies. Es werden möglicherweise Informationen zum Besucher übergeben (z.B. die IP), die als personenbezogenes Datum gilt und mit der sich wieder der Surfverlauf nachvollziehen lässt.
Die Umsetzung des Cookieblockens
Obwohl Complianz einen nett gemeinten Automatikmodus bietet, der aber eher lästig als hilfreich ist (besonders, wenn man Caching Addons benutzt), muss man erst mal wissen wo und wann die Cookies geladen / erzeugt werden bzw.
Wo liegt das Problem beim Automatikmodus? Der Automatikmodus ruft einfach wahllos ein paar Blogseiten auf und prüft welche Cookies dort gesetzt werden. Manche Cookies kommen aber nur an bestimmten Stellen zur Anwendung. Beispielsweise bei der Kommentarfunktion oder im Gästebuch, wenn ein Youtube Video (die kann man übrigens Datensparsam einbetten – das bietet Youtube selbst an) auf der aktuellen Seite eingeblendet ist usw. Der zufällige Test bringt also wenig.
Wie bekommt ihr also raus welche Cookies geladen werden. Dafür gibt es verschiedene Ansätze. Zuerst solltet ihr zur Auswahl der zu prüfenden Seiten den gesunden Menschenverstand einsetzen.
Die Hauptseite muss müsst ihr auf jeden Fall prüfen. Dan solltet ihr ggf. das Gästebuch, eine Seite mit Kommentarfunktion usw. testen. Im Prinzip alle Varianten (wenn ihr einen Blogbeitrag mit Youtube Videos habt, solltet ihr auch den testen usw.).
Ghostery
Es gibt Browseraddons (Ghostery) wobei das nach meinen Tests etwas über das Ziel hinausschießt. Das zeigt nicht nur gesetzte Cookies an, sondern auch welche die sich im Code der Seite befinden aber noch nicht aktiv sind bzw. auch Tracking abseits von Cookies.
Trotzdem kann Ghostery sehr hilfreich sein da ihr auch damit die Domains ermitteln könnt, die potenziell geblockt werden sollten.
Webkoll
Bessere Erfahrungen habe ich mit Webkoll gemacht. Wenn ihr bereits eine Content Security Policy eingerichtet habt, dann wisst ihr schon welche Skripte nachgeladen werden. Das ist schon eine gute Basis. Wenn ihr noch keine Contenct Security Policy habt oder euch fragt was das ein soll, dann ist das auch nicht schlimm.
Zur Content Security Policy werde ich ggf. noch einen separaten Blogbeitrag schreiben (die habe ich letztes Jahr eingerichtet). Das Thema würde hier aber den Rahmen sprengen. Meine Policy ist nicht perfekt aber ein Anfang. Ich halte den Ansatz die Policy so umzusetzen, dass Webkoll sie als grün anzeigt allerdings auch für nicht für praktikabel. dann kann man vermutlich alle drei Tage nachpflegen, weil irgendwas auf der Seite nicht funktioniert.
Mit Webkoll könnt ihr prüfen welche Cookies eure Seite setzt. Wenn ihr die Kommentarfunktion testen wollt, müsst ihr die Test URL entsprechend so setzen, dass ihr damit die Kommentarseite aufruft.
Beispielsweise sieht die Prüfung bei Webkoll auf meiner Bloghauptblogseite mit aktiviertem Complianz nun so aus:
Drittanbietercookies gibt es keine und die gesetzen Cookies sind harmlos in Bezug auf personenbezogene Daten. Das ist gut.
Die Drittanbieteranfragen können problematisch sein, weil die Daten abseits des eigenen Servers zum Teil in den USA gespeichert werden.
Das sieht nach wie vor nicht optimal aus, ist aber deutlich besser als vor dem Einsatz des Addons (da waren es deutlich mehr).
Bestimmte Skripte lassen sich nicht deaktivieren, weil dann die Seite nicht mehr funktioniert. Beispielsweise kann ich s0.wp.com nicht deaktivieren, weil das zu Jetpack gehört. Das merkt man spätestens, wenn die Seite nicht mehr vollständig funktioniert, nachdem man eine Domain in die Ausschlussliste aufgenommen hat.
Complianz
Im Complianz Skript Center fügt man nun die Domains hinzu, die man blocken möchte. Das Blocken klappt nicht immer aber für die dargestellten Domains funktioniert es bei mir:
Wenn der Benutzer nun das Cookiebanner zu sehen bekommt und nicht zustimmt, werden auch keine Drittanbietercookies gesetzt.
Plugins / Dienstleistungen
Zusätzlich könnt ihr über die beiden anderen Reiter Dienstleistungen und Plugins aktivieren werden, die ihr nutzt. Anschließend werden automatisch die Informationen zu den Cookies in die Cookie Richtlinie aufgenommen, die automatisch erstellt wird.
Die Automatismen schießen aber gern über das Ziel hinaus. Wenn ihr beispielsweise Youtube aktiviert, werden diverse Cookie als angeblich auf der Seite enthalten dokumentiert. Wenn ihr allerdings die datensparsame Variante der Einbettung nutzt, ist keins davon vorhanden.
Gleiches gilt, wenn ihr Facebook oder Twitter auf eurer Seite nutzt. Je nach Einbettung (zum Beispiel über Shariff werden die Cookies nicht gesetzt. Wenn ihr aber Facebook und Twitter markiert, werden zig Cookies als angeblich auf eurer Seite vorhanden markiert, die ihr überhaupt nicht nutzt.
Ich finde der Rest des Plugins ist relativ selbsterklärend. Es gibt auch einen Assistenten den man arbeiten sollte und an dessen Ende die Cookie Richtlinie automatisiert erstellt wird.
Wenn ihr bessere Plugins / Lösungen habt oder Erfahrungen mit Borlabs, hinterlasst mir bitte einen Kommentar.
Wo ist der Haken?
Die Automatismusfunktion zum Scannen nach Cookies lässt sich offenbar nicht aktivieren. Die führt dazu, dass nach Aufruf der Administrationsseite des Blogs stattdessen wahllos irgend eine Seite des Blogs aufgerufen wird. Wenn ihr Caching Addons verwendet passiert dann immer wieder. Das lässt sich dann nur vermeiden, wenn man andere Seiten in der Administration wie zum Beispiel die Updateseite oder ähnliches aufruft. Das ist nervig und unnötig.
Im schlimmsten Fall landet ihr also in einer Endlosschleife und müsst das Addon (temporär) deaktivieren.
Offenbar verwenden 90% der Nutzer nur die Automatikfunktion, ansonsten wäre es viel Sinnvoller gewesen, wenn man bestimmte Testseiten angeben könnte, die der Reihe nach aufgerufen werden und anschließend automatisch auf die Hauptseite gewechselt würde. Das wäre sogar vollständig im Hintergrund möglich.
Angenehmer Nebeneffekt
Durch das Blocken der Cookies wird das Laden der Webseite beschleunigt. Selbst auf einem oft lahmenden Sever wie meinem, bekommt man so also einen relativ guten Google Pagespeed Score, weil weniger auf externe Ressourcen zugegriffen wird, da Pagespeed beim Aufruf die Cookies bzw. das Nachladen von externem Code nicht aktiviert.
So lässt sich der Pagespeed Score und somit das Ergebnis in der Google Suchmaschine leicht verbessern. Das trifft allerdings erst zu, wenn die Webseite gecacht ist (außer bei einem sehr schnellen Server). Das heißt in der Regel sehr ihr den Effekt bzw. ein gutes Ergebnis erst beim zweiten Aufruf.
Die Messung von Google ist relativ unrealistisch, da die reale Ladezeit kaum berücksichtigt wird (Dektopmessung – Mobil liegt die Messung bei 87).
Der Pagespeed Wert ändert sich aber eh ständig. Desto mehr Fotos / Screenshots ihr nutzt, desto mehr Daten werden übertragen und desto langsamer wird die Webseite.
Alles Rechtskonform oder wie?
Wie oben bereits angemerkt werden Gesetze von Anwälten und Richtern ausgelegt. Definitiv klar ist, das eine Sperre besser als ein Banner ist, das lediglich auf Cookies hinweist.
So lange man mit dem Blog kein Geld verdient, wird man vermutlich erst mal nicht direkt Gefahr laufen eine Abmahnung zu bekommen. Im Kontext von Unternehmen haben die Datenschutzbehörden aber durchaus schon Strafen in exorbitanter Höhe verhängt. Von daher sollte man in einem Privatblog zumindest belegen können, dass man sich mit dem Thema beschäftigt und Anstrengungen unternommen hat.