Cookie Consents für TYPO3 und Shopware: Ein Überblick für Sie als Webseitenbetreiber

Das Thema Datenschutz wird immer präsenter - für uns als Digitalagentur und für Sie als Websitebetreiber. “Angefangen” hat alles mit der EU-DSGVO in 2018. Okay, prinzipiell gab es vorher schon einiges zu beachten, aber nehmen wir dies als unseren Startpunkt. Als Websitebetreiber mussten Sie unter anderem sicherstellen, dass Sie Nutzerdaten so sparsam wie möglich und anonym erheben. Schon damals wurde darauf hingewiesen, dass das Thema “Cookies” noch Teil der Rechtsprechung sein wird. Die Juristen haben sich lange hiermit befasst, aber Inzwischen gibt es Urteile hierzu. Wir wollen für Sie das Thema grundlegend beleuchten und Ihnen zeigen, wie Sie Ihre Website oder Ihren Onlineshop rechtssicher machen.

Wenn Sie schon etwas mit dem Thema vertraut sind, können Sie diesen Absatz überspringen.

Ein Cookie ist im Prinzip nichts weiter als eine kleine Textdatei. Diese wird durch eine Anwendung im Browser auf Ihrem Endgerät gespeichert. In dieser Textdatei werden Informationen gespeichert, die es dem Webserver ermöglichen das Endgerät und auf diesem gemachte Einstellungen wiederzuerkennen. Es geht nicht darum, Sie persönlich im Internet wiederzuerkennen. Es geht vielmehr um eine Einstellung, die Sie vorgenommen haben, beispielsweise um eine gewisse Funktion zu erlauben. 

Es gibt hierbei verschiedene Arten von Cookies. Da sind essentielle Cookies, die zum Beispiel für den Betrieb einer Website zwingend notwendig sind. Dann gibt es funktionale Cookies, welche Ihnen eine Funktion, zum Beispiel einen Merkzettel, ermöglichen. Dann gibt es Cookies die für statistische Auswertungen genutzt werden. Mit diesen Auswertungen können Sie sehen, welche Bereiche auf Ihrer Website gut oder schlecht frequentiert sind. Hierfür können Trackingtools, wie Google Analytics, Matomo oder eTracker genutzt werden. Mit diesen Tools können Sie also sehen, wie Sie Ihre Website oder Ihren Onlineshop verbessern können. Und zu guter Letzt gibt es auch Marketing-Cookies über die Werbung ausgespielt werden kann.

Im Zuge der DSGVO wurde auf die “Cookie Richtlinie” verwiesen. Lassen Sie uns kurz beleuchten, was es damit auf sich hat. Mit der Cookie Richtlinie sollen die personenbezogenen Daten von Internetnutzern, auch wenn sie anonymisiert sind, stärker geschützt werden. Um dies zu erreichen, soll der Nutzer aktiv in die Verwendung von Cookies einstimmen, bevor diese durch Ihre Website oder Ihren Onlineshop gesetzt werden. Eine Ausnahme bilden hierbei die technisch notwendigen, essentiellen Cookies. Diese dürfen sofort bei Aufruf einer Website gespeichert werden. 

Der Europäische Gerichtshof hat in einem Urteil vom 02. Oktober 2020 bekräftigt, dass eine solche Opt-in-Lösung für Cookies zu verwenden ist. Unser Gesetzgeber hat bis vor kurzem daran festgehalten, dass in Deutschland das Telemediengesetz anzuwenden sei. In diesem Gesetz ist nur eine Opt-out-Lösung für Cookies vorgeschrieben. Dieser wurde Rechnung getragen durch ein kleines Hinweis-Banner auf der Startseite sowie Opt-out-Links in der Datenschutzerklärung. Dieses Banner haben Sie sicher auch auf Ihrer Website eingesetzt. 

Am 20. Mai 2020 hat der Bundesgerichtshof das Urteil des Europäischen Gerichtshofes bestätigt. Die Regierung hat zudem eine Anpassung des Telemediengesetzes angekündigt. Ein Hinweisbanner reicht also nicht mehr für einen rechtskonformen Umgang mit Cookies auf Ihrer Website oder in Ihrem Onlineshop. Der Nutzer muss also aktiv zustimmen, bevor ein Cookie gesetzt wird.

Wie können Sie also diese rechtliche Vorgabe erfüllen? Und setzt Ihre Website überhaupt Cookies? Ja, so gut wie alle Websites oder Onlineshops benutzen Cookies aus den oben beschriebenen Kategorien. Ihre Website stellt sicher Funktionen für den Nutzer bereit und wird zumindest essentielle und funktionale Cookies setzen. Hierbei lässt sich noch zwischen sogenannten First Party Cookies und Third Party Cookies unterscheiden. 

First Party Cookies, sind Cookies die auf Ihrer Website beispielsweise durch eine bestimmte Funktion zum Einsatz kommen. Dies kann ein Merkzettel, der Login oder auch ein Konfigurator sein den Sie direkt auf der Seite betreiben. Ein Third Party Cookie wird von einem Drittanbieter-Tool, beispielsweise einer Social Media-Einbindung, gesetzt. Wie Sie leicht herausfinden können, ob Ihre Website Cookies setzt, zeigen wir Ihnen gleich.

Um die Vorgaben zu erfüllen, müssen Sie das Hinweisbanner auf Ihrer Website durch einen sogenannten Cookie Consent austauschen. In der Regel erfordert dies eine Anpassung durch einen Programmierer. Ein Cookie Consent ist eine Anwendung welche zuallererst geladen wird, wenn ein Nutzer auf Ihre Website kommt. Sie verhindert, dass Ihre Website oder eingebundene Anwendungen von Drittanbietern Cookies setzen, bis der Nutzer dies aktiv bestätigt hat. 

Der Nutzer hat hierbei verschiedene Möglichkeiten. Entweder stimmt er allen Cookies von Ihrer Website zu. Oder er konfiguriert, welchen Cookies er zustimmt und welchen nicht. Dies muss er auch jederzeit ändern können. Die Zustimmung wird im Übrigen auch mit Hilfe eines (essentiellen) Cookies gespeichert.

Für die Analyse von Websites gibt es natürlich eine Vielzahl von Tools und Ihre Digitalagentur kann Ihnen auch sagen, welche Cookies Ihre Website setzt. Wenn Sie selbst nachschauen möchten, ob Cookies gesetzt werden, hilft Ihnen Ihr Browser dabei. Per Rechtsklick auf einen freien Bereich Ihrer Website ohne Text oder Bild, können Sie Ihre Website untersuchen. Unsere TYPO3 Association-Kollegen von jweiland.net haben dies in einer kleinen Video-Anleitung sehr gut dargestellt.

Im Optimalfall erlaubt ein Nutzer Ihnen, dass alle Cookies Ihrer Website oder Ihres Onlineshops gesetzt werden können. Ihn nicht auf Ihre Website zu lassen, wenn er dies nicht erlaubt geht zwar technisch, aber rechtlich wäre das Eis doch recht dünn. Die technische Möglichkeit hierzu ist eine sogenannte Cookie-Wall. Im Grunde ist dies eine Barriere, die den Nutzer Ihrer Website in eine “take it or leave it”-Situation bringt. 

Wenn verweigert wird, dass alle Cookies gesetzt werden dürfen, setzt man den Nutzer also quasi vor die Tür. Dies steht komplett im Gegensatz zur Freiwilligkeit einer gültigen Einwilligung im Sinne der EU-DSGVO. In einer Veröffentlichung des European Data Protection Board (EDPB) wurde dieser Sachverhalt nochmal klar hervorgehoben. Und ganz unabhängig von Recht und Technik: die Zufriedenheit Ihrer Besucher ist ja das A und O. Insofern raten wir ganz klar von einer solchen Barriere ab.

In den letzten Wochen und Monaten sind viele Tools entwickelt und aktualisiert worden, um die rechtlichen Vorgaben zu erfüllen. Wie so oft steht man hierbei vor der Frage: “Verwende ich eine Open-Source-Lösung oder kaufe ich ein Tool ein?”. Da es viele Tools gibt, wollen wir Ihnen einen kleinen Überblick geben.

Die Frage nach dem Tool das eingesetzt werden soll, hängt immer auch vom Shopsystem oder Content Management System ab. Insbesondere die Anbieter der Shopsysteme sind hier weit vorne und bieten von sich aus oftmals bereits gute Lösungen an. Unser Partner für Shopsysteme, die Shopware AG in Schöppingen, hat bereits einen Cookie Consent in seine Versionen eingebaut. Ab der Shopware Version 5.6.3 ist dies ein Bestandteil der Standardfunktionen. Für ältere Versionen ist dies über ein Plugin nachrüstbar. Mehr Details finden Sie im Blogartikel von Shopware zum Thema Cookie Consent. 

Bei den Content Management Systemen liegt unser Fokus ja auf TYPO3 als Open Source Lösung. Hier stehen wir vor der oben gestellten Frage. Es gibt viele Unternehmen, sogenannte Consent Management Provider, welche ein Tool anbieten, das in die Website integriert werden kann. In der Regel sind dies Tools, die kostenpflichtig sind. Die Kosten hängen je nach Anbieter vom Funktionsumfang oder den Seitenaufrufen ab. So können sich je nach Website oder Onlineshop schnell hohe monatliche Beträge anhäufen. Dazu kommt, dass diese Tools in der Regel nur bedingt optisch anpassbar sind und die Daten teilweise in einer Cloud gespeichert werden. Die bekanntesten Consent Management Provider sind

• Cookiebot
• Usercentrics
• Cookiefirst

Unser Weg ist auch hier die Nutzung von Open Source Extensions aus der TYPO3-Community als Grundlage. So ist die grundlegende Funktionalität bereits vorhanden und wir können den Cookie Consent jederzeit auf Ihrer Website anpassen. Und das sowohl hinsichtlich der Cookie-Skripte, als auch hinsichtlich der Optik. Ein Cookie Consent auf Ihrer Website soll ja zum Gesamtauftritt passen. 

Auf unserer Website finden Sie eine exemplarische Umsetzung dieser Cookie Consent Lösung:

Die dahinterliegende Extension ermöglicht es individuelle Beschreibungen zu den einzelnen Cookies zu verfassen. Diese werden dann im Hinweisbanner und in der Datenschutzerklärung ausgegeben. Falls Sie mal ein neues Cookie auf Ihrer Website einsetzen, zum Beispiel durch eine schöne, neue Funktion, wird ein Wiederbesucher Ihrer Website direkt über die Neuerung informiert und kann seine Einstellungen anpassen. In der Datenschutzerklärung wird zudem gezeigt, wie lange ein entsprechender Cookie gespeichert wird. Für uns als Digitalagentur bleibt Open Source auch bei Cookie Consents die Option der Wahl!

Hier verhält es sich eigentlich genauso, wie bei der EU-DSGVO. Die zuständigen Aufsichtsbehörden können Websites oder Onlineshops prüfen und bei Verstößen gegen gültiges Recht eine Abmahnung beziehungsweise ein Bußgeld aussprechen. Allerdings gibt es keinen festen Bußgeldkatalog, wie zum Beispiel bei der Straßenverkehrsordnung. Die Behörden sollen hierbei mit Augenmaß vorgehen. Was dies in Zahlen bedeutet lässt sich also nur schwer vorhersagen - besser, Sie gehen erst gar kein Risiko ein.

Insbesondere durch die Bestätigung des EuGH-Urteils durch den Bundesgerichtshof und die angekündigte Novellierung des Telemediengesetzes sollten Sie das Thema Cookie Consent angehen und Cookies rechtskonform im Sinne der neuen Vorschriften behandeln.

• Urteil des Europäischen Gerichtshofs vom 01. Oktober 2019
• Artikel von eRecht24 zum EuGH-Urteil vom 01. Oktober 2019
• Urteil des Bundesgerichtshofes vom 28. Mai 2020