Gemäß dem EuGH-Urteil vom 01. Oktober 2019 zum Setzen von Cookies sind Cookie Banner mit einem pauschalen Hinweis und impliziter Einwilligung nicht ausreichend. Es ist eine aktive Einwilligung für Cookies erforderlich. Der Nutzer muss somit seine aktive Einwilligung erteilen, bevor Tracking Skripte geladen werden. In diesem Beitrag erklären wir, was das technisch bedeutet.
Wo ist das Problem?
Damit der Browser eine Webseite darstellen kann, muss er zunächst den Quelltext von Server laden. Zur richtigen Darstellung muss der Browser in der Regel automatisch weitere Ressourcen laden – das können Bilder, Schriftarten, Styles und auch Skripte sein. Diese Ressourcen können auch von externen Servern kommen, weil das Internet so konzipiert wurde. Das Problem ist nun, dass der Browser diese automatisch lädt. Gemäß DSGVO und dem jüngsten Urteil des EuGH muss der Nutzer aber eine aktive Einwilligung für Cookies erteilen. Das gilt sowohl für Cookies, als auch für externe Schriftarten, wie zum Beispiel Google Fonts.
Noch bevor diese Dinge geladen werden, muss der Nutzer explizit zustimmen. Ein pauschaler Hinweis, dass bei weiterer Nutzung automatisch eingewilligt wird ist nach dem neusten Urteil nicht mehr erlaubt.
Cookies werden ohne Einwilligung gesetzt
Die DSGVO hat dem Internet die Cookie Banner geschenkt. Auf nahezu jeder Webseite gibt es seitdem einen Hinweis auf Cookies, der in Form eines Banners oben oder unten auf der Seite platziert ist. Oft ist es allerdings so, dass diese Hinweise gar keine technische Auswirkung haben und Cookies trotzdem schon beim ersten Besuch gesetzt werden. Das sind meistens Tracking Cookies für Google Analytics. Solche Skripte ohne vorherige Einwilligung zu laden ist nicht mehr zulässig.
Explizite Einwilligung vor dem Setzen von Cookies
Was ist zu tun?
Zunächst muss der Betreiber der Webseite oder des Onlineshop gründlich prüfen, ob und welche Ressourcen von Drittanbietern auf der Seite geladen werden. Das Ergebnis sollte eine Liste von Skripten und Ressourcen sein, die von Drittanbietern stammen z.B. Google, Facebook, Amazon, die der Browser ohne explizite Einwilligung nicht mehr laden darf. Ein Opt-In Verfahren – in Form eines Cookie Banners – holt die Einwilligung vom Nutzer ein und schaltet erst auf dieser Basis die sensitiven Tracking Skripte frei.
Wie lässt sich das realisieren?
Meistens sind solche Skripte direkt im Quelltext der Seite enthalten. Anbei ist ein Beispiel von Google Analytics zu sehen. Dieses Beispiel zeigt eine eingebundene Schriftart von Google Fonts. Im Prinzip dürfen beide Elemente ohne explizite Einwilligung im Quelltext nicht mehr erscheinen. Dies lässt sich über Filter realisieren, sodass serverseitig Teile der Ausgabe auf Basis einer Bedingung gefiltert werden.
Cookie Consent Modul für Magento
Wir haben für Magento ein Modul entwickelt, welches genau diese Anforderungen erfüllt und HTML Blöcke auf Basis der Einwilligung filtern kann. Wenn Sie Interesse haben, oder Hilfe bei der Umsetzung dieser Richtlinie für Ihr System brauchen, melden Sie sich gerne bei uns. Wir stehen Ihnen gerne mit Rat und Tat zur Seite.