Aktuell wird ein Urteil breit im Netz diskutiert, da es die bisher doch recht ungenaue Sachlage zu Cookie Hinweisen recht klar stellt. Die it-recht kanzlei fasst zusammen:
Mit Urteil vom 01.10.2019 hat der EuGH eine weitgehende Einwilligungspflicht für cookie-basierte Datenverarbeitungen aufgestellt. Alle mit Cookies arbeitenden Dienste, die für den Betrieb der Website nicht technisch notwendig sind, dürfen nunmehr Daten nur noch mit ausdrücklicher Nutzereinwilligung verarbeiten. Betroffen sind unter anderem alle Tracking- und Analysetools, Affiliate-Dienste, Retargeting- und Remarketing-Funktionen und Social-Media-Plugins.
Die schlechte Nachricht: der Einsatz unseres Cookie Notification Drops, das Cookie Consent verwendet, reicht damit offenkundig nicht mehr aus, um rechtssicher unterwegs zu sein. Es weist eben nur auf Cookies hin, bietet aber keine "ausdrückliche Nutzereinwilligung" (also ein Opt-in) für die Verwendung von nicht zwingend benötigten Cookies oder listet gar eine Liste aller verwendeten Cookie der Seite nebst Erläuterung derer Funktion auf.
Der Hintergrund ist technischer Natur. In einem offenen System wie dem JTL-Shop kann theoretisch jedes Plugin auf verschiedenste Art und Weise Cookies setzen. Dies auszuschließen und eine automatisierte Liste aller verwendeten Cookies zu erfassen, benötigt eine entsprechende Infrastruktur, die Drittanbieter auf diesem Gebiet mittlerweile aufgebaut haben.
Muss sofort reagiert werden?
Der EuGH hat mit diesem Urteil die Fragen des Bundesgerichtshofes beantwortet. Auf Grundlage dieser Entscheidung muss nun der Bundesgerichtshof ein abschließendes Urteil zu dem konkreten Streit fällen. Allerdings ist damit schon jetzt klar, dass die Anforderungen des deutschen Telemediengesetzes nicht den europäischen Anforderungen genügen. Es ist daher für Händler empfehlenswert, schon jetzt tätig zu werden.
Wer auf Nummer sicher gehen will, sollte daher schon jetzt den Einsatz solcher rechtssicheren Drittanbieter-Lösungen prüfen.
Alternative Cookiebot?
Cookiebot ist nach eigenen Angaben "die meistgenutzte Lösung zur DSGVO-konformen Verwendung von Cookies und Online-Tracking" und bietet offenbar die weithin geforderten Funktionen einer Cookielösung: 1. Opt-in 2. ausführliche Informationen zu den verwendeten Cookies und 3. Protokolle zur Nutzereinwilligung.
Update 08.10.2019: Bitte beachtet die Hinweise zur Wirkungsweise weiter unten!
Die Registrierung und Einrichtung ist überschaubar und gut dokumentiert. Bei der Einbindung der benötigten Skripte von Cookiebot kann euch Dropper und das Plain Drop helfen.
Cookiebot mit Dropper einbinden
Ihr müsst 2
<script>
Elemente in den Quelltext eures JTL-Shops einbinden, die ihr in der Cookiebot Verwaltungsoberfläche im Reiter "Skripte" findet. Dafür eignet sich das Plain Drop.
1. Banner Skript einbinden
Das erste Skript sorgt für die Anzeige des Banners. Das Aussehen des Banners könnt ihr übrigens im Reiter "Dialogfeld" auf Cookiebot definieren.
2. Übersicht Skript einbinden
Das zweite Skript zeigt eine Übersicht der auf euren Seiten gefundenen Cookies und einige weitere Infos. Erstellt hierzu eine eigene Seite im JTL-Shop (z.B. "Cookie Übersicht") und fügt das Skript via Plain Drop und entsprechendem Darstellungsfilter dort ein.
Spezifische Cookies für den JTL-Shop klassifizieren
Nach dem Registrieren benötigt Cookiebot eine Weile, bis eure Seiten geparst und die Liste der Cookies erstellt worden sind. Mit Sicherheit wird Cookiebot nach dem abgeschlossenen Parsing (ihr erhaltet eine Mail) Cookies finden, die nicht klassifiziert werden konnten. Zum Beispiel solche, die vom JTL-Shop gesetzt werden.
Diese könnt ihr im Menupunkt Cookie in eurer Verwaltungsoberfläche bei Cookiebot nachklassifizieren.
Ist Cookiebot aus dem Stand wirksam?
Aktualisiert am 08.10.2019
Cookiebot scheint mit dieser Standardanleitung und der Verwendung des Autoblocking-Modus nicht ausreichend wirksam zu sein. Auch rund um die Plattform beobachten wir und Kunden Probleme im Praxistest. Einige Beispiele:
- Cookies von Google Anayltics (asynchones Einbinden der
analytics.js) werden im Autoblocking-Modus und expliziter Ablehnung bei Benutzung der Seite trotzdem gesetzt. - Im Backend selbst klassifizierte Cookies wie bspw.
JTLShopbefinden sich auch nach einigen Tagen noch in der Liste der nicht-klassifizierten Cookies im Cookiebot Banner. - Nutzer und Entwickler haben von Problemen bei der Benutzung des JTL-Shops bei aktivierten Autoblocking-Modus berichtet.
- Selbst Youtube Videos, die man mit erweiterten Datenschutzeinstellungen (Cookies werden nicht gesetzt) eingebettet, werden von Cookiebot ausgeblendet, wenn man nicht Marketing Cookies expliziet zustimmt.
Kurzum: ohne zusätzliche manuelle Maßnahmen und intensiven Tests würden wir die Verwendung von Cookiebot derzeit nicht empfehlen. Zumindest dann, wenn es um die Wirksamkeit des Cookieblockings geht.
Kosten prüfen
Cookiebot ist nicht gerade günstig. Das größte Paket schlägt aktuell mit 37,- EUR netto pro Domain und pro Monat zu Buche, deckt dann allerdings mehr als 5.000 Unterseiten ab.
5.000 Unterseiten können schon bei Shops mit nur einigen hundert Artikel erreicht werden, wenn gleichzeitig viele Kategorien und Merkmale verwendet werden. Dann generiert der JTL-Shop nämlich sehr viele Unterseiten: die gefilterten Ansichten der jeweiligen Kategorien.
Weitere Alternativen & Evaluation
Aktualisiert am 06.11.2019
Der Händlerbund und auch die it-recht kanzlei arbeiten wohl derzeit an rechtssicheren (und günstigen / kostenfreien) Lösungen für ihre Kunden und Mandanten. Hier solltet ihr ein Auge auf News aus dieser Richtung haben.
Einige Tipps haben wir bereits erhalten, hier zwei Alternativen kurz vorgestellt.
Usercentrics
Usercentrics (Händlerbund) kommt ohne Autoblocking, alle eventuellen Scriptcodes müssen also manuell angepasst werden. Ansonsten decken sich die Funktionen mit denen von Cookiebot und gehen darüber hinaus: hier geht es nicht nur um Cookies, sonder auch alle Technologien und Scripte, die generell für die DSGVO relevant sein können. Darüber wird umfassend informiert - auch eine Datenschutzerklärung wird automatisiert erstellt und je nach Konfiguration angepasst.
Abgerechnet wird nach Sitzungen (ab 9,- EUR / Monat), was für kleinere Shops deutlich kostengünstiger scheint. Ein Test ist nur nach vorheriger Kontaktaufnahme mit einem Salesmanager möglich.
Cookiefirst
Cookiefirst positioniert sich klar - auch preislich - als Cookiebot Alternative. Auch hier sind manuelle Eingriffe nötig:
Sobald Sie Ihr Konto erstellt haben, können Sie die Drittanbieter-Dienste, die Sie auf Ihrer Website nutzen, auswählen und deren Code-Ausschnitte zu Ihrem Portal hinzufügen. Sobald Sie das getan haben, müssen Sie nur noch das CookieFirst-Skript im Kopfteil Ihrer Website platzieren.
Cookiefirst kann also die relevanten Skripte ausspielen, was allerdings wieder Fragen in Sachen Erreichbarkeit aufwirft.
Es gibt allerdings auch einen alternativen Weg, in dem alle relevanten
<script>
Tags der Seite
abgeändert werden müssen. So oder so, ein
manueller Eingriff ins Template ist notwendig, wenn Dienste wie Google Analytics verwendet werden.
Ein monatlicher Cookie-Scan, Protokollierung der Einwilligung, das Anpassen des Cookie-Banners an die eigene CI und die Ausgabe einer Cookie-Policy wird ebenfalls geboten und recht gut dokumentiert. Auch bei Cookiefirst liegen die Kosten bei 9,- EUR / Monat / Domain für den "normalen" Anwendungsfall. Cookiefirst hat erst kürzlich die Betaphase verlassen, alle Pläne lassen sich nun 14 Tage testen.
Und testen sollte man definitiv!
Derzeit erkennt der Cookiefirst Scan bspw. Cookies wie
JTLSHOP
nicht. Dieses Cookie wird vom JTL-Shop gesetzt und müsste von uns als "notwendig" klassifiziert werden. Manuell lassen sich Cookies im Backend auch nicht nachtragen, solch ein Funktion fehlt derzeit noch. Generell macht das Cookiefirst Backend einen noch etwas halbfertigen Eindruck.
Sicher wird hier noch einiges getan, der Support ist in jedem Fall hilfsbereit.
Euer Feedback
Wir freuen uns weiter über Tipps von eurer Seite. Kennt ihr alternative Lösungen oder Auslegungen der Rechtslage? Dann lasst gerne einen Kommentar da oder schreibt uns.