WordPress ohne Cookies! Datenschutz im WordPress-Blog

WordPress ohne Cookies! Datenschutz im WordPress-BlogDie DS-GVO hat Ende Mai 2018 viele Blogger in Panik versetzt. Es geht bei dieser Datenschutz-Richtlinie um den Schutz personenbezogener Daten und da stehen unter anderem Cookies in der Kritik.

Wie man seinen WordPress-Blog von Cookies befreien kann, wann das Sinn macht und warum nicht alle Cookies böse sind, erläutere ich im heutigen Artikel.

Im zweiten Teil dieser kleinen Artikelserie schaue ich mir nächste Woche ein paar hilfreiche kostenlose WordPress-Plugins an.

WordPress-Blog ohne Cookies – Warum?

Die Datenschutz-Anforderungen er DS-GVO (und aktuelle Urteile) sollen den Website-Besuchern mehr Information und Kontrolle darüber geben, welche personenbezogenen Daten von ihnen gesammelt und verarbeitet werden.

Ein Aspekt, der dabei im Netz sehr wichtig geworden ist, sind Cookies. Das sind kleine Textdateien, die im Browser gespeichert werden und an sich nichts böses machen. Aber sie erlauben eben das Wiedererkennen eines Besuchers. In einem Online-Shop ist das z.B. eine schöne Sache, ist dadurch doch z.B. der Warenkorb auch beim nächsten Besuch im Shop noch mit den Produkten gefüllt, die man letztes mal hineingelegt hat.

Doch Cookies werden vor allem zum Tracken genutzt. So z.B. um wiederkehrende Besucher bei der Statistik-Erfassung zu erkennen oder um passende Werbeeinblendungen über mehrere Websites hinweg anzeigen zu können. Datenschützer sehen das sehr kritisch und hätten es am liebsten, dass dies nur noch mit explizierter Einwilligung der Nutzer geschieht. Die Besucher des Blogs müssten also erstmal zustimmen und erst dann dürften Cookies gesetzt werden.

Auch wenn die DS-GVO da eigentlich nicht ganz so streng ist und meist nur eine Opt-Out-Möglichkeiten fordert, gab es inzwischen viele Urteile, die ein Cookie Opt-In (also aktive Zustimmung, bevor Cookies gesetzt werden) zur Pflicht macht.

Das ist technisch auf jeden Fall z.B. mit Plugins möglich, aber die Frage ist, ob das in einem Blog sinnvoll ist. Es ist davon auszugehen, dass der Datenschutz eher noch strenger wird in Zukunft. Insofern ist zu überlegen, ob man überhaupt noch Cookies nutzen sollte. Damit wäre man für die Zukunft auf jeden Fall gut gerüstet.

1st Party vs. 3rd Party Cookies

Eine Unterscheidung muss man bei den Cookies auf jeden Fall treffen. Es wird zwischen 1st Party vs. 3rd Party Cookies unterschieden.

1st Party Cookies sind jene, die die Website selbst setzt. Also z.B. jene, die durch WordPress selbst gesetzt werden. Im Cookie steht dieselbe Domain, die auch in der Browser-Adresszeile steht. Und auch nur die eigene Website kann diese Cookies wieder auslesen.

3rd Party Cookies werden von einer anderen Domain gesetzt. Es steht im Cookie also nicht die Domain drin, auf der der Nutzer gerade ist. Das ist z.B. bei Tracking- oder Werbe-Anbietern häufig der Fall. Solche Cookies können dann von den darin angegebenen Domains ausgelesen werden. Setzt z.B. Facebook einen 3rd Party Cookie in einem Blog, dann wird der Nutzer auf Facebook wiedererkannt.

Während bei 1st Party Cookies alle etwas entspannter sind und viele erlaubt sind, wenn sie zum Betrieb der Website notwendig sind oder der Betreiber ein berechtigtes Interesse hat, sieht das bei den 3rd Party Cookies anders aus. Diese sind datenschutzrechtlich sehr kritisch und werden schon heute teilweise von Browsern standardmäßig blockiert.

Deshalb ist mittlerweile für die 3rd Party Cookies ein Opt-In notwendig, was den Besuch vieler Blogs und Websites recht nervig macht.

Welche Cookies setzt dein WordPress-Blog?

Um den eigenen Blog von Cookies zu befreien, muss man erstmal wissen, welche überhaupt gesetzt werden. Hier gibt es verschiedene Möglichkeiten.

Die Website cookiebot.com bietet z.B. eine kostenlose Analyse-Möglichkeit an. Man bekommt dann einen PDF-Report zugemailt, in dem gefundene Cookies aufgelistet werden.

Ebenfalls eine Möglichkeit sind Browser-Addons. Es gibt diverse davon für Firefox, Chrome und Co. Diese zeigen an, welche Cookies auf der aktuell besuchten Website gesetzt werden. So z.B. EditThisCookie für Chrome.

Natürlich kann man auch einfach in die Einstellungen des eigenen Browsers schauen. Im Firefox findet man die Cookies z.B. unter “Einstellungen > Datenschutz & Sicherheit > Daten verwalten…”. Hier löscht man einfach alle Cookies, klickt sich anschließend durch den eigenen Blog durch und schaut anschließend nach, welche Cookies hier neu angezeigt werden.

Die beste Methode nach meiner Erfahrung ist aber eine andere. Dazu nutze ich die eingebauten Entwickler-Tools in Chrome. Hier kann man nämlich genau sehen, welche Cookies beim Besuch der eigenen Seite gesetzt werden. Dazu öffnet man das Menü ganz rechts (mit den 3 Punkten), geht dann auf “weitere Tools” und anschließend auf “Entwicklertools”.

Hier klickt man auf den Reiter “Application”, wo sind dann ein Unterpunkt “Cookies” findet. Lädt man dann die Website neu, werden hier die gesetzten Cookies angezeigt. Auf diese Weise kann man sehr genau analysieren, welche Cookies auf der eigenen Website gesetzt werden.

Blog ohne Cookies! Datenschutz im WordPress-Blog Teil 1

Verschiedene Cookies und wie ihr sie loswerdet

Im Folgenden gehe ich auf ein paar Cookies ein, die typischerweise auf einem Blog oft vorkommen.

WordPress Cookies
WordPress selbst setzt Cookies. Das sind zum einem Session-Cookies, die nur temporär sind und beim Verlassen des Blogs verfallen. Solche Cookies sind zum einen notwendig für den Blog und zum anderen datenschutzrechtlich nach meinem aktuellen Wissensstand recht unproblematisch.

Aber WordPress setzt auch andere Cookies. So z.B. einen Kommentar-Cookie. Hier werden die Daten gespeichert, die man im Kommentarfeld eingegeben hat, damit man diese das nächste mal nicht mehr eingeben muss. Allerdings ist mit dem letzten WordPress-Update hier eine Checkbox dazugekommen. Der Nutzer kann sich entscheiden, ob er diesen Cookie möchte oder nicht.

Man kann dies aber auch mit einem PHP-Code ganz deaktivieren:

remove_action( 'set_comment_cookies', 'wp_set_comment_cookies' );

Ansonsten macht WordPress von Haus aus keine großen Probleme, was Cookies angeht. Und man hat spät, aber immerhin die Zeichen der Zeit erkannt, so dass sicher auch in Zukunft in Punkto Datenschutz weiter an WordPress gearbeitet wird.

Google Analytics Cookies
Viele Blogger nutzen Google Analytics, um die Besucherzahlen auf der eigenen WordPress-Website zu messen. Google Analytics setzt allerdings Cookies und trackt die Nutzer.

Deshalb war es auch schon in den letzten Jahren notwendig, die IP-Adresse zu anonymisieren und ein Opt-Out in der Datenschutzerklärung anzubieten. Wie man Google Analytics datenschutzgerecht nutzt, habe ich schon mal hier im Blog gezeigt.

Dennoch steht Google Analytics im Fokus der Datenschützer (wie alle Tracking-Services) und aktuelle Urteile legen nah, dass es in Zukunft nur noch per Opt-In genutzt werden kann.

Deshalb habe ich mal die eine oder andere Statistik-Alternative ausprobiert, die zwar deutlich weniger als Google Analytics kann, aber für viele Blogger völlig ausreichend und zudem datenschutzgerecht ist.

Der folgende Vergleich zeigt, dass auch die Alternativen, wie Statify, sehr gut die Zugriffe messe und mit Google Analytics vergleichbar sind.

Blog ohne Cookies! Datenschutz im WordPress-Blog Teil 1

Google AdSense Cookies
Als Einnahmequelle haben viele Blogger Google AdSense im Einsatz und das lohnt sich oft auch. Zumal es eine sehr pflegeleichte Einnahmequelle ist.

Leider werden durch Google AdSense viele 3rd Party Cookies gesetzt, was es für Datenschützer sehr problematisch macht. Selbst Google führt ein System ein, welches das vorherige Einverständnis einholen soll.

Da man aber nicht alle AdSense-Cookies deaktivieren kann, habe ich persönlich von AdSense Abstand genommen und andere Einnahmequellen stattdessen im Einsatz. Vor allem das Affiliate Marketing.

Dafür habe ich meine eigene AdSense-Kopie gebastelt.

Affiliate Marketing Cookies
Generell (und als AdSense-Ersatz) nutze ich das Affiliate Marketing sehr häufig auf meinen Blogs. Aber auch hier muss man aufpassen, denn teilweise werden viele Cookies gesetzt. Das passiert aber nur, wenn man von den Partnerprogrammen bereitgestellte Werbemittel nutzt, die JavaScript oder Iframes nutzen.

Deshalb habe ich bei mir alle Affiliate-Einbindungen umgestellt, so dass ich nur noch normale Text-Affiliatelinks nutzen. Bei Affiliate-Bannern nutze ich nur noch solche, die ich bei mir lokal auf dem Server speichern kann.

Auf diese Weise setzen Partnerprogramme in meinen Blogs keine Cookies mehr, was datenschutzrechtlich sehr gut ist. Das Affiliate Marketing funktioniert dennoch, da ja die Affiliatelinks eindeutig sind und das Partnerprogramm dadurch erfährt, dass der Nutzer von meiner Website kam.

Wer das Amazon Partnerprogramm nutzt, sollte sich mal das Plugin AAWP anschauen. Dieses ermöglicht das Einbinden von Produktboxen, Produktbildern, Bestsellerliste und vielem mehr in datenschutzgerechter Weise.

YouTube Cookies
YouTube wird immer wichtiger. Auch im eigenen Blog kann und sollte man Videos einbinden, um die Nutzererfahrung zu verbessern und auch Google gefällt das. Doch YouTube setzt natürlich auch Cookies, wenn man den ganz normalen Einbettungs-Code verwendet oder die URL einfach in den Artikel einfügt (und WordPress diesen automatisch umwandelt).

Ich habe das gelöst, indem ich in der functions.php meines Themes den folgenden Code eingebaut habe.

add_filter( 'embed_oembed_html', 'youtube_nocookie_loesung', 10, 4);
function youtube_nocookie_loesung( $original, $url, $attr, $post_ID ) {
	$html = str_replace("youtube.com","youtube-nocookie.com",$original);
	$html = str_replace("feature=oembed","feature=oembed&showinfo=0",$html);
	return $html;
}

Dadurch werden alle YouTube-Videos, die man einfach über die URL eingebettet hat, über die Domain youtube-nocookie.com aufgerufen und YouTube setzt dann keine Cookies mehr. Alternativ kann man zum Einbau des Codes auch das Plugin Code Snippets nutzen.

Wer bisher YouTube-Videos über den von YouTube bereitgestellten Einbettungs-Code ohne die zusätzliche Datenschutz-Option eingebaut hat, muss von Hand alle diese Codes ändern. Da hilft der Code nicht.

etc.
Natürlich können auch noch andere Services oder Plugins Cookies setzen. Das muss man für den eigenen Blog genau analysieren und dann entscheiden, ob man den Cookie deaktiviert oder (wenn das nicht möglich ist) den Service aus dem Blog nimmt bzw. das Plugin löscht.

Andere Cookies sind dagegen notwendig und durch ein berechtigtes Interesse erlaubt. Auf meinen Blogs nutze ich z.B. die VG Wort. Hier wird auch ein Cookie gesetzt, was durch den rechtlichen Anspruch des Urhebers (also ich als Blogger) aber durchaus gerechtfertigt ist. Viele bieten dafür noch nicht mal eine Opt-Out-Option in der Datenschutzerklärung an, ich schon.

Fazit

Es ist gar nicht so schwer den eigenen WordPress-Blog (fast) Cookiefrei zu machen. Die meisten Cookies sind nicht wirklich zwingend notwendig und durch die Bereinigung des eigenen Blogs wird dieser meist auch noch etwas schneller.

Ich habe jedenfalls sehr gute Erfahrungen damit gemacht, alle nicht wirklich notwendigen Cookies und vor allem Google-Dienste zu entfernen.

Wie ist das bei euch? Sind euch Cookies egal oder habt ihr euren WordPress-Blog auch aufgeräumt?

Peer Wandiger

16 Gedanken zu „WordPress ohne Cookies! Datenschutz im WordPress-Blog“

  1. Sehr hilfreicher Leitfaden um 3rd Party Cookies zu vermeiden.
    Ich selbst nutze sowenig “externe” Cookies wie möglich. Analytics oder AdSence habe ich noch nie genutzt.
    Allerdings binde ich ab und an Youtube-Videos ein.
    Da ich gerade alle Blogs überarbeite, kommt dein Tipp zur besten Zeit.

  2. War ja schon immer eher der digitale Minimalist und habe es als fragwürdig angesehen, Drittanbieter-Dienste mit Daten zu füttern. Begrüße ich also sehr, dass der Trend dorthin geht. Auch weil das nahezu alle Websites massiv beschleunigt hat. Abgesehen von den nervigen Popups, aber das ist wieder ein anderes Thema.

    Grundsätzlich eine gute Sache, die jetzt auch bei Apple eine Rolle spielt, die ja als erste alle Drittanbeiter-Cookies in Safari geblockt hatten. Das führte anfangs zwar zu einigen Problemen, ist über kurz oder lang aber sehr sinnvoll. Wie dem auch sei… gute Sache.

  3. Ich habe schon länger meine Seite komplett von Cookies befreit – schon alleine weil ich meinen Besuchern das nervige Cookie-Banner ersparen wollte. WordPress an sich braucht für den Betrieb auch nur dann Cookies wenn man sich als Nutzer oder Admin anmeldet, für alle anderen Besucher sind auch keine Session-Cookies nötig. (Das kommt im Artikel anders rüber)

    Hier noch eine weiteres Tool seine Seite auf Cookies zu testen: https://webbkoll.dataskydd.net/en/
    Mit diesem Tool bekommt man auch gleich noch eine ganze Reihe weitere Sicherheits- und Datenschutzhinweise – und das ohne wie beim im Artikel genannten Tool eine Mailadresse abgeben zu müssen. 😉

  4. Danke für den informativen Artikel.

    Wenn man den PHP-Befehl für WordPress nutzt – wird damit nur der Cookie unterdrückt? Oder verwindet auch die Box, die dies einstellbar macht?

    Benötigt man eine Cookie-Bar noch, wenn man nur die Standard-Wordpress-Cookies (keine von Plugins) hat – also die, die unter 1st-Party-Cookies beschrieben sind? Oder wird die dann obsolet?

    Vielen Dank!

    • Welche Box meinst? Unter den Kommentaren? Die wird nicht mehr angezeigt.

      Was die Cookie Bar angeht, so sind ja technisch notwendige Cookies erlaubt, auch ohne Einwilligung. In der Datenschutzerklärung sollte man diese aber immer erwähnen. Ansonsten wird das bis zu einem Urteil wohl niemand so genau wissen, was sein muss und was nicht.

  5. Sehr guter Artikel – Mittlerweile ist mir Google Analytics auch zu heikel, was mich dazu bewogen hat mich nach einer Alternative umzusehen. Durch deinen Artikel: https://www.selbstaendig-im-netz.de/web-analytics/website-statistiken-ohne-externe-services/ bin ich dann auf Statify gestoßen, welches ich nun seit einer Woche benutze. Die Seitenaufrufe sind zu Google Analytics nahezu identisch, sodass ich getrost darauf verzichten kann.

    Danke für den Tipp!

  6. Hallo, ist echt schwierig Informationen zu finden, aber hier denke ich bin ich richtig.

    Ich habe früher, mid 90er, kleine Webseiten gebaut, da war das alles kein Thema, höchstens mal ein Impressum.
    Nun baue ich gerade mit WordPress für einen Familienbetrieb eine Website die ausschließlich dazu dient mögliche Kunden zu Informieren wer wir sind und was wir machen. Somit sind die ganze Analytics usw nicht brauchbar, wir betreiben ein lokales Dienstleistungsgewerbe, somit muss der Kunde Physisch erscheinen.
    Ich habe jetzt den Tipp mit der Entwicklerkonsole gemacht und die Website im Incognito angeschaut, da werden nur die adresse der Webseite dargestellt aber keine Einträge gemacht. Auf der gleichen Onepage habe ich aber ein iFrame mit eines Googlemaps Ausschnittes, dafür wird auch deren Adresse angezeigt, aber wiederum keine Einträge gemacht. Erst wenn ich im iFrame auf Route oder auf die Rezessionen klicke werden auf google.com Einträge gemacht. (Bei der googlemaps-sache verwende ich die einfache embedded Funktion, die API wollte ich jetzt aufgrund der kompexitität nicht nutzen.)
    Jetzt ist die Frage: brauche ich einen Datenschutzhinweis und/oder Cookiehinweis?
    Oder kann ich die beiden Hinweise weglassen, Schreibe ein Impressum und mache einfach einen Link auf eine Externe Webseite wie zb. Googlemaps mit der Adresse?
    Ich hoffe ich bekomme da eine kleine Hilfestellung.

    Grüße Adrien

    • Ich bin kein Anwalt und deshalb ist dies auch keine Beratung.

      Eine Datenschutzerklärung braucht so gut wie jede Website, Businesswebsites IMMER.

      Allerdings ist es bei Cookies von Google Maps und Co. durch die Einbindung in die eigene Website nicht mehr mit einem Cookie-Hinweis in der Datenschutzerklärung getan. Stattdessen sollte man da die Einwilligung von jedem Nutzer vorher einholen, bevor man das einbindet.

      Wenn man stattdessen auf Google Maps verlinkt, sollte das kein Problem sein. Noch. Wer weiß, was die Datenschützer sich noch überlegen. Irgendwann haften wir sicher auch für jeden gesetzen Link, wenn das so weitergeht. 🙁

  7. Denkt auch an die neuste Regelung, dass die Buttons vom Cookie Hinweis die gleiche Farbe haben müssen und ggf. die einzelnen Cookie-Gruppen auch beschrieben werden. Sogar Google macht das ja auch.

    Beispiel, wie das meiner Erfahrung nach korrekt ist:
    zahnarzt-prodentis.de

Schreibe einen Kommentar