Website ohne Cookies und Tracking – DS-GVO-Anpassung Extrem-Beispiel

Website ohne Cookies und Tracking - DS-GVO-Anpassung Extrem-BeispielWenn die ePrivacy-Verordnung 2019 so kommt, wie sie aktuell geplant ist, steht man vor einer schweren Entscheidung. Will man weiterhin viele externe Services und Einnahmequellen nutzen, dann muss man vorher die Erlaubnis dafür von jedem einzelnen Besucher einholen oder alternativ die eigene Website ohne Cookies und Tracking betreiben.

Da ich keine Einwilligungen für alles mögliche einholen will und auch glaube, dass das 99% der Besucher eher nervt, als dass sie das toll finden, spiele ich mit dem Gedanken meine Websites ohne Cookies und Tracking-Pixel zu betreiben.

Deshalb habe ich testweise eine meiner Nischenwebsites schon jetzt komplett von Cookies und Tracking-Pixeln befreit.

Im Folgenden gehe ich Schritt für Schritt durch, welche Anpassungen ich auf dieser Websites vorgenommen habe, wo es Probleme gab und was ich davon halte.

Website ohne Cookies und Tracking – Warum?

Die DS-GVO, die am 25.Mai 2018 in Kraft tritt, hat nicht pauschal etwas gegen Cookies oder Tracking-Pixel. Es gilt zwar das Verbotsprinzip zum Sammeln von personenbezogenen Daten, und laut Gerichtsurteil gehört die IP-Adresse dazu, aber es ist auch eine Abwägung vorgesehen, welche die Interessen des Unternehmers (in diesem Fall des Website-Betreibers) berücksichtigt.

Deshalb muss man aktuell noch nicht so radikal sein und alles auf Opt-In umstellen. Allerdings muss man aber zumindest auf die Möglichkeit des OptOut hinweisen und die Möglichkeiten in der Datenschutzerklärung verlinken.

Es macht aber schon noch Sinn weiterhin Cookies einzusetzen. Google Analytics ist z.B. sehr nützlich und setzt einiges Cookies, genauso wie Google AdSense, was vielen Website-Betreibern gutes Geld bringt. Andere Einnahmequellen, vor allem Partnerprogramme, nutzen ebenfalls Cookies.

Also warum sollte man sich die Mühe machen auf Cookies und Tracking zu verzichten? Damit nimmt man ja Nachteile in Kauf.

[the_ad id=”18198″]

ePrivacy-Verordnung am Horizont

Mit der ePrivacy-Verordnung könnte 2019 eine nochmalige Verschärfung der Datenschutz-Anforderungen im Internet kommen. Die letzte mir bekannte Version dieser Verordnung war deutlich strenger als die DS-GVO und forderte immer ein Opt-In.

Das würde bedeuten, dass man einerseits für Analytics, AdSense, jedes Partnerprogramm und so weiter eine Checkbox einblenden müsste, was sehr nervig für die Nutzer wäre. Erst bei Zustimmung durch den Nutzer dürfte man diese Dinge dann auch aktiven, so dass sie Cookies setzen dürfen. Ähnlich würde es mit reinen Tracking-Pixeln aussehen.

Das hätte wohl zur Folge, dass viele Besucher diese Cookies nicht akzeptieren und die Services oder Einnahmequellen dadurch nicht mehr richtig funktionieren oder gar nichts mehr bringen. Ähnlich den Adblockern schon heute, die viele Banner ausblenden.

Man darf den Besuchern zudem den Zutritt nicht verwehren, wenn diese die Cookies nicht wollen. Meiner Meinung nach ist das ein zu starker Eingriff in die Freiheit der Berufsausübung. Aber gut.

Ob die ePrivacy-Richtlinie in der strengen Form aber überhaupt kommt, steht in den Sternen. Sonst wäre sie wohl parallel zur DS-GVO in Kraft getreten. Dennoch weiß niemand, was da genau in 2019 auf uns zukommt und so mache ich mir jetzt schon Gedanken über den Ernstfall.

Anpassungen an meiner Affiliate-Website

Um zu testen, wie eine Website auch ohne Cookies und Tracking-Pixel aussehen könnte, habe ich mir eine meiner Nischenwebsites genommen, und diese grundsätzlich an die DS-GVO angepasst, wie ich es in meiner Artikelserie beschrieben habe.

Darüber hinaus habe ich die Site jandia-fuerteventura.de aber noch weiter “optimiert” und die bisher gesetzen Cookies und Tracking-Pixel komplett entfernt. Auch Scripte und iFrames, die das Tracking der IP-Adresse grundsätzlich ermöglichen, habe ich rausgenommen.

Im Folgenden gehe ich auf die einzelnen Teilaspekte dieser Website genauer ein.

WordPress Einstellungen

Als erstes habe ich mir WordPress selber vorgenommen. Das CMS setzt teilweise eigene Cookies, wobei hier wohl gerade daran gearbeitet wird, dies besser konfigurieren zu können. Mal schauen, wann das kommt.

Plugins
Vor allem Plugins setzen teilweise Cookies oder tracken Nutzerdaten. Deshalb bin ich die installierten Plugins durchgegangen und habe alle deaktiviert, die kritisch sind.

Zudem habe ich geschaut, welche Plugins wirklich nötig sind und da auch noch das eine oder andere Plugin entfernt. Des Weiteren habe ich mir die Einstellung der Plugins angeschaut, da teilweise die Plugins bei bestimmten Einstellungen nicht datenschutzgerecht sind.

Alles in allem musste ich hier aber nicht viel machen, da meine Nischenwebsites sowieso nicht so viele Plugins nutzen.

Avatare und Kommentare
Auf jeden Fall deaktivieren sollte man die Nutzer-Avatare, da diese dafür sorgen, dass fremde Inhalte eingebunden werden. Das war bei mir aber nicht wirklich notwendig derzeit, da ich die Kommentare sowieso deaktiviert habe. Aber ich habe es dennoch gemacht, denn ich schließe nicht aus, dass ich die Kommentare später mal wieder aktiviere.

Zudem nutze ich auch keine Formulare auf dieser Website, so dass ich das Plugin WP GDPR Compliance auf dieser Website nicht benötige.

Emojis
Bei Emojis liest man viel. Von Einbindungen über einen fremden Server ist hier die Rede. Ich habe die automatischen Umwandlung von z.B. 🙂 in eine Emoji-Grafik versucht per Plugin und Code zu deaktvieren, aber sie wurden dennoch angezeigt. Deshalb habe ich einfach die Artikel und Seiten durchsucht und jegliche Emojis von Hand entfernt.

functions.php
Oft habe ich in der functions.php Zusatzcode drin, den ich dann ebenfalls hinsichtlich Cookie-Setzung etc. prüfe, aber bei dieser Site war da nichts drin.

Das ist übrigens keine gute Vorgehensweise, weshalb ich mittlerweile bei vielen Sites das Plugin Code Snippets nutze.

Google Fonts und andere Google Dienste

Als nächste habe ich mir Google vorgenommen, denn so gut wie jeder Website-Betreiber nutzt irgendein Service von Google. So auch ich. Die Google Services sind hinsichtlich der DS-GVO meist kein großes Problem.

Google Analytics
So muss man z.B. für Google Analytics einen AV-Vertrag mit Google abschließen und das Statistik-Tool ist dann weiterhin nutzbar. Allerdings mit Opt-Out Möglichkeit.

Da ich hier aber kein Tracking und keine Cookies möchte, habe ich alles entfernt. Statt Google Analytics habe ich das Statistik-Plugin Statify installiert, was keine Cookies setzt und auch sonst keine personenbezogenen Daten sammelt. Aber natürlich ist es sehr, sehr, sehr vereinfacht und zeigt lediglich die Aufrufe und die beliebtesten Artikel an. Ein wenig mehr könnte es meiner Meinung nach schon bieten, aber gut. Für eine Nischenwebsite reicht das eigentlich.

Website ohne Cookies und Tracking - DS-GVO-Anpassung Extrem-Beispiel

Google Fonts
Weiter ging es mit den Google Fonts, die mittlerweile in sehr vielen Themes automatisch integriert sind. Diese werden vom Google-Server geladen, der dadurch natürlich die IP des Nutzers tracken kann. Deshalb habe ich die benötigten Google-Fonts auf dieser Website ausgewählt, heruntergeladen und lokal eingebunden. Das ist kein Problem.

Nicht so einfach war es allerdings die standardmäßig integrierten Google Fonts aus dem Theme zu entfernen. Direkt in den Theme-Dateien etwas zu löschen ist keine gute Idee. Beim nächsten Theme-Update sind diese Änderungen verloren und die externen Google Fonts wieder da.

Das Plugin Autoptimize hat sich hier allerdings sehr bewährt. Es entfernt auf meinen Sites zuverlässig die externen Google Fonts.

Google Maps
Zudem habe ich aus ein paar Artikeln die Google Maps iFrames entfernt. Das war gerade auf dieser Reisen-Website eine schöne Sache, aber es geht auch problemlos ohne.

Google AdSense
Zuletzt wäre dann noch Google AdSense, aber dazu komme ich noch weiter unten bei den Einnahmequellen.

Weiteres externes Tracking

Zum einen habe ich den Zählpixel von Bloggerei.de entfernt. Das ist ein netter Service, aber nichts dramatisch wichtiges.

Die VG Wort Zählpixel habe ich auf dieser Site nicht drin. Allerdings wäre das wohl der einzige, den ich drin lassen würde. Schließlich ist dieser laut VG Wort (PDF) datenschutzgerecht und auf dessen Nutzung habe ich als Autor ein gesetztliches Anrecht. Aber ich wollte hier ja mal die Extrem-Variante zeigen. Auf meinen Blogs nehme ich den VG Wort Pixel aber natürlich nicht raus.

Mehr externe Tracking-Pixel etc. waren hier nicht eingebaut.

Bei meinem Hoster habe ich zudem noch das Tracking/Logging deaktiviert, so dass dort auch keine personenbezogenen Daten gespeichert werden.

Layout

In vielen WordPress-Themes gibt es externe Einbindungen von Grafiken oder verlinkte Scripte. Das habe ich natürlich ebenfalls geprüft. Oft werden z.B. über ein CDN solche Dinge eingebunden. Bei meinem Theme war das aber nicht der Fall, abgesehen von den Google Fonts, die ich weiter oben schon behandelt habe.

Nur meine selbst erstellten Wallpaper, die ich zum Download bereitstelle, hatte ich auf ein Google-CDN gelagert. Diese Bilder habe ich nun aber lokal auf meinen Server liegen und verlinkt.

Einnahmequellen

Kommen wir nun zu den Einnahmequellen, die auf solche Affiliate-/Nischenseiten mit am wichtigsten sind. Deshalb fallen die Einschränkungen hier wohl am schwersten.

Online-Rechner, interaktive Widgets, HTML-Banner und so weiter müssen deshalb raus, will man auf Cookies und Tracking verzichten. Dagegen können normale Textlinks und lokal gehostete Banner drin bleiben. Die Einbindung von Amazon-Produkten ist allerdings so eine Sache.

Advanced Ads
Ich nutze für die Einbindung von Bannern und Google AdSense das Plugin Advanced Ads. Das nutzt nur bei der Aktivierung bestimmter Pro-Funktionen Cookies, aber diese habe ich deaktiviert.

Entfernt habe ich vorerst Google AdSense von meiner Nischenwebsite, da dadurch viele Cookies gesetzt werden. Hier fällt es mir nicht schwer auf ein paar Euro zu verzichten. Bei anderen Websites oder Blogs wäre das schon schmerzhafter. Deshalb hoffe ich, dass an der Ankündigung was dran ist, dass Google an einer Cookie-losen AdSense-Variante arbeitet.

externe Bilder
Produkt-Bilder oder Affiliate-Banner von Partnerprogramm werden normalerweise über die Server des Partnerprogramms eingebunden. Da die IP-Adresse aber auch zu den personenbezogenen Daten gezählt wird, ist das ein Problem. Durch die externe Einbindung kann das Partnerprogramm zumindest die IP tracken.

Deshalb habe ich das eine oder andere Banner lokal gespeichert und auf diese Weise eingebunden. Das ist dann kein Problem mehr. Übrigens habe ich hier auch in die Widgets geschaut, da ich dort gern solche Partnerprogramm-Codes einbaue. Das darf man nicht übersehen.

Scripte / iFrames
Entfernt habe ich zudem die Online-Rechner vom Check24 Partnerprogramm. Die sind schon nett und kommen sicher gut bei den Nutzer an, aber natürlich werden durch diese iFrames wieder Daten gesammelt.

Also habe ich ganz normal mit Affiliatelinks auf diese Vergleichsformulare verlinkt.

Amazon Produkte
Zu guter Letzt stand ich noch vor der Frage, was ich mit den Amazon Werbemitteln mache. Ich habe auf jeden Fall alle Amazon-eigenen Widgets entfernt, da diese natürlich Tracking-Pixel enthalten bzw. auf iFrames basieren.

Ich nutze nur noch das Affiliate-Plugin AAWP, was auf jeden Fall die Cookie-Setzung verhindert. Allerdings werden hierbei auch die Produktbilder über den Amazon-Server eingebunden. Amazon erlaubt aber auch keine lokale Speicherung der Bilder.

Dennoch wollte ich auf die Produktbilder nicht verzichten und habe hier deshalb eine kleine “Tracking-Lücke” gelassen.

Social Media

Die eEmbed-Funktion ist eigentlich was sehr schönes bei WordPress. Man baut einfach eine URL von z.B. YouTube oder Twitter in den Text ein und WordPress wandelt diese automatisch um, so dass man den eingebetteten Tweet oder das YouTube-Video sieht. Leider funktioniert diese automatische Einbindung über iFrames, so dass hier wieder das Cookie- und Tracking-Problem entsteht.

Diese Einbindung ist auch jetzt schon problematisch. Wer auf diese Weise z.B. was von Facebook einbindet, der verstößt gegen Datenschutzbestimmungen.

Deshalb gibt es die Möglichkeit entweder oEmbed komplett zu deaktivieren, wofür es genügend Plugins gibt. Oder man baut diese URLs manuell aus. Ich habe letzteres gemacht, denn ich will mir die Möglichkeit offen lassen in Zukunft zumindest YouTube-Videos auf diese Weise einzubauen. Man kann sehr einfach die Cookie-Setzung von YouTube verhindern, was aber immer noch das IP-Tracking als Problem bestehen lässt.

Ich hatte nur ein paar eigene YouTube-Videos drin und diese habe ich nun ganz normal per Textlink verlinkt.

Cookie Hinweis

Zu guter letzt gab es nur noch ein externes Script, welches eingebunden war. Es handelte sich um die Cookie Consent Bar, welche angezeigt wird, um den Besucher über den Einsatz von Cookies zu informieren und einen Link zur Datenschutzerklärung enthält.

Da ich aber alle anderen Cookies entfernt habe, habe ich nun auch die Cookie Consent Bar rausgenommen. Diese ist einfach nicht mehr notwendig.

Ist meine Nischenwebsite damit Cookie- und Tracking-frei?

Testen

Ich habe getestet, ob ich alles erwischt habe. Zum einen habe ich mir genau den Quellcode angeschaut und auch mit dem Browser-Plugin Ghostery alle Seiten selber gecheckt. Da wurden mir keine Cookies mehr angezeigt.

Zum anderen habe ich das Online-Tool von dataskydd.net genutzt, welches unter anderem prüft, ob Cookies gesetzt werden. Und das Ergebnis war ebenfalls positiv.

Website ohne Cookies und Tracking - DS-GVO-Anpassung Extrem-Beispiel

Zu guter Letzt habe ich auch noch CookieBot “drüber schauen” lassen. Man kann damit kostenlos kleinere Websites testen. Auch da war das Ergebnis erfreulich.

Website ohne Cookies und Tracking - DS-GVO-Anpassung Extrem-Beispiel

Unter dem Strich habe ich mein Ziel also zu fast 100% erreicht. Cookies werden keine mehr gesetzt und bis auf die Amazon-Produktbilder gibt es auch keine externen Grafik-Einbindungen mehr. Scripte und iFrames habe ich sowieso alle entfernt.

Damit sollte diese Nischenwebsite auch nach ePrivacy-Gesichtspunkten ziemlich sicher sein.

Ist eine Website ohne Cookies und Tracking sinnvoll?

Aktuell ist es, wie oben erwähnt, noch nicht nötig die eigene Website so extrem umzubauen. Und es ist auch nicht sinnvoll.

Google Analytics bringt viele interessante Einblicke, die einem dabei helfen, die Website zu optimieren. Google AdSense sorgt für Einnahmen, die neben dem Affiliate Marketing ein weiteres Standbein sind. Online-Rechner von Partnerprogrammen sind ebenfalls sinnvoll und steigern die Conversion-Rate.

Aber wenn die ePrivacy-Richtlinie wirklich so streng wird und ich für alles erstmal eine Erlaubnis brauche, dann schreckt das viele Nutzer ab. Im Extremfall wäre so eine Cookie- und Tracking-freie Website für mich also schon vorstellbar und anhand dieses Beispiels weiß ich nun, dass die Umsetzung nicht so schwierig ist.

Was haltet ihr davon? Falls die ePrivacy-Verordnung in der strengen Form kommt, setzt ihr dann auch auf so eine Lösung ohne Cookies und Tracking oder holt ihr lieber die Einwilligung der Nutzer ein?

Ich werde die Entwicklung meiner Nischenwebsite auf jeden Fall weiter verfolgen und mir anschauen, welche Auswirkungen die Änderungen ggf. haben. Darüber berichte ich dann natürlich hier im Blog.

Peer Wandiger

52 Gedanken zu „Website ohne Cookies und Tracking – DS-GVO-Anpassung Extrem-Beispiel“

  1. Ich bin gerade dabei meine sämtlichen Nischenseiten dahingehend umzubauen, dass sie komplett ohne Cookies funktionieren und keinerlei Daten gesammelt werden. Gerade auf meinen Nischenseiten setze ich nur Amazon als Partnerprogramm ein, so dass es recht leicht ist eine Cookie-lose Webseite hinzubekommen.

    Sicherlich ist das nicht für jede Webseite sinnvoll. Da wo ich Adsense einsetze lassen sich Cookies aktuell nicht vermeiden.

    Aber warum soll man nicht jetzt schon Dinge vermeiden, die man eigentlich ja nicht wirklich braucht?

    Antworten
  2. Ich setzte schon lange keine Cookies mehr. Problematisch sind aus meiner Sicht aber nach wie vor Videos von Youtube und Vimeo. Zwar hat mir Vimeo bestätigt, dass sie derzeit an der Anpassung (GDPR) arbeiten, aber das hat erstmal nichts mit der ePrivacy-Verordnung zu tun, die einfach nur absurd daherkommt. Das Ding ist halt, dass Nutzer inzwischen eben Videos erwarten. Selber hosten wird aber schnell zum Problem. Nichts ist nerviger als Videos von Websites, die dann nicht so schnell und gut starten wie YouTube, das ist aber teuer und komplex.

    Was mir bei der ePrivacy-Verordnung ebenfalls sauer aufstößt, ist genau das was du bemängelst. Ja oder Nein gibt es nicht. Auch wenn jemand Nein sagt, soll er Zugriff erhalten. Das ist SO eigentlich nicht möglich. Du müsstest ja iwas programmieren, um sämtliche Inhalte, die Cookies setzten, auszublenden. Klar geht das, aber ich bitte euch… das kann doch nicht deren Ernst sein.

    Fazit: Klingt wieder wie etwas, was sich Krawattenmenschen ausgedacht haben, für die das Internet immer noch Neuland ist. Das ist alles so realitätsfremd und absurd… Oder anders gesagt: Die Politik hat seit 5-10 Jahren verschlafen, Onlinedienste entsprechend zu regulieren und auf genau SO ETWAS zu achten und jetzt plötzlich kommen sie mit dem Holzhammer, was jeden kleinen Webmaster wieder vor enorme Schwierigkeiten stellt.

    Antworten
    • Das ist ja leider immer wieder das Problem. Da werden Entwicklungen verschlafen und dann versucht man mit einer Hau-Ruck-Aktion alles wieder aufzuholen bzw. besser zu machen.

      Im Grunde macht man es, wie hier wieder zu sehen, eigentlich nur viel schlimmer. Denn letztendlich entscheidet jeder Besucher selbst, ob er die Webseite sehen will oder nicht.

      Prinzipiell könnte man da schon als Einverständnis zur Verarbeitung seiner Daten werten. (mal überspitzt formuliert)

      Antworten
  3. Hallo Peer,

    Du schreibst, dass Du die Amazon-Produktbilder weiterhin nutzen möchtest. Mich würde interessieren, wie der Hinweis dann in der Datenschutzerklärung auszusehen hat. Wirst Du lediglich da reinschreiben, dass Du im Rahmen der Partnerschaft die Produktbilder von Amazon verwenden darfst und die Nutzung der externen Bilder die IP-Adresse des Besuchers an Amazon übermittelt? Wie stellst Du dir das vor?

    Bitte um eine Antwort. Danke!

    Antworten
    • Das so in etwa. Ich werde das dann mit einem Generator machen und die entsprechende Vorlage nutzen. Sobald ich das gemacht habe, schreibe ich da sicher noch etwas dazu.

      Antworten
      • Hallo Peer, danke für deinen Artikel!

        Hast du schon etwas zu den eingebundenen Amazon-Produktbildern (per API) in die Datenschutzerklärung deiner Nischenseiten hinzugefügt? Habe dazu noch nichts gefunden.

        Ich selbst frage mich auch, ob dies datenschutzkonform ist, weil ja die IP-Adressen an Amazon übermittelt werden. Die Bilder einfach herunterladen und selbst auf der Nischenseite lokal hochladen ist doch nicht erlaubt oder? Bin mir hier auch nicht wirklich sicher…

        Antworten
        • Ich überlege gerade, wie ich den Abschnitt zum Amazon Partnerprogramm neu formuliere. Ich nutze nur noch das Plugin AAWP und das hat seit ein paar Tagen einen Proxy integriert. Das bedeutet, dass auch die Bilder nicht direkt vom Browser des Nutzers geladen werden, sondern über den Server. Damit wird auch die IP-Adresse des Nutzers nicht am Amazon übertragen. Mit dem AAWP Plugin werden also überhaupt keine Daten mehr zu Amazon übertragen oder Cookies gesetzt. Erst wenn jemand darauf klickt und dadurch zu Amazon gelangt, werden dort Daten gesammelt und Cookies gesetzt, aber das ist ja ganz normal.

          Antworten
  4. Datenschutz ist sicher richtig und wichtig.

    Aber das Länder wie Österreich (und ich glaube auch ein skandinavisches) der DSVGO schon ‘die Zähne ziehen’, bzw. sie abschwächen, zeigt, das man da mal wieder meilenweit übers Ziel hinausgeschossen ist.

    Und es zeigt auch mal wieder, das die deutsche Regierung an allem interessiert ist, nur nicht daran, die Gängelung ihrer im Internet tätigen Bevölkerung zu minimieren. Stattdessen sollen sich die Gerichte – die ansonsten wohl eh nicht viel zu tun zu haben scheinen – das in Jahrelangen Prozessen regeln.

    Stichwort Neuland – man scheint auch keine Lust zu haben, hier dazuzulernen

    Antworten
    • Das macht mir derzeit auch viele Sorgen. Die Digitalisierung wurde verschlafen und es ist auch keine Besserung oder Einsicht vorhanden… es wird genau so idotisch weitergemacht (bzw. eben nichts gemacht) wie bisher. Das wird uns noch das Genick brechen, in den nächsten Jahren. Die EU hat das auch nicht wirklich besser oder einfacher gemacht, im Gegenteil.

      Antworten
  5. Gilt diese Geschichte für alle Websiten oder nur kommerzielle?
    Dein Artikel ist sehr gut aber ich betreibe meine Website so nebenbei und das macht schon genug Arbeit und solche Regulierungen. Stimme David zu. Irgendwer der keine Ahnung von der Materie hat, hat sich das ausgedacht…

    Antworten
    • Wer Daten sammelt, musste bisher auch schon eine Datenschutzerklärung mit allen Informationen für die Nutzer habe, egal ob privat oder kommerziell.

      Das ändert sich durch die DS-GVO nicht.

      Antworten
  6. Ich gehe den gleichen Schritt wie hier in dem Beispiel. In Zukunft kommen alle Cookies raus und alles was IP übertragt (YouTube, Fonts) wird auch entfernt. Dadurch wird die Webseite zwar “ärmer” aber ich habe einfach keine Lust mehr jedes Jahr einen Haufen Arbeit in Anpassungen zu stecken.

    Antworten
    • Das hängt vom Hoster ab. Bei All-Inkl.com und DomainFactory geht das direkt in den Einstellungen. Bei Mittwald reicht es z.B. den Ordner Stats zu löschen. Am besten direkt mal beim eigenen hoster nachfragen.

      Antworten
  7. Ich denke die Unternehmen werden das schon durch Lobbyarbeit abschwächen können.
    Und wie Peer schon angedeutet hat geht es langsam gegen die freie Ausübung von Berufen.

    Antworten
  8. Wer seine Seite hauptsächlich im Sinne der Nutzer aufbaut sollte auch schon bisher möglichst wenig Daten erhoben haben. Der allgegenwärtige Cookie-Warner nervt schon lange. Die DGSVO hilft vielleicht dem ein oder anderen sich auf das Wesentliche zu konzentrieren. Meine Seite hat schon lange keine Cookies mehr und im Header ist der Referrer of “no-Referrer” gestellt – auch wenn das noch kein W3C-Standard ist. (Das Thema fehlt vielleicht im Artikel noch 😉 )

    Antworten
    • Ich finde deine “wer sich auf die Nutzer konzentriert, braucht keine Cookies” ziemlich einseitig. Google Analytics hilft mir z.B. sehr herauszufinden, welche Inhalte Nutzer sehr gut fangen, wie lange diese die Artikel lesen usw.. Damit kann ich sehr gut meine Inhalte noch besser für die Nutzer machen.

      Ich stimme dir zu, dass die DS-GVO dazu anhält, sparsam beim Daten sammeln zu sein. Das heißt aber nicht, dass 0 Daten die beste Lösung sind, weder für die Nutzer, noch für den Betreiber der Website.

      Antworten
      • Hallo Peer, bitte lese doch noch einmal meinen Kommentar. Du hast hier ein Zitat erfunden, dass ich nicht geschrieben habe. Du stellt aus meiner Aussage “Wer seine Seite hauptsächlich im Sinne der Nutzer aufbaut sollte auch schon bisher möglichst wenig Daten erhoben haben.” und einer zweiten Aussage “Meine Seite hat schon lange keine Cookies mehr” einen Zusammenhang her, den ich nicht geschrieben habe. Das ist alleine Deine Interpretation, vielleicht Deine eigene einseitige Interpretation? 😉

        Antworten
        • So hatte ich deinen Kommentar zumindest verstanden. Sorry, wenn ich da zu viel hinein interpretiert hatte.

          Ich stimme dir voll zu, was die Konzentration aus das Wesentliche betrifft. Die DS-GVO sensibilisiert auf jeden Fall. Dennoch schränkt sie auch sehr stark ein und man wird als Website-Betreiber doch sehr stark in seinen Möglichkeiten beschnitten. Leider unterstellt einem die Politik, dass gesammelte Daten generell missbraucht werden. Das ist doch aber meist gar nicht so. Lediglich große Big Data Anbieter tun das, und alle müssen es ausbaden.

          Antworten
        • Immerhin bin ich auf diese Seite hier durch Zufall gestossen, weil ich einfach nur etwas OHNECOOKIES gesucht habe ^^
          weil man kaum noch im Internet vernünftig recherchieren kann. Diese Cookieseiten, die sich überall einblenden, wenn man MAL EBEN etwas nachschauen möchte nerven abgrundtief. Überall.
          Google ist seit 2018 unbetretbar, da man die Cookieeinstellung nicht mit 1bis 2 clicks ausstellen kann, sondern genötigt wird Drittanbieter für Drittanbieter abzugrasen, dh. :Diese abturnende Cookiestalking-seite, die eigentlich aufgrund von Google, Facebook, Yahoo, Youtube usw entstanden ist, genau diese Unternehmen halten sich eh immer noch nicht dran, auch im Dezember 2020 nicht!
          Sämtliche Seiten von deutschen Unternehmen kann man aber nicht ohne Wut im Bauch öffnen, bis auf vill noch real. de und shopdeutschepost da man sofort ‘alles ablehnen’ kann, sowie es sich gehört.

          Diese Entwicklung ist doch krank. Die sollen das Profiling der amerikanischen Firmen hier in Europa verbieten oder eigene Plattformen erfinden und endlich ist Ruhe im Karton.

          Antworten
  9. Wenn die Verordnung in dieser strengen Form kommt, werde ich auch alles entfernen. Und im zweiten Schritt, werde ich alle Seiten von Behörden, alle Seiten von Unternehmen, in denen Politiker mit drin sind, abmahnen lassen, die sich nicht an die DSVGO und ePrivacy halten.

    Antworten
  10. Naja… Peer… du hattest anscheinend den richtigen Riecher denn, die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) gaben am letzten Donnerstag eine Stellungnahme zu der Cookie Problematik in Verbindung mit der DSGVO raus, in welcher nun aufgeführt ist, dass fast alle Cookies schon ab dem 25.5.2018 und nicht erst mit der ePrivicy 2019 nicht mehr sein dürfen… insofern alles richtig gemacht!

    Antworten
    • Ja, habe ich auch gelesen. Allerdings ist das erstmal nur eine Stellungnahme, aber damit ist noch lange nicht gesagt, dass das Gerichte auch so sehen. Datenschützer zu Cookies zu befragen, ist ungefähr so, als ob man Veganer zum Fleischkonsum befragt. Natürlich sehen die Datenschutzbehörden das sehr streng. Ich gehe aber davon aus, dass Gerichte das schon eher so auslegen werden, wie das bisher auch die meisten Juristen gesehen haben. Dennoch kann es nicht schaden sich auch auf ein mögliches Komplett-Verbot einzurichten.

      Antworten
  11. Das wirkt jetzt wie Internet in Nordkorea. Völlig irre Politik: Überwachungskameras auf öffentlichen Plätzen, Vorratsdatenspeicherung, aber die Kleinen mit der TOALEN BÜROKRATIE tyrannisieren. Natürlich kann man auch so die aufkommende Europafeindlichkeit fördern. Völliges Politikversagen, mit Datenschutz hat das wenig zu tun.

    Antworten
  12. Wenn das nicht so traurig wäre, hätte diese ganze Geschichte auch direkt vom http://www.der-postillon.com sein können.
    Ich schließe mich da meinen Vorrednern an. Ich habe da auch den Eindruck erst wird alles verschlafen und dann mit dem Holzhammer schnell durchprügeln.

    Willkommen im Neuland. Oder doch eher in der digitalen Steinzeit?

    Aber gut, vielleicht ändert sich bis es soweit ist ja noch etwas.

    Antworten
  13. Haben Sie schon Erfahrungen mit Einnahmen gemacht, wenn alle Cookies inklusive Adsense weg sind? Ich habe es für einen Monat lang ausprobiert und habe kaum mehr etwas verdient, da viele Elemente weggefallen sind, und ich denke, zahlreichen News- und Unterhaltungsportalen wird es so ergehen, aber vielleicht liege ich ja falsch.

    Antworten
    • Sagen wir es mal so. Wer derzeit alle möglichen Einnahmequellen nutzt, die massiv Cookies setzen, der wird sicher Einbußen haben.

      Wer allerdings bisher schon auf solche Widgets eher verzichtet, die viele Cookies setzen und stattdessen eher auf Text-Affiliatelinks und z.B. Dritt-Plugins ohne Cookie-Setzung setzt, der wird wohl nicht viel merken.

      Es hängt also stark davon ab, wie man bisher vorgegangen ist.

      Antworten
      • Hallo Peer,
        kannst du verraten, wie sich der Umsatz der Seite entwickelt hat? Ist er prozentual gesunken oder konstant geblieben?

        Antworten
        • Ich habe alle meine Nischenseite mittlerweile so angepasst und konnte keine negativen Auswirkungen auf die Einnahmen feststellen. Es ist aber nach knapp 2 Monaten auch noch nicht endgültig zu beurteilen.

          Antworten
  14. Ich bin da leider sehr blauäugig und frage mich nun, wie müsste denn eine Seite aussehen wenn mann für alles eine Einwilligung benötigt.
    Wäre dann die Seite mit Popups für jeden affiliate-, adsense- und analytics-cookie und bildeinbindungen etc. zugepflastert?
    Hat da schon mal jemand ein Beispiel gemahct (vielleicht auch nur mit photoshop)?

    Antworten
    • Im Grunde ja. Man müsste eine Vorschaltseite laden, damit noch gar keine Cookies gesetzt werden. Dann müsste man für jedes einzelne Cookie eine Info habe und eine Checkbox. Und dann dürfte man nur die laden, denen zugestimmt wurde. “Wunderbare neue Internet-Welt”

      Antworten
  15. Das würde dann ja bedeute, dass ein Besucher, der nicht zustimmt, diese Zustimmungsseite bei jedem weiteren Seitenaufruf zu sehen bekommt, da ja in dem Fall auf cookies verzichtet wird. Erinnert an die Anfangszeiten des Web, als Du jeden einzenen Cookie in Netscape wegklicken durftest:)

    Kurze Frage noch Peer: Du verwendest seit Kurzem unter den Kommentareneine Einwilligungs-Checkbox für Datenspeicherung und vErarbeitung bei Kommentaren.
    Ist das ein besonderes Plug-In und wie wird die einwilligung gespeichert?

    Antworten
    • Im Grunde nicht, denn auch die Nicht-Einwilligung muss gespeichert werden und in Zukunft kann der Nutzer ganz normal auf die Website, nur dass keine Cookies gesetzt werden dürfen.

      Ich nutze das Plugin WP GDPR Compliance für die Checkbox bei Kommentaren. Die Einwilligung (Datum und Uhrzeit) wird dann beim Kommentar im Admin angezeigt.

      Antworten
  16. So, und jetzt gibt es noch die Fraktion, die sagt, dass, sowie man WordPress nutzt, Session-bedingte Cookies gesetzt werden und man (mit “man” meinen diese Autoren jeden Webseitenbetreiber) ab dem 25.5. einen Cookie-Hinweis setzen muss — immer! (Für meinen Teil bin ich noch nicht umfangreich mit den technischen Aspekten vertraut)

    Dann meint manch einer, dass die DSGVO lediglich den Hinweis zu solchen Cookies verlangt, welche nicht unbedingt notwendig wären, sprich: Werbe-Cookies zum Beispiel.

    Sagt mir der Geist oben rechts oder dataskydd.net, dass meine Nischenseite cookiefrei ist, kann ich dann auf den Hinweis verzichten oder nicht? Ich finde diesen Hinweis nämlich recht lästig und würde für meine Besucher gerne darauf verzichten.

    Diese DSGVO lässt einen Laien analysieren und abwägen wie ein Anwalt, ohne dass man dabei auf gefällte Gerichtsentscheidungen bauen könnte, was die Sache zusätzlich erschwert.

    CDNs grundsätzlich verboten oder berechtigtes Interesse? Die zwei Seiten Datenschutzerklärung von eRecht24 oder die 17! von der DGD? Nur Netzwerk-Brute-Force-Schutz abschalten oder komplett darauf verzichten? Freilich gibt es überall die rechtlich sicherste Variante, aber erstens würde ich mich gerne endlich wieder um Conversion und Co. kümmern und zweitens geht das dann halt meist nur mit funktionellen Einbußen oder einem technischen Aufwand, den nicht jeder ökonomisch vernünftig abhandeln kann.

    Abgesehen davon ein Dankeschön an Peer. Deine schnörkellosen und praxisnahen Artikel waren und sind eine große Unterstützung beim Start in die und beim Rechtsstudium während der Selbstständigkeit.

    Antworten
    • Viele, viele Fragen und leider kann ich dir da auch nicht bei allen eine definitive Antwort geben. Es ist halt aktuell so, dass die DS-GVO in vielen Dingen unterschiedlich ausgelegt wird und erst Urteile hier Klarheit schaffen werden.

      Session-Cookies, die auch nach dem Besuch wieder gelöscht werden, sind kein Problem nach meiner Meinung (und ich bin kein Anwalt). Zudem sind sie zum Betrieb von WordPress aktuell notwendig, so dass ich damit keine Probleme habe.

      Viele spekulieren, dass der Hinweis (Cookie-Bar) tatsächlich nicht mehr notwendig sein könnte, aber sicher ist sich hier auch keiner. Google hatte diese ja bei Google AdSense als einer der ersten verlangt. Da ich aber AdSense zum 25.5. ausbauen werde, entferne ich wahrscheinlich auch das Cookie Banner.

      Bei CDNs ist es auch nicht klar, wie genau damit umgegangen wird. Solange keine Daten gesammelt und keine Cookies gesetzt werden, sollte es eigentlich kein Problem sein. Aber wer kann das bei amerikanischen CDNs schon garantieren?

      Die kostenpflichtige Datenschutzerklärung von e-recht24.de ist auch deutlich länger als 2 Seiten. Die kostenlose Version spuckt da aktuell meiner Meinung nach noch etwas veraltetes aus. Aber da erzeugt jeder Generator sowieso was anderes.

      Unter dem Strich kann man nur versuchen alles möglichst passend hinzubekommen. Abmahnwellen wird es, wenn überhaupt, wohl erst nach Gerichtsentscheidungen geben, wenn bestimmte Verstöße ganz klar sind. Man sollte also nach dem 25.5. auf jeden Fall genau verfolgen, ob und welche Entscheidungen es da gibt.

      Antworten
  17. Hallo Peer, das ist ja alles ein ganz schönes Wirr-Warr, finde ich aber sehr gut aufgearbeitet und umgesetzt von dir. Toller Artikel.

    Eine Frage habe ich noch bezüglich des Amazon-Partnerprogramms: Wie sieht es denn mit den Cookies aus, die gesetzt werden, wenn ein User auf ein Affiliate-Link von mir klickt? Das Cookie wird ja dann erst auf Amazon selbst gesetzt. Muss ich den User im Vorfeld auch darüber informieren, oder auf meiner Webseite eine Option anbieten, dass der Affiliate-Klick auch ohne Cookie möglich ist? (Das ich also nichts daran verdiene, falls eine Bestellung kommt? Oder ist das Sache von Amazon, weil der Cookie kommt ja nicht direkt von mir?) Dazu finde ich irgendwie noch nichts im Net und bin unschlüssig, inwieweit Affiliate-Marketing überhaupt noch funktioniert.

    Beste Grüße!

    Antworten
    • Also meiner Meinung nach, ich bin kein Anwalt, spielt das für die eigene Website keine Rolle. Durch den Klick gelangt die Person zu Amazon und dort wird erst der Cookie gesetzt. Damit geht die Verantwortung zu Amazon über.

      Amazon setzt ja sowieso Cookie, ob der Besucher über einen Affiliatelink kommt oder nicht.

      Im Vorfeld muss man meiner Meinung nach niemand informieren. Sonst müsste man das ja bei jedem externen Link machen. Dann könnte man das Netz abschalten.

      Antworten
  18. Hallo Peer,

    ich habe meine Webseite inspiriert von Deinem Beispiel auch komplett Tracking und Cookie- Frei bekommen. (Bis auf den WordPress Cookie)
    Habe dazu auch einen umfangreichen Blogbeitrag verfasst was ich genau gemacht habe.
    Sollte für alle Firmenpräsentationen keine Schwierigkeit sein, hart ist es natürlich wenn man davon direkt lebt, hier hoffe ich, das die e-privacy Verordnung nicht so ausfällt wie geplant.

    Gruß
    Lars

    Antworten
  19. Hallo Peer,

    in der Datenschutzerklärung deiner Nischenseite (jandia-fuerteventura.de) steht immer noch der Punkt “3. Datenerfassung auf unserer Website – Cookies”, obwohl du ja keine Cookies auf dieser Website setzt.

    Ich habe neulich in einer Facebook-Gruppe gelesen, dass man nur das in die Datenschutzerklärung einfügen soll, was man auf der Website auch wirklich nutzt, ansonsten ist dies laut Anwälten (so die Meinung der Leute in der Gruppe) auch abmahnbar, da es sich um “Irreführung” handelt.

    Wie siehst du das persönlich? Ich selbst setze auf all meinen Nischenseiten keine Cookies mehr, könnte man dann einfach in die Datenschutzerklärung beim Punkt “Cookies” hinschreiben “Es werden keine Cookies gesetzt.”, sowie du es bei der Kommentarfunktion auch getan hast?

    Ich würde mich über eine Antwort freuen, vielen Dank! 🙂

    Antworten
  20. Hallo,

    erstmal sehr großen Dank an dich für diese Mühe!

    Durch deine Recherche und zusätzlich eigener hab ich es für meine Fotografie-Webseite geschafft, komplett Cookie-Third-Party-Request frei zu werden, ohne dass ich an Funktionalität eingebüßt habe.

    Durch meine eigene Suche hab ich selbst ein paar Hinweise entdeckt, die vielleicht ganz nützlich für dich sind:

    1) Referers leaked: Der rote Regenschirm bei Webbkoll.dataskydd hat mich fast zur Verzweiflung gebracht, da ich meinen http-Header in meinem Theme ums Verrecken nicht bearbeiten konnte. Dann hab ich aber folgendes Plugin für WordPress entdeckt: http headers
    Das Tool ist extrem mächtig. Es lässt nicht nur Referrer Policy zu, sondern alles von Cross-Scripting, http authenticate, HSTS preload bis content security policy. Damit hab ich bei meiner Seite fast alle Sicherheitslücken aufräumen können. Der Regenschirm ist jetzt endlich grün 🙂

    2) Google Analytics: Es gibt die Alternative Mamoto, oder was ich nutze: Statify. Beide arbeiten ohne Cookies, geben aber trotzdem gute Analyse-Werkzeuge an die Hand.

    3) Google Fonts: Bei mir haben weder Disable Google Fonts oder Autoptimize was genützt. Die Fonts waren zu tief in mein Theme eingebettet. Was aber anstandslos bis jetzt für alle meine Themes funktioniert hat, war Remove Google Fonts References. Seitdem alles clean!

    4) Auch bestimmte Kontaktformulare setzen Cookies. WPForms Lite ist aber eine Ausnahme. Hat mir weitergeholfen!

    Ich hoffe, dass das nützliche Hinweise waren und wünsche dir eine schöne Woche,
    Andreas Buder

    P.S.: Ich nutze für Kommentare auf Webseiten Wegwerf-Mailadressen, da es ungemein hilft, den Spam zu reduzieren. Ich hoffe, das ist in Ordnung. Sie ist noch zwanzig Tage aktiv und wird auf meine Hauptmail weitergeleitet.

    Antworten
  21. Hallo

    Viel viel Arbeit durch DSGVO und die ePrivacy-Verordnung für Webseitenbetreiber. Wer seinen Lebensunterhalt mit seinen Seiten verdienen will ist verdammt dazu sich da durch zu arbeiten. Aber für die tausenden Web- und Blogseitenbetreiber, wie z.B. ich, ist es eher eine Qual und man muss sich überlegen ob es den Aufwand lohnt. Ich habe angefangen die Bestimmungen laut der DSGVO für meine Blogs umzusetzen, da ich auch Werbebanner (Amazon und von einem Affiliatenetzwerk) auf den Blogs hatte. Die flogen als erstes aus den Blogs, dann erstmal Kommentare entfernt und einiges mehr gemacht. Es wurde mir dann aber schlichtweg zuviel und der Aufwand rechtfertigte den nutzen in keinster Weise. Also Stecker gezogen und alle Blogs (zum Teil 10 Jahre alt) aus dem Netz entfernt.

    Die wenigsten werden es nur auf Nutzerdaten abgesehen haben, vor allem die Bigplayer im Netz aber die gea……ten sind vor allem die kleinen Seitenbetreiber. Ich kenne nun einige die ihre zum Teil langjährigen Seiten deswegen entfernten/löschten.

    Was die Politik wollte und was sie macht, sind da mal wieder zwei paar Schuhe, wobei ich nicht glaube das sie das nicht vorhergesehen haben. Es wird ersteinmal weniger viel falt im Netz geben und ich persönlich werde jede Webseite meiden die mich mit irgendwelchen abfragen nervt.

    Antworten
  22. Hallo Peer, ich habe Statify auf zwei WP-Sites im Einsatz. Was das Plugin an Resultaten liefert, sehe ich mit Skepsis. An manchen Tage gibt es etwa extreme Ausschläge, die Bot-Traffic vermuten lassen.

    Aber was für mich gar nicht geht, ist der Einsatz von Statify zusammen mit einem Caching-Plugin (bei mir Cache Enabler). Für diesen Fall bietet Statify eine Zählmethode mit JavaScript.

    Gezählt wird dann allerdings fast gar nichts. Was bedeuten kann: Es schaut tatsächlich niemand vorbei. Oder ich habe hauptsächlich Besucher, die Skriptblocker verwenden. Oder Statify liefert mit der JavaScript-Methode bei aktiviertem Caching einfach keine brauchbaren Ergebnisse. Ich vermute Letzteres.

    Hast du, dieser Artikel ist ja älter, andere Erfahrungen gemacht?

    Antworten
  23. Nun ist ein neues Urteil raus, am 01.10.19, das alles noch einmal verschärft und bestätigt. Eine echte Lösung gibt es nicht. Es bleibt nichts anderes übrig als so zu arbeiten, wie hier beschrieben. Ich habe nun WordPress Good Bye gesagt und mir wieder ein Programm für den Rechner gekauft, das mir die volle Kontrolle gibt. Das geht auch. Man sollte nicht in Panik verfallen, denn die Industrie wird reagieren. Wer das ganze Verfolgen der User eingeführt hat, wird auch eine Lösung finden. Und wer weiß, vielleicht wird dann alles noch besser und weniger nervig.

    Antworten
  24. Da es ja rechtlich unklar ist ob der User erst die Site besuchen darf wenn er Cookies Ja geklickt hat oder ob er die Website benutzen kann und unten den Hinweis Cookies Ja klicken kann wennb er will, ist es für Abmahnanwälte eine neue tolle Einnahmequelle. Würde jemand einen guten Einfall für ein Design haben, wo der besucher halt einen Klick mehr macht ohne über die Regel “Dont make me think” zu stolpern, würde einem kreativen Abmahnanwalt sicher wieder etwas neues einfallen. Deshalb wäre es an der Zeit die technische Herausforderung anzunehmen ein Plugin zu entwickeln Cookies zu 100 % vorher zu killen. Ob das technisch geht weiß ich nicht. Wenn nicht müssen wir warten bis die ganze normale User Welt weiß, daß durch den Klick nichts böses passiert und man sich daran gewöhnt hat, daß man halt bevor man was sieht nochmal klicken muß. Allerdings werden wir Deutschen benachteiligt, weil es z.b keinen spanischen Mitbewerber (u.a.Länder) am Arsch kratzt ob für einen Cookie eingewilligt werden muß, er erfüllt die Anforderung einfach nicht. Und Abmahnungen werden in Spanien sowieso nicht bezahlt also wird von Seiten der Abmahnanwälte nicht abgemahnt. Es ist ja nichts zu holen. Ergebnis: Wettbewerbsnachteil für die Deutschen. Herzlichen Glückwunsch.

    Antworten
  25. Vielen Dank für diese Infos. Ich bin Arzt und war schon hilflos auf der Suche nach jemandem, der mir meine Praxis-Webseite ohne jegliche Verfolgung der interessierten Benutzer /Patienten umbaut. Selbst die offiziellen Datenschutzbeauftragten tun sich schwer hier etwas zu empfehlen.
    Wie kann ich meinen Provider 1&1 dazu bringen nur das wirklich Notwendige möglichst kurz zu speichern. Wie war das doch gleich mit dem Telekommunikationsgesetz und der Pflicht der Betreiber vorsorglich IP-Adressen zu speichern, falls mal ein Terrorist drunter war?

    Antworten
  26. Mich würde interessieren, was passiert wenn du nur die HTML-File von Google Search Console hochlädst. Zählt das dann? Oder ist es “erlaubt”? Und du setzt keine Cookies, oder ist das ein indirektes trackn?

    Antworten
    • Die Google Search Console trackt gar nichts, weil man heirfür keinen Code in die Website einbaut. Alle Daten in der Google Search Console stammen von Google selbst, nicht von der eigenen Website.

      Antworten

Schreibe einen Kommentar