Wenn die ePrivacy-Verordnung 2019 so kommt, wie sie aktuell geplant ist, steht man vor einer schweren Entscheidung. Will man weiterhin viele externe Services und Einnahmequellen nutzen, dann muss man vorher die Erlaubnis dafür von jedem einzelnen Besucher einholen oder alternativ die eigene Website ohne Cookies und Tracking betreiben.
Da ich keine Einwilligungen für alles mögliche einholen will und auch glaube, dass das 99% der Besucher eher nervt, als dass sie das toll finden, spiele ich mit dem Gedanken meine Websites ohne Cookies und Tracking-Pixel zu betreiben.
Deshalb habe ich testweise eine meiner Nischenwebsites schon jetzt komplett von Cookies und Tracking-Pixeln befreit.
Im Folgenden gehe ich Schritt für Schritt durch, welche Anpassungen ich auf dieser Websites vorgenommen habe, wo es Probleme gab und was ich davon halte.
Website ohne Cookies und Tracking – Warum?
Die DS-GVO, die am 25.Mai 2018 in Kraft tritt, hat nicht pauschal etwas gegen Cookies oder Tracking-Pixel. Es gilt zwar das Verbotsprinzip zum Sammeln von personenbezogenen Daten, und laut Gerichtsurteil gehört die IP-Adresse dazu, aber es ist auch eine Abwägung vorgesehen, welche die Interessen des Unternehmers (in diesem Fall des Website-Betreibers) berücksichtigt.
Deshalb muss man aktuell noch nicht so radikal sein und alles auf Opt-In umstellen. Allerdings muss man aber zumindest auf die Möglichkeit des OptOut hinweisen und die Möglichkeiten in der Datenschutzerklärung verlinken.
Es macht aber schon noch Sinn weiterhin Cookies einzusetzen. Google Analytics ist z.B. sehr nützlich und setzt einiges Cookies, genauso wie Google AdSense, was vielen Website-Betreibern gutes Geld bringt. Andere Einnahmequellen, vor allem Partnerprogramme, nutzen ebenfalls Cookies.
Also warum sollte man sich die Mühe machen auf Cookies und Tracking zu verzichten? Damit nimmt man ja Nachteile in Kauf.
[the_ad id=“18198″]ePrivacy-Verordnung am Horizont
Mit der ePrivacy-Verordnung könnte 2019 eine nochmalige Verschärfung der Datenschutz-Anforderungen im Internet kommen. Die letzte mir bekannte Version dieser Verordnung war deutlich strenger als die DS-GVO und forderte immer ein Opt-In.
Das würde bedeuten, dass man einerseits für Analytics, AdSense, jedes Partnerprogramm und so weiter eine Checkbox einblenden müsste, was sehr nervig für die Nutzer wäre. Erst bei Zustimmung durch den Nutzer dürfte man diese Dinge dann auch aktiven, so dass sie Cookies setzen dürfen. Ähnlich würde es mit reinen Tracking-Pixeln aussehen.
Das hätte wohl zur Folge, dass viele Besucher diese Cookies nicht akzeptieren und die Services oder Einnahmequellen dadurch nicht mehr richtig funktionieren oder gar nichts mehr bringen. Ähnlich den Adblockern schon heute, die viele Banner ausblenden.
Man darf den Besuchern zudem den Zutritt nicht verwehren, wenn diese die Cookies nicht wollen. Meiner Meinung nach ist das ein zu starker Eingriff in die Freiheit der Berufsausübung. Aber gut.
Ob die ePrivacy-Richtlinie in der strengen Form aber überhaupt kommt, steht in den Sternen. Sonst wäre sie wohl parallel zur DS-GVO in Kraft getreten. Dennoch weiß niemand, was da genau in 2019 auf uns zukommt und so mache ich mir jetzt schon Gedanken über den Ernstfall.
Anpassungen an meiner Affiliate-Website
Um zu testen, wie eine Website auch ohne Cookies und Tracking-Pixel aussehen könnte, habe ich mir eine meiner Nischenwebsites genommen, und diese grundsätzlich an die DS-GVO angepasst, wie ich es in meiner Artikelserie beschrieben habe.
Darüber hinaus habe ich die Site jandia-fuerteventura.de aber noch weiter „optimiert“ und die bisher gesetzen Cookies und Tracking-Pixel komplett entfernt. Auch Scripte und iFrames, die das Tracking der IP-Adresse grundsätzlich ermöglichen, habe ich rausgenommen.
Im Folgenden gehe ich auf die einzelnen Teilaspekte dieser Website genauer ein.
WordPress Einstellungen
Als erstes habe ich mir WordPress selber vorgenommen. Das CMS setzt teilweise eigene Cookies, wobei hier wohl gerade daran gearbeitet wird, dies besser konfigurieren zu können. Mal schauen, wann das kommt.
Plugins
Vor allem Plugins setzen teilweise Cookies oder tracken Nutzerdaten. Deshalb bin ich die installierten Plugins durchgegangen und habe alle deaktiviert, die kritisch sind.
Zudem habe ich geschaut, welche Plugins wirklich nötig sind und da auch noch das eine oder andere Plugin entfernt. Des Weiteren habe ich mir die Einstellung der Plugins angeschaut, da teilweise die Plugins bei bestimmten Einstellungen nicht datenschutzgerecht sind.
Alles in allem musste ich hier aber nicht viel machen, da meine Nischenwebsites sowieso nicht so viele Plugins nutzen.
Avatare und Kommentare
Auf jeden Fall deaktivieren sollte man die Nutzer-Avatare, da diese dafür sorgen, dass fremde Inhalte eingebunden werden. Das war bei mir aber nicht wirklich notwendig derzeit, da ich die Kommentare sowieso deaktiviert habe. Aber ich habe es dennoch gemacht, denn ich schließe nicht aus, dass ich die Kommentare später mal wieder aktiviere.
Zudem nutze ich auch keine Formulare auf dieser Website, so dass ich das Plugin WP GDPR Compliance auf dieser Website nicht benötige.
Emojis
Bei Emojis liest man viel. Von Einbindungen über einen fremden Server ist hier die Rede. Ich habe die automatischen Umwandlung von z.B. :-) in eine Emoji-Grafik versucht per Plugin und Code zu deaktvieren, aber sie wurden dennoch angezeigt. Deshalb habe ich einfach die Artikel und Seiten durchsucht und jegliche Emojis von Hand entfernt.
functions.php
Oft habe ich in der functions.php Zusatzcode drin, den ich dann ebenfalls hinsichtlich Cookie-Setzung etc. prüfe, aber bei dieser Site war da nichts drin.
Das ist übrigens keine gute Vorgehensweise, weshalb ich mittlerweile bei vielen Sites das Plugin Code Snippets nutze.
Google Fonts und andere Google Dienste
Als nächste habe ich mir Google vorgenommen, denn so gut wie jeder Website-Betreiber nutzt irgendein Service von Google. So auch ich. Die Google Services sind hinsichtlich der DS-GVO meist kein großes Problem.
Google Analytics
So muss man z.B. für Google Analytics einen AV-Vertrag mit Google abschließen und das Statistik-Tool ist dann weiterhin nutzbar. Allerdings mit Opt-Out Möglichkeit.
Da ich hier aber kein Tracking und keine Cookies möchte, habe ich alles entfernt. Statt Google Analytics habe ich das Statistik-Plugin Statify installiert, was keine Cookies setzt und auch sonst keine personenbezogenen Daten sammelt. Aber natürlich ist es sehr, sehr, sehr vereinfacht und zeigt lediglich die Aufrufe und die beliebtesten Artikel an. Ein wenig mehr könnte es meiner Meinung nach schon bieten, aber gut. Für eine Nischenwebsite reicht das eigentlich.
Google Fonts
Weiter ging es mit den Google Fonts, die mittlerweile in sehr vielen Themes automatisch integriert sind. Diese werden vom Google-Server geladen, der dadurch natürlich die IP des Nutzers tracken kann. Deshalb habe ich die benötigten Google-Fonts auf dieser Website ausgewählt, heruntergeladen und lokal eingebunden. Das ist kein Problem.
Nicht so einfach war es allerdings die standardmäßig integrierten Google Fonts aus dem Theme zu entfernen. Direkt in den Theme-Dateien etwas zu löschen ist keine gute Idee. Beim nächsten Theme-Update sind diese Änderungen verloren und die externen Google Fonts wieder da.
Das Plugin Autoptimize hat sich hier allerdings sehr bewährt. Es entfernt auf meinen Sites zuverlässig die externen Google Fonts.
Google Maps
Zudem habe ich aus ein paar Artikeln die Google Maps iFrames entfernt. Das war gerade auf dieser Reisen-Website eine schöne Sache, aber es geht auch problemlos ohne.
Google AdSense
Zuletzt wäre dann noch Google AdSense, aber dazu komme ich noch weiter unten bei den Einnahmequellen.
Weiteres externes Tracking
Zum einen habe ich den Zählpixel von Bloggerei.de entfernt. Das ist ein netter Service, aber nichts dramatisch wichtiges.
Die VG Wort Zählpixel habe ich auf dieser Site nicht drin. Allerdings wäre das wohl der einzige, den ich drin lassen würde. Schließlich ist dieser laut VG Wort (PDF) datenschutzgerecht und auf dessen Nutzung habe ich als Autor ein gesetztliches Anrecht. Aber ich wollte hier ja mal die Extrem-Variante zeigen. Auf meinen Blogs nehme ich den VG Wort Pixel aber natürlich nicht raus.
Mehr externe Tracking-Pixel etc. waren hier nicht eingebaut.
Bei meinem Hoster habe ich zudem noch das Tracking/Logging deaktiviert, so dass dort auch keine personenbezogenen Daten gespeichert werden.
Layout
In vielen WordPress-Themes gibt es externe Einbindungen von Grafiken oder verlinkte Scripte. Das habe ich natürlich ebenfalls geprüft. Oft werden z.B. über ein CDN solche Dinge eingebunden. Bei meinem Theme war das aber nicht der Fall, abgesehen von den Google Fonts, die ich weiter oben schon behandelt habe.
Nur meine selbst erstellten Wallpaper, die ich zum Download bereitstelle, hatte ich auf ein Google-CDN gelagert. Diese Bilder habe ich nun aber lokal auf meinen Server liegen und verlinkt.
Einnahmequellen
Kommen wir nun zu den Einnahmequellen, die auf solche Affiliate-/Nischenseiten mit am wichtigsten sind. Deshalb fallen die Einschränkungen hier wohl am schwersten.
Online-Rechner, interaktive Widgets, HTML-Banner und so weiter müssen deshalb raus, will man auf Cookies und Tracking verzichten. Dagegen können normale Textlinks und lokal gehostete Banner drin bleiben. Die Einbindung von Amazon-Produkten ist allerdings so eine Sache.
Advanced Ads
Ich nutze für die Einbindung von Bannern und Google AdSense das Plugin Advanced Ads. Das nutzt nur bei der Aktivierung bestimmter Pro-Funktionen Cookies, aber diese habe ich deaktiviert.
Entfernt habe ich vorerst Google AdSense von meiner Nischenwebsite, da dadurch viele Cookies gesetzt werden. Hier fällt es mir nicht schwer auf ein paar Euro zu verzichten. Bei anderen Websites oder Blogs wäre das schon schmerzhafter. Deshalb hoffe ich, dass an der Ankündigung was dran ist, dass Google an einer Cookie-losen AdSense-Variante arbeitet.
externe Bilder
Produkt-Bilder oder Affiliate-Banner von Partnerprogramm werden normalerweise über die Server des Partnerprogramms eingebunden. Da die IP-Adresse aber auch zu den personenbezogenen Daten gezählt wird, ist das ein Problem. Durch die externe Einbindung kann das Partnerprogramm zumindest die IP tracken.
Deshalb habe ich das eine oder andere Banner lokal gespeichert und auf diese Weise eingebunden. Das ist dann kein Problem mehr. Übrigens habe ich hier auch in die Widgets geschaut, da ich dort gern solche Partnerprogramm-Codes einbaue. Das darf man nicht übersehen.
Scripte / iFrames
Entfernt habe ich zudem die Online-Rechner vom Check24 Partnerprogramm. Die sind schon nett und kommen sicher gut bei den Nutzer an, aber natürlich werden durch diese iFrames wieder Daten gesammelt.
Also habe ich ganz normal mit Affiliatelinks auf diese Vergleichsformulare verlinkt.
Amazon Produkte
Zu guter Letzt stand ich noch vor der Frage, was ich mit den Amazon Werbemitteln mache. Ich habe auf jeden Fall alle Amazon-eigenen Widgets entfernt, da diese natürlich Tracking-Pixel enthalten bzw. auf iFrames basieren.
Ich nutze nur noch das Affiliate-Plugin AAWP, was auf jeden Fall die Cookie-Setzung verhindert. Allerdings werden hierbei auch die Produktbilder über den Amazon-Server eingebunden. Amazon erlaubt aber auch keine lokale Speicherung der Bilder.
Dennoch wollte ich auf die Produktbilder nicht verzichten und habe hier deshalb eine kleine „Tracking-Lücke“ gelassen.
Social Media
Die eEmbed-Funktion ist eigentlich was sehr schönes bei WordPress. Man baut einfach eine URL von z.B. YouTube oder Twitter in den Text ein und WordPress wandelt diese automatisch um, so dass man den eingebetteten Tweet oder das YouTube-Video sieht. Leider funktioniert diese automatische Einbindung über iFrames, so dass hier wieder das Cookie- und Tracking-Problem entsteht.
Diese Einbindung ist auch jetzt schon problematisch. Wer auf diese Weise z.B. was von Facebook einbindet, der verstößt gegen Datenschutzbestimmungen.
Deshalb gibt es die Möglichkeit entweder oEmbed komplett zu deaktivieren, wofür es genügend Plugins gibt. Oder man baut diese URLs manuell aus. Ich habe letzteres gemacht, denn ich will mir die Möglichkeit offen lassen in Zukunft zumindest YouTube-Videos auf diese Weise einzubauen. Man kann sehr einfach die Cookie-Setzung von YouTube verhindern, was aber immer noch das IP-Tracking als Problem bestehen lässt.
Ich hatte nur ein paar eigene YouTube-Videos drin und diese habe ich nun ganz normal per Textlink verlinkt.
Cookie Hinweis
Zu guter letzt gab es nur noch ein externes Script, welches eingebunden war. Es handelte sich um die Cookie Consent Bar, welche angezeigt wird, um den Besucher über den Einsatz von Cookies zu informieren und einen Link zur Datenschutzerklärung enthält.
Da ich aber alle anderen Cookies entfernt habe, habe ich nun auch die Cookie Consent Bar rausgenommen. Diese ist einfach nicht mehr notwendig.
Ist meine Nischenwebsite damit Cookie- und Tracking-frei?
Testen
Ich habe getestet, ob ich alles erwischt habe. Zum einen habe ich mir genau den Quellcode angeschaut und auch mit dem Browser-Plugin Ghostery alle Seiten selber gecheckt. Da wurden mir keine Cookies mehr angezeigt.
Zum anderen habe ich das Online-Tool von dataskydd.net genutzt, welches unter anderem prüft, ob Cookies gesetzt werden. Und das Ergebnis war ebenfalls positiv.
Zu guter Letzt habe ich auch noch CookieBot „drüber schauen“ lassen. Man kann damit kostenlos kleinere Websites testen. Auch da war das Ergebnis erfreulich.
Unter dem Strich habe ich mein Ziel also zu fast 100% erreicht. Cookies werden keine mehr gesetzt und bis auf die Amazon-Produktbilder gibt es auch keine externen Grafik-Einbindungen mehr. Scripte und iFrames habe ich sowieso alle entfernt.
Damit sollte diese Nischenwebsite auch nach ePrivacy-Gesichtspunkten ziemlich sicher sein.
Ist eine Website ohne Cookies und Tracking sinnvoll?
Aktuell ist es, wie oben erwähnt, noch nicht nötig die eigene Website so extrem umzubauen. Und es ist auch nicht sinnvoll.
Google Analytics bringt viele interessante Einblicke, die einem dabei helfen, die Website zu optimieren. Google AdSense sorgt für Einnahmen, die neben dem Affiliate Marketing ein weiteres Standbein sind. Online-Rechner von Partnerprogrammen sind ebenfalls sinnvoll und steigern die Conversion-Rate.
Aber wenn die ePrivacy-Richtlinie wirklich so streng wird und ich für alles erstmal eine Erlaubnis brauche, dann schreckt das viele Nutzer ab. Im Extremfall wäre so eine Cookie- und Tracking-freie Website für mich also schon vorstellbar und anhand dieses Beispiels weiß ich nun, dass die Umsetzung nicht so schwierig ist.
Was haltet ihr davon? Falls die ePrivacy-Verordnung in der strengen Form kommt, setzt ihr dann auch auf so eine Lösung ohne Cookies und Tracking oder holt ihr lieber die Einwilligung der Nutzer ein?
Ich werde die Entwicklung meiner Nischenwebsite auf jeden Fall weiter verfolgen und mir anschauen, welche Auswirkungen die Änderungen ggf. haben. Darüber berichte ich dann natürlich hier im Blog.