Cookie Optin/Optout-Extensions und externe Dienstleister

Ein Überblick über verschiedene Möglichkeiten

Einleitung

Seit dem 'Cookie-Urteil' des EUGh vom 1.Oktober 2019 sind die Betreiber von Webseiten aufgeschreckt: Welche Einwilligungen müssen jetzt eingeholt werden? Welche Folgen hat es, wenn man es ignoriert? Dieser Artikel fasst die wichtigsten Informationen zusammen.

Hinweis: wir können und dürfen keine Rechtsberatung geben. Bei Fragen sollte man daher einen Anwalt kontaktieren.

Um was geht es?

Einfach gesagt: will man das Verhalten eines Webseiten Besuchers über mehrere Seiten hinweg verfolgen (tracken), benötigt man dazu die vorherige ausdrückliche und freiwillige Einwilligung des Besuchers. Ein Hinweis "Unsere Webseite verwendet Cookies" reicht nicht aus. 

Betroffen sind nicht nur Cookies, sondern alle technischen Maßnahmen, mit denen ein Benutzer verfolgt werden kann und dafür Dienste eines Dritten verwendet werden. Dies schließt Techniken wie Browser-Fingerprinting und den lokalen Speicher des Browsers ein. 

Alle Elemente, bei denen Daten (z.B. die IP Adresse) an einen Drittanbieter übermittelt werden, sind betroffen. Dazu gehören Google Analytics, Google Fonts, Google Maps, YouTube, Vimeo, Facebook Pixel, usw.

Ohne Einwilligung des Besuchers dürfen Cookies verwendet werden, die für den Betrieb der Webseite technisch notwendig sind. So für den Warenkorb bei Online Shops oder eine Login Funktion. Auch die statistische Auswertung der Besucher mit einem Tool wie Matomo ist zulässig - sofern die Einstellungen datenschutzfreundlich vorgenommen sind und die Daten nicht an einen Drittanbieter (wie bei Google Analytics) übertragen werden. Dazu gibt es vom Landesdatenschutzbeauftragten Baden-Württemberg weitere Informationen:
https://www.baden-wuerttemberg.datenschutz.de/faq-zu-cookies-und-tracking-2/

Erster Schritt: Bestandsaufnahme

Der Betreiber einer Webseite sollte zunächst ermitteln, welche Cookies und Tracking Methoden auf der Webseite verwendet werden. Dabei ist zu beachten, dass diese eventuell nur auf einzelnen Unterseiten genutzt werden, daher muss die gesamte Webseite untersucht werden. 

Zweiter Schritt: Notwendigkeit prüfen

Hat man die Liste erstellt, sollte man prüfen, ob alle Cookies und Tracking Methoden wirklich benötigt werden. Oft kann man hier ausmisten.

Allgemeine Information

Eine Standard-TYPO3-Installation (Version 6.2 und höher) verwendet im Frontend überhaupt keine Cookies. Nur für die Anmeldung am TYPO3-Backend werden notwendigerweise Cookies verwendet. Da diese aber zum einen notwendig sind und zum anderen normale Besucher der Website damit nicht in Berührung kommen, sind diese nicht relevant.

Cookies im Frontend werden in der Regel durch zusätzlich integrierte Drittanbieter-Tools wie zum Beispiel Google Analytics, Matomo, Facebook-Pixel, eTracker oder ähnliches gesetzt. 

Wenn also Ihre TYPO3-Installation keine solchen Tools verwendet, ist die Wahrscheinlichkeit hoch, dass im Frontend keine Cookies gesetzt werden und Sie dementsprechend auch kein Cookie-Banner benötigen.

Wie finde ich heraus, ob meine Website Cookies setzt?

Dafür gibt es mehrere Methoden.

Sie können ein externes Tools wie zum Beispiel cookieserve.com nutzen.

Sie können ebenso in der Entwickler-Konsole Ihres Webbrowser nachschauen. Rufen Sie dazu am besten Ihre Website in einem Inkognitofenster auf, um "Störeinflüsse" durch eventuell installierte Browser-Plugins zu vermeiden.

Beispiel im Chrome Browser:

  • Inkognitofenster öffnen (Datei -> Neues Inkognitofenster)
  • Domain aufrufen
  • In einem leeren Bereich der Website einen Rechtsklick mit der Maus ausführen, im sich öffnenden Kontextmenü den Punkt "Untersuchen" anklicken
  • In dem unteren Bereich auf den Punkt "Application" klicken
  • Im linken unteren Bereich unterhalb von "Storage" auf den kleinen Pfeil bei "Cookies" klicken, dann die Domain anklicken
  • In dem größeren Bereich unten rechts sehen Sie nun alle momentan verwendeten Cookies. Ist dieser Bereich leer, werden keine Cookies verwendet.

Lösungen

Es gibt inzwischen mehrere sowohl kostenpflichtige als auch kostenlose Extensions oder externe Tools, mit der sich ein Cookie Opt-In/Opt-Out realisieren lässt. Einige davon haben wir getestet und versuchen hier, Vor- und Nachteile dieser Lösungen gegenüberzustellen. Diese Seite soll für Sie eine Entscheidungshilfe sein, damit Sie eine für Ihre TYPO3-Website passende Option auswählen können.

Bitte beachten: es handelt sich im folgenden nur um Erfahrungen in einer Test-Installation mit TYPO3 9 LTS.
Als "Test-Cookies" wurden dabei Matomo und Facebook-Pixel verwendet.
Manche Extensions konnten wir nicht testen, da sie sich in unserer Test-Umgebung nicht ohne weiteres installieren ließen.

Extension om_cookie_manager

https://extensions.typo3.org/extension/om_cookie_manager
https://olli-machts.de/en/extension/cookie-manager

Lizenz: Open Source (Kostenlos)

Funktionen: 

Die Extension erzeugt ein Banner, in dem der Anwender Cookies akzeptieren oder ablehnen kann. Verschiedene Cookies können in Gruppen zusammengefasst werden, zum Beispiel "Analytics" oder "Marketing". Die Zustimmung (Opt-In) oder Ablehnung (Opt-Out) kann pro Gruppe gegeben werden.

Die Gruppen und Cookies müssen dazu im Backend als Datensätze in einem Systemordner angelegt werden. Sofern ein Cookie durch ein JavaScript erzeugt wird (zum Beispiel Matomo, Facebook Pixel) muss auch das JavaScript über diesen Datensatz geladen werden.

Zusätzlich bietet die Extension ein Plugin, dass als Inhaltselement auf einer Seite eingebunden werden kann und eine Auflistung der verwendeten Cookies zeigt sowie die Möglichkeit bietet, das Cookiebanner erneut aufzurufen, falls man seine Einstellungen ändern möchte.

Vorteile der Extension:

  • Sehr gute Dokumentation
  • Relativ einfach zu installieren
  • Mehrsprachigkeit wird unterstützt
  • Standard-CSS sieht gut aus, Anpassungen sind natürlich möglich
  • Bei einem nachträglichen Opt-Out (also der nachträglichen Ablehnung von Cookies) werden JavaScripte von externen Tools (z.B. Matomo, Google Analytics oder ähnlich) nicht mehr geladen.

Nachteile der Extension:

  • Installation per Composer momentan nur über das Github-Repository möglich (Alternativ in nicht-Composer-Installationen ist die Installation auch "klassisch" über den Extension Manager möglich)
  • Erklärende Texte zu den Cookies müssen selber geschrieben werden. Hier ist eventuell eine aufwändigere Recherche notwendig, je nach Art und Menge der verwendeten Cookies
  • Bei einem nachträglichen Opt-Out (also der nachträglichen Ablehnung von Cookies) werden die gesetzten Cookies nicht gelöscht (aber JavaScripte von externen Tools wie z.B. Matomo, Google Analytics oder ähnlichem, werden nicht mehr geladen).

Extension cookieman

https://extensions.typo3.org/extension/cookieman
https://github.com/dmind-gmbh/extension-cookieman/

Lizenz: Open Source (kostenlos)

Funktionen:

Die Extension bindet wahlweise ein modales Fenster oder ein Banner ein. Dabei werden Themes für Bootstrap 3 und 4 mitgeliefert. Es können auch eigene Themes definiert werden.

Vorteile:

  • Es werden für einige gängige Cookies Beispielkonfigurationen mitgeliefert, die aber angepasst werden müssen.
  • Auflistung der konfigurierten Cookies direkt im Banner
  • Mehrsprachigkeit wird unterstützt
  • Für Websites, die auf Bootstrap 3 oder 4 basieren, sind keine Anpassungen im CSS notwendig

Nachteile:

  • Konfiguration der Cookies erfolgt ausschließlich im TypoScript-Setup und setzt entsprechende Kenntnisse voraus.
  • Die Konfiguration der Cookies wirkt einigermaßen komplex und benötigt eine gewisse Zeit
  • Um dem Anwender eine nachträgliche Änderung der Cookie-Einstellungen zu ermöglichen, muss manuell ein HTML-Codeschnipsel in der Website eingebaut werden.
  • Für Websites, die Bootstrap 3 oder 4 verwenden, können die mitgelieferten Themes direkt ohne weiteren Anpassungen genutzt werden. Für alle anderen Websites ist eine relativ aufwändige Erzeugung eines eigenen Themes notwendig. Diese ist zwar in der Dokumentation beschrieben, benötigt aber einiges an Zeit.
  • Erklärende Texte zu den Cookies müssen selber geschrieben werden. Hier ist eventuell eine aufwändigere Recherche notwendig, je nach Art und Menge der verwendeten Cookies

Update vom 24.01.2020

Folgende Nachricht der Entwickler erreichte uns am 22.01.2020 und bezieht sich auf die Version 2.3.9 und höher:

Extension sg_cookie_optin

https://shop.sgalinski.de/products/9/typo3-cookie-opt-in-extension (Partnerlink)

Lizenz: kostenpflichtig (ab 59,99 Euro/Jahr/Domain, oder Lifetime-Lizenz/Domain (Preis inkl. MwSt.))

Funktionen:

Bei dieser Extension können die verwendeten Cookies, JavaScripte oder HTML-Codes über ein eigenes Backend-Modul konfiguriert werden. Hier können verschiedenen Gruppen (zum Beispiel Analytics, Marketing usw) angelegt werden und innerhalb dieser Gruppen können dann Skripte und Cookies definiert werden, die erst nach erfolgtem Opt-In geladen werden sollen.

Das Erscheinungsbild des Cookie-Banners kann ebenfalls in diesem Backend-Modul farblich angepasst werden. 

Im Cookie-Banner können sich die Besucher direkt detaillierte Infos zu den einzelnen Cookies anzeigen lassen.

Vorteile:

  • Einfach zu installieren und konfigurieren
  • Übersichtliches Backend-Modul
  • Mehrsprachigkeit wird unterstützt
  • Farben des Cookie-Banners können direkt im Backend-Modul angepasst werden
  • Auflistung der konfigurierten Cookies direkt im Banner
  • Um Besuchern ein nachträgliches Ändern der Cookieeinstellungen zu ermöglichen, kann ein entsprechendes Inhaltselement als Plugin auf einer Seite platziert werden.
  • Bei einem nachträglichen Opt-Out (also der nachträglichen Ablehnung von Cookies) werden JavaScripte von externen Tools (z.B. Matomo, Google Analytics oder ähnlich) nicht mehr geladen.

Nachteile:

  • Kostenpflichtig
  • Erklärende Texte zu den Cookies müssen selber geschrieben werden. Hier ist eventuell eine aufwändigere Recherche notwendig, je nach Art und Menge der verwendeten Cookies
  • Bei einem nachträglichen Opt-Out (also der nachträglichen Ablehnung von Cookies) werden die gesetzten Cookies nicht gelöscht (aber JavaScripte von externen Tools wie z.B. Matomo, Google Analytics oder ähnlichem, werden nicht mehr geladen).

Extension wacon_cookie_management

https://github.com/wacon-internet-gmbh/wacon_cookie_management/

Lizenz: Open Source (kostenlos)

Die Extension steht momentan nur auf Github zur Verfügung.

Funktionen:

Die genutzten Cookies/Skripte müssen auch hier manuell konfiguriert werden. Dazu wird auf einem System-Ordner ein entsprechender Datensatz angelegt. Die Cookies können vordefinierten Kategorien zugeordnet werden. Auch externe Skripte lassen sich auf diese Art einbinden.

Die Anzeige des Cookiebanners und die Cookieeinstellungen werden über zwei Plugins gesteuert, die als Inhaltselemente auf einer Seite angelegt werden. Diese Inhaltselemente müssen aber auf jeder Seite ausgegeben werden, hier wird in der Regel ein entsprechendes Setup über TypoScript/Fluidtemplates notwendig sein.

Vorteile:

  • Mehrsprachigkeit wird unterstützt
  • Standard-CSS ist ansprechend und kann wahrscheinlich in den meisten Fällen direkt genutzt werden.
  • Externe Skripte (zum Beispiel Twitter Timeline, Facebook Page-Widget) können über die Extension eingebunden werden und erst nach expliziter Zustimmung des Besuchers geladen werden. Vorher kann an dieser Stelle ein frei definierter Text oder ein beliebiges Bild angezeigt werden. Dies kann auch redaktionell gepflegt werden.

Nachteile:

  • Im Test konnte die Extension in TYPO3 9 LTS nicht vollständig genutzt werden, die Einbindung der Plugins führte zu einer Fehlermeldung im Frontend. In TYPO3 8 LTS funktionierte dies problemlos.
  • Das CSS ist teilweise zu unspezifisch und könnte evtl. zu Konflikten mit vorhandenem CSS führen.
  • Erklärende Texte zu den Cookies müssen selber geschrieben werden. Hier ist eventuell eine aufwändigere Recherche notwendig, je nach Art und Menge der verwendeten Cookies

Cookiebot

https://www.cookiebot.com/de/

Kostenpflichtiger externer Service

Funktionen:

Bei Cookiebot handelt es sich um einen externen Service, der nicht nur für TYPO3-Websites genutzt werden kann.

Cookiebot scannt eine Website automatisch in bestimmten Intervallen nach genutzten Cookies. Das Cookiebanner wird nach diesen Scans automatisch angepasst. Die erkannten Cookies werden, sofern in der Cookiebot-Datenbank bekannt, automatisch in entsprechende Kategorien einsortiert und mit Erklärungstexten versehen. Bei dem Service unbekannten Cookies kann man dies manuell durchführen.

Die erkannten Skripte werden automatisch blockiert, eine manuelle Anpassung ist nur notwendig, wenn Tools wie der Google Tagmanager genutzt werden. Die Konfiguration ist in der Dokumentation beschrieben, aber relativ zeitaufwändig.

Man kann einen Liste aller genutzten Cookies ausgeben lassen. Diese kann auf einer beliebigen Seite ausgegeben werden, zum Beispiel der Datenschutzseite.

Zur Einbindung von Cookiebot müssen zwei JavaScript-Schnipsel integriert werden. Das erste erzeugt den Cookiebanner und muss direkt an den Anfang des <head>-Bereichs integriert werden. Das zweite erzeugt die Liste der genutzten Cookies und kann zum Beispiel über ein HTML-Contentelement auf einer beliebigen Seite platziert werden.

Es gibt zur Integration von Cookiebot inzwischen auch TYPO3-Extensions, diese sind unserer Meinung nach aber unnötig, da sich der notwendige JavaScript-Code mit 2 Zeilen im TypoScript-Setup integrieren lässt.

Für kleine Webseiten (1 Domain, weniger als 100 Einzelseiten) kann Cookiebot kostenlos genutzt werden. Die Preise sind gestaffelt und beginnen bei 9 Euro/Monat/Domain (zzgl. MwSt.) (https://www.cookiebot.com/de/pricing/).

Vorteile:

  • Sehr einfach zu integrieren
  • Automatischer Scan der Website nach genutzten Cookies
  • Erklärende Texte von bekannten Cookies werden automatisch erzeugt und in den Banner integriert
  • Regelmäßiger Scan der Website nach geänderte Cookies (in der kostenlosen Version 1 mal/Monat)
  • In unseren Tests wurden schon gesetzte Cookies bei einem nachträglichen Opt-Out tatsächlich auch gelöscht.

Nachteile:

  • Bei größeren Websites oder Multidomain-Setups wird die Nutzung sehr schnell relativ teuer
  • Optische Anpassungen des Cookiebanners erst in der kostenpflichtigen Version möglich

Usercentrics

https://usercentrics.com/de/

Externer kostenpflichtiger Service (Preis auf der Website nicht zu finden)

Funktionen:

Auch hier handelt es sich um einen externen Service, der nicht nur für TYPO3-Websites genutzt werden kann.

Bei der Konfiguration der genutzten Cookies bietet Usercentrics eine Reihe von vordefinierten Einstellungen an für gängige Cookies wie zum Beispiel Google Analytics, Matomo, Youtube, Vimeo und einige mehr.

Zusätzlich müssen die Skripte externer Anbieter aber angepasst werden, damit der Opt-In funktioniert.

Das Cookie-Banner bietet ausführliche Informationen zu den genutzten Cookies und erlaubt auch die Zustimmung nur zu bestimmten Cookie-Gruppen.

Der Besucher kann jederzeit seine Einstellungen ändern oder auch ein Opt-out durchführen. Dazu wird auf der Website ein unten links "schwebender" Button eingeblendet, über den man jederzeit in diese Einstellungen gelangt.

Vorteile:

  • Erklärende Texte von bekannten Cookies werden automatisch integriert
  • Optisch ansprechende Darstellung, die auch angepasst werden kann

Nachteile:

  • Manuelle Anpassungen der JavaScript-Codes von z.B. Google Analytics, Matomo oder ähnlichen Tools notwendig, damit Opt-In/Opt-out funktioniert
  • Bei Nutzung des Google Tagmanagers ist die Konfiguration relativ aufwändig, aber gut dokumentiert
  • Auf der Website sind leider keine Preisangaben zu finden