Cookie Optin/Optout-Extensions und externe Dienstleister
Ein Überblick über verschiedene Möglichkeiten
Einleitung
Seit dem 'Cookie-Urteil' des EUGh vom 1.Oktober 2019 sind die Betreiber von Webseiten aufgeschreckt: Welche Einwilligungen müssen jetzt eingeholt werden? Welche Folgen hat es, wenn man es ignoriert? Dieser Artikel fasst die wichtigsten Informationen zusammen.
Hinweis: wir können und dürfen keine Rechtsberatung geben. Bei Fragen sollte man daher einen Anwalt kontaktieren.
Um was geht es?
Einfach gesagt: will man das Verhalten eines Webseiten Besuchers über mehrere Seiten hinweg verfolgen (tracken), benötigt man dazu die vorherige ausdrückliche und freiwillige Einwilligung des Besuchers. Ein Hinweis "Unsere Webseite verwendet Cookies" reicht nicht aus.
Betroffen sind nicht nur Cookies, sondern alle technischen Maßnahmen, mit denen ein Benutzer verfolgt werden kann und dafür Dienste eines Dritten verwendet werden. Dies schließt Techniken wie Browser-Fingerprinting und den lokalen Speicher des Browsers ein.
Alle Elemente, bei denen Daten (z.B. die IP Adresse) an einen Drittanbieter übermittelt werden, sind betroffen. Dazu gehören Google Analytics, Google Fonts, Google Maps, YouTube, Vimeo, Facebook Pixel, usw.
Ohne Einwilligung des Besuchers dürfen Cookies verwendet werden, die für den Betrieb der Webseite technisch notwendig sind. So für den Warenkorb bei Online Shops oder eine Login Funktion.
Wichtige Änderung seit 1.12.2021: Mit Inkrafttreten des neuen "Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien" (TTDSG) dürfen gemäß §25 nur noch technisch unbedingt notwendige Cookies ohne vorherige aktive Einwilligung des Besuchers gesetzt werden. Dazu gehören jetzt auch Cookies, die von der Statistik Software Matomo gesetzt werden. Diese waren zuvor von den Datenschutzbehörden als technisch notwendig eingeordnet worden. Wir empfehlen daher die Option zu nutzen, Matomo ohne Cookies einzusetzen.
Erster Schritt: Bestandsaufnahme
Der Betreiber einer Webseite sollte zunächst ermitteln, welche Cookies und Tracking Methoden auf der Webseite verwendet werden. Dabei ist zu beachten, dass diese eventuell nur auf einzelnen Unterseiten genutzt werden, daher muss die gesamte Webseite untersucht werden.
Zweiter Schritt: Notwendigkeit prüfen
Hat man die Liste erstellt, sollte man prüfen, ob alle Cookies und Tracking Methoden wirklich benötigt werden. Oft kann man hier ausmisten.
Allgemeine Information
Eine Standard-TYPO3-Installation (Version 6.2 und höher) verwendet im Frontend überhaupt keine Cookies. Nur für die Anmeldung am TYPO3-Backend werden notwendigerweise Cookies verwendet. Da diese aber zum einen notwendig sind und zum anderen normale Besucher der Website damit nicht in Berührung kommen, sind diese nicht relevant.
Cookies im Frontend werden in der Regel durch zusätzlich integrierte Drittanbieter-Tools wie zum Beispiel Google Analytics, Matomo, Facebook-Pixel, eTracker oder ähnliches gesetzt.
Wenn also Ihre TYPO3-Installation keine solchen Tools verwendet, ist die Wahrscheinlichkeit hoch, dass im Frontend keine Cookies gesetzt werden und Sie dementsprechend auch kein Cookie-Banner benötigen.
Wie finde ich heraus, ob meine Website Cookies setzt?
Dafür gibt es mehrere Methoden.
Sie können ein externes Tools wie zum Beispiel cookieserve.com nutzen.
Sie können ebenso in der Entwickler-Konsole Ihres Webbrowser nachschauen. Rufen Sie dazu am besten Ihre Website in einem Inkognitofenster auf, um "Störeinflüsse" durch eventuell installierte Browser-Plugins zu vermeiden.
Beispiel im Chrome Browser:
- Inkognitofenster öffnen (Datei -> Neues Inkognitofenster)
- Domain aufrufen
- In einem leeren Bereich der Website einen Rechtsklick mit der Maus ausführen, im sich öffnenden Kontextmenü den Punkt "Untersuchen" anklicken
- In dem unteren Bereich auf den Punkt "Application" klicken
- Im linken unteren Bereich unterhalb von "Storage" auf den kleinen Pfeil bei "Cookies" klicken, dann die Domain anklicken
- In dem größeren Bereich unten rechts sehen Sie nun alle momentan verwendeten Cookies. Ist dieser Bereich leer, werden keine Cookies verwendet.
Lösungen
Es gibt mehrere sowohl kostenpflichtige als auch kostenlose Extensions oder externe Tools, mit der sich ein Cookie Opt-In/Opt-Out realisieren lässt. Einige davon haben wir getestet und versuchen hier, Vor- und Nachteile dieser Lösungen gegenüberzustellen. Diese Seite soll für Sie eine Entscheidungshilfe sein, damit Sie eine für Ihre TYPO3-Website passende Option auswählen können. Die Übersicht der verfügbaren Lösungen ist jedoch nicht umfassend.
Extension om_cookie_manager
https://extensions.typo3.org/extension/om_cookie_manager
https://olli-machts.de/en/extension/cookie-manager
Lizenz: Open Source (Kostenlos)
Funktionen:
Die Extension erzeugt ein Banner, in dem der Anwender Cookies akzeptieren oder ablehnen kann. Verschiedene Cookies können in Gruppen zusammengefasst werden, zum Beispiel "Analytics" oder "Marketing". Die Zustimmung (Opt-In) oder Ablehnung (Opt-Out) kann pro Gruppe gegeben werden.
Die Gruppen und Cookies müssen dazu im Backend als Datensätze in einem Systemordner angelegt werden. Sofern ein Cookie durch ein JavaScript erzeugt wird (zum Beispiel Matomo, Facebook Pixel) muss auch das JavaScript über diesen Datensatz geladen werden.
Zusätzlich bietet die Extension ein Plugin, dass als Inhaltselement auf einer Seite eingebunden werden kann und eine Auflistung der verwendeten Cookies zeigt sowie die Möglichkeit bietet, das Cookiebanner erneut aufzurufen, falls man seine Einstellungen ändern möchte.
Vorteile der Extension:
- Sehr gute Dokumentation
- Relativ einfach zu installieren
- Mehrsprachigkeit wird unterstützt
- Standard-CSS sieht gut aus, Anpassungen sind natürlich möglich
- Bei einem nachträglichen Opt-Out (also der nachträglichen Ablehnung von Cookies) werden JavaScripte von externen Tools (z.B. Matomo, Google Analytics oder ähnlich) nicht mehr geladen.
Nachteile der Extension:
- Installation per Composer momentan nur über das Github-Repository möglich (Alternativ in nicht-Composer-Installationen ist die Installation auch "klassisch" über den Extension Manager möglich)
- Erklärende Texte zu den Cookies müssen selber geschrieben werden. Hier ist eventuell eine aufwändigere Recherche notwendig, je nach Art und Menge der verwendeten Cookies
- Bei einem nachträglichen Opt-Out (also der nachträglichen Ablehnung von Cookies) werden die gesetzten Cookies nicht gelöscht (aber JavaScripte von externen Tools wie z.B. Matomo, Google Analytics oder ähnlichem, werden nicht mehr geladen).
Extension cookieman
https://extensions.typo3.org/extension/cookieman
https://github.com/dmind-gmbh/extension-cookieman/
Lizenz: Open Source (kostenlos)
Funktionen:
Die Extension bindet wahlweise ein modales Fenster oder ein Banner ein. Dabei werden Themes für Bootstrap 3 und 4 mitgeliefert. Es können auch eigene Themes definiert werden.
Vorteile:
- Es werden für einige gängige Cookies Beispielkonfigurationen mitgeliefert, die aber angepasst werden müssen.
- Auflistung der konfigurierten Cookies direkt im Banner
- Mehrsprachigkeit wird unterstützt
- Für Websites, die auf Bootstrap 3 oder 4 basieren, sind keine Anpassungen im CSS notwendig
Nachteile:
- Konfiguration der Cookies erfolgt ausschließlich im TypoScript-Setup und setzt entsprechende Kenntnisse voraus.
- Die Konfiguration der Cookies wirkt einigermaßen komplex und benötigt eine gewisse Zeit
- Für Websites, die Bootstrap 3 oder 4 verwenden, können die mitgelieferten Themes direkt ohne weiteren Anpassungen genutzt werden. Für alle anderen Websites ist eine relativ aufwändige Erzeugung eines eigenen Themes notwendig. Diese ist zwar in der Dokumentation beschrieben, benötigt aber einiges an Zeit.
- Erklärende Texte zu den Cookies müssen selber geschrieben werden. Hier ist eventuell eine aufwändigere Recherche notwendig, je nach Art und Menge der verwendeten Cookies
Update vom 24.01.2020
Folgende Nachricht der Entwickler erreichte uns am 22.01.2020 und bezieht sich auf die Version 2.3.9 und höher:
- Die Extension entfernt nun Cookies aktiv, wenn die Zustimmung nicht gegeben oder zurückgezogen wird
- Es gibt nun Beispielkonfigurationen für Bing/Matomo/Google/Analytics/Google TagManager/eTracker und die TYPO3 FE und cookieman-Cookies
- alle Texte dafür sind dabei und über die Übersetzungsplattform Crowdin übersetzbar
Extension sg_cookie_optin
https://shop.sgalinski.de/products/9/typo3-cookie-opt-in-extension (Partnerlink)
Lizenz: kostenpflichtig (ab 59,99 Euro/Jahr/Domain, oder Lifetime-Lizenz/Domain (Preis inkl. MwSt.))
Funktionen:
Bei dieser Extension können die verwendeten Cookies, JavaScripte oder HTML-Codes über ein eigenes Backend-Modul konfiguriert werden. Hier können verschiedenen Gruppen (zum Beispiel Analytics, Marketing usw) angelegt werden und innerhalb dieser Gruppen können dann Skripte und Cookies definiert werden, die erst nach erfolgtem Opt-In geladen werden sollen.
Das Erscheinungsbild des Cookie-Banners kann ebenfalls in diesem Backend-Modul farblich angepasst werden.
Im Cookie-Banner können sich die Besucher direkt detaillierte Infos zu den einzelnen Cookies anzeigen lassen.
Vorteile:
- Einfach zu installieren und konfigurieren
- Übersichtliches Backend-Modul
- Mehrsprachigkeit wird unterstützt
- Farben des Cookie-Banners können direkt im Backend-Modul angepasst werden
- Auflistung der konfigurierten Cookies direkt im Banner
- Um Besuchern ein nachträgliches Ändern der Cookieeinstellungen zu ermöglichen, kann ein entsprechendes Inhaltselement als Plugin auf einer Seite platziert werden.
- Bei einem nachträglichen Opt-Out (also der nachträglichen Ablehnung von Cookies) werden JavaScripte von externen Tools (z.B. Matomo, Google Analytics oder ähnlich) nicht mehr geladen.
Nachteile:
- Kostenpflichtig
- Erklärende Texte zu den Cookies müssen selber geschrieben werden. Hier ist eventuell eine aufwändigere Recherche notwendig, je nach Art und Menge der verwendeten Cookies
- Bei einem nachträglichen Opt-Out (also der nachträglichen Ablehnung von Cookies) werden die gesetzten Cookies nicht gelöscht (aber JavaScripte von externen Tools wie z.B. Matomo, Google Analytics oder ähnlichem, werden nicht mehr geladen).
Extension dv_t3_consent_management
https://www.davitec.de/cookie-zustimmung/
Lizenz: kostenpflichtig (200.- Euro zzgl. MwSt. pro Domain (Single-Domain-Installation, Preise für Multidomain-Setups und Agenturen auf Anfrage)
Funktionen:
Die Extension bietet einen integrierten Cookie-Scanner, der das Frontend auf Cookies überprüft. Identifizierte Cookies können dann einer Kategorie (z.B. Notwendige Cookies, Marketing Cookies etc.) zugeordnet werden. An Hand der identifizierten Cookies wird das Cookie-Fenster entsprechend konfiguriert.
Die Konfiguration der Extension wird über ein eigenes Backend-Modul vorgenommen. Hier kann auch das Design des Cookie-Fensters bequem angepasst werden.
Sofern JavaScript-Codes für Tools wie zum Beispiel Matomo, Google Analytics, Facebook-Pixel oder ähnliches genutzt werden, müssen diese als Datensatz der Extension in einem Sysordner angelegt und einer der Kategorien zugewiesen werden. Im Frontend wird der JavaScript-Code nur geladen (und dementsprechend Cookies gesetzt), wenn der Benutzer seine Zustimmung gibt. Als Besonderheit kann man auch einstellen, ob die Codes nur auf bestimmten Seiten der Website ausgeben werden sollen.
Der Benutzer kann seine Zustimmung jederzeit bearbeiten oder widerrufen. Dazu muss eine Zeile HTML-Code, zum Beispiel als Inhaltselement "HTML", in die Website eingefügt werden. Diese generiert einen Button im Frontend, über den das Cookie-Fenster wieder aufgerufen werden kann. Nimmt der Besucher seine Zustimmung zurück, werden bereits gesetzte Cookies auch wieder gelöscht.
Die Extension ist Multidomainfähig, das heisst, pro Domain können andere Cookies konfiguriert werden und das Design des Cookie-Fensters kann individuell angepasst werden.
Vorteile:
- Einfach zu installieren und konfigurieren
- Automatischer Scan des Frontends auf Cookies
- Gefundene Cookies können im Backend-Modul konfiguriert werden
- Übersichtliches Backend-Modul
- Mehrsprachigkeit wird unterstützt
- Multidomainfähig
- Aussehen des Cookie-Fensters kann im Backend-Modul angepasst werden
- Auflistung der konfigurierten Cookies direkt im Banner
- Die üblichen Kategorien (inkl. erklärender Texte) sind bereits vorkonfiguriert, können aber angepasst oder erweitert werden
- Bei einem nachträglichen Opt-Out (also der nachträglichen Ablehnung von Cookies) werden JavaScripte von externen Tools (z.B. Matomo, Google Analytics oder ähnlich) nicht mehr geladen und bereits gesetzte Cookies wieder entfernt.
Nachteile:
- Kostenpflichtig
- Erklärende Texte zu den Cookies müssen selber geschrieben werden. Hier ist eventuell eine aufwändigere Recherche notwendig, je nach Art und Menge der verwendeten Cookies
Extension wacon_cookie_management
https://github.com/wacon-internet-gmbh/wacon_cookie_management/
Lizenz: Open Source (kostenlos)
Die Extension steht momentan nur auf Github zur Verfügung.
Funktionen:
Die genutzten Cookies/Skripte müssen auch hier manuell konfiguriert werden. Dazu wird auf einem System-Ordner ein entsprechender Datensatz angelegt. Die Cookies können vordefinierten Kategorien zugeordnet werden. Auch externe Skripte lassen sich auf diese Art einbinden.
Die Anzeige des Cookiebanners und die Cookieeinstellungen werden über zwei Plugins gesteuert, die als Inhaltselemente auf einer Seite angelegt werden. Diese Inhaltselemente müssen aber auf jeder Seite ausgegeben werden, hier wird in der Regel ein entsprechendes Setup über TypoScript/Fluidtemplates notwendig sein.
Vorteile:
- Mehrsprachigkeit wird unterstützt
- Standard-CSS ist ansprechend und kann wahrscheinlich in den meisten Fällen direkt genutzt werden.
- Externe Skripte (zum Beispiel Twitter Timeline, Facebook Page-Widget) können über die Extension eingebunden werden und erst nach expliziter Zustimmung des Besuchers geladen werden. Vorher kann an dieser Stelle ein frei definierter Text oder ein beliebiges Bild angezeigt werden. Dies kann auch redaktionell gepflegt werden.
Nachteile:
- Im Test konnte die Extension in TYPO3 9 LTS nicht vollständig genutzt werden, die Einbindung der Plugins führte zu einer Fehlermeldung im Frontend. In TYPO3 8 LTS funktionierte dies problemlos.
- Das CSS ist teilweise zu unspezifisch und könnte evtl. zu Konflikten mit vorhandenem CSS führen.
- Erklärende Texte zu den Cookies müssen selber geschrieben werden. Hier ist eventuell eine aufwändigere Recherche notwendig, je nach Art und Menge der verwendeten Cookies
Extension we_cookie_consent
https://extensions.typo3.org/extension/we_cookie_consent
Lizenz: Open Source (kostenlos)
Installation
Die Extension kann wie üblich über den Extension Manager installiert werden.
Bei Composerbasierten Installationen muss composer.typo3.org als Repository in der composer.json des Projekts hinzugefügt werden, wie hier beschrieben, da die Extension momentan (10.03.2020) nicht bei Packagist registriert ist.
Funktionen:
Die genutzten Cookies/Skripte müssen manuell konfiguriert werden. Dazu wird auf einem System-Ordner ein entsprechender Datensatz angelegt. Für eine Reihe Services wie z.B. Matomo, Google Analytics, Facebook-Pixel usw. werden vordefinierte Skripte mitgeliefert. Hier muss nur die entsprechende ID / der entsprechende API-Key ergänzt werden.
Auch nicht mitgelieferte bzw. eigene Cookies und Skripte können auf diese Art definiert werden. Zusätzlich kann eingestellt werden, wann die Skripte geladen werden sollen (zum Beispiel erst nach Zustimmung, oder schon vorher bei "notwendigen" Cookies/Skripten).
Über den Konstanteneditor lassen sich noch einige Grundeinstellungen vornehmen.
Auf der Datenschutzseite kann über ein Plugin eine Liste der konfigurierten Cookies angezeigt werden. Hier kann auch über einen Link das Cookiebanner jederzeit erneut aufgerufen werden, damit der Besucher seine Einstellungen ändern kann.
Vorteile:
- Standard-CSS ist ansprechend und kann wahrscheinlich in den meisten Fällen direkt genutzt werden.
- Das CSS verwendet einen eigenen Namensraum und vermeidet somit weitestgehend Konflikte mit bestehendem CSS. Auch das Überschreiben im eigenen CSS wird so erleichtert.
- Vordefinierte Skripte für gängige Cookies/Anwendungen (Matomo, Google Analytics, Google Tag Manager, Facebook Pixel)
- Bei späterem Opt-Out werden gesetzte Cookies wieder entfernt
Nachteile:
- Mehrsprachigkeit wird momentan noch nicht unterstützt
- Um die Texte im Cookiebanner zu ändern, muss momentan teilweise direkt in das JavaScript eingegriffen werden.
- Cookies/Skripte können nicht in Kategorien wie z.B. "Notwendig", "Marketing", "Statistik" etc. gruppiert werden.
- Erklärende Texte zu den Cookies müssen selber geschrieben werden. Hier ist eventuell eine aufwändigere Recherche notwendig, je nach Art und Menge der verwendeten Cookies
- Die Erweiterung nutzt jQuery im Frontend. Bei bestehender Nutzung der jQuery-Bibliothek ist keine Anpassung notwendig. Andernfalls muss jQuery eingebunden werden. Zukünftige Versionen der Erweiterung sollen ohne jQuery auskommen.
Cookiebot
Kostenpflichtiger externer Service
Funktionen:
Bei Cookiebot handelt es sich um einen externen Service, der nicht nur für TYPO3-Websites genutzt werden kann.
Cookiebot scannt eine Website automatisch in bestimmten Intervallen nach genutzten Cookies. Das Cookiebanner wird nach diesen Scans automatisch angepasst. Die erkannten Cookies werden, sofern in der Cookiebot-Datenbank bekannt, automatisch in entsprechende Kategorien einsortiert und mit Erklärungstexten versehen. Bei dem Service unbekannten Cookies kann man dies manuell durchführen.
Die erkannten Skripte werden automatisch blockiert, eine manuelle Anpassung ist nur notwendig, wenn Tools wie der Google Tagmanager genutzt werden. Die Konfiguration ist in der Dokumentation beschrieben, aber relativ zeitaufwändig.
Man kann einen Liste aller genutzten Cookies ausgeben lassen. Diese kann auf einer beliebigen Seite ausgegeben werden, zum Beispiel der Datenschutzseite.
Zur Einbindung von Cookiebot müssen zwei JavaScript-Schnipsel integriert werden. Das erste erzeugt den Cookiebanner und muss direkt an den Anfang des <head>-Bereichs integriert werden. Das zweite erzeugt die Liste der genutzten Cookies und kann zum Beispiel über ein HTML-Contentelement auf einer beliebigen Seite platziert werden.
Es gibt zur Integration von Cookiebot inzwischen auch TYPO3-Extensions, diese sind unserer Meinung nach aber unnötig, da sich der notwendige JavaScript-Code mit 2 Zeilen im TypoScript-Setup integrieren lässt.
Für kleine Webseiten (1 Domain, weniger als 100 Einzelseiten) kann Cookiebot kostenlos genutzt werden. Die Preise sind gestaffelt und beginnen bei 9 Euro/Monat/Domain (zzgl. MwSt.) (https://www.cookiebot.com/de/pricing/).
Vorteile:
- Sehr einfach zu integrieren
- Automatischer Scan der Website nach genutzten Cookies
- Erklärende Texte von bekannten Cookies werden automatisch erzeugt und in den Banner integriert
- Regelmäßiger Scan der Website nach geänderte Cookies (in der kostenlosen Version 1 mal/Monat)
- In unseren Tests wurden schon gesetzte Cookies bei einem nachträglichen Opt-Out tatsächlich auch gelöscht.
Nachteile:
- Die Nutzung von Cookiebot verstößt ggf. gegen die DSGVO (vorläufiges Urteil im Eilverfahren)
- Bei größeren Websites oder Multidomain-Setups wird die Nutzung sehr schnell relativ teuer
- Optische Anpassungen des Cookiebanners erst in der kostenpflichtigen Version möglich
Usercentrics
Externer kostenpflichtiger Service (Preis auf der Website nicht zu finden)
Funktionen:
Auch hier handelt es sich um einen externen Service, der nicht nur für TYPO3-Websites genutzt werden kann.
Bei der Konfiguration der genutzten Cookies bietet Usercentrics eine Reihe von vordefinierten Einstellungen an für gängige Cookies wie zum Beispiel Google Analytics, Matomo, Youtube, Vimeo und einige mehr.
Zusätzlich müssen die Skripte externer Anbieter aber angepasst werden, damit der Opt-In funktioniert.
Das Cookie-Banner bietet ausführliche Informationen zu den genutzten Cookies und erlaubt auch die Zustimmung nur zu bestimmten Cookie-Gruppen.
Der Besucher kann jederzeit seine Einstellungen ändern oder auch ein Opt-out durchführen. Dazu wird auf der Website ein unten links "schwebender" Button eingeblendet, über den man jederzeit in diese Einstellungen gelangt.
Vorteile:
- Erklärende Texte von bekannten Cookies werden automatisch integriert
- Optisch ansprechende Darstellung, die auch angepasst werden kann
Nachteile:
- Manuelle Anpassungen der JavaScript-Codes von z.B. Google Analytics, Matomo oder ähnlichen Tools notwendig, damit Opt-In/Opt-out funktioniert
- Bei Nutzung des Google Tagmanagers ist die Konfiguration relativ aufwändig, aber gut dokumentiert
- Auf der Website sind leider keine Preisangaben zu finden