Cookie-Richtlinie-im-Blog-umsetzen

Wie du die Cookie Richtlinie im Blog umsetzt (mit Infografik)

| 8 Kommentare

Cookie-Richtlinie-im-Blog-umsetzen
Seit dem 27.07.2015 erhalten Website-Betreiber und Blogger, die auf ihren Internetseiten unter anderem Werbebanner von Google AdSense einsetzen, aufsehenerregende E-Mails. Dort heißt es, man solle nun die “Richtlinie zur Einwilligung der Nutzer in der EU” bis zum 30.09.2015 umzusetzen.

Diese doch überraschende Meldung sorgte auch für viel Unsicherheit bei den Bloggern. Vielfach war zu lesen:

Was heißt das genau? Gilt das auch für mich? Kann ich dafür abgemahnt werden? Ich habe doch gar kein AdSense, aber Google Analytics – was mache ich nun? Und wie genau setze ich das technisch um?

Bist du auch betroffen? Auch wenn du keine E-Mail bekommen hast aber trotzdem bestimmte Google-Produkte verwendest (AdSense oder DoubleClick), gilt dieser Artikel auch für dich. Mache dich mit den Vorgaben vertraut und erfahre, wie genau du sie in deinen Blog integrieren kannst.

Verwendest du kein Google AdSense oder DoubleClick, ist für dich der Abschnitt zu den gesetzlichen Richtlinien vielleicht interessanter.


Worum geht’s eigentlich? Was sind Cookies?

So gut wie keine Website kommt heute ohne Cookies aus. Das BSI erklärt Cookies so:

„Cookies sind kleine Dateien, die nach dem Besuch einer Internetseite auf dem PC abgelegt werden. In dieser Datei werden Informationen gespeichert, die im Zusammenhang mit der jeweiligen besuchten Internetseite stehen. (…) Weil Cookies keine ausführbaren Programme sind, stellen sie kein direktes Sicherheitsrisiko dar. Dennoch sind sie nicht unproblematisch: Cookies werden auch eingesetzt, um Internetseiten auf Ihre persönlichen Wünsche zuzuschneiden. Problematisch ist, dass hierbei ein sehr genaues Nutzerprofil angelegt werden kann. Unternehmen setzen solche Cookies zum Beispiel ein, um passende Werbung anzuzeigen.“
Quelle: Bundesamt für Sicherheit in der Informationstechnik

Werbe-Cookies werden dabei als sogenannte Drittanbieter-Cookies bezeichnet. Dazu gehören auch Google AdSense, DoubleClick for Publishers aber auch Google Analytics.

Es gibt jedoch auch Session-Cookies, die nicht von Drittanbietern kommen. Hast du z.B. schon einmal hier auf dem Blog mit deiner E-Mail-Adresse kommentiert, musst du sie bei einem weiteren Kommentar oft nicht mehr eingeben, weil die Eingabe gespeichert wurde. Session-Cookies werden beim Schließen des Browsers in der Regel gelöscht.
Du siehst: Cookies sind nicht per se schlecht. Sie erleichtern Vieles oder ermöglichen erst bestimmte Funktionen eines Blogs.

Wichtig: Google ist nicht die EU!

Die Vorgaben von Google werden im Netz oft mit der echten Richtlinie der EU verwechselt. Dabei sind das zwei Paar Schuhe – auch wenn Google auf der EU-Vorgabe aufbaut und seine neuen Regeln ebenfalls „Richtlinie“ nennt.

Googles Allmacht wird in diesem Punkt etwas zu ausführlich verstanden. 😉 Google kann keine europäischen Richtlinien machen bzw. sie einfach selbstständig in deutsches Recht umsetzen. Da es jedoch ein großer Konzern ist, ist es nicht so abwegig, dass er die Umsetzung in den eigenen Produkten durchdrücken will.

Wir unterscheiden daher jetzt mal zwischen den gesetzlichen Vorgaben (EU und Deutschland) und den vertraglichen Verpflichtungen (als Google AdSense-Nutzer).

1. Gesetzliche Pflichten aller Website-Betreiber

Die EU-Richtlinie
Die Richtlinie 2009/136/EG (Cookie-Richtlinie genannt) schwebt schon seit November 2009 wie ein böser Geist umher, da sie in Deutschland zu einer enormen Rechtsunsicherheit führt.
Ziel der Richtlinie ist genau genommen, die Website-Besucher schon beim ersten Besuch darüber zu informieren, dass Nutzerdaten erhoben werden. Dabei soll der Leser vorher ausdrücklich zustimmen müssen, dass das ok ist – sogenanntes Opt-In. Allerdings verstehen selbst die Mitgliedstaaten der EU die Richtlinie unterschiedlich: Die einen setzen auf Opt-In, während anderen das Opt-Out ausreicht. Was nun die schwammig formulierte EU-Richtlinie fordert, ist nicht so richtig klar.

Nun gehört es zur Eigenart einer EU-Richtlinie, dass sie zunächst nicht unmittelbar für Website-Betreiber in Deutschland gilt. Sie richtet sich nämlich an die Mitgliedstaaten, also die Regierungen, die diese Richtlinie nun erst in nationales Recht umsetzen müssen. Ein neues Gesetz müsste dazu also her.

Die deutsche Gesetzgebung
In Deutschland wurde die Richtlinie bis heute nicht umgesetzt.  Die deutsche Bundesregierung stellt sich nämlich auf den Standpunkt, dass der Richtlinie bereits ausreichend Genüge getan wird – mit unserem Telemediengesetz (TMG). Das TMG kennen wir Blogger bereits vor allem aufgrund der Impressumspflicht. 

Das TMG fordert bezüglich Cookies, dass

  1. ein entsprechender Hinweis in der Datenschutzerklärung erfolgt
  2. die Möglichkeit des Widersprechens geboten wird, also das sogenannte Opt-Out, und
  3. die Nutzerdaten nicht personenbezogen erhoben werden.

Opt-In oder Opt-Out?
Die strengere und damit sicherere Methode ist das Opt-In. Das bedeutet, du schaltest ein PopUp oder eine Leiste auf dem Blog, die auf die Verwendung von Cookies auf dem Blog deutlich hinweist, sobald der User auf „Ok“ geklickt hat. Tut der Leser das nicht, dürfen auch keine Cookies verwendet werden.
Ob das jedoch wirklich notwendig ist, ist bereits umstritten. Artikel 5 Abs. 3 der EU Richtlinie spricht selbst zwar von „Zustimmung“, relativiert das später aber.

Nach deutschem Recht reicht derzeit das Opt-Out, das heißt, es werden solange Cookies verwendet, bis der Leser selbst widerspricht. Dazu dient der Hinweis und die Möglichkeit in der Datenschutzerklärung.

2. Vertragliche Pflichten als AdSense- und DoubleClick-User

Von diesen gesetzlichen Vorgaben zu unterscheiden ist die Verpflichtung, die Google nun bestimmten Bloggern und Website-Betreibern auferlegt. Sie fußen zwar auf der EU Cookie Richtlinie, haben aber eher eine innervertragliche Bindung:

Wenn du Werbebanner via AdSense einsetzt, dann bist du Vertragspartner von Google. Aus diesem Vertrag ergeben sich bestimmte Pflichten, die Google dir mit seiner neuen Richtlinie zur Einwilligung der Nutzer in der EU auferlegt. Ich finde es etwas unglücklich, dass Google seine Vorgabe ausgerechnet „Richtlinie“ nennt – auch wenn die Anlehnung an die originale Direktive der EU sicherlich gewollt ist, so erweckt es beim Leser doch den Eindruck, als sei es gesetzlich verpflichtend. Doch gerade die gesetzliche Ebene ist ja in Deutschland so ungeklärt.

Die Aufforderung von Google ist also keine gesetzliche Pflicht, sondern einfach eine (vertragliche) Nutzungsbedingung.

3. Konsequenzen bei Verstoß: Passiert was, wenn ich die Cookie Richtlinie nicht umsetze?

Auch hier ist wieder zwischen einer möglichen gesetzlichen Verpflichtung und Google’s Spielregeln zu unterscheiden:

Aufgrund der großen Rechtsunsicherheit in Bezug auf die Cookie-Regelung in Deutschland sind rechtliche Konsequenzen nicht absehbar. Grundsätzlich besteht natürlich immer die Möglichkeit, durch die Datenschutzbehörden oder Mitbewerber abgemahnt zu werden. Die Wahrscheinlichkeit wird von Juristen jedoch als eher gering angesehen, weil das TMG schließlich deutsches Recht ist und nach wie vor unverändert gilt.
Hinzu kommt, wie gesagt, dass die Richtlinie bereits unterschiedlich umgesetzt wurde. Ob nun also ein Opt-In zwingend ist, weiß man nicht.

Google selbst äußert sich nicht dazu, welche Konsequenzen Websites zu erwarten haben, sollten sie die Vorgaben nicht durchsetzen.
Strenggenommen stellt das aber eine Vertragsverletzung dar, da deutlich gegen die Nutzungsbedingungen von AdSense (u.a.) verstoßen wird. Wie genau Google das nehmen wird, ist derzeit auch noch nicht abzusehen, da es sich ja doch um recht viele Websites handeln dürfte, die sie überprüfen müssten. Das wird vermutlich aber ohnehin automatisiert passieren. Denkbar und auch realistisch wäre hier z.B. ein Ausschluss vom AdSense-Programm bis hin zur Sperrung des Kontos.

Wer also absolut auf Nummer sicher gehen möchte, kann sich daher an die strengeren Vorgaben halten und die Hinweis-Bar auf dem Blog einbauen – auch wenn gar kein AdSense eingesetzt wird.
(Eine Datenschutzerklärung sowie die Opt-Out-Möglichkeit hast du ja ohnehin schon, oder? 😉 )

Die Cookie Richtlinie im Blog umsetzen – Der Einbau

Jetzt geht’s an die Technik. Keine Sorge, es ist im Grunde genommen sehr einfach, die Cookie Richtlinie im Blog umzusetzen.
Google gibt auf der Seite selbst Tipps, wie du den geforderten Hinweis einbauen kannst. Als Lösungen gibt das Unternehmen dabei ausschließlich die Hinweis-Bar bzw. -Banner oberhalb der Website an.

Wenn du einen Blog bei blogspot.de betreibst, musst du nicht mehr extra die Cookie Richtlinie im Blog umsetzen. Bestimmt hast du schon bemerkt, dass dort automatisch der dunkle Balken oben auf deinem Blog erscheint. Hier hat sich Google bereits an die eigenen Vorgaben gehalten und beim hauseigenen Blogspot-Dienst die Umsetzung übernommen. Möchtest du den Hinweis anders gestalten, findest du hier eine detaillierte Anleitung dazu: Cookies Benachrichtigung bei Blogger anpassen/ausschalten

Deswegen gelten folgende Ausführungen lediglich für Betreiber von WordPress-Blogs.

1. Mit Plugins – Damit geht’s am schnellsten

Wenn du einen WordPress-Blog selbst hostest (nicht über wordpress.com!), dann kannst du über Plugins die Cookie Richtlinie im Blog umsetzen. Schon seit geraumer Zeit findest du in der Plugin-Datenbank von WordPress die passenden Erweiterungen. Die meisten sind zwar auf Englisch, der entsprechende Text lässt sich jedoch anpassen.
Hier sind ein paar Beispiele, die sauber und übersichtlich funktionieren:

      • WP Cookie Choice
        Dieses Plugin ist sehr überschaubar und einfach gehalten. Du kannst in den Einstellungen wählen, ob ein PopUp erscheinen soll oder ob du lieber klassisch die Hinweis-Bar am oberen Rand des Blogs willst. Dann musst du nur noch den Text a la „Diese Website arbeitet mit Cookies…“ und den Link zu deiner Datenschutzerklärung eingeben.
      • Cookie Law Info
        Das Plugin finde ich interessant, weil es dich die Hinweis-Bar auch nach unten, in den Footer, setzen lässt. Ich persönlich finde das weniger störend. Außerdem kannst du hier die Farben ändern und so den Look passend zu deinem Blog gestalten.

2. Ohne Plugins – Ein bisschen Code und Javascript

Für diejenigen, die ein bisschen Fummelei am Code nicht scheuen, macht Google auf cookiechoices.org selbst kostenlose und kostenpflichtige Vorschläge, wie du die Cookie Richtlinie im Blog umsetzen kannst.

Ich selbst habe mich gleich für die erste kostenlose Vorstellung entschieden: cookie consent von silktide. Es heißt dort zwar, dass es ein Plugin sei, du musst es aber nicht wie „normale“ Plugins in WordPress installieren, sondern lediglich deine Header.php bearbeiten.

Eine tolle, ausführliche und bebilderte Anleitung dazu findest du auf der Ideenlounge.

Fazit

Die “Richtlinie zur Einwilligung der Nutzer in der EU” von Google ist keine gesetzliche Vorgabe, wohl aber eine vertragliche Verpflichtung.
Während die gesetzlichen Rahmenbedingungen fast alle Cookies betreffen, aber zumindest in Deutschland noch recht undurchschaubar sind, verlangt Google von seinen Vertragspartnern (das bist du, falls du u.a. AdSense einsetzt!) ausdrücklich, dass sie auf ihrer Website die Hinweis-Bar platzieren. Eine Zustimmung des Besuchers soll gewährleistet sein.
Wer also die bestimmten Produkte von Google auf der Website einsetzt, sollte bis zum 30.09.2015 den Hinweis anbringen.
Übrigens: Es wird bereits vermutet, dass Google die Einwilligungs-Pflicht auch auf Google Analytics und andere Produkte ausweiten wird.

Wie es auf gesetzlicher Ebene aussieht, ist derzeit reichlich umstritten. Große Preisfrage ist dabei, ob die Richtlinie nun doch direkt in Deutschland gilt oder eben (noch) nicht.
Der frühere Datenschutzbeauftragte des Bundes ging davon aus, dass die EU Cookie Richtlinie auch bereits in Deutschland unmittelbar gelte. Die Bundesregierung hingegen meint, dass die Richtlinie hinreichend durch das TMG konkretisiert ist und das ausreicht. Hinzu kommt, dass selbst der Wortlaut der EU-Richtlinie unterschiedlich interpretiert wird: Ob nun ein Opt-In erforderlich ist oder ein Opt-Out ausreicht, ist nicht so wirklich klar.

Was ist jetzt die Lösung für den eigenen Blog?
Der sicherste Weg scheint im Moment zu sein, den Cookie-Hinweis einzubauen. Dies geht mit Hilfe entsprechender Plugins oder der Bearbeitung der header.php sehr einfach. Wenn du kein Google AdSense oder DoubleClick verwendest und deswegen auf den Hinweis verzichten willst, musst du dir eines Restrisikos bewusst sein. Wann die gesetzliche Regelung endlich eindeutig sein wird, ist schwierig einzuschätzen. Bis dahin könnten sich aber deine Leser sowieso an diesen Banner am oberen Rand deiner Website gewöhnt haben. 😉

Kurz und knapp: Zusammenfassung via Infografik

Diese Infografik darfst du gerne teilen.

EU-Cookie-Richtlinie-Google-AdSense

Weiterführende Informationen

Wenn du dich vertiefter über das Thema der EU Cookie Richtlinie informieren willst, dann klicke dich durch folgende Links.

Du bist dran

Hast du den Hinweis bereits eingebaut? Oder verzichtest du solange darauf, bis die Gesetzeslage endlich verbindlich wird?
Schreib’s mir in die Kommentare.

Hinweis:
Mit diesem Artikel möchte ich einen Überblick zur Diskussion über die EU Cookie Richtlinie sowie zu den neuen Vorgaben von Google geben. Ich leiste auf diesem Blog keine Rechtsberatung. Bei konkreten Einzelfallfragen richte dich bitte an den Anwalt deines Vertrauens.

Stand: August 2015.

Gefällt dir der Beitrag? Sage es weiter:

Autor: Diana

Hallo! Ich bin Diana. Dieser Blog ist meine Spielwiese für Blogtipps, Organisation, besonders einfache Nageldesigns, schnelle DIYs und unkomplizierte Rezepte. Ich halte für dich meine Erfahrungen und spezielle Tipps fest, damit du die schönen Dinge ganz einfach nachmachen kannst. Mehr über mich

8 Kommentare

  1. Hallo Diana,
    Kompliment zu deinem Beitrag. Ich habe mich die letzten Tage viel mit diesem Thema auseinandergesetzt und suchte bisher noch ein passendes Plugin, über das ich die Info einblenden könnte. Dank deines Beitrags hat meine Suche ein Ende.
    Gerne habe ich deinen Beitrag auch auf meiner Facebook Seite und auf Twitter geteilt. Ich denke, viele haben sich mit diesem Thema noch nicht auseinandergesetzt. Vor allem auch durch die irreführenden Google Formulierungen.

    • Hallo Dirk,
      hab vielen Dank für das Kompliment und natürlich das Teilen des Beitrags. 🙂
      Die Google Formulierungen sind in der Tat ein bisschen… offen gehalten. 😀

  2. Super erklärt!
    Da ich erst seit einigen Tagen an Adsense teilnehme, hatte ich mich letzte Woche gewundert, wieso auf vielen Seiten jetzt die Cookie-Popups aufploppen.

    Ich selbst bin als Blogger bei der ganzen Sache etwas zwiegespalten. Einerseits finde ich Transparenz gut und weiß, dass nicht jeder erst die Datenschutzerklärung durchforsten möchte, um zu erfahren ob kritische Cookies genutzt werden. Andererseits empfinde ich die derzeitige Lösung als Leser recht störend. Auch wenn es nur ein schmaler Balken ist, aber wenn ich auf jeder Webseite erstmal Popups wegklicken muss (egal ob Rechtshinweis oder Werbung) dann nervt das nach einer Stunde Surfen im Internet schon etwas.

    Ich hab ja noch bis 30.09. Zeit. Und wenn ich dann merke, dass sich Adsense für meinen Blog ohnehin nicht rentiert, dann brauche ich mir auch keine Gedanken um den Warnhinweis machen.

    • Danke. 🙂

      Ich habe von Google’s Richtlinie in den Facebook Gruppen erfahren noch bevor ich die Mail gelesen hatte. So groß war der Diskussionsbedarf.

      Ich muss auch sagen, dass ich die Leiste alles andere als schön finde. Am unteren Ende der Website ist sie jedoch weniger störend, denke ich. Auf den meisten Blogs konnte ich auch einfach weitersurfen, ohne den Hinweis zu bestätigen. Schlimmer finde ich PopUps, die dich die Seite gar nicht erst richtig lesen lassen.

      Viel Erfolg mit AdSense. Ich blende die Anzeigen seit ein paar Monaten ein, so richtig viel kommt da aber nicht bei rum.

      Beste Grüße

  3. Ich habe den Hinweis in meinen Blogs auch drin. Ich finde ihn auch nicht zu störend und hoffe, dass meine Besucher das auch so sehen. Man wird sich im Laufe der Zeit daran gewöhnen. Gratuliere zum gelungenen howto.
    Lg Hans

  4. Danke für diesen Beitrag und den Link zur „Plugin“-Seite 😀

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.


Vielen Dank für dein Feedback.
Bitte halte dich an die Netiquette und das geltende Recht. Bei Verstoß wird dein Kommentar gelöscht.
Kommentare, die Links, Werbung oder Spam enthalten, werden ebenfalls entfernt. Deeplinks im Website-Feld sind nicht erwünscht.