Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Kostenfreies Consent Tool für Webseiten zum Download

6

Auch wenn die meisten Webseiten ohne Einwilligungsabfrage auskommen würden: Hier ist ein kostenloses Cookie Consent Tool. Es ist im Endeffekt sicher als andere Consent Tools, erfordert dafür aber mehr Arbeit und macht Ihnen die rechtlichen Risiken bewusst. Vielleicht hilft Ihnen die Lösung sogar, ganz auf Cookie Popups zu verzichten. Besucher Ihrer Webseite werden es Ihnen danken.

Einleitung

Ein Consent Tool für Webseiten wird oft auch als Cookie Popup, Cookie Consent, Cookie Tool oder Einwilligungslösung bezeichnet. Viele meinen, sie brauchen so ein Tool für ihre Webseite. Das stimmt zwar nicht. Aber um den Wildwuchs der in meinen Augen unseriösen Lösungen, die auch noch Geld kosten, einzudämmen, stelle ich eine kostenfreie Lösung zur Verfügung.

Merkmale der Lösung

  • Lädt Tools und Cookies erst, nachdem der Nutzer eingewilligt hat (im Gegensatz zu angeblichen Cookie Blockern oder Cookie Scannern: Beweis)
  • Speichert erteilte Einwilligungen von Nutzern ab, so dass dies später nachgewiesen werden kann
  • Zwingt dazu, eigene Texte für die Einwilligung zu pflegen. Ja richtig, nur so verstehen Sie das rechtliche Risiko. Alle mir bekannten Consent Management Plattformen liefern meist Bullshit Texte (Beweis: Praxistest). Es gibt kaum Datenschutztexte für Tools von Google o.ä., die rechtskonform sind. Nein, ein Anwalt kann das auch nicht leisten. Warum sollte gerade jemand, der sich mit Webseiten oder Technik nicht auskennt, so etwas können?
  • Sie müssen selbst herausfinden, welche Tools auf Ihrer Webseite vorhanden sind und können so direkt einige unnütze Tools entfernen und andere durch datenschutzfreundliche Alternativen ersetzen. Nur so gelingt Datenschutz wirklich. Nutzen Sie meinen online Webseiten Scanner zur Unterstützung. Beispiele für das Versagen von sogenannten Cookie Scannern: YouTube Videos ohne Cookies, externe Google Schriften, Datenabrufe aus unsicheren Drittländern)
  • Kostenfrei

Übrigens wird eine Einwilligung nicht für Cookies abgefragt, sondern für Datenverarbeitungen. Cookies werden von Tools eingebracht, also muss der Ladevorgang von Cookie-behafteten Tools bis zur Einwilligung unterbunden werden. Cookies können nicht direkt unterbunden werden!

Außerdem muss für bestimmte Tools eine Einwilligung abgefragt werden, auch wenn diese gar keine Cookies nutzen.

Hier sehen Sie die wichtigsten Rechtsgrundlagen für eine Einwilligungspflicht:

Wie Sie sehen, sind Cookies nur einer von drei Fällen, in denen eine Einwilligung erforderlich ist.

Installation auf Webseiten

Laden Sie die Installationsdateien herunter.

Sie finden dort eine PDF-Datei mit einer Installationsanleitung.

Kurzanleitung

  1. Entpacken Sie das ZIP-Archiv in ein lokales Verzeichnis
  2. Binden Sie am Ende jeder Seite das Consent Script drdsgvo-consent-script.js ein
  3. Binden Sie ein Script auf jeder Seite ein, das nach Einwilligung geladen werden soll (siehe demo.html)
  4. In diesem Script laden Sie alle Tools, die einer Einwilligung bedürfen
  5. Hinterlegen Sie die Texte, die im Einwilligungs-Popup angezeigt werden sollen, in der Datei drdsgvo_consent.def
  6. Definieren Sie die Adressen von Impressum und Datenschutzerklärung (siehe demo.html)
  7. Binden Sie das Stylesheet ein (siehe demo.html)
  8. Binden Sie die jQuery-Biliothek ein, falls Ihre Webseite diese noch nicht nutzt (siehe demo.html)
  9. Fügen Sie als Widerrufsmöglichkeit eine Aufrufmöglichkeit für die Einwilligungsabfrage ein (siehe demo.html)

Sämtliche Texte und Darstellungen können beliebig angepasst werden.

Der Quellcode des Tools liegt Ihnen nach dem Herunterladen vor.

Machen Sie sich bewusst, dass eine Ablehnung genauso leicht möglich sein sollte wie eine Einwilligung. Im Wenn die Einwilligung optisch hervorgehoben ist, könnte dies unerlaubt sein. Dies wird als Nudging bezeichnet. Dies erscheint rechtswidrig. Das LG Rostock hat dies sogar schon bestätigt (Urteil vom 15.09.2020 – 3 O 762/19).

Wenn Sie eine Einwilligung für mehrere Zwecke einholen, empfehle ich, auf der ersten Ebene (Startbild der Abfrage) bereits Angaben zu den Zwecken zu machen. Schreiben Sie mindestens ungefähr, welche Zwecke dies sind und erklären Sie es dann auf der zweiten Ebene (Detailebene) genauer und in Ihren Datenschutzhinweisen ganz genau.

Um zu wissen, welche kritischen Datenverarbeitungen auf Ihrer Webseite stattfinden, können Sie meinen Website Scanner nutzen:

Erklärung zum Tool

Auf der Einwilligungsabfrage müssen Sie zumindest in Kurzform erklären, welche Dienste eingesetzt werden. Dazu gehören folgende Angabe:

  • Anbieter (inkl. Firmierung Adresse und Land)
  • Allgemein verständliche Beschreibung des Dienstes
  • Eingesetzte Cookies, sofern technisch nicht notwendig
    • Name
    • Lebensdauer
    • Beschreibung des Zwecks
  • Risiken. Wenn ein Datentransfer in unsichere Drittländer wie die USA stattfinden kann, ist dies zu benennen
  • Datenempfänger

Sie finden die Rechtsgrundlagen in meiner Checkliste für Einwilligungsabfragen.

In Ihrer Datenschutzerklärung muss eine ausführliche Beschreibung pro Dienst genannt sein.

Der EuGH sagt zur Einwilligung im Urteil vom 11.11.2020 (C61/19, Orange Rumania):

Das [..] Erfordernis, dass die Einwilligung „in Kenntnis der Sachlage“ bzw. „in informierter Weise“ erfolgen muss, bedeutet nach Art. 10 dieser Richtlinie [Vorgänger der DSGVO] in Verbindung mit ihrem 38. Erwägungsgrund sowie nach Art. 13 [DSGVO] in Verbindung mit ihrem 42. Erwägungsgrund, dass der für die Verarbeitung Verantwortliche der betroffenen Person eine Information über alle Umstände im Zusammenhang mit der Verarbeitung der Daten in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zukommen lassen muss, da dieser Person insbesondere die Art der zu verarbeitenden Daten, die Identität des für die Verarbeitung Verantwortlichen, die Dauer und die Modalitäten dieser Verarbeitung sowie die Zwecke, die damit verfolgt werden, bekannt sein müssen. Solche Informationen müssen diese Person in die Lage versetzen, die Konsequenzen einer etwaigen von ihr erteilten Einwilligung leicht zu bestimmen, und gewährleisten, dass die Einwilligung in voller Kenntnis der Sachlage erteilt wird […].

Rn. 40 des EuGH-Urteils zu Orange Romania

Auf den ersten Blick wird deutlich, dass eine rechtskonforme Einwilligungsabfrage kaum möglich und nur etwas für ganz Mutige ist. Das Problem ist hier aber nicht das Gesetz, sondern die maximale Intransparenz und Datensammelwut von Google & Co. Für Matomo gelingt eine Erklärung, wie vorgeschrieben, für Google Analytics kaum bis gar nicht.

Zusätzliche Informationen

Bei Widerruf einer erteilten Einwilligung müssen Sie dafür sorgen, dass die gesetzten Cookies entfernt werden. Das können Sie aber für Third-Party Cookies gar nicht selber tun, sondern müssten eine Service-Funktion des Anbieters des entsprechenden Tools aufrufen, sofern dieser eine solche bereitstellt. First Party Cookies können Sie selber abräumen. First-Party Cookies können aber auch von Drittdiensten gesetzt werden. Populäres Beispiel ist Google Analytics. Um das sauber handhaben zu können, müssen Sie tiefer einsteigen. Wenn Sie sich jetzt aufregen, dass alles so kompliziert ist: bedanken Sie sich bei den Anbietern von datenschutzfeindlichen Tools!

Das Consent Tool speichert IP-Adressen ab, um eine erteilte Einwilligung im Zweifel nachweisen zu können. Eventuell reicht ein Hash-Wert aus. Es gibt aber sicher aus Fälle, in denen selbst die volle IP-Adresse als Nachweis nicht ausreicht. Bei Bedarf passen Sie die Programmlogik entsprechend an.

Alternative

Ihnen ist das zu kompliziert? Hier sind weitere Möglichkeiten:

  1. Nutzen Sie eines dieser populären Wunder Consent Tools, die allesamt Bullshit produzieren, wie man permanent feststellen und beweisen kann. Bitte suchen Sie sich eine andere Lektüre als meine Webseite
  2. Missachten Sie Datenschutzgesetze, entweder weil Sie es nicht besser wissen oder weil Ihnen Datenschutz nicht wichtig ist oder weil Sie verzweifelt sind. Bitte suchen Sie sich eine andere Lektüre als meine Webseite
  3. Fragen sie jemanden, der sich wirklich damit auskennt. Viel Erfolg bei der Suche. Ich kenne nur einen, der weiß, wie es geht. Vielleicht sind mir die drei anderen unbekannt oder es gibt sie nicht
  4. Verzichten Sie auf jegliche Tools, die einwilligungspflichtig sind. Die gute Nachricht: Das wird Ihnen mit über 90%iger Wahrscheinlichkeit gelingen, denn mindestens so viele Webseiten können nach vorsichtiger Schätzung ohne Einwilligungsabfrage auskommen

Wenn Sie Möglichkeit 4 wählen möchten, können Sie über meinen online DSGVO Website Check eine erste Idee erhalten, wie das geht. Der Website Check zeigt für häufige Datenschutzprobleme mögliche Lösungen. Wenn Sie eine Lösung vermissen, schreiben Sie mir.

Hier eine Kurzanleitung für häufig verwendete Webseiten-Tools und eine datenschutzfreundliche Alternative, die ohne Einwilligung auskommt.

Einwilligungspflichtiges ToolDatenschutzfreundliche Alternative
Google AnalyticsMatomo (lokal)
Externe Google FontsLokale Google Fonts
Google reCAPTCHAPHP-Lösung, Lösung von Dr. DSGVO (kommt noch), einfache Rechenaufgabe im Formular, Contact Form 7 Image Captcha (WordPress), weglassen (bekommen Sie viel Spam? Nein: weglassen)
Google MapsLösung von Dr. DSGVO
YouTube VideoVorschaubild mit Link auf Video, lokales Video, kein Video (Nutzen?)
Vimeo VideoSiehe YouTube Video
OpenStreetMapLösung von Dr. DSGVO
MailChimpEigener Mailserver oder WordPress-Lösung
Lösungen zur Vermeidung einer Einwilligungsabfrage

Diese Liste lässt sich noch ewig fortsetzen. Für die meisten Webseiten kann nach meiner Erfahrung so auf eine Einwilligungsabfrage verzichtet werden.

Fazit

Meine Consent-Lösung wird bereits in der Praxis eingesetzt (nicht von mir, ich brauche keine Einwilligungsabfrage).

Die rechtlichen Risiken sind m. E. geringer als bei Standard Consent Tools, die gerne mal als Wunder verkauft werden. Außerdem hilft Ihnen mein Ansatz, sich bewusst zu werden, ob Sie wirklich eine Einwilligungsabfrage benötigen.

Der Einwilligen-Button sollte gegenüber dem Ablehnen-Button nicht hervorgehoben sein. Sie können das bei Bedarf in den Quelldateien ändern. Falls Sie es nicht hinbekommen, schreiben Sie kurz.

Die Auslieferung, die Sie oben abrufen können, ist allerdings im Frühstadium. Sollte etwas unklar sein oder nicht funktionieren, schreiben Sie mir.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Über neue Beiträge werden Sie informiert, wenn Sie meinen Newsletter abonnieren. Über Ihre Unterstützung für meine unabhängige Berichterstattung würde ich mich besonders freuen.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Kommentare von Lesern

Die Kommentare drücken die Meinungen der jeweiligen Kommentargeber aus
  1. minimatrix

    Ich denke die Lösung ist nicht TTDSG konform.
    Wenn bereits auf der ersten Ebene des Banners ein Button existiert, mit dem eine Einwilligung für verschiedene Zwecke erteilt werden kann, müssen auch auf dieser ersten Ebene konkrete Informationen zu allen einzelnen Zwecken enthalten sein.

    • Dr. DSGVO

      Danke für die Rückmeldung.

      Die Einwilligung ist in der DS-GVO geregelt. Das TTDSG verweist “nur” darauf.

      Die Ausgestaltung der Einwilligungsabfrage ist beliebig möglich. Nach dem Download liegen Ihnen alle Quelldateien vor. Sie können die Zwecke nach Belieben angeben.

      Ich habe im Artikel genannt, dass die Zwecke auf der ersten Ebene kurz genannt werden sollten und auf der 2. Ebene ausführlicher sowie in den Datenschutzhinweisen ganz ausführlich.

  2. Frank Spade

    Ist OpenStreetMap nicht die datenfreundliche Alternative zu Google Maps?
    In der Tabelle steht es anders herum …

    • Dr. DSGVO

      Danke für Ihre Rückmeldung.
      Die Tabelle war etwas irritierend gestaltet.

      OSM ist tausendmal datenschutzfreundlicher als Google Maps, hat aber immer noch Mängel. Diese Mängel hatte ich anderswo hier im Blog konkret benannt.

  3. Gerald Steffens

    Gibt es irgendwo eine Präsenz oder Demo Installation, um sich das einmal vorher von außen ansehen zu können? Mich interessieren da vor allem Performance Aspekte. Borlabs Cookie klatscht z.B. in jede Seite 10K an HTML/Scriptkram. Das ärgert, weil man selbst nach dem Akzeptieren von Cookies auf jeder weiteren Unterseite das Zeug mit durchschleift.

    • Dr. DSGVO

      Ja, im Download ist eine Demo enthalten.
      Die Scripte können nach Belieben angepasst werden. Wenn Sie eine ganz tolle Lösung haben wollen, die exakt Ihren Bedürfnissen entspricht:
      a) selber machen
      b) jemanden bezahlen, der Ihnen diese baut
      😉

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Cookie Consent Tools auf Webseiten. Darum sollten Sie unbedingt darauf verzichten