Kategorien
Bericht

WordPress Meetup München 13.07.2022 – Cookie / Consent Manager

Bei unserem Juli Meetup hatten wir mit einem 30 Grad Sommertag in München leider starke Konkurrenz, wodurch die Anzahl der Noshows doch erheblich war! Das nächste Meetup im August verlegen wir daher einfach in den Biergarten dann kommen auch die Sonnenanbeter zum gepflegten WordPress Nerdtalk!

WordPress Talk über Cookie / Consent Banner und die damit verbundenen DSGVO Regeln

Speaker: Volker Heinrich von der Luehrsen // Heinrich

Nachdem das WordPress Meetup in München im Juni nach zwei Jahren wieder sein Revival hatte, folgte am 13. Juli auch schon Termin zwei mit dem Thema Cookie / Consent Manager. Nachfolgend eine kurze Zusammenfassung des Talks.

Cookie Banner gehören seit gut vier-fünf Jahren zum Besuch einer jeden Webseite dazu. Für den Besucher eine lästige Angelegenheit und für den Webseitenbetreiber eine Notwendigkeit um Datenschutzauflagen zu erfüllen.

Welchen Zweck haben Cookie / Consent Manager?

Consent Manager holen von jedem Webseiten Besucher über die wohl bekannten Cookie Banner eine Zustimmung zum Einsatz von Third Party Requests ein. Also ob externe Cookies, Scripts, Fonts, Embeds oder andere Requests an Server von Drittanbietern stattfinden dürfen. Denn selbst durch einen einfachen Aufruf von Servern von Drittanbietern wird mindestens bereits eine IP übergeben und diese zählt zu den sogenannten personenbezogenen Daten.

Zu Erwähnen wäre natürlich auch, dass über den Cookie-Banner der Besucher auch über eigene Cookies (funktionale / essentielle) zumindestens informiert wird.

Die rechtliche Grundlage für die Notwendigkeit eines Consent Managers wird durch §6.1 der DSGVO im Abschnitt a klar geregelt:

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

DSGVO Artikel 6

Wissensquiz mit den Teilnehmern des Meetups

Nachdem dieser recht trockene, aber notwendige Teil des Talks abgehandelt war, durften die Meetup Teilnehmer ihr DSGVO Wissen in einem kleinen Quiz testen. Anhand von fünf Beispielen wurde abgefragt ob dieser Fall zustimmungspflichtig wäre oder nicht.

  1. YouTube Embed
    Natürlich ist ein YouTube Embed ein ungefragter Aufruf an die YouTube Server und damit Zustimmungspflichtig.
  2. Bilder
    Gemeine Frage, aber hier kommt es darauf an wo das Bild liegt. Auf dem eigenen Server? Nicht Zustimmungspflichtig. Auf einem Server von Dritten? Dann wäre auch dies Zustimmungspflichtig.
  3. Google Analytics
    Zustimmungspflichtig
  4. Twitter Embeds
    Zustimmungspflichtig
  5. Audio Files
    Genau der gleiche Fall wie bei Bildern. Liegt die Audio File auf dem eigenen Server, ist alles ok.
  6. Like Buttons
    Auch eine hinterlistige Frage, da die Datengrundlage nicht klar ist. Gemeint war aber der Social Icons Block um auf externen Links auf Social Media Profile zu verlinken. Für diesen Fall ist eine Zustimmung des Besuchers nicht erforderlich.

Was macht nun einen guten Consent Manager aus?

Im Talk wurden dann Grundvoraussetzungen für einen guten Consent / Cookie Manager zusammengefasst

  • Das Laden der Third Party Requests erfolgt erst nach Zustimmung des Besuchers
    (Wichtigstes Kriterium! Dies muss der Webseitenbetreiber auch über den Browser-Inspector kontrollieren!)
  • Dokumentation des abgegebenen Consents des Besuchers (IP, Datum & Uhrzeit, gewählte Optionen)
  • Automatische Content-Blocker von Embeds (z.B. YouTube)
  • Kategorisierung der „Cookies“ in Gruppen (z.B. funktionell / essentiell, Statistiken, Marketing)
  • Anpassbarkeit des Cookie Banners

Zum Abschluss wurden gemäß der oben genannten Voraussetzungen zwei Lösungsempfehlungen ausgesprochen.

Option A – Kostenlos:

  • Plugin GDPR Cookie Compliance als Consent Manager
  • zusätzlich Content Blocker Plugins nach Bedarf wie z.B. YouTube Lyte

Open B – Kostenpflichtig:

  • Plugin borlabs Cookie für 39€ für 1 WordPress Seite pro Jahr.
    Das kostenpflichtige erfüllt alle Kriterien und bringt gleichzeitig auch einen umfangreichen Content Blocker mit sich, der eigenständig erweitert werden kann.

Leider versagte im Talk die Technik wodurch die vorbereitete Demo von borlabs nicht gezeigt werden konnte. Als Ersatz bleibt hier nur auf das Video von borlabs zu verweisen, in dem man sich die Grundzüge des Consent Managers anschauen kann.

Viele Fragen und ein oft gezeigtes Schild

Da in diesem Talk neben den handwerklichen Tipps im Bereich WordPress und Webseitenbetrieb auch juristische „Empfehlungen“ ausgesprochen worden, war der Hinweis stets wichtig, das der Talk nicht von einem Juristen gehalten wurde:

Twitter

Mit dem Laden des Tweets akzeptieren Sie die Datenschutzerklärung von Twitter.
Mehr erfahren

Inhalt laden

Es gab eine Vielzahl an Fragen, da es einige Fallbeispiele gab die abgefragt wurden. Um diese alle zusammenfassend zu beantworten gilt hier stets der Grundsatz:

Werden ungefragt Daten von einem Server eines Dritten geladen? Ist die Antwort ja liegt i.d.R. ein DSGVO Verstoss vor.

Auch bei der Zuständigkeit gibt es meist eine klare Antwort: in letzter Instanz ist der Webseitenbetreiber dafür verantwortlich was beim Aufruf seiner Webseite geladen wird.

Slides zum Vortrag

Klicken Sie auf den unteren Button, um den Inhalt von Slideshare zu laden.

Inhalt laden

Twitter

Wir freuen uns immer über einen regen Austausch auf Twitter mit dem Hashtag #wpmuc.

Twitter

Mit dem Laden des Tweets akzeptieren Sie die Datenschutzerklärung von Twitter.
Mehr erfahren

Inhalt laden

Nächstes Meetup

Das nächste Mal trifft sich das WordPress Meetup München am Donnerstag, den 11.August 2022. Location wird wieder das WERK1 sein.

Um die nächste Ankündigung für das nächste Meetup mitzubekommen, meldet euch am besten auf meetup.com an.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.