Wir werden gelegentlich von Kunden gefragt, welches Consent-Tool denn unserer Meinung nach besonders zu empfehlen ist – vor allem dann, wenn unser DSGVO-Scanner decareto auf einer Website ein falsch konfiguriertes Consent-Tool gefunden hat, was oft geschieht.
Bisher habe ich mich mit Empfehlungen zurückgehalten, weil ich die Frage nicht beantworten kann. Ich kenne ein einziges Tool aus eigenen Projekten gut (Usercentrics), bin beim Rest aber blank.
Um in Zukunft besser informiert zu sein (und auch aus eigenem Interesse) werde ich deshalb in den nächsten Wochen eine Reihe von Consent-Tools testen. Das Spektrum soll von Enterprise-fähigen Produkten wie Usercentrics oder OneTrust bis hin zu OpenSource-Tools reichen, und ich werde nicht nur die Endergebnisse präsentieren, sondern auch den Prozess der Implementierung und Konfiguration beschreiben.
Ich habe eine Mini-Website als „Testaufbau“ für die Tools erstellt, so dass alle Testkandidaten unter vergleichbaren Bedingungen antreten:
- Die Website besteht aus einigen wenigen Seiten
- Auf allen Seiten soll Google Analytics als Beispiel für einen einwilligungspflichtigen Dienst eingebaut sein.
- Außerdem wird ein eher unbekanntes Produkt enthalten sein, das in den gängigen Datenbanken vermutlich nicht enthalten ist – ich werde dafür den Heatmap-Dienst „Squeaky“ verwenden. Squeaky ist nicht einwilligungspflichtig und wäre ein Beispiel für ein essentielles Tool.
- Ein wichtiger Use-Case ist die Verwendung von (einwilligungspflichtigen) Inhalten auf einzelnen Seiten, und zwar auf der Testsite Youtube und Google Maps.
Die Website in einer nicht-DSGVO-konformen Variante – also völlig ohne Absicherung durch ein Consent-Tool – ist hier aufrufbar, Verwendung auf eigene Gefahr:
https://demos.decareto.com/noconsent/
Wenn man sie aufruft, so kann man mit den Chrome Developer-Tools sehr schön die Aufrufe zu den Domains der eingebundenen Dienste sehen…
… sowie die gesetzten Cookies. Die beiden eingerahmten Cookies stammen vom Google Analytics.
Testkriterien
Als Kriterien für die Bewertung des Consent-Tools habe ich folgende Punkte vorgesehen:
- Lassen sich die oben genannten Anforderungen umsetzen?
- Lienzpreispreis bzw. Preis-Leistungs-Verhältnis
- Einfachheit in der Anwendung bzw. Implementierung
- Betrieb in der EU (Cloud) oder lokal auf dem Server möglich?
- Gibt es eine Datenbank für Dienste, so dass Informationen nicht komplett selber eingepflegt werden müssen? Und gibt es überhaupt die Möglichkeit, Informationen zu einzelnen Tools anzuzeigen?
- Lassen sich Dienste bzw. Cookies in Gruppen verwalten?
- Lassen sich Einwilligungen für Dienste einzeln an- und abwählen?
- Werden Einwilligungen der Besucher protokolliert? Ich halte diese Funktion persönlich auch für wenig relevant – gab es jemals einen Fall in dem ma nachweisen musste, dass eine Einwilligung wirklich gegeben wurde, und das über eine solche Funktion erledigt wurde? Ich bin skeptisch… )
- Wie anpassbar ist die Oberfläche, auch inhaltlich?
- Gibt es eine mehrsprachige Oberfläche?
- Lassen sich Einwilligungen nachträglich zurückziehen?
Aber genug der einleitenden Worte, starten wir sofort mit dem ersten Consent-Tool, und zwar
Cookie Consent by Osano
Dieses Tool ist mir ins Auge gefallen, weil sehr häufig auf den von decareto gescannten Websites verbaut ist. Es handelt sich dabei um eine Open-Source-Software : https://www.osano.com/cookieconsent
Nach Angaben des Herstellers Osano ist es das verbreitetste Cookie-Banner weltweit und hat seit 2016 über 100 Milliarden Cookie-Consents ausgeliefert (eine steile These, denn ausgelieferte Consents werden nicht in der Cloud getrackt, fraglich also woher Osano das weiß). Es ist nicht zu verwechseln mit der kommerziellen Variante Osano Consent Manager, die einen völlig anderen technischen Ansatz verfolgt.
Die Software kommt beim Download zunächst recht komfortabel daher, auf der Website hilft ein Einrichtungsassistent, die Software zu konfigurieren. Im Ergebnis ergibt sich ein HTML-Schnipsel, den man in seine Website einbauen kann, und der das Consent-Banner zur Anzeige bringt.
Der Code referenziert zwei externe Dateien für CSS-Stylesheets und Javascript, diese können aber einfach heruntergeladen und auf den Server kopiert werden. Danach wird tatsächlich ein Consent-Banner angezeigt:
Außer einem einleitenden Text, einem Link zur Datenschutzerklärung sowie Buttons zum Zustimmen und Ablehnen sind keine Benutzer-Elemente vorgesehen, insbesodere gibt es keine Unterscheidung in notwendige und nicht-notwendige Cookies. Aber OK.
Ab hier lässt der zunächst gute Eindruck leider ohnehin stark nach. Im nächsten Schritt müsste nämlich die Website so konfiguriert werden, dass Skripte geblockt werden, wenn kein Consent erteilt wurde. Die sehr oberflächliche Dokumentationverweist dazu auf eine Javascript-API, stellt aber kein einziges Beispiel dazu bereit. Nach einiger Web-Recherche und ziemlich viel Ausprobieren gelang es mir, den dazu notwendigen Javascript-Code zusammenzubauen – leider muss man tatsächlich zentrale Funktionen selber programmieren, die den Osano-eigenen Cookie mit dem Consent analysieren und dann Skripte blockieren oder freigeben. Möglicherweise habe ich mich einfach zu dumm angestellt und etwas Relevantes übersehen (gerne Info an mich wenn das so ist), allerdings geht es offenbar vielen Website-Betreibern so wie mir: fast alle Websites, die dieses Consent-Banner nutzen und von decareto gescannt werden, lassen einfach alle Cookies durch, unabhängig davon ob man zustimmt oder ablehnt.
Aber immerhin wird nun mittels Osano und zusätzlichem Javascript-Code das Google-Analytics-Tag in Abhängigkeit vom Consent ausgespielt, das Ergebnis ist hier sichtbar: https://demos.decareto.com/osano_cookieconsent/
Fazit und Bewertung
Ich habe mir nicht die Mühe gemacht, so wie vorgesehen auch Youtube und Google Maps zu blocken, auch wenn man mit viel Aufwand die notwendigen Funktionen selber bauen könnte. Für mich scheidet Cookie Consent by Osano aber als ernstzunehmende Lösung ohnehin aus, denn auch mit technischen Kenntnissen ist der Aufwand für den Einbau in eine Website immer noch zu hoch – zumindest erscheint es mir nicht sinnvoll, hier das Rad selbst erfinden zu müssen. Die detaillierte Bewertung auf Basis meiner Testkriterien schenke ich mir ebenfalls.
Zum Glück gibt es aber Open-Source-Projekte, die auf Osano aufsetzen, und Unterstützung für die Mängel liefern, die mir aufgefallen sind, zum Beispiel das folgende:
DP Cookie Consent
Der Entwickler Dirk Persky hat das Tool von Osano so erweitert, dass es deutlich komfortabler einsetzbar ist. Es ist verfügbar als Plugin für das verbreitete Content Management System Typo3 , man kann es aber auch direkt in Websites integrieren. Zum Download geht es hierlang: https://github.com/DirkPersky/npm-dp_cookieconsent
Da sich das Tool ohnehin an Entwickler richtet, die bereit sind, einige Handgriffe im Code vorzunehmen, gibt es keine Website mit einem Assistenten. Für die Integration in eine Website werden auch hier zwei Bibliotheken für Stylesheets und Javascript heruntergeladen und in der Website verlinkt, anschließend erfolgt die Konfiguration des Banners, indem ein Javascript-Objekt mit entsprechenden Werten angelegt wird (die in der Dokumentation beschrieben sind):
Damit sieht das Banner schon auf Anhieb akzeptabel aus, und wie man sieht, hat es sogar mehrere einzeln anwählbare Kategorien.
Durch Einfügen von drei weiteren Script-Tags gemäß Dokumentation lassen sich das Banner selbst, der Block mit den Kategorien sowie das Element zum erneuten Öffnen des Banners zusätzlich stylen und konfigurieren. Das habe ich genutzt um die Namen der Kategorien zu übersetzen:
Auch das Konfigurieren von Skripten, die erst nach Einwilligung geladen werden sollen, ist mit den Erweiterungen von Dirk Persky sehr leicht machbar, der Screenshot zeigt das Laden des “Global Site Tags” von Google ohne und mit Blocken durch das Consent Tool:
Die Magie entsteht durch das zusätzliche Attribut data-cookieconsent, das den Wert der Consent-Kategorie bzw. der Checkbox im Banner enthält (required, statistics, marketing) für die das Skript ausgespielt werden soll.
Auch das Blockieren von Inhalten wie Youtube oder Maps ist möglich. Diese werden meist über ein iFrame in die Website eingebaut, und auch dafür müssen lediglich einige neue Attribute hinzugefügt werden:
Ohne erteilte Einwilligung stellt sich das Youtube-Video dann wie folgt dar:
Fazit und Bewertung
Die folgende Tabelle zeigt meine Einschätzung von DP Cookie Consent.
| Kriterium | Kommentar |
|---|---|
| Abdeckung der Anforderungen | Es ist möglich, in Abhängigkeit von erteilten Einwilligungen Dienste unterschiedlicher Art auszuspielen und zu blockieren, insbesondere ist es auch leicht möglich, Einwilligungen für Inhalte auf einzelnen Seiten einzuholen. Die Dienste und Cookies werden dann zuverlässig blockiert. Die grundsätzlichen Anforderungen sind also erfüllt. |
| Preis, bzw. Preis-Leistungs-Verhältnis | Das Tool wird in einer kostenfreien Open-Source-Lizenz vertrieben. Der Leistungsumfang scheint mir für ein OS-Tool gut zu sein, allerdings fehlt mir derzeit noch der Vergleich mit anderen Tools, hier werde ich in der Zukunft meine Bewertung evtl. noch einmal anpassen. |
| Einfachheit in der Implementierung | Was Look-and-Feel des Banners selber angeht, so ist der Aufwand für die Einrichtung mittelgroß. Die Konfiguration eines Cloud-Produkts über eine Oberfläche ist sicher komfortabler. Bei speziellen Anforderungen an die Optik müsste eigenes CSS entwickelt werden das ist aber bei Cloud-Produkten auch nicht anders. Die Implementierung einzelner Dienste bzw. Skripte ist schnell geschehen, und hier ist der Aufwand bei anderen Tools die ich kenne vergleichbar, denn auch im Fall von Cloud-Tools muss im den Code der Website eingegriffen werden. Inhalte auf einzelnen Seiten (wie Youtube oder Maps) werden im Produktivbetrieb häufig über Content-Management-Systeme gepflegt, hier ist also entscheidend, wie sich DP Cookie Consent in das CMS integrieren lässt. Eine Typo3-Integration gibt es bereits. Vermutlich würde man beim Einsatz eines anderen CMS eher ein anderes Tool verwenden, für das es bereits eine Integration gibt. |
| Betrieb | Da es sich nicht um ein Cloud-Tool handelt ist der Betrieb im gleichen Land wie die Website selbst. |
| Einwilligung für einzelne Dienste | Nein, Dienste lassen sich in exakt drei Gruppen (notwendig, Statistik, Marketing) einteilen. Einwilligen kann der User dann in diese Gruppen. |
| Datenbank für Dienste | Nein, allerdings gibt es ohnehin keine Möglichkeit, über einzelne Dienste zu informieren, außer im Fließtext des Banners. |
| Gruppierung für Dienste | Ja, allerdings nicht selber wählbar. Es gibt die drei Gruppen "notwendig, Statistik, Marketing". |
| Protokollierung von Einwilligungen | Nein, der Consent wird in einem Cookie auf dem Rechner des Benutzers gespeichert. |
| Anpassbarkeit der Oberfläche | Ja, die Oberfläche ist durch Konfiguration und insb. durch Stylesheets weitgehend anpassbar - sofern man entsprechende technische Kenntnisse hat. |
| Mehrsprachigkeit | Nein, das Banner kann Texte nur in einer Sprache verwalten. |
| Zurückziehen von Einwilligungen | Ja, es gibt eine immer sichtbare Schaltfläche (Fingerabdruck), der das Consent Banner erneut öffnet. |
Das Plugin eignet sich gut, wenn Website-Betreiber nicht den Anspruch haben, im laufenden Betrieb leicht Änderungen an der Oberfläche machen zu können, oder wenn sie ohnehin Typo3 einsetzen. Die Konfiguration der verwendeten Dienste ist leicht durchführbar, und das zuverlässige Blockieren von externen Inhalten auf einzelnen Seiten ist mir positiv aufgefallen, denn das ist für Consent-Tools keineswegs selbstverständlich. Ich selber würde es vermutlich für individualentwickelte Websites einsetzen, bei denen ohnehin viel Code programmiert werden muss.
Ich bin gespannt, wie DP Cookie Consent im Vergleich zu anderen OpenSource-Tools abschneidet, die in den kommenden Wochen getestet werden!
Autor: Eckhard Schneider
