Vergleich von Cookie und Consent Management als SaaS (CookieYes) vs. dem traditionellen Ansatz (Real Cookie Banner / Borlabs Cookie Plugin). Wie wird ein Script z.B. Google Analytics eingebunden und auch blockiert. Der Unterschied von CookieYes zu Real Cookie Banner.
Cookie Yes
Vor kurzem bin ich auf die neue Version von CookieYes gestossen. Ich hatte das Plugin in der Vergangenheit bereits im Einsatz, aber seit letztem Jahr gibt es eine SaaS Lösung statt der reinen Plugin Lösung für das Consent Management, die teurer ist aber auch die Anwendung um einiges erleichtern sollte.
Im Beispiel von Google Analytics ist es mit CookieYes egal wie der Tracking Code implementiert wird. Der Tracking Code kann über das Site Kit Plugin, über ein SEO Plugin wie SEOPress, über functions.php, über Code Snippet Manager wie WPCodeBox oder einen anderen Weg integriert werden. Der Scanner von CookieYes versteht das und „blockiert“ dann das Tracking Script.
Das scheint praktisch zu sein, daher bin ich dem nachgegangen um zu erfahren was der „klassische Cookie und Consent Management Plugin Entwickler“ hierzu zu sagen hat. Mit dem klassischen Cookie und Consent Management, wie z.B. Real Cookie Banner oder Borlabs Cookie, ist es nämlich so, dass das jeweilige Tracking Script immer direkt im Cookie Plugin definiert und hinzugefügt wird.
D.h. im Fall von Google Analytics, kann man den Tracking Code nicht einfach auf jede Art hinzufügen. Entweder man fügt GA direkt über das Cookie/Consent Management Plugin hinzu und gewährleistet somit, dass es erst geladen wird nachdem der Besucher zugestimmt hat. Oder man erstellt manuell zusätzliche Content Blocker oder Script Blocker welche das Laden des Scripts unterbinden wenn keine Zustimmung durch die Besucher gegeben wird.
Ich fragte mich, wie es sein kann, dass ein Service wie CookieYes in der Lage ist jede Art der Google Analytics Integration zu „verstehen“ und zu blockieren wenn kein Consent gegeben ist, während beim klassische Anbieter wie Real Cookie Banner oder Borlabs Cookie der Tracking Code direkt über dessen Plugin hinzugefügt werden muss.
Die Antwort sagt, dass CookieYes hier quasi „trickst“ und den Tracking Code clientseitig im Nachhinein entfernt, nachdem es bereits geladen wurde. Google Analytics wird also initial geladen, dann wird geprüft ob Consent gegeben wurde (Zustimmung durch die Besucher im Cookie Banner), und danach wird das Google Analytics Script entweder wieder entfernt oder belassen um das Tracking zu ermöglichen.
Was sagt Real Cookie Banner dazu?
Beim traditionellen Ansatz (wie eben mit Real Cookie Banner oder Borlabs Cookie) funktioniert das anders, da hier das Google Analytics Script erst geladen wird, nachdem eine fixe Zustimmung stattgefunden hat.
Dazu sagt der Support zu Real Cookie Banner folgendes:
Cloud-Cookie-Banner wie CookieYes „blockieren“ Cookies in der Regel, indem sie die Cookies schreiben lassen (da dies technisch nicht unterbunden werden kann) und wenige Millisekunden später wieder löschen, wodurch für dich der Eindruck entsteht, dass nie Cookies geschrieben wurden. Ob dies die Anforderungen des Gesetzgebers aus der ePrivacy-Richtlinie erfüllt, ziehen wir in Zweifel.
Scripte werden typischerweise blockiert, indem das Cloud-Cookie-Banner als erstes Script geladen wird und den DOM blockierend dahingehend manipuliert, dass Scripte, die eigentlich schon eingebunden sind, vor der Ausführung des Downloads clientseitig aus dem DOM des Browsers entfernt werden. Kann das Cloud-Cookie-Banner Script nicht geladen werden, da es z.B. durch einen Adblocker blockiert wird, werden Scripte nicht blockiert. Für entsprechende Datenschutzverstöße halten wir dich als Website-Betreiber verantwortlich, da du unzureichende Maßnahmen zur Umsetzung der rechtlichen Vorschriften auf typischerweise eingesetzten Endgeräten getroffen hast.
Real Cookie Banner mit einer tiefen Integration in WordPress auf der anderen Seite blockiert Scripte bereits serverseitig, sodass diese in keinem Fall ausgespielt werden können, außer das Cookie Banner wurde korrekt geladen, eine Einwilligung wurde gegeben und unser Consent Management bindet die blockierte Scripte nachträglich in den DOM ein. Durch diesen Ansatz wird auch effektiv verhindert, dass Cookies gar nicht erst gesetzt werden, was unserer Auffassung nach die Intension des Gesetzgebers in der ePrivacy-Richtlinie ist.
Real Cookie Banner Support
Nachdem was ich erfahren habe, lässt sich sagen, dass Services wie CookieYes wahrscheinlich durchaus praktisch und einfach sind, jedoch genau genommen auch rechtlich etwas fragwürdiger sind und auch mehr Kosten verursachen – insbesondere bei Websites mit einer hohen Besucheranzahl, da das Pricing u.a. auf Basis des vorhandenen Traffics basiert.
Im Falle dessen, dass der Cookie Banner nicht geladen wird, weil der Cookie Banner selbst blockiert wird (durch Adblocker oder auch Browser Erweiterungen) wäre das blockieren im nachhinein von Google Analytics nicht möglich.
Real Cookie Banner macht das somit genau genommen auf korrekterem Weg, d.h. im Falle wenn der Cookie Banner selbst nicht geladen wird (und somit nicht die Möglichkeit gegeben wir eine Zustimmung zu geben), kann auch Google Analytics nicht geladen werden.
Fazit: Real Cookie Banner genau genommen die „korrektere“ Lösung
Mein kleines Fazit: Borlabs Cookie und Real Cookie Banner verlangen mehr Know how und Erfahrung. CookieYes ist bestimmt einfacher, aber man muss auch hinzufügen, dass es Wissen und Erfahrung benötigt um es korrekt umzusetzen. Denn die einfachste Möglichkeit wäre ohnehin einfach ein überladenes Plugin wie MonsterInsights zu verwenden (das dann in der kostenlosen Variante das Dashboard in WordPress mit lästiger Werbung und laufenden Notifications ergänzt).
Noch ein Statement zu MonsterInsights von deren Website:
The MonsterInsights EU compliance addon integrates seamlessly with four cookie compliance plugins: Cookie Notice, CookieBot, Complianz, and CookieYes.
Monster Insights
Auch mit dem MonsterInsight Plugin ist es nicht einfach so getan, denn auch hier muss man in Wahrheit sehr gut wissen, welche Plugin-Kombination man einsetzt um das Google Analytics Tracking Script erst dann zu laden nachdem die Zustimmung durch die Besucher im Cookie Banner stattgefunden hat.
Noch interessanter wird es übrigens wenn man dann auch noch Mehrsprachigkeit und Performance Plugins beachtet werden müssen – im Endeffekt muss alles aufeinander abgestimmt sein, weswegen WordPress heutzutage bestimmt nicht mehr immer die einfachste Lösung ist.
Plausible Analytics als datenschutzkonforme Alternative
Abschließend möchte ich noch erwähnen, dass nicht jeder das große Google Analytics benötigt. Es gibt zig Alternativen, und ich habe in den letzten Monaten einige davon evaluiert, z.B. Umami, Plausible, Fathom oder auch eine neue Lösung aus Deutschland Pirsch. Alles einfache und tolle Lösungen um ein einfach verständliches Tracking ohne Google Analytics zu ermöglichen. Umami und Plausible können auf einem eigenen Analytics Server als auch als SaaS laufen (einfacher + meist teurer im laufenden Betrieb). Pirsch existiert ausschließlich als SaaS Lösung und startet bereits bei nur 6 EUR pro Monat.
Setzt man auf Google Ads, Performance Marketing, dann wird man um Google Analytics nicht herumkommen. Google Analytics ist im Vergleich zu den „kleinen datenschutzeinfacheren Lösungen“ auch kostenlos (Google liebt deine/eure/Ihre Daten und verzichtet daher gerne auf Umsätze) – wobei ein korrektes Setup definitiv Kosten verursacht. Für kleine Seiten, kann ich die schlanken, datenschutzeinfacheren Alternativen wie Umami, Plausible, Fathom und Pirsch nur empfehlen. Seit mehreren Monaten betreibe ich auch meine eigene RAABAUKE Plausible Analytics Lösung um diese laufend mit Google Analytics zu vergleichen. Meine Kunden erhalten somit ein einfach verständliches Dashboard mit Analytics Daten, welches sogar ohne Zustimmung im Cookie Banner betrieben werden darf.
