Am 1. Oktober 2019 entschied der Europäische Gerichtshof, dass Browser-Cookies (und ähnliche technische Varianten) nur dann auf dem Computer des Besuchers einer Website gespeichert werden dürfen, wenn es dessen ausdrückliche Zustimmung gibt. Diese Entscheidung wurde vom Bundesgerichtshof am 28. Mai 2020 bestätigt.
In der Vergangenheit haben wir uns bemüht, Euch die notwendigen Informationen zu diesem Thema in Webinaren, Blogbeiträgen usw. zur Verfügung zu stellen.
Von OXID eShop gesetzte technisch notwendige Cookies
Im Falle, dass nur technisch notwendigen Cookies für den Betrieb einer Website gesetzt werden (z.B. um in einem Shopsystem den Inhalt eines Warenkorbs zu speichern), ist es in Ordnung, den Besucher über den Namen des Cookies zu informieren, wie lange er gültig und wofür er da ist. Diese Cookies müssen vom Besucher Deines Online-Shops nicht bestätigt werden. Hier ist eine Liste der essentiellen und technisch notwendigen Cookies, die im Frontend von OXID eShop verwendet werden:
| Name | Gruppe | Wie lange gültig | Was macht der Cookie |
|---|---|---|---|
| sid und sid_key | essentiell | bis zum Ende der Session, wenn der Browser geschlossen wird | Diese Cookies identifizieren Sie gegenüber dem Shop mit einer eindeutigen Kennung, z.B. um den Warenkorb zu speichern. |
| language | funktional | Laufzeit: 167 Minuten | Speichert die aktuell verwendete Sprache. |
| displayedCookiesNotification | funktional | Laufzeit: 167 Minuten | Speichert die Entscheidung über die Cookie-Einwilligung des Besuchers der Website. |
| aHistoryArticles | funktional | bis zum Ende der Session, wenn der Browser geschlossen wird | Speichert eine Liste der zuletzt angesehenen Artikel. |
| oxid_ and oxid__autologin | funktional | Laufzeit: 60 Minuten | Speichert Informationen zum Autologin eines Besucher Deines Online-Shops. |
| amazon_Login_state_cache | funktional | Laufzeit: 60 Minuten | Speichert Informationen – ebenfalls für den Autologin – wenn ein Besucher Deines Online-Shops gleichzeitig bei Amazon eingeloggt ist. (Nur gültig, wenn das AmazonPay-Modul verwendet wird.) |
Tracking- und Marketing-Cookies
Anders verhält es bei mit Tracking- und Marketing-Cookies: Wenn Du diese verwendest, musst Du ein entsprechendes Tool (meist als modal Popup im Fronend umgesetzt) verwenden, mit dem Dein Besucher explizit seine Zustimmung geben kann, dass Cookies zu diesem Zweck gesetzt werden dürfen.
Tipp Nr. 1
In einem Online-Shop ist es einfach, Deine Besucher dazu zu bringen, solche Cookies zu akzeptieren, indem Du den richtigen Anreiz gibst: Vielleicht kannst Du einen Rabatt von x Prozent anbieten Ich hoffe, dass es für diese nette Idee (nicht wahr? ^^) bald eine technische Lösung geben wird.
Tipp Nr. 2
Bereite Dich darauf vor, dass Deine Trackingdaten nie wieder so sein werden wie zuvor: Selbst wenn Du Deinen potentiellen Kunden überreden konntest, sein Einverständnis für das Tracking zu geben, sind immer mehr moderne Browser dabei, Cross-Site-Cookies zu unterbinden. Und damit kann Dein Besucher akzeptieren was er will – seine Tracking-Daten werden ggf. niemals bei Dir ankommen.
Mit den Themes „Flow“ und „Wave“ bietet OXID die Möglichkeit, Deine Google Analytics ID über den Admin-Panel einzugeben. Dadurch wird das Google Analytics-Tracking aktiviert; der JavaScript-Code lädt Tracking-Cookies mit den Namen ga, _gid und _gat_gtag_UA* nach. Leider können wir nicht zu 100% sagen, was diese tun und wie lange sie gültig sind, da es sich um Cookies handelt, die von Google gesetzt werden und jederzeit nach Belieben geändert werden könnten.
Ihr braucht Lösungen!
Das Thema ist alles andere als einfach: Es gibt sehr unterschiedliche technische Ansätze und noch immer nur vage Aussagen darüber, wie ein solches Cookie-Consent-Tool im Detail auszusehen hat. Das Schlimmste dabei: Wenn nur 5% der Implementierung falsch ist oder nur 90% richtig, kann die Implementierung als Ganzes 100% falsch sein. Experten sind sich jedoch sicher, dass es dazu in naher Zukunft keine Abmahnungen geben wird. Aber perspektivisch gesehen braucht Ihr natürlich Lösungen für Eure Online-Shops bzw. die Eurer Kunden.
Anbieter von Cookie-Consent-Plattformen
Eine externe Lösung könnte die Verwendung einer so genannten „Consent Management Platform“, abgekürzt CMP, sein. Diese CMPs sind schon seit einiger Zeit auf dem Markt (für verschiedene Zwecke, nicht nur für die Zustimmung zu Cookies) und bieten ihre Dienste als SaaS-Provider an. Die Implementierung ist oft sehr einfach: Registrieren, JavaScript-Schnippel herunterladen und ins (Child)-Theme einbauen. Wir haben in den letzten Wochen viele Enterprise-Kunden gesehen, die sich diesen Lösungen zuwenden. Ihre Preise sind oft an die Anzahl der Seiten einer Website gebunden, aber auch an die verwendeten Sprachen oder die Anzahl der Domains. Je nach Plan kann man einen einmaligen oder regelmäßige Cookie-Scans durchführen.
Da alle Eure Projekte unterschiedlich sein können, kann ich keinen Hinweis auf das einzig richtige CMP geben, das man benutzen sollte. Googelt einfach mal selbst, und gern können wir die Erfahrungen dazu im Forum austauschen. Für unsere eigenen Webseiten werden wir übrigens Usercentrics verwenden.
Generische Open-Source-Tools
Mit „generisch“ meine ich, dass es Open-Source-Lösungen unabhängig von den oben genannten SaaS-Plattformen gibt, die im Projekt implementiert werden können. Jedoch gibt es hier kein OXID-Modul, um diese mit einem einfachen composer require zu installieren.
- OIL: Wow, dieses Projekt scheint in „Bewegung“ zu sein. Eigentlich wollte ich Euch OIL vorstellen, aber sie scheint inzwischen „deprecated“ zu sein. Stattdessen führt das frühere OIL-Projekt jetzt zu einem anderen Framework mit dem Namen „IAB“.
- Ausserdem gibt es das noch immer quicklebendige „Zitronentörtchen“
- Klaro! ist eine weitere Open-Source-Lösung, lizenziert unter BSDv3.
Verfügbare Module für OXID eShop
Module für OXID eShop können einfach über composer require oder jede andere verfügbare Methode installiert werden.
Kommerzielle Plugins
- Startseite | eComStyle.de | OXID eShop und WordPress Agentur (keine Verschlüsselung, ab 25 €)
- OXID eShop Modul: Cookie Consent Manager | Netensio (verschlüsselt: 99 €, unverschlüsselt: 149 €)
- Cookie Consent Modul | | OXID Shop (Verschlüsselung unbekannt, 0,00 €, auf Basis von Klaro! umgesetzt?)
- Mein lieber Freund Keywan hat dazu auch Pläne, konnte mir aber bisher keine Links zu seinen Lösungen schicken.
UPDATE: Unter der Marke Stainless Plugins befinden sich Anbindungen an Usercentrics und Cookiefirst, benötigen aber noch etwas Feinschliff. Weitere CMPs sollen über das gleiche Basismodul (unter AGPL) angebunden werden.
Open-Source-Plugins
- GitHub - ThomasJanda/oxid-cookiemanager: Manage cookie and generate a cookie popup the user can accept (GPLv3)
- GitHub - aggrosoft/oxid-cookie-compliance: GDPR Compliance (MIT)
I have a dream
Als Community Manager darf ich träumen: Lasst uns alle unsere Kräfte zu bündeln, um auf der Basis der genannten Open-Source-Module für OXID eShop ein ultimatives und frei verfügbares Tool zu diesem Thema zu haben. Statt dass jeder einzeln und für sich – nur um ein paar Mark zu verdienen – Anforderungen umsetzt, die sich in windeseile ändern können, lasst und gemeinsam mit den bereits vorhandenen guten Vorgaben arbeiten, okay?