Die rein rechtliche Seite erzwingt es zwar, dass dem Nutzer maximale Transparenz angedeiht werden muss, wenn es um Cookies und den damit verbunden Funktionen hinsichtlich tracking usw. geht, aber diese rechtliche Seite berücksichtigt dabei nicht, dass man in der Praxis Click-Müde wird. Somit ist diese gesetzliche Auflage das Papier nicht wert auf dem es geschrieben ist.
Das, worum es geht, wurde schon vor vielen Jahren in jedem Browser eingeführt. Die Rede ist die in Vergessenheit geratene "Do Not Track" Funktion, bzw. Einstellung. Mit dieser DNT Funktion steht bereits alles zur Verfügung was man braucht, um eine konforme Webseite betreiben zu können und das ohne eine vorherige Einwilligung durch den Nutzer. Die Rechtsprechung will zwar eine Transparenz in Sachen Cookies, aber die Rechtsprechung sagt auch, dass es für bestimmte Cookies, insbesondere diejenigen, die zur Funktion einer Webseite zwingend notwendig sind nicht extra eingewilligt werden muss. Das schließt zwar nicht aus, dass man trotzdem über diese Art Cookies informieren muss, aber eben nur als Info auf einer separaten Seite, ohne dass man dafür eine Cookie Consent beim ersten Aufruf einer Seite braucht. Somit wäre ein nicht unwichtiger Part schon von vornherein erledigt und braucht für die Cookie Consent keine Berücksichtigung.
Wirklich interessant wird es, wenn es ums Tracken geht und das egal, ob man den Nutzer im Rahmen für GA, Matomo, usw. trackt oder/und im Zusammenhang mit von extern eingebrachter Werbung, also Adsense & Co. Und da kommt der DNT Header ins Spiel.
Der große Vorteil dieser DNT Funktion ist, dass man nicht erst was programmieren muss oder irgendwelche Consent Tools braucht, die ohnehin alle durchfallen oder/und man leicht umgehen kann. Der weitere Vorteil besteht darin, dass dieser DNT Header, sofern die Funktion aktiviert, im Browser schon vorhanden ist und diesen Header an den Server sendet. Damit kommt also auch der DAU zurecht diese Funktion bei Bedarf zu aktivieren und nachdem es sich um einen standardkonformen Header handelt, kann jeder Webserver damit umgehen. Es ist ein Header wie jeder andere, bleibt in 99.99% aller Fälle aber ungenützt.
Der problematische Punkt an der ganzen Sache ist, dass beim erstmaligen Aufruf einer Seite in Sachen Cookies erstmal gar nichts passieren darf. Davon ausgenommen sind Cookies, die zum Betrieb einer Seite aus technischen Gründen notwendig sind. Werden darüberhinaus Cookies für GA, Matomo & Co. oder/und für Werbung benötigt, dürften diese Cookies bis zur Nutzerentscheidung erstmal nicht gesetzt werden. Die verfügbaren Consent Tools berücksichtigen das war teilweise, aber nur unter Mithilfe von Javascript. Will ich diese Funktion aushebeln, deaktiviere ich entweder Javascript oder erstelle mit 2 Clicks eine Ausnahmeregel im Adblocker. Diese Consent Tools sind also alles andere als eine Lösung. Dies auch vor dem Hintegrund, dass man als Webseitenbetreiber im Zweifeslfalle den Nachweis erbringen muss, dass man jedem Nutzer über den Einsatz von Cookies informiert hat.
Die besagte DNT Funktion schafft nun alles, was man braucht, vor allem ist es rechtssicher und lässt sich nicht aushebeln. Ist die DNT Funktion aktiviert, ist das Handling von Cookies eine Sache, die der Browser und der Webserver unter sich ausmachen. Ist diese Funktion nun aktiviert und der Nutzer nicht getracked werden will, braucht es keine Nutzereinwilligung beim Seitenaufruf. Mit der DNT Funktion hat er die Entscheidung schon getroffen bevor der Webserver überhaupt anfängt etwas an den Client zu schicken. Das Informieren welche Cookies und für welchen Zweck gesetzt werden, hat dann nur mehr noch Info-Charakter und man diese Infos nur mehr noch ähnlich wie das Impressum auf einer optional aufrufbaren Seite anzeigen lassen kann.
Ist diese DNT Funktion inaktiv und ich dem Nutzer so viel Hirn unterstelle, dass er der Bedienung seines Browsers mächtig ist, brauche ich keine Nutzereinwilligung beim Seitenaufruf, weil er durch diese DNT Funktion seine Wahl/Entscheidung bereits getroffen hat. Meine Denke darüber mag dem Juristen vielleicht nicht gefallen, aber ich behaupte, dass nicht nur der Webseitenbetreiber eine Verantwortung hat, sondern auch der Nutzer und zwar für seine Persönlichkeitsrechte. Dass diese DNT Funktion schon gefühlt seit 100 Jahren gibt, hätte man denjenigen mal sagen sollen, die sich die DSGVOdingenskirchen u.a. ausgedacht haben.
Auch wenn ich es im vorausgegangenen so darstelle als bräuchte man keine Consent Funktion, geht es ohne zusätzliche Funktionen dann aber doch nicht. Aber das, was man bräuchte, lässt sich mit einem 3-zeiligen PHP Code lösen. Diese dann doch nötige Funktion regelt den Code Output im Falle dessen, dass die DNT Funktion aktiv ist und eben im Falle dessen dafür sorgt, dass bestimmte Code erst gar nicht generiert, bzw. augeliefert wird. Also z.B. irgendein Javascript, das irgendwas extern für z.B. Werbung lädt oder zum Zwecke der Daten Analyse für GA, Matomo & Co.
Den dafür notwendige Aufwand für die Implementierung ist maximal minimal, weil PHP diese Funktion schon an Board hat, weil es nur darum geht den Header für DNT abzufragen und im Falle dessen eine Funktion aufzuführen. Was es aber zusätzlich bräuchte, wäre eine Validierungsfunktion, die allen voran Bots fälschungssicher identifiziert, um damit Server seitig Ausschlussregeln definieren zu können. Den UA dafür zu verwenden, schließe ich schon mal aus, eben weil eben nicht fälschungssicher.
Alles in allem hätte diese DNT Funktion unendlich viele Vorteile, zumal sie ja schon vorhanden ist:
- Keine Beeinträchtigung des Ladeverhaltens
- Nutzer müssen nicht bei jedem Aufruf erst eine Auswahl treffen
- Das Thema Bots ist ebenso geklärt.
Einmal abgesehen, dass es diesen 3-Zeiler Code braucht, ist alles schon vorhanden, um eine Webseite selbst nach noch so scharfen Datenschutzregeln regelkonform betreiben zu können, ohne dass man dafür extra ein Consent Tool braucht.
siehe auch:
https://www.heise.de/newsticker/meldung ... 87147.html
https://wikis.ec.europa.eu/display/WEBGUIDE/04.+Cookies
****************************************************************
[UPDATE]
Hier gleich mal eine alternative Lösung, wie man das auch mittels .htaccess machen könnte, die zumindest aber trotzdem fälschungssicheren Weg ermöglicht, die aber nur dann wirksam wird, wenn DNT aktiv ist. Im Falle dessen wird zumindest auf eine Formularseite umgleitet, die den bekannten Consent Tools entspricht, aber kein Javascript braucht und nur einen entsprechenden Cookie setzt, dessen Werte über den Output entscheiden.
Code: Alles auswählen
RewriteCond %{HTTP:DNT} ^1$ [NC]
#z.B. Googlebot ausschließen, wobei man das eigentlich nicht bräuchte
#weil die Regel ja nur im Falle der Existenz dieses Headers greift.
RewriteCond %{REMOTE_ADDR} !^66\.249\.
# gesetzter Cookie für das Cookie Consent ausschließen
RewriteCond %{HTTP_COOKIE} !cookie_consent [NC]
RewriteRule ^(.*) /cookie.php? [L,R=302]
gerechtfertigt ist, dass DNT kein Opt-In wäre/ist, habe ich mir für meine neue Seite trotzdem die bedingt ultimative Consent Lösung geschaffen. 