Shocking Truth: Deine TYPO3-Website überlebt auch ohne Cookie-Banner!

„Wir brauchen unbedingt einen Cookie-Banner auf unserer Website!“

„Warum?“

„Na, weil man das halt so macht!“

Kommt dir dieser Dialog bekannt vor? Willkommen im Club. 

Ich erlebe dieses Phänomen wirklich oft: Kunden, Agenturen und Freelancer, die Cookie-Consent-Manager installieren, wie andere Leute ihre Socken anziehen – aus reiner Gewohnheit und ohne darüber nachzudenken, ob es überhaupt notwendig ist.

Die große Cookie-Panik

Seit die DSGVO 2018 in Kraft getreten ist, herrscht in der Webentwickler-Welt ein Zustand permanenter Paranoia. „Besser zu viel als zu wenig Datenschutz“ scheint das Motto zu sein. Und so finden wir uns in einer Welt wieder, in der selbst die Website einer lokalen Bäckerei, die nichts weiter als Öffnungszeiten und eine Bildergalerie von Brötchen enthält, uns mit einem riesigen Modal-Fenster begrüßt:

"Diese Website verwendet Cookies. Bitte akzeptieren Sie unsere Bedingungen, stimmen Sie zu, dass wir Ihre Daten nicht an Dritte weitergeben (was wir ohnehin nicht tun), und klicken Sie auf 17 Buttons, bevor Sie sehen können, ob wir heute Vollkornbrot im Angebot haben."

Aber mal ehrlich: Muss das wirklich sein?

Wann braucht man WIRKLICH einen Cookie-Consent-Manager?

Die simple Antwort: Nur wenn du nicht-essentielle Cookies oder ähnliche Tracking-Technologien einsetzt. Punkt.

Hier ist, was KEINE Einwilligung benötigt:

• Session-Cookies für Logins: Dein TYPO3-Backend oder Frontend-Login? Kein Problem! Diese Cookies sind technisch notwendig.
• Warenkorb-Cookies: Wie soll dein Shop funktionieren, wenn der Nutzer seinen Warenkorb nicht speichern kann?
• CSRF-Schutz: Sicherheitsmaßnahmen brauchen keine Einwilligung.
• Cookie für Spracheinstellungen: Damit deine Besucher nicht bei jedem Klick zwischen Deutsch und Englisch wechseln müssen.
• Basis-Konfigurationen: Cookies, die grundlegende Einstellungen für die Nutzung der Website speichern.

In TYPO3-Kontext: Die Cookies, die beim Login ins Backend oder für den Frontend-User gesetzt werden, sind technisch notwendig und brauchen KEINE Einwilligung.

Hier ist, was eine Einwilligung benötigt:

• Google Analytics & Co.: „Ich möchte wissen, wie viele Besucher über meinen Artikel über Zimmerpflanzen gelacht haben“ – hier brauchst du Einwilligung.
• Facebook Pixel, Twitter Tags, etc.: „Ich möchte meine Besucher später mit Werbung für Gartenscheren auf Instagram verfolgen“ – Einwilligung nötig.
• YouTube-Einbettungen: „Ich zeige ein Video, das Daten an Google sendet“ – Einwilligung nötig.
• Externe Schriftarten (bei direktem Laden von Google): „Ich lade Fonts direkt von Google“ – besser mit Einwilligung.

Der „Weil-man-das-halt-so-macht“-Effekt

Ich nenne dieses Phänomen den „Weil-man-das-halt-so-macht“-Effekt. Es ist die unreflektierte Übernahme von vermeintlichen Best Practices, ohne zu hinterfragen, ob sie im konkreten Fall überhaupt sinnvoll sind.

Stellen wir uns mal vor, ein Kunde kommt zu dir und möchte eine einfache Unternehmenswebsite mit TYPO3. Keine Analyse-Tools, keine Social-Media-Einbindung, keine Drittanbieter-Dienste. Nur Infoseiten, Kontaktformular, vielleicht ein Login-Bereich für Bestandskunden.

Du könntest jetzt sagen: „Super, wir brauchen kein Cookie-Banner, weil wir nur technisch notwendige Cookies einsetzen. Eine kurze Information in der Datenschutzerklärung reicht völlig aus.“

Stattdessen hört man oft: „Wir sollten sicherheitshalber einen Cookie-Consent-Manager einbauen. Man weiß ja nie...“

Man weiß ja nie WAS genau? Ob plötzlich über Nacht ein Google-Analytics-Tracking-Code in deine Website hüpft und anfängt, munter Daten zu sammeln? Wenn du die Website baust und pflegst, weißt du GENAU, welche Cookies gesetzt werden.

Die typischen Ausreden

„Aber unser Rechtsbeistand hat gesagt, dass wir auf Nummer sicher gehen sollen.“

Übersetzung: „Unser Anwalt versteht nicht genau, wie Websites funktionieren, und gibt daher den allgemeinsten und vorsichtigsten Rat, den er kennt.“

„Aber was ist, wenn wir später mal Google Analytics einbauen wollen?“

Übersetzung: „Ich plane für ein hypothetisches Szenario, das möglicherweise nie eintritt, und nerve dafür jetzt schon alle Besucher.“

„Die Konkurrenz macht das auch so.“

Übersetzung: „Ich springe von der Brücke, weil alle anderen das auch tun.“

Die Ironie des Cookie-Consent-Managers

Hier kommt die Königsdisziplin der Absurdität: In vielen Fällen ist der einzige nicht-technisch notwendige Cookie auf der Website der Cookie des Cookie-Consent-Managers selbst! Da speichert ein Tool deine Einwilligung zur Cookie-Nutzung in einem Cookie, obwohl ohne dieses Tool überhaupt kein einwilligungspflichtiger Cookie gesetzt würde.

Das ist, als würdest du ein Problem erschaffen, nur um eine Lösung dafür verkaufen zu können. Die ultimative Ironie des digitalen Datenschutzes!

Die Konsequenzen: Schlechtere Nutzererfahrung

Jeder unnötige Cookie-Banner hat einen Preis, und den zahlen deine Besucher:

1. Ablenkung: Der Besucher kommt auf deine Seite, um etwas zu erfahren oder zu tun, und wird sofort mit einer komplexen Entscheidung konfrontiert.
2. Conversion-Killer: Jedes zusätzliche Hindernis zwischen Besucher und Ziel reduziert die Wahrscheinlichkeit, dass das Ziel erreicht wird.
3. Verwirrung: „Warum fragt mich diese simple Website nach Cookies? Sammeln die etwa heimlich Daten?“
4. Banner-Blindheit: Menschen klicken irgendwann automatisch auf „Akzeptieren“, was den eigentlichen Zweck des Datenschutzes untergräbt.

Typische TYPO3-Szenarien

Im TYPO3-Kontext sehe ich oft folgende Situationen:

Szenario 1: Eine Standard-TYPO3-Installation ohne externe Trackingdienste. Benötigter Consent: Keiner! Die von TYPO3 gesetzten Session-Cookies sind technisch notwendig.

Szenario 2: TYPO3 mit Frontend-Usern und Login. Benötigter Consent: Immer noch keiner! Login-Cookies sind technisch notwendig.

Szenario 3: TYPO3 mit Google Maps Extension. Benötigter Consent: Jetzt ja – aber nur für Google Maps, nicht für die TYPO3-eigenen Cookies.

Was also tun?

Ganz einfach:

1. Inventur machen: Welche Cookies setzt deine Website wirklich? Nutze den Browser-Inspektor und schau nach.
2. Unterscheiden: Welche davon sind technisch notwendig, welche nicht?
3. Minimalismus: Braucht ihr wirklich alle externen Dienste?
4. Richtig informieren: Eine klare Datenschutzerklärung ist in jedem Fall Pflicht.
5. Maßnahmen ergreifen: Nur wenn nicht-essentielle Cookies verwendet werden, einen Consent-Manager einrichten.

Fazit

Die nächste Website, die dir einen Cookie-Banner präsentiert, obwohl sie nur technisch notwendige Cookies verwendet, darfst du mit einem wissenden Lächeln betrachten. Du gehörst jetzt zu den Aufgeklärten, die verstehen, dass nicht jede Website einen ausufernden Cookie-Consent-Manager braucht.

Und falls du das nächste Mal jemand sagen hörst „Wir brauchen einen Cookie-Banner, weil man das halt so macht“, darfst du gerne auf diesen Artikel verweisen.

---

Disclaimer: Dieser Artikel basiert auf meinen persönlichen Erfahrungen und Meinungen und stellt keine Rechtsberatung dar. Im Zweifelsfall konsultiere bitte einen auf IT-Recht spezialisierten Anwalt. Denn eines ist noch schlimmer als ein unnötiger Cookie-Banner: ein teures Abmahnschreiben.

Zurück