Kategorie:

Elementor Pro in Deutschland nicht TTDSG-konform nutzbar?

Das Problem

Man kennt sie und man ist inzwischen auch dran gewöhnt: die nervigen Marketing Popups die sich öffnen, sobald man sich dem Rand der Webseite nähert. Diese Marketing Popups müssen irgendwie gesteuert werden, man will ja seine User nicht überstrapazieren und das Popup immer wieder zeigen. Um dies zu realisieren, muss man wissen, ob das Popup vorher schon einmal angezeigt wurde.

Hier hat sich das Elementor-Team etwas ganz Feines ausgedacht. Da man ja keine Marketing-Cookies (die zu diesem Zweck auch gerne genutzt werden) ohne Einwilligung des Users setzen darf, nutzt man den localStorage des Browsers. Cookies und localStorage unterscheiden sich kaum. Im localStorage kann man deutlich mehr Informationen speichern aber rechtlich werden beide gleich bewertet.
Bei Elementor ist dieses Problem seit fast 3 Jahren bekannt, man zieht sich aber auf den Standpunkt zurück, dass der localStorage ja kein Cookie sei.

Sobald man eine Webseite öffnet, die Elementor Pro nutzt, werden im localstorage Informationen gespeichert über die Anzahl besuchten Seiten:

Dies geschieht leider unabhängig davon, ob das Popup-Modul von Elementor Pro tatsächlich genutzt wird oder nicht.

Die Gesetzeslage

Sehen wir uns hierzu mal den Gesetzestext an (TTDSG §25):

§ 25 Schutz der Privatsphäre bei Endeinrichtungen
(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen,  die  bereits  in  der  Endeinrichtung  gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.

Wir sind keine Juristen, sondern Entwickler, deshalb verweisen wir hier auf die Beurteilung durch Juristen und Datenschutzbeauftragte:

Auch das Speichern von Informationen im sogenannten Local- und Session-Storage fallen hierunter. Diese beiden Funktionen stellen eine Alternative zu den Cookies dar. Der Session-Storage ist vergleichbar mit einem Session-Cookie, da die maximale „Lebenszeit“ mit Schließen des Browsers erreicht wird. Der Local-Storage kann eine unbegrenzte „Lebenszeit“ haben und nur durch Löschen des Browser-Cache oder durch JavaScript „gereinigt“ werden.

Es wird in diesem Zusammenhang gerne auf den zweiten Absatz des Paragraphen 25 TTDSG verwiesen, der Besagt:

§ 25 Schutz der Privatsphäre bei Endeinrichtungen
(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich, 2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Ist die Steuerung von Marketing-Popups unbedingt erforderlich, und vom Nutzer ausdrücklich gewünscht? Wohl kaum. 

Wie also umgehen mit dem Problem?

Von der Elementor-Community wurden Workarounds erarbeitet, diese finden sich hier.
Die Workarounds funktionieren nach dem gleichen Prinzip: Die gespeicherten Informationen werden durch Javascript wieder gelöscht. Nach unserer Meinung hat man aber dann den TTDSG-Verstoß schon begangen und „verwischt die Spuren“.

UPDATE: Inzwischen wurde von der Community ein Code-Schnipsel bereit gestellt, mit dessen Hilfe die Speicherung verhindert werden kann.
Wenn dieser in die functions.php des Child-Themes eingetragen wird, wird nichts mehr im localStorage gespeichert:


function prevent_elementor_storage() {
    if (is_user_logged_in()) {
        return;
    }
    echo '<script type="text/javascript">
const originalSetItem = Storage.prototype.setItem;

Storage.prototype.setItem = function(key, value) {
  if (key === "elementor") {
    // Prevent setting the specific key elementor for privacy compliance
    return;
  }

  originalSetItem.call(this, key, value);
};
</script>';
}
add_action( 'wp_head', 'prevent_elementor_storage', 0 );

Fazit:

Unserer Meinung nach lässt sich Elementor Pro im Moment in Deutschland nicht TTDSG-konform ‚out of the box‘ einsetzen. Wir haben Elementor kontaktiert um erneut auf das Problem aufmerksam zu machen und warten auf Antwort.