Warum ein Cookie-Scanner keine sinnvolle Lösung ist

Du hast Real Cookie Banner PRO gekauft und erwartet, dass unser WordPress Plugin automatisch alle Cookies für dich findet? Wir bieten dir einen Service-Scanner, der die meisten der von dir genutzten Services automatisch findet. Praktisch bekommst du, was du erwartest: eine einfachere Einrichtung deines Cookie Banners.

Wir möchten jedoch ausdrücklich darauf hinweisen, dass der Service-Scanner keine konkreten Cookies für dich scannt, sondern dir vorschlägt, geeignete Service-Vorlagen zu verwenden. Wir können nicht garantieren, ob darin alle technischen Cookies für deinen konkreten Einzelfall vollständig aufgeführt sind. In diesem Artikel möchten wir dir erklären, warum der Cookies-Scanner in der Regel nicht alle Cookies und andere einwilligungspflichtige Teile deiner Webseite findet. Außerdem erklären wir dir, was Real Cookie Banner als bessere Alternative bietet und wie du dein Cookie Banner einrichten lassen kannst, wenn du auch mit dieser Alternative nicht zurechtkommst.

Wofür du eine Einwilligung auf deiner Website brauchst

Tools commonly known as “cookie banners” are, if they comply with the legal requirements of the EU, actually Consent Management Platforms (CPMs). In practical terms, they manage not only consent for cookies – which could possibly be found via a cookie scanner – but consent for additional purposes. Cookies and these additional purposes are usually so closely linked that one does not exist without the other.

Real Cookie Banner bietet dir eine Lösung, um die folgenden wichtigen Gesetze in der EU einzuhalten:

• ePrivacy Richtlinie (Richtlinie 2009/136/EG) Erwägungsgrund 66: Gemäß der ePrivacy-Richtlinie brauchst du die Zustimmung deiner Besucher, um nicht-essenzielle Cookies zu setzen. Vereinfacht ausgedrückt sind nicht-essenzielle Cookies alle Cookies, ohne die deine Website auch noch in irgendeiner Form funktionieren würde. Diese Form muss nicht unbedingt schön oder komfortabel sein (z.B. könntest du Kontaktformulare mit Cookies vermeiden und stattdessen deine E-Mail-Adresse als Text ausschreiben). Du musst zwar auf essenzielle Cookies hinweisen (z.B. in der Datenschutzerklärung), aber du brauchst dafür keine Einwilligung.
• Art. 6 DSGVO: Um personenbezogene Daten zu verarbeiten (z.B. in deinem WordPress oder indem du sie mit YouTube über ein eingebettetes Video teilst), brauchst du eine rechtliche Grundlage. In vielen Fällen kommt nur eine Einwilligung in Frage. In Deutschland ist z.B. auch die IP-Adresse, die zum Laden von Inhalten im Internet immer übertragen werden muss, ein personenbezogenes Datum (siehe BGH-Urteil vom 16.05.2017, Az. VI ZR 135/13). In der Praxis bedeutet das, dass du die informierte Einwilligung deiner Besucher benötigst, noch bevor du z.B. ein YouTube-Video auf deiner Webseite lädst und damit Daten deiner Besucher weitergibst.

In der Praxis angewandt, hat zum Beispiel das Einbetten eines YouTube-Videos folgende rechtliche Konsequenzen:

• Verarbeitung personenbezogener Daten: Beim Laden des YouTube-Videos muss zwangsläufig die IP-Adresse des Besuchers an YouTube bzw. Google übermittelt werden, damit der Videoplayer und später ggf. das Video geladen werden kann. Auch wenn Google angibt, dass die IP-Adresse nicht gespeichert und zu Marketingzwecken auswertet wird, muss die IP-Adresse in der Regel im Webserver, den Logs, usw. auf Google-Servern verarbeitet werden. Ob für die Verarbeitung dieser personenbezogenen Daten ein anderer Rechtfertigungsgrund als eine Einwilligung vorliegt, hängt vom Einzelfall ab. Nach unserer Rechtsauffassung ist jedoch in den allermeisten Fällen eine Einwilligung die einzig mögliche rechtliche Grundlage.
• Setzen und Auslesen von Cookies: Beim und nach dem Laden des YouTube-Videos (genauer gesagt, des Iframe, in dem sich das YouTube-Video befindet) können die Skripte von YouTube und Google Cookies setzen. Sie können auch Cookies auslesen, die z.B. gesetzt wurden, als der Nutzer zuvor auf youtube.com eingeloggt hatte. Dies ist insbesondere dann im Interesse solcher Plattformen, wenn der Nutzer in seinem Account eingeloggt ist, denn so kann das Video z.B. der Historie der vom Nutzer angesehenen Videos hinzugefügt werden und letztlich diese Information für kommerzielle Zwecke genutzt werden. Für das Setzen oder Auslesen von nicht-essentiellen Cookies musst du als Webseitenbetreiber eine Einwilligung einholen, wenn du dafür verantwortlich bist, dass das Video überhaupt geladen wird (ohne das vorherige Wissen deines Besuchers).

Wir hoffen, dass diese (kurze) Erklärung der wichtigsten Grundlagen gezeigt hat, dass hinter einem Cookie Banner mehr steckt, als nur technische Cookies zu finden. Um datenschutzkonform zu sein, müssen über Cookies hinaus weitere Einwilligungen eingeholt werden. Überdies müssen rechtliche Abwägungen vorgenommen werden, die oft nur von einem Menschen getroffen werden können.

Why most cookie scanners don’t find all cookies etc.

Let’s forget the above and assume that we only need to find technical cookies. Unfortunately, even that is not as easy as it seems at first glance. This is due to several aspects.

From a technical point of view, not all cookies are the same. The term “cookie” legally stands for so-called HTTP cookies. However, the applicable laws also require that cookie-like information is subject to the same rights. Technically, there are a variety of ways to store such information. The most common methods are briefly explained below:

• HTTP Cookie: Klassischer Cookie, der bei jeder Verbindung an den Server übertragen wird.
• Local Storage: Moderne lokale Speicherung von Informationen, ähnlich wie bei Cookies, die aber nur von JavaScript-Anwendungen gelesen werden können.
• Session Storage: Genauso wie Local Storage, aber technisch auf den jeweiligen Tab im Browser beschränkt, in dem die Informationen gesetzt wurden.
• Pixel Tracker: Laden einer (meist) unsichtbaren Grafik, die den Nutzer eindeutig identifizieren kann.
• Flash Local Shared Object: Objekt zum Speichern von Informationen über Benutzer in Flash-Dateien (wird kaum noch verwendet).
• IndexedDB: Moderne Alternative zum Local Storage für größere Datenmengen (noch selten genutzt).

A cookie scanner would therefore have to be able to search all these methods. However, this is not technically possible in some cases, since some cookie-like information is only stored in the visitor’s client and a cookie scanner as a server application would not see it at all. Even if an additional client application would send this cookie-like information to the server application, there is another technical hurdle to overcome: Security constraints. For HTTP cookies in particular, certain so-called flags can be set that limit the visibility of the cookie. For HTTP cookies, the following restrictions are the most important:

• Domain: Die Domain bestimmt, welche Domain (Webseite) das Cookie lesen (und schreiben) darf. Wenn zum Beispiel das YouTube Iframe Video ein Cookie für youtube.com setzt, kann die Client-Anwendung auf deiner Website das Cookie nicht (unbedingt) sehen.
• HttpOnly: Dieses Flag legt fest, dass das Cookie nur von der Server-Anwendung gelesen und geschrieben werden kann, nicht aber von der Client-Anwendung.
• Secure: Ein Cookie kann so eingestellt werden, dass es nur gelesen und geschrieben werden kann, wenn eine HTTPS-Verbindung besteht. Wenn du zum Beispiel deine Website in einer lokalen Entwicklungsumgebung ohne TLS-Zertifikat entwickelst, können einige Cookies nicht mehr geschrieben oder gelesen werden und verfälschen das Ergebnis des Cookie Scanners.
• SameSite: Dieses Flag verhindert, dass Cookies für sogenannte Cross-Site-Scripting (XSS) und Cross-Site-Request-Forgery (CSRF) Angriffe missbraucht werden, mit denen z.B. das Token für einen aktiven Login auf YouTube/Google gestohlen werden könnte. Um alle Cookies auslesen und an die Server-Anwendung übertragen zu können, müsste unter Umständen genau die Art der Übertragung möglich sein, die auch Angreifer nutzen (und das wird verhindert).

If you think that these are already enough issues, then we have to disappoint you. Besides this technical complexity, there are also some “organizational” hurdles with a cookie scanner. Cookies are not always set when the homepage is loaded, but only under certain circumstances. A cookie scanner in Real Cookie Banner would have to consider at least the following most important organizational rules for finding all cookies:

• Nur auf bestimmten Unterseiten: Einige Services und Plugins setzen Cookies nicht auf oder für alle Unterseiten, sondern nur auf bestimmten Unterseiten deiner Website. Außerdem kann es sein, dass Cookies nur gesetzt werden, wenn bestimmte Unterseiten in einer bestimmten Reihenfolge aufgerufen werden (typischerweise beim Tracking von Sales Funnels). Ein Cookie Scanner müsste jede einzelne Unterseite deiner Website aufrufen und alle Cookies und Cookie-ähnlichen Informationen auslesen, um sicher zu sein, dass er alle notwendigen Informationen findet. Du als Mensch weißt viel besser, ob du bestimmte Services nur auf bestimmten Unterseiten (z.B. Google Maps ist nur auf der Kontaktseite integriert) oder speziellen Funnels verwendest.
• Nur bei Interaktion mit der Webseite: Eine weitere Komplexität ist, dass Cookies manchmal nur bei bestimmten Interaktionen gesetzt werden. Ein gutes Beispiel ist das Standard-Kommentarsystem von WordPress. Es setzt Cookies (auf Anfrage des Nutzers), um sich den Namen, die E-Mail-Adresse und die Website des Kommentators für zukünftige Kommentare zu merken. Ein Cookie Scanner müsste also mit etwas menschlichem Verstand verstehen, wie man mit deiner Website interagiert und welche Optionen z.B. zum Absenden des Kommentarformulars zur Verfügung stehen. Für einen Menschen ist das kein Problem, aber für eine Maschine ohne Bewusstsein ist es eine extrem komplexe Aufgabe.

Zusammengefasst: Tools, die versprechen, Cookies auf deiner Website zu finden, müssen kritisch hinterfragt werden. Geht das Tool alle Unterseiten deiner Website durch? Kannst du mit deiner Website interagieren, um das Setzen von Cookies auszulösen? Liest das Tool nicht nur HTTP-Cookies aus, sondern jede Art von Cookie-ähnlichen Informationen? Und hat das Tool überhaupt die Rechte, alle Cookies zu lesen?

Wir haben schon viel darüber nachgedacht, wie ein solcher Cookie Scanner umgesetzt werden könnte. Aktuell kennen wir aber keinen frei verfügbaren Cookie Scanner, der all diese Anforderungen umsetzt. Der Cookie Scanner von Cookiebot zum Beispiel, der deine Webseite scannt und dir dann sein Produkt anbietet, kann nicht alle oben genannten organisatorischen Probleme lösen. Und der integrierte Cookie Scanner im WordPress-Plugin Complianz scheitert unseres Wissens nach an den oben beschriebenen technischen Hürden. Beide Cookie Scanner liefern also viele wichtige Cookies, aber eben nicht alle. Um deine Webseite datenschutzkonform zu gestalten, müsstest du jedoch alle Cookies kennen.

Service and Content Blocker-Vorlagen als bessere Alternative

Real Cookie Banner versucht, dir wegen der im vorherigen Abschnitt beschriebenen Probleme anders zu helfen. In unseren Augen sind unsere Vorlagen besser geeignet, um dir zu helfen, dein Cookie Banner komplett korrekt einzurichten und somit die Anforderungen der Datenschutzgesetze zu erfüllen.

Wir bieten dir eine Vielzahl von Service- und Content Blocker Vorlagen an, um Cookies in deinem Cookie Banner zu benennen sowie die Verarbeitung von personenbezogenen Daten vor der Einwilligung zu verhindern. Alle Vorlagen wurden mit einer intensiven Recherche aller rechtlichen und technischen Informationen erstellt. Wir stecken teilweise halbe Arbeitstage in die Erstellung einer Service-Vorlage, um möglichst viele Fälle darin abzubilden und zu testen, ob Cookies wirklich nur nach Einwilligung gesetzt werden und personenbezogene Daten nur nach der Einwilligung verarbeitet werden.

Du musst nur die Cookie-Vorlagen von Services und Plugins, die du nutzt, in Real Cookie Banner einfügen. Du wirst Schritt für Schritt durch die Erstellung der Informationen geführt und kannst sie jederzeit für deinen speziellen Fall anpassen und erweitern. Damit sparst du dir viele Stunden Arbeit im Vergleich zum selbst recherchieren und testen!

Wie du alle Cookies und Services auf deiner Webseite findest

Well, there’s one question we haven’t answered yet: If you don’t have a cookie scanner available, how do you find out which cookies and services you use in your WordPress website? The best service and content blocker templates won’t work if you don’t know that you need to use them.

Du solltest auf jeden Fall unseren Service-Scanner nutzen. Er findet bereits die allermeisten Services für dich. Wir erklären dir aber genau, in welchen Fällen der Service-Scanner verwendete Services nicht erkennen kann. Daher solltest du deine Website immer manuell überprüfen! Mehr zum manuellen Check erfährst du in diesem Artikel: Wie finde ich alle Services (Cookies) auf meiner Website?

Zu kompliziert? Unsere Cookie Experten sind hier, um zu helfen!

Wir können absolut verstehen, wenn du dich mit den Ausführungen in diesem Artikel ein wenig überfordert fühlst. Die datenschutzrechtlichen Anforderungen an dich als Webseitenbetreiber in der EU sind komplex. Sie machen es schwierig, Webseiten zu betreiben, ohne sich intensiv mit den gesetzlichen Vorgaben auseinanderzusetzen. Zumindest, wenn du mit gutem Gewissen schlafen willst, alles richtig gemacht zu haben.

But don’t worry, if all this overwhelms you. We have a solution for you! Our cookie experts have already set up many cookie banners and can easily set up yours. They will achieve the seemingly impossible for you!