Warum ein Cookie-Scanner keine sinnvolle Lösung ist

Du hast Real Cookie Banner PRO gekauft und erwartet, dass unser WordPress Plugin automatisch alle Cookies für dich findet? Wir bieten dir einen Service-Scanner, der die meisten der von dir genutzten Services automatisch findet. Praktisch bekommst du, was du erwartest: eine einfachere Einrichtung deines Cookie Banners.

Wir möchten jedoch ausdrücklich darauf hinweisen, dass der Service-Scanner keine konkreten Cookies für dich scannt, sondern dir vorschlägt, geeignete Service-Vorlagen zu verwenden. Wir können nicht garantieren, ob darin alle technischen Cookies für deinen konkreten Einzelfall vollständig aufgeführt sind. In diesem Artikel möchten wir dir erklären, warum der Cookies-Scanner in der Regel nicht alle Cookies und andere einwilligungspflichtige Teile deiner Webseite findet. Außerdem erklären wir dir, was Real Cookie Banner als bessere Alternative bietet und wie du dein Cookie Banner einrichten lassen kannst, wenn du auch mit dieser Alternative nicht zurechtkommst.

Wofür du eine Einwilligung auf deiner Website brauchst

Tools, die gemeinhin als Cookie Banner bezeichnet werden, sind, wenn sie den gesetzlichen Anforderungen der EU entsprechen, eigentlich Consent Management Plattformen (CPMs). Praktisch gesehen verwalten sie nicht nur die Einwilligung für Cookies - die möglicherweise über einen Cookie Scanner gefunden werden könnte - sondern auch Einwilligungen für zusätzliche Datenverarbeitungen und deren Zwecke. Cookies und diese zusätzlichen Möglichkeiten der Datenverarbeitung sind meist so eng miteinander verbunden, dass das eine ohne das andere nicht existiert.

Real Cookie Banner bietet dir eine Lösung, um die folgenden wichtigen Gesetze in der EU einzuhalten:

• ePrivacy Richtlinie: Gemäß der ePrivacy-Richtlinie brauchst du die Zustimmung deiner Besucher, um nicht-essenzielle Cookies zu setzen. Vereinfacht ausgedrückt sind nicht-essenzielle Cookies alle Cookies, ohne die deine Website noch in irgendeiner Form funktionieren würde. Das muss nicht schön oder komfortabel sein (z.B. könntest du Kontaktformulare mit Cookies vermeiden und stattdessen deine E-Mail-Adresse als Text ausschreiben). Du musst auf essenzielle Cookies hinweisen (z.B. in der Datenschutzerklärung), aber du brauchst dafür keine Einwilligung. (siehe auch in Richtlinie 2009/136/EC Erwägungsgrund 66 und in § 25 TTDSG)
• Art. 6 DSGVO: Um personenbezogene Daten zu verarbeiten (z.B. in deinem WordPress oder indem du sie mit YouTube über ein eingebettetes Video teilst), brauchst du eine rechtliche Rechtfertigung. In vielen Fällen kommt nur eine Einwilligung in Frage. In der Europäischen Union gilt die IP-Adresse, die zum Laden von Inhalten im Internet immer übertragen werden muss, als personenbezogenes Datum (siehe EuGH Entscheidung vom 19. Oktober 2016, Case C‑582/14). In der Praxis bedeutet das, dass du die informierte Einwilligung deiner Besucher benötigst, bevor du z.B. ein YouTube-Video auf deiner Website lädst und damit Daten deiner Besucher weitergibst.

In der Praxis angewandt, hat zum Beispiel das Einbetten eines YouTube-Videos folgende rechtliche Konsequenzen:

• Verarbeitung personenbezogener Daten: Beim Laden des YouTube-Videos muss zwangsläufig die IP-Adresse des Besuchers an YouTube bzw. Google übermittelt werden, damit der Videoplayer und später ggf. das Video geladen werden kann. Auch wenn Google angibt, dass die IP-Adresse nicht gespeichert und zu Marketingzwecken auswertet wird, muss die IP-Adresse in der Regel im Webserver, den Logs, usw. auf Google-Servern verarbeitet werden. Ob für die Verarbeitung dieser personenbezogenen Daten ein anderer Rechtfertigungsgrund als eine Einwilligung vorliegt, hängt vom Einzelfall ab. Nach unserer Rechtsauffassung ist jedoch in den allermeisten Fällen eine Einwilligung die einzig mögliche rechtliche Grundlage.
• Setzen und Auslesen von Cookies: Beim und nach dem Laden des YouTube-Videos (genauer gesagt, des Iframe, in dem sich das YouTube-Video befindet) können die Skripte von YouTube und Google Cookies setzen. Sie können auch Cookies auslesen, die z.B. gesetzt wurden, als der Nutzer zuvor auf youtube.com eingeloggt hatte. Dies ist insbesondere dann im Interesse solcher Plattformen, wenn der Nutzer in seinem Account eingeloggt ist, denn so kann das Video z.B. der Historie der vom Nutzer angesehenen Videos hinzugefügt werden und letztlich diese Information für kommerzielle Zwecke genutzt werden. Für das Setzen oder Auslesen von nicht-essentiellen Cookies musst du als Webseitenbetreiber eine Einwilligung einholen, wenn du dafür verantwortlich bist, dass das Video überhaupt geladen wird (ohne das vorherige Wissen deines Besuchers).

Wir hoffen, dass diese (kurze) Erklärung der wichtigsten Grundlagen gezeigt hat, dass hinter einem Cookie Banner mehr steckt, als nur technische Cookies zu finden. Um datenschutzkonform zu sein, müssen über Cookies hinaus weitere Einwilligungen eingeholt werden. Überdies müssen rechtliche Abwägungen vorgenommen werden, die oft nur von einem Menschen getroffen werden können.

Warum die meisten Cookie Scanner nicht alle Cookies etc. finden

Vergessen wir das Obige und gehen davon aus, dass wir nur technische Cookies finden müssen. Leider ist auch das nicht so einfach, wie es auf den ersten Blick scheint. Das liegt an mehreren Aspekten.

Aus technischer Sicht sind nicht alle Cookies gleich. Der Begriff "Cookie" steht rechtlich für sogenannte HTTP-Cookies. Die geltenden Gesetze verlangen jedoch, dass auch Cookie-ähnliche Informationen den gleichen Rechten unterliegen. Technisch gesehen gibt es eine Vielzahl von Möglichkeiten, solche Informationen zu speichern. Die gängigsten Methoden werden im Folgenden kurz erklärt:

• HTTP Cookie: Klassischer Cookie, der bei jeder Verbindung an den Server übertragen wird.
• Local Storage: Moderne lokale Speicherung von Informationen, ähnlich wie bei Cookies, die aber nur von JavaScript-Anwendungen gelesen werden können.
• Session Storage: Genauso wie Local Storage, aber technisch auf den jeweiligen Tab im Browser beschränkt, in dem die Informationen gesetzt wurden.
• Pixel Tracker: Laden einer (meist) unsichtbaren Grafik, die den Nutzer eindeutig identifizieren kann.
• Flash Local Shared Object: Objekt zum Speichern von Informationen über Benutzer in Flash-Dateien (wird kaum noch verwendet).
• IndexedDB: Moderne Alternative zum Local Storage für größere Datenmengen (noch selten genutzt).

Ein Cookie Scanner müsste also in der Lage sein alle diese Möglichkeiten zu durchsuchen. Dies ist jedoch in einigen Fällen technisch nicht möglich, da einige Cookie-ähnlichen Informationen nur im Client des Besuchers gespeichert sind und ein Cookie Scanner als Serveranwendung diese gar nicht sehen würde. Selbst wenn eine zusätzliche Client-Anwendung diese Cookie-ähnlichen Informationen an die Server-Anwendung senden würde, gibt es eine weitere technische Hürde zu überwinden: Sicherheitsbeschränkungen. Speziell für HTTP-Cookies können bestimmte sogenannte Flags gesetzt werden, die die Sichtbarkeit des Cookies einschränken. Für HTTP-Cookies sind die folgenden Einschränkungen die wichtigsten:

• Domain: Die Domain bestimmt, welche Domain (Webseite) das Cookie lesen (und schreiben) darf. Wenn zum Beispiel das YouTube Iframe Video ein Cookie für youtube.com setzt, kann die Client-Anwendung auf deiner Website das Cookie nicht (unbedingt) sehen.
• HttpOnly: Dieses Flag legt fest, dass das Cookie nur von der Server-Anwendung gelesen und geschrieben werden kann, nicht aber von der Client-Anwendung.
• Secure: Ein Cookie kann so eingestellt werden, dass es nur gelesen und geschrieben werden kann, wenn eine HTTPS-Verbindung besteht. Wenn du zum Beispiel deine Website in einer lokalen Entwicklungsumgebung ohne TLS-Zertifikat entwickelst, können einige Cookies nicht mehr geschrieben oder gelesen werden und verfälschen das Ergebnis des Cookie Scanners.
• SameSite: Dieses Flag verhindert, dass Cookies für sogenannte Cross-Site-Scripting (XSS) und Cross-Site-Request-Forgery (CSRF) Angriffe missbraucht werden, mit denen z.B. das Token für einen aktiven Login auf YouTube/Google gestohlen werden könnte. Um alle Cookies auslesen und an die Server-Anwendung übertragen zu können, müsste unter Umständen genau die Art der Übertragung möglich sein, die auch Angreifer nutzen (und das wird verhindert).

Wenn du denkst, dass das schon genug Probleme sind, dann müssen wir dich enttäuschen. Neben dieser technischen Komplexität gibt es auch einige "organisatorische" Hürden mit einem Cookie Scanner. Cookies werden nicht immer gesetzt, wenn die Startseite geladen wird, sondern nur unter bestimmten Umständen. Ein Cookie Scanner in Real Cookie Banner müsste mindestens die folgenden wichtigsten organisatorischen Regeln zum Auffinden aller Cookies berücksichtigen:

• Nur auf bestimmten Unterseiten: Einige Services und Plugins setzen Cookies nicht auf oder für alle Unterseiten, sondern nur auf bestimmten Unterseiten deiner Website. Außerdem kann es sein, dass Cookies nur gesetzt werden, wenn bestimmte Unterseiten in einer bestimmten Reihenfolge aufgerufen werden (typischerweise beim Tracking von Sales Funnels). Ein Cookie Scanner müsste jede einzelne Unterseite deiner Website aufrufen und alle Cookies und Cookie-ähnlichen Informationen auslesen, um sicher zu sein, dass er alle notwendigen Informationen findet. Du als Mensch weißt viel besser, ob du bestimmte Services nur auf bestimmten Unterseiten (z.B. Google Maps ist nur auf der Kontaktseite integriert) oder speziellen Funnels verwendest.
• Nur bei Interaktion mit der Webseite: Eine weitere Komplexität ist, dass Cookies manchmal nur bei bestimmten Interaktionen gesetzt werden. Ein gutes Beispiel ist das Standard-Kommentarsystem von WordPress. Es setzt Cookies (auf Anfrage des Nutzers), um sich den Namen, die E-Mail-Adresse und die Website des Kommentators für zukünftige Kommentare zu merken. Ein Cookie Scanner müsste also mit etwas menschlichem Verstand verstehen, wie man mit deiner Website interagiert und welche Optionen z.B. zum Absenden des Kommentarformulars zur Verfügung stehen. Für einen Menschen ist das kein Problem, aber für eine Maschine ohne Bewusstsein ist es eine extrem komplexe Aufgabe.

Zusammengefasst: Tools, die versprechen, Cookies auf deiner Website zu finden, müssen kritisch hinterfragt werden. Geht das Tool alle Unterseiten deiner Website durch? Kannst du mit deiner Website interagieren, um das Setzen von Cookies auszulösen? Liest das Tool nicht nur HTTP-Cookies aus, sondern jede Art von Cookie-ähnlichen Informationen? Und hat das Tool überhaupt die Rechte, alle Cookies zu lesen?

Wir haben schon viel darüber nachgedacht, wie ein solcher Cookie Scanner umgesetzt werden könnte. Aktuell kennen wir aber keinen frei verfügbaren Cookie Scanner, der all diese Anforderungen umsetzt. Der Cookie Scanner von Cookiebot zum Beispiel, der deine Webseite scannt und dir dann sein Produkt anbietet, kann nicht alle oben genannten organisatorischen Probleme lösen. Und der integrierte Cookie Scanner im WordPress-Plugin Complianz scheitert unseres Wissens nach an den oben beschriebenen technischen Hürden. Beide Cookie Scanner liefern also viele wichtige Cookies, aber eben nicht alle. Um deine Webseite datenschutzkonform zu gestalten, müsstest du jedoch alle Cookies kennen.

Service and Content Blocker-Vorlagen als bessere Alternative

Real Cookie Banner versucht, dir wegen der im vorherigen Abschnitt beschriebenen Probleme anders zu helfen. In unseren Augen sind unsere Vorlagen besser geeignet, um dir zu helfen, dein Cookie Banner komplett korrekt einzurichten und somit die Anforderungen der Datenschutzgesetze zu erfüllen.

Wir bieten dir eine Vielzahl von Service- und Content Blocker Vorlagen an, um Cookies in deinem Cookie Banner zu benennen sowie die Verarbeitung von personenbezogenen Daten vor der Einwilligung zu verhindern. Alle Vorlagen wurden mit einer intensiven Recherche aller rechtlichen und technischen Informationen erstellt. Wir stecken teilweise halbe Arbeitstage in die Erstellung einer Service-Vorlage, um möglichst viele Fälle darin abzubilden und zu testen, ob Cookies wirklich nur nach Einwilligung gesetzt werden und personenbezogene Daten nur nach der Einwilligung verarbeitet werden.

Du musst nur die Cookie-Vorlagen von Services und Plugins, die du nutzt, in Real Cookie Banner einfügen. Du wirst Schritt für Schritt durch die Erstellung der Informationen geführt und kannst sie jederzeit für deinen speziellen Fall anpassen und erweitern. Damit sparst du dir viele Stunden Arbeit im Vergleich zum selbst recherchieren und testen!

Wie du alle Cookies und Services auf deiner Webseite findest

Nun, eine Frage haben wir noch nicht beantwortet: Wenn du keinen Cookie Scanner zur Verfügung hast, wie findest du dann heraus, welche Cookies und Services du in deiner WordPress-Website verwendest? Die besten Service- und Content Blocker Vorlagen werden nämlich nichts bringen, wenn du nicht weißt, dass du sie verwenden musst.

Du solltest auf jeden Fall unseren Service-Scanner nutzen. Er findet bereits die allermeisten Services für dich. Wir erklären dir aber genau, in welchen Fällen der Service-Scanner verwendete Services nicht erkennen kann. Daher solltest du deine Website immer manuell überprüfen! Mehr zum manuellen Check erfährst du in diesem Artikel: Wie finde ich alle Services (Cookies) auf meiner Website?

Zu kompliziert? Unsere Cookie Experten sind hier, um zu helfen!

Wir können absolut verstehen, wenn du dich mit den Ausführungen in diesem Artikel ein wenig überfordert fühlst. Die datenschutzrechtlichen Anforderungen an dich als Webseitenbetreiber in der EU sind komplex. Sie machen es schwierig, Webseiten zu betreiben, ohne sich intensiv mit den gesetzlichen Vorgaben auseinanderzusetzen. Zumindest, wenn du mit gutem Gewissen schlafen willst, alles richtig gemacht zu haben.

Aber keine Sorge, wenn dich das alles überfordert: Wir haben eine Lösung für dich! Unsere Cookie Experten haben schon viele Cookie Banner eingerichtet und können auch deines problemlos einrichten. Sie werden das scheinbar Unmögliche für dich erledigen!