Real Cookie Banner stellt dir viele nützliche Tools zur Verfügung, mit denen du ganz einfach die Einwilligung für Cookies etc. auf deiner WordPress-Website einholen kannst. Es gibt auch einen Service-Scanner, der die meisten auf deiner Website verwendeten Services automatisch erkennt. Was der Service-Scanner erkennt und was er nicht erkennt, haben wir in einem separaten Artikel erklärt. Daher solltest du deine Website immer manuell überprüfen, um sicherzugehen, dass du wirklich alle Services gefunden hast, die eine Einwilligung erfordern und dass du die Vorlagen an deinen spezifischen Fall angepasst hast. In diesem Artikel erklären wir dir, wie du alle Cookies und Services, die personenbezogene Daten verarbeiten, auf deiner Webseite finden kannst.
Wofür du eine Einwilligung auf deiner Website brauchst
Tools, die gemeinhin als "Cookie Banner" bezeichnet werden, sind, wenn sie den gesetzlichen Anforderungen der EU entsprechen, eigentlich Consent Management Plattformen (CMPs). Praktisch gesehen verwalten sie nicht nur die Einwilligungen für Cookies, sondern auch Einwilligungen für zusätzliche Datenverarbeitungen und deren Zwecke. Cookies und diese zusätzlichen Möglichkeiten der Datenverarbeitung sind meist so eng miteinander verbunden, dass das eine ohne das andere nicht existieren kann. In diesem Artikel erläutern wir den rechtlichen Hintergrund in vereinfachter Form.
Die rechtlichen Hintergründe haben wir für dich im Artikel Wofür benötige ich Einwilligungen? näher erläutert. Diesen solltest du lesen, um alle folgenden Schritte nachvollziehen zu können.
Du als Webseitenbetreiber solltest in der Lage sein, die folgenden Fragen zu beantworten, um alle relevanten Informationen zur Einholung von Einwilligungen im Real Cookie Banner zu hinterlegen:
- Welche Inhalte bette ich von externen Quellen ein, die potenziell personenbezogene Daten verarbeiten könnten?
- Welche Services, Plugins und Themes nutze ich, die personenbezogene Daten direkt auf meiner Website (meinem Webhosting) verarbeiten?
- Welche Inhalte von externen Quellen, Services, Plugins und Themes setzen Cookies oder Cookie-ähnliche Informationen auf dem Client (Browser) meiner Besucher und sind diese essenziell?
Im folgenden Artikel gehen wir davon aus, dass du Google Chrome oder einen anderen Chromium-basierten Browser benutzt, der nicht datenschutzfreundlich ist (z.B. nicht Brave). Wir nennen diese Software verallgemeinert Browser, weil die Entwicklerwerkzeuge in diesen Browsern nahezu gleich sind.
1. Einbettungen aus externen Quellen
Zuerst wollen wir alle Inhalte finden, die deine Website aus externen Quellen einbettet. Damit sind sichtbare Inhalte von z.B. YouTube- und Vimeo-Videos, Twitter-Timelines, Facebook-Posts, Instagram-Bilder oder Google Maps gemeint. Es bedeutet aber auch "unsichtbare" oder weniger offensichtliche Inhalte wie Google Analytics, Matomo, Google Fonts, AddToAny Share Buttons oder Google reCAPTCHA. All diese Inhalte haben gemeinsam, dass sie von Drittanbieterservern eingebunden werden und mindestens die IP-Adresse deiner Nutzer übermitteln. Wir empfehlen dir diese Inhalte zu blockieren, bevor du eine Einwilligung eingeholt hast, es sei denn, du denkst, dass eine andere Rechtfertigung für die Verwendung dieser Inhalte gemäß Art. 6 DSGVO anzunehmen ist.
Beachte, dass jede Unterseite deiner Website unterschiedliche Inhalte enthalten kann, weshalb du die folgenden Schritte auf jeder Unterseite durchführen solltest. Außerdem können Inhalte nachträglich geladen werden, wie z.B. ein YouTube Video in einer Lightbox, weshalb du auf jede erdenkliche Weise mit der Website interagieren solltest.
So findest du die Inhalte in deinem Browser:
- Stelle sicher, dass kein Content Blocker auf deiner Website und kein Adblocker für deine Website in deinem Browser aktiv ist
- Öffne deine Website in Google Chrome oder einem Chromium Browser in einem privaten (Inkognito) Fenster
- Klicke mit der rechten Maustaste irgendwo auf deine Website, um das Kontextmenü zu öffnen, in dem du Untersuchen wählst
- Es öffnet sich eine neue Leiste in deinem Browser mit mehreren Tabs. Du wählst den Tab Sources.
- Du wirst nun ein dreispaltiges Layout sehen, wobei uns die linke Spalte interessiert. In dieser Spalte kannst du sehen, welche Dateien von welchen Domains (Services) geladen wurden, als du diese spezielle Unterseite deiner Website aufgerufen hast.
- Die Domain deiner Website steht ganz oben und zeigt an, welche Dateien von deiner Website heruntergeladen wurden. Alle Einträge darunter sind von anderen Domains. Klicke dich durch die ganzen Einträge. Du wirst Bilder, Videos, Schriften etc. finden, aber auch HTML-, CSS- und JavaScript-Code sowie Iframes. Frage dich bei jedem Eintrag, von welchem Service er stammt und ob du eine andere Rechtfertigung als die Einwilligung hast, diese zu laden - und damit die IP-Adresse deiner Besucher zu übertragen.
Der Screenshot zeigt ein Beispiel aus dem devowl.io Blog (ohne Cookie Banner). Wir können die folgenden Einträge sehen und als Beispiel einschätzen. Die Bewertung, ob etwas essentiell ist oder nicht, kann für jede Website unterschiedlich ausfallen.
- cdn.paddle.com: Diese Domain gehört offensichtlich zum Service Provider Paddle.com. Wir nutzen Paddle.com für unseren Online-Shop, über den z.B. der Bezahlvorgang bereitgestellt wird. Ohne diesen könnten die Besucher nicht auf unserer Seite einkaufen, weshalb wir ein berechtigtes Interesse als Rechtfertigung für diesen Service annehmen. Daher müssen wir Paddle.com als essentiellen Service/Cookie in unserem Cookie Banner benennen, aber seine Skripte dürfen in jeder Phase des Kaufs eingebunden werden.
- www.google-analytics.com: Die Domain verrät bereits, dass wir Google Analytics auf unserer Website einsetzen. Das Tool zeichnet umfangreiche Statistiken über das Verhalten der Besucher auf der Website auf. Daher betrachten wir Google Analytics als Statistik-Service/Cookie, für dessen Nutzung wir eine Einwilligung benötigen. Google Analytics darf also erst geladen werden, nachdem wir die Zustimmung des Besuchers eingeholt haben.
- INJ_sS81ua8: Der Name dieses Elements ist nicht selbsterklärend. Das Icon vor dem Namen zeigt jedoch an, dass es sich um einen Iframe handelt (bettet eine andere Website in deine Website ein). Außerdem können wir sehen, von welchen Domains innerhalb des Iframe Dateien heruntergeladen werden. Wenn du dir die einzelnen Dateien genau ansiehst, wirst du feststellen, dass es sich um ein YouTube-Video handelt, das wir in den Blogartikel eingebettet haben. Ein Video von YouTube ergänzt den Inhalt unserer Website. Ohne das Video würde unsere Website aber weiterhin funktionieren. Daher betrachten wir YouTube als einen funktionalen Service/Cookie, für dessen Nutzung wir eine Einwilligung benötigen. Das YouTube-Video kann daher nur nach Einholung der Einwilligung des Besuchers geladen werden.
Wir kennen nun alle drei Services, die wir auf unserer Website einbinden und die wir im Cookie Banner (Consent Management Tool) erwähnen sollten. Am Ende des Artikels erfährst du, wie du sie im Cookie Banner nennst und wie du das Laden der Services vor der Einwilligung mit einem Content Blocker verhindern kannst.
2. Verarbeitung von personenbezogenen Daten auf deinem Webspace
Als zweites möchten wir herausfinden, ob und wenn ja, welche personenbezogenen Daten auf dem eigenen Webspace verarbeitet werden. Diese Frage ist mit technischen Mitteln eher schwierig zu beantworten. Wichtiger ist es sich Fragen zur Struktur der eigenen Website zu stellen.
Der Webserver deiner Website, PHP, etc. (alle Komponenten, die notwendig sind, um deine Webseite überhaupt zu betreiben) verarbeitet zumindest die IP-Adresse deines Besuchers. Dies sollte durch eine implizite (stillschweigende) Einwilligung deines Besuchers bereits vor dem Besuch geklärt werden, da er deine Website freiwillig besucht hat. Alternativ könnte auch ein berechtigtes Interesse als Rechtfertigung angenommen werden.
Anders verhält es sich, wenn du z.B. Matomo nutzt, um Statistiken über die Besucher deiner Website zu sammeln, wobei die IP-Adresse des Besuchers in ungekürzter Form verarbeitet und/oder gespeichert wird. Matomo ist eine beliebte Alternative zu Google Analytics, die du auf deinem eigenen Server laufen lassen kannst. Wenn du detailliertere Daten über deine Besucher sammeln willst, indem du die komplette IP-Adresse verarbeitest, musst du unserer Meinung nach eine Einwilligung deiner Besucher einholen, auch wenn du das Tool auf deinem eigenen Webspace oder Server laufen lässt.
Wenn du solche Services auf deinem eigenen Webspace entdeckt hast und sie eine Einwilligung erfordern, solltest du sie auch in deinem Cookie Banner nennen und die Verarbeitung personenbezogener Daten erst nach Einholung der Einwilligung zulassen.
Last but not least kümmern wir uns um Cookies und Cookie-ähnliche Informationen. Aus technischer Sicht sind nicht alle Cookies gleich. Der Begriff "Cookie" steht rechtlich für sogenannte HTTP-Cookies. Die geltenden Gesetze verlangen jedoch, dass auch Cookie-ähnliche Informationen den gleichen Rechten unterliegen. Technisch gesehen gibt es eine Vielzahl von Möglichkeiten, solche Informationen zu speichern. Die gängigsten Methoden werden im Folgenden kurz erklärt:
- HTTP Cookie: Klassischer Cookie, der bei jeder Verbindung an den Server übertragen wird.
- Local Storage: Moderne lokale Speicherung von Informationen, ähnlich wie bei Cookies, die aber nur von JavaScript-Anwendungen gelesen werden können.
- Session Storage: Genauso wie Local Storage, aber technisch auf den jeweiligen Tab im Browser beschränkt, in dem die Informationen gesetzt wurden.
- Pixel Tracker: Laden einer (meist) unsichtbaren Grafik, die den Nutzer eindeutig identifizieren kann.
- Flash Local Shared Object: Objekt zum Speichern von Informationen über Benutzer in Flash-Dateien (wird kaum noch verwendet).
- IndexedDB: Moderne Alternative zum Local Storage für größere Datenmengen (noch selten genutzt).
Pixel-Tracking haben wir in der Regel bereits mit der Maßnahme in den vorherigen Schritten erfasst. Von den in der Liste genannten Cookies und Cookie-ähnlichen Informationen (im Folgenden einfach "Cookies" genannt) werden in fast allen Fällen HTTP-Cookies, Local Storage und Session Storage verwendet, um die für uns relevanten Informationen zu speichern. Aus diesem Grund werden wir im Folgenden nur auf diese Cookie-Typen eingehen.
Beachte, dass jede Unterseite deiner Website andere Cookies setzen kann. Daher solltest du die folgenden Schritte auf jeder Unterseite durchführen. Außerdem werden Cookies nicht immer gesetzt, wenn die Website lädt, sondern manchmal auch nur, wenn du mit ihr interagierst (z.B. ein Kontaktformular absenden). Um alle Cookies zu erfassen, solltest du daher alle erdenklichen Arten der Interaktion mit der Website ausprobieren und jedes Mal prüfen, ob neue Cookies gesetzt wurden. Auch wenn ein externer Service wie YouTube Cookies setzt, hängen die Art und die Eigenschaften der Cookies oft davon ab, ob der Besucher deiner Website bei dem jeweiligen Service angemeldet ist. Du solltest daher auch jede der vorherigen Kombinationen als eingeloggter und nicht eingeloggter Nutzer bei dem jeweiligen Service ausprobieren.
So findest du die Cookies in deinem Browser:
- Stelle sicher, dass kein Cookie Banner oder Content Blocker auf unserer Website aktiv ist und kein Adblocker für deine Website in deinem Browser aktiv ist. Außerdem blockiert der Browser in einem privaten (Inkognito) Fenster deines Google Chrome standardmäßig Drittanbieter-Cookies. Das wird dir direkt nach dem Öffnen eines privaten Fensters angezeigt. Du musst diese Datenschutzfunktion deaktivieren, um alle Cookies zu sehen.
- Öffne deine Website in Google Chrome oder einem Chromium Browser in einem privaten (Inkognito) Fenster
- Klicke mit der rechten Maustaste irgendwo auf deine Website, um das Kontextmenü zu öffnen, in dem du Untersuchen wählst
- Es öffnet sich eine neue Leiste in deinem Browser mit mehreren Tabs. Du wählst den Tab Applikation.
- Du siehst nun ein zweispaltiges Layout (Seitenleiste und Inhaltsbereich), wobei uns der Bereich Speicher in der linken Spalte interessiert. Mit einem Klick auf die Dreiecke neben Lokaler Speicher, Sitzungsspeicher und Cookies kannst du sehen, dass im aktuell geöffneten Tab Cookies für Websites gesetzt werden. Wenn sich hier nicht nur deine eigene Domain befindet, bettest du z.B. Iframes ein. Iframes sind eigenständige Websites, die du in deine Website einbettest und die daher separat angezeigt werden. Dennoch bist du dafür verantwortlich, wenn sie Cookies oder Cookie-ähnliche Informationen setzen oder auslesen, da du diese Website geladen hast (ohne die explizite Entscheidung deines Besuchers). Wir müssen uns daher im Folgenden alle aufgeführten Domains bezüglich Cookies oder Cookie-ähnlicher Informationen ansehen.
- Wenn du auf einen Domainnamen klickst, siehst du in der linken Spalte alle konkreten Cookies, die auf deinem Computer gesetzt sind, mit all ihren Eigenschaften und Flags wie Name, Wert, Domain, Ablaufdatum usw. HTTP Cookies haben mehr Eigenschaften als Local Storage und Session Storage Cookies. Abhängig von der Art des Cookies, musst du unterschiedliche Informationen in dein Cookie Banner eintragen (die Benutzeroberfläche von Real Cookie Banner zeigt nur Pflichtfelder an).
- Nun sollten wir einen Blick auf die einzelnen Cookies werfen. Oft sagt uns der Name in Kombination mit der Domain schon, welcher Service dieses Cookie gesetzt hat. Manchmal ist dies jedoch nicht nachvollziehbar. In diesem Fall lohnt es sich nach dem Cookie-Namen in einer Suchmaschine zu suchen, um z.B. in der Datenschutzerklärung des jeweiligen Dienstanbieters herauszufinden, welches Cookie von welchem Service gesetzt wird. Unser Ziel ist es immer, herauszufinden, welches Cookie zu welchem Service gehört.
- Wenn wir den Service des Cookies kennen, können wir beurteilen, ob der Service und damit das Cookie essenziell ist. Ein Service ist nur dann essenziell, wenn unsere Website ohne ihn nicht mehr funktionieren würde. Dabei ist es unerheblich, ob unsere Website ohne den Service z.B. schlecht aussieht oder nur noch irgendwie funktioniert, aber wirtschaftlich nicht mehr sinnvoll betrieben werden kann.
- Wir müssen jeden Dienst mit all seinen technischen Cookies in Real Cookie Banner speichern. Wie man das macht, wird im nächsten Abschnitt dieses Artikels erklärt.
Der Screenshot zeigt wieder ein Beispiel aus dem devowl.io Blog (ohne Cookie-Banner). Wir können die folgenden Cookies sehen und versuchen, deren Dienste herauszufinden. Dies wird im Beispiel nur für HTTP-Cookies gemacht, sollte aber auch für jede andere Cookie-ähnliche Information gemacht werden. Die Einschätzung, ob etwas essentiell ist oder nicht, kann für jede Website unterschiedlich ausfallen.
- wp-wpml_current_language: Im Namen des ersten Cookies sehen wir die Zeichenfolge "wpml", was der Name eines WordPress Plugins ist, das wir verwenden. Eine schnelle Suche führte uns zu einem Artikel der Entwickler, in dem sie uns erklären, dass WPML dieses und andere Cookies setzt. Damit haben wir die wesentlichen Informationen zu den technischen Cookies für diesen Dienst. Ohne diesen Dienst wäre unsere Website nicht in mehreren Sprachen verfügbar, weshalb wir ihn für essentiell halten.
- paddlejs_checkout_variant: In den vorherigen Abschnitten haben wir bereits gesehen, dass wir Paddle.com verwenden. Der Name "paddlejs" weist darauf hin, dass der Cookie von diesem Service stammt. Bei einer Suche haben wir jedoch keine offizielle Dokumentation über die Cookies des Services gefunden. Wir haben jedoch einige andere Websites gefunden, die in ihren Datenschutzerklärungen dieses und andere Cookies für den Paddle.com Service setzen. Wir könnten darauf vertrauen, dass diese Websites korrekte Informationen bereitgestellt haben, oder wir könnten den Anbieter des Services fragen, um sicher die vollständige und korrekte Liste der Cookies zu erhalten.
- _gid, _ga: Der Name "ga" könnte eine Abkürzung für Google Analytics sein, was wir auch bestätigen können. Durch eine schnelle Suche finden wir eine ausführliche Dokumentation, in der zu lesen ist, dass "_gid" ebenfalls von dem Dienst stammt.
- _cfduid: Der Name lässt nicht sofort erkennen, welcher Dienst dahinter steckt. Eine kurze Recherche führt aber direkt zur Dokumentation von Cloudflare, wo wir dieses und andere Cookies finden, wobei bestimmte Cookies nur bei der Nutzung bestimmter Services gesetzt werden. Hier müssen wir also differenzieren, welche der Informationen auf unseren Fall zutreffen. Wir nutzen Cloudflare, um unsere Website vor bösartigen Angriffen zu schützen, weshalb wir davon ausgehen, dass es sich um einen essentiellen Service handelt.
- NID, CONSENT: Bei den letzten beiden Cookies können wir anhand des Namens nicht genau erkennen, was diese Cookies sein sollen. Wir können aber in der Spalte Domain sehen, dass die Cookies für ".google.com" gesetzt wurden. Im vorherigen Abschnitt haben wir bereits gesehen, dass wir YouTube in einen iframe einbetten und YouTube Daten von google.com lädt. Die Vermutung ist also, dass diese Cookies durch das YouTube-Video kommen. Andererseits können sie auch von Google Analytics kommen - einem weiteren Google-Dienst, den wir nutzen. In diesem Fall lohnt es sich oft, einen der beiden Dienste vorübergehend zu deaktivieren, um zu sehen, ob das Cookie danach immer noch gesetzt wird (in einem neuen privaten Fenster). In diesem Fall stellen wir mit Hilfe der Google Datenschutzerklärung fest, dass diese Cookies von YouTube stammen.
In den vorherigen Schritten haben wir identifiziert, welche Dienste wir auf unserer Website nutzen. Damit ist der komplexeste Teil der Aufgabe, alle Cookies etc. zu sammeln, erledigt. Diese Informationen (und zusätzliche Informationen) müssen nur noch zu unserem Cookie Banner hinterlegt werden.
Real Cookie Banner versucht, es dir einfach zu machen. Das WordPress Plugin bietet dir viele Vorlagen unter Services (Cookies) oder Content Blocker. In diesen Vorlagen sind nicht nur die technischen Cookies etc. bereits hinterlegt, sondern auch ein Beschreibungstext, Link zur Datenschutzerklärung und andere notwendige rechtliche Informationen. Mit diesen Vorlagen kannst du eine Menge Zeit sparen! Es empfiehlt sich, zuerst die Services und dann die Content Blocker zu erstellen, denn unsere Service-Vorlagen leiten dich bei Bedarf automatisch direkt auf die entsprechende Content Blocker-Vorlage weiter.
Sollte für einen von dir genutzten Service keine Vorlage vorhanden sein, kannst du eine solche Service-Vorlage kostenlos bei uns anfordern. Alternativ kannst du natürlich auch selbst individuelle Services und Inhalte erstellen. Wie du das machst, wird in den folgenden Artikeln Schritt für Schritt erklärt:
- Wie erstelle ich einen individuellen Cookie (Service)?
- Wie erstelle ich einen individuellen Content Blocker?
Wir geben zu, es ist nicht einfach, alle Services, Cookies, etc. zu finden. Die gesetzlichen Vorgaben in der EU verlangen etwas recht Komplexes für jeden Webseitenbetreiber. Wir können verstehen, wenn du dich nach dem Lesen dieses Artikels überfordert fühlst - wenn dies weit über das hinausgeht, was du technisch leisten kannst oder möchtest. Vielleicht lässt dich die Frage, wie du deine Website jemals datenschutzkonform gestalten kannst - nachdem du weißt, was alles zu beachten ist - auch nicht mehr ruhig schlafen.
Mach dir keine Sorgen, wir haben eine Lösung für dich! Unsere Cookie Experten haben schon viele Cookie Banner eingerichtet und wissen genau, was sie tun. Sie können auch deinen Cookie Banner schnell und einfach einrichten. So können wir dir diese Sorge einfach abnehmen.