Wissensdatenbank (FAQ)

Wie finde ich alle Services (Cookies) auf meiner Website?

Real Cookie Banner stellt dir viele nützliche Tools zur Verfügung, mit denen du ganz einfach die Einwilligung für Cookies etc. auf deiner WordPress-Website einholen kannst. Es gibt auch einen Service-Scanner, der die meisten auf deiner Website verwendeten Services automatisch erkennt. Was der Service-Scanner erkennt und was er nicht erkennt, haben wir in einem separaten Artikel erklärt. Daher solltest du deine Website immer manuell überprüfen, um sicherzugehen, dass du wirklich alle Services gefunden hast, die eine Einwilligung erfordern und dass du die Vorlagen an deinen spezifischen Fall angepasst hast. In diesem Artikel erklären wir dir, wie du alle Cookies und Services, die personenbezogene Daten verarbeiten, auf deiner Webseite finden kannst.

Wir müssen darauf hinweisen, dass die folgenden Aussagen keine Rechtsberatung darstellen. Wir können dir daher nur Einschätzungen aus unserer intensiven Erfahrung mit den EU-Rechtsvorschriften in der Praxis und eine technische Einschätzung der Situation geben.

WofĂĽr du eine Einwilligung auf deiner Website brauchst

Die gemeinhin als "Cookie-Banner" bezeichneten Tools sind, sofern sie den rechtlichen Anforderungen der EU entsprechen, eigentlich Consent Management Platforms (CMPs). In der Praxis verwalten sie nicht nur die Zustimmung zu Cookies, sondern auch die Zustimmung zu zusätzlichen Zwecken. Cookies und diese zusätzlichen Zwecke sind in der Regel so eng miteinander verbunden, dass das eine ohne das andere nicht möglich ist.

Die rechtlichen Hintergründe haben wir für dich im Artikel Wofür benötige ich Einwilligungen? näher erläutert. Diesen solltest du lesen, um alle folgenden Schritte nachvollziehen zu können.

Du als Webseitenbetreiber solltest in der Lage sein, die folgenden Fragen zu beantworten, um alle relevanten Informationen zur Einholung von Einwilligungen im Real Cookie Banner zu hinterlegen:

  1. Welche Inhalte bette ich von externen Quellen ein, die potenziell personenbezogene Daten verarbeiten könnten?
  2. Welche Services, Plugins und Themes nutze ich, die personenbezogene Daten direkt auf meiner Website (meinem Webhosting) verarbeiten?
  3. Welche Inhalte von externen Quellen, Services, Plugins und Themes setzen Cookies oder Cookie-ähnliche Informationen auf dem Client (Browser) meiner Besucher und sind diese essenziell?

Im folgenden Artikel gehen wir davon aus, dass du Google Chrome oder einen anderen Chromium-basierten Browser benutzt, der nicht datenschutzfreundlich ist (z.B. nicht Brave). Wir nennen diese Software verallgemeinert Browser, weil die Entwicklerwerkzeuge in diesen Browsern nahezu gleich sind.

1. Einbettungen aus externen Quellen

Zuerst wollen wir alle Inhalte finden, die deine Website aus externen Quellen einbettet. Damit sind sichtbare Inhalte von z.B. YouTube- und Vimeo-Videos, Twitter-Timelines, Facebook-Posts, Instagram-Bilder oder Google Maps gemeint. Es bedeutet aber auch "unsichtbare" oder weniger offensichtliche Inhalte wie Google Analytics, Matomo, Google Fonts, AddToAny Share Buttons oder Google reCAPTCHA. All diese Inhalte haben gemeinsam, dass sie von Drittanbieterservern eingebunden werden und mindestens die IP-Adresse deiner Nutzer übermitteln. Wir empfehlen dir diese Inhalte zu blockieren, bevor du eine Einwilligung eingeholt hast, es sei denn, du denkst, dass eine andere Rechtfertigung für die Verwendung dieser Inhalte gemäß Art. 6 DSGVO anzunehmen ist.

Beachte, dass jede Unterseite deiner Website unterschiedliche Inhalte enthalten kann, weshalb du die folgenden Schritte auf jeder Unterseite durchführen solltest. Außerdem können Inhalte nachträglich geladen werden, wie z.B. ein YouTube Video in einer Lightbox, weshalb du auf jede erdenkliche Weise mit der Website interagieren solltest.

So findest du die Inhalte in deinem Browser:

  1. Stelle sicher, dass kein Content Blocker auf deiner Website und kein Adblocker fĂĽr deine Website in deinem Browser aktiv ist
  2. Ă–ffne deine Website in Google Chrome oder einem Chromium Browser in einem privaten (Inkognito) Fenster
  3. Klicke mit der rechten Maustaste irgendwo auf deine Website, um das Kontextmenü zu öffnen, in dem du Untersuchen wählst
  4. Es öffnet sich eine neue Leiste in deinem Browser mit mehreren Tabs. Du wählst den Tab Sources.
  5. Du wirst nun ein dreispaltiges Layout sehen, wobei uns die linke Spalte interessiert. In dieser Spalte kannst du sehen, welche Dateien von welchen Domains (Services) geladen wurden, als du diese spezielle Unterseite deiner Website aufgerufen hast.
  6. The domain of your website is at the top and shows which files were downloaded from your website. All entries below are from other domains. Click through the whole entries. You will find images, videos, fonts etc. but also HTML, CSS and JavaScript code as well as iframes. Ask for each entry which service it comes from and if you have another justification for loading it – and thus transferring the IP address of your visitors – than the consent.
Beispiel fĂĽr Einbettungen aus externen Quellen

Der Screenshot zeigt ein Beispiel aus dem devowl.io Blog (ohne Cookie Banner). Wir können die folgenden Einträge sehen und als Beispiel einschätzen. Die Bewertung, ob etwas essentiell ist oder nicht, kann für jede Website unterschiedlich ausfallen.

  • cdn.paddle.com: Diese Domain gehört offensichtlich zum Service Provider Paddle.com. Wir nutzen Paddle.com fĂĽr unseren Online-Shop, ĂĽber den z.B. der Bezahlvorgang bereitgestellt wird. Ohne diesen könnten die Besucher nicht auf unserer Seite einkaufen, weshalb wir ein berechtigtes Interesse als Rechtfertigung fĂĽr diesen Service annehmen. Daher mĂĽssen wir Paddle.com als essentiellen Service/Cookie in unserem Cookie Banner benennen, aber seine Skripte dĂĽrfen auf jeden Fall eingebunden werden.
  • www.google-analytics.com: Die Domain verrät bereits, dass wir Google Analytics auf unserer Website einsetzen. Das Tool zeichnet umfangreiche Statistiken ĂĽber das Verhalten der Besucher auf der Website auf. Daher betrachten wir Google Analytics als Statistik-Service/Cookie, fĂĽr dessen Nutzung wir eine Einwilligung benötigen. Google Analytics darf also erst geladen werden, nachdem wir die Zustimmung des Besuchers eingeholt haben.
  • INJ_sS81ua8: Der Name dieses Elements ist nicht selbsterklärend. Das Icon vor dem Namen zeigt jedoch an, dass es sich um einen Iframe handelt (bettet eine andere Website in deine Website ein). AuĂźerdem können wir sehen, von welchen Domains innerhalb des Iframe Dateien heruntergeladen werden. Wenn du dir die einzelnen Dateien genau ansiehst, wirst du feststellen, dass es sich um ein YouTube-Video handelt, das wir in den Blogartikel eingebettet haben. Ein Video von YouTube ergänzt den Inhalt unserer Website. Ohne das Video wĂĽrde unsere Website aber weiterhin funktionieren. Daher betrachten wir YouTube als einen funktionalen Service/Cookie, fĂĽr dessen Nutzung wir eine Einwilligung benötigen. Das YouTube-Video kann daher nur nach Einholung der Einwilligung des Besuchers geladen werden.

Wir kennen nun alle drei Services, die wir auf unserer Website einbinden und die wir im Cookie Banner (Consent Management Tool) erwähnen sollten. Am Ende des Artikels erfährst du, wie du sie im Cookie Banner nennst und wie du das Laden der Services vor der Einwilligung mit einem Content Blocker verhindern kannst.

2. Verarbeitung von personenbezogenen Daten auf deinem Webspace

Als zweites möchten wir herausfinden, ob und wenn ja, welche personenbezogenen Daten auf dem eigenen Webspace verarbeitet werden. Diese Frage ist mit technischen Mitteln eher schwierig zu beantworten. Wichtiger ist es sich Fragen zur Struktur der eigenen Website zu stellen.

Der Webserver deiner Website, PHP, etc. (alle Komponenten, die notwendig sind, um deine Webseite überhaupt zu betreiben) verarbeitet zumindest die IP-Adresse deines Besuchers. Dies sollte durch eine implizite (stillschweigende) Einwilligung deines Besuchers bereits vor dem Besuch geklärt werden, da er deine Website freiwillig besucht hat. Alternativ könnte auch ein berechtigtes Interesse als Rechtfertigung angenommen werden.

The situation is different if, for example, you use Matmo to collect statistics about visitors to your website, processing and/or storing the visitor’s IP address in an unabbreviated form. Matonmo is a popular alternative to Google Analytics that you can run on your own server. If you want to collect more detailed data about your visitors by processing the complete IP address, we believe that you need to obtain a consent for your visitors, even if you run the tool on your own webspace or server.

Wenn du solche Services auf deinem eigenen Webspace entdeckt hast und sie eine Einwilligung erfordern, solltest du sie auch in deinem Cookie Banner nennen und die Verarbeitung personenbezogener Daten erst nach Einholung der Einwilligung zulassen.

3. Cookies und Cookie-ähnliche Informationen

Last but not least we take care of cookies and cookie like information from a technical point of view, not all cookies are the same. The term “cookie” legally stands for so-called HTTP cookies. However, the applicable laws also require that cookie-like information is subject to the same rights. Technically, there are a variety of ways to store such information. The most common methods are briefly explained below:

  • HTTP Cookie: Klassischer Cookie, der bei jeder Verbindung an den Server ĂĽbertragen wird.
  • Local Storage: Moderne lokale Speicherung von Informationen, ähnlich wie bei Cookies, die aber nur von JavaScript-Anwendungen gelesen werden können.
  • Session Storage: Genauso wie Local Storage, aber technisch auf den jeweiligen Tab im Browser beschränkt, in dem die Informationen gesetzt wurden.
  • Pixel Tracker: Laden einer (meist) unsichtbaren Grafik, die den Nutzer eindeutig identifizieren kann.
  • Flash Local Shared Object: Objekt zum Speichern von Informationen ĂĽber Benutzer in Flash-Dateien (wird kaum noch verwendet).
  • IndexedDB: Moderne Alternative zum Local Storage fĂĽr größere Datenmengen (noch selten genutzt).

Pixel tracking we have usually already captured with the action in the previous steps. Of the cookies and cookie like information (in the following simple “cookies” called) mentioned in the list, HTTP cookies, Local Storage and Session Storage are used in almost every case to store the information relevant to us. For this reason, we will only discuss these cookie types in the following.

Beachte, dass jede Unterseite deiner Website andere Cookies setzen kann. Daher solltest du die folgenden Schritte auf jeder Unterseite durchführen. Außerdem werden Cookies nicht immer gesetzt, wenn die Website lädt, sondern manchmal auch nur, wenn du mit ihr interagierst (z.B. ein Kontaktformular absenden). Um alle Cookies zu erfassen, solltest du daher alle erdenklichen Arten der Interaktion mit der Website ausprobieren und jedes Mal prüfen, ob neue Cookies gesetzt wurden. Auch wenn ein externer Service wie YouTube Cookies setzt, hängen die Art und die Eigenschaften der Cookies oft davon ab, ob der Besucher deiner Website bei dem jeweiligen Service angemeldet ist. Du solltest daher auch jede der vorherigen Kombinationen als eingeloggter und nicht eingeloggter Nutzer bei dem jeweiligen Service ausprobieren.

So findest du die Cookies in deinem Browser:

  1. Make sure no cookie banner or content blocker is active on our website and no Adblocker is active for your website in your browser. In addition, in a private (incognito) window of your Google Chrome, the browser blocks 3rd-party-cookies by default. That’s shown directly after opening a private window. You have to deactivate this privacy feature to see all cookies.
Inkognito Fenster in Google Chrome mit 3th-Party-Cookies erlaubt
  1. Ă–ffne deine Website in Google Chrome oder einem Chromium Browser in einem privaten (Inkognito) Fenster
  2. Klicke mit der rechten Maustaste irgendwo auf deine Website, um das Kontextmenü zu öffnen, in dem du Untersuchen wählst
  3. Es öffnet sich eine neue Leiste in deinem Browser mit mehreren Tabs. Du wählst den Tab Applikation.
  4. Du siehst nun ein zweispaltiges Layout (Seitenleiste und Inhaltsbereich), wobei uns der Bereich Speicher in der linken Spalte interessiert. Mit einem Klick auf die Dreiecke neben Lokaler Speicher, Sitzungsspeicher und Cookies kannst du sehen, dass im aktuell geöffneten Tab Cookies für Websites gesetzt werden. Wenn sich hier nicht nur deine eigene Domain befindet, bettest du z.B. Iframes ein. Iframes sind eigenständige Websites, die du in deine Website einbettest und die daher separat angezeigt werden. Dennoch bist du dafür verantwortlich, wenn sie Cookies oder Cookie-ähnliche Informationen setzen oder auslesen, da du diese Website geladen hast (ohne die explizite Entscheidung deines Besuchers). Wir müssen uns daher im Folgenden alle aufgeführten Domains bezüglich Cookies oder Cookie-ähnlicher Informationen ansehen.
  5. Wenn du auf einen Domainnamen klickst, siehst du in der linken Spalte alle konkreten Cookies, die auf deinem Computer gesetzt sind, mit all ihren Eigenschaften und Flags wie Name, Wert, Domain, Ablaufdatum usw. HTTP Cookies haben mehr Eigenschaften als Local Storage und Session Storage Cookies. Abhängig von der Art des Cookies, musst du unterschiedliche Informationen in dein Cookie Banner eintragen (die Benutzeroberfläche von Real Cookie Banner zeigt nur Pflichtfelder an).
  6. Nun sollten wir einen Blick auf die einzelnen Cookies werfen. Oft sagt uns der Name in Kombination mit der Domain schon, welcher Service dieses Cookie gesetzt hat. Manchmal ist dies jedoch nicht nachvollziehbar. In diesem Fall lohnt es sich nach dem Cookie-Namen in einer Suchmaschine zu suchen, um z.B. in der Datenschutzerklärung des jeweiligen Dienstanbieters herauszufinden, welches Cookie von welchem Service gesetzt wird. Unser Ziel ist es immer, herauszufinden, welches Cookie zu welchem Service gehört.
  7. Wenn wir den Service des Cookies kennen, können wir beurteilen, ob der Service und damit das Cookie essenziell ist. Ein Service ist nur dann essenziell, wenn unsere Website ohne ihn nicht mehr funktionieren würde. Dabei ist es unerheblich, ob unsere Website ohne den Service z.B. schlecht aussieht oder nur noch irgendwie funktioniert, aber wirtschaftlich nicht mehr sinnvoll betrieben werden kann.
  8. Wir müssen jeden Dienst mit all seinen technischen Cookies in Real Cookie Banner speichern. Wie man das macht, wird im nächsten Abschnitt dieses Artikels erklärt.
Beispiel fĂĽr Cookies auf einer WordPress Website

Der Screenshot zeigt wieder ein Beispiel aus dem devowl.io Blog (ohne Cookie-Banner). Wir können die folgenden Cookies sehen und versuchen, deren Dienste herauszufinden. Dies wird im Beispiel nur für HTTP-Cookies gemacht, sollte aber auch für jede andere Cookie-ähnliche Information gemacht werden. Die Einschätzung, ob etwas essentiell ist oder nicht, kann für jede Website unterschiedlich ausfallen.

  • wp-wpml_current_language: Im Namen des ersten Cookies sehen wir die Zeichenfolge "wpml", was der Name eines WordPress Plugins ist, das wir verwenden. Eine schnelle Suche fĂĽhrte uns zu einem Artikel der Entwickler, in dem sie uns erklären, dass WPML dieses und andere Cookies setzt. Damit haben wir die wesentlichen Informationen zu den technischen Cookies fĂĽr diesen Dienst. Ohne diesen Dienst wäre unsere Website nicht in mehreren Sprachen verfĂĽgbar, weshalb wir ihn fĂĽr essentiell halten.
  • paddlejs_checkout_variant: In den vorherigen Abschnitten haben wir bereits gesehen, dass wir Paddle.com verwenden. Der Name "paddlejs" weist darauf hin, dass der Cookie von diesem Service stammt. Bei einer Suche haben wir jedoch keine offizielle Dokumentation ĂĽber die Cookies des Services gefunden. Wir haben jedoch einige andere Websites gefunden, die in ihren Datenschutzerklärungen dieses und andere Cookies fĂĽr den Paddle.com Service setzen. Wir könnten darauf vertrauen, dass diese Websites korrekte Informationen bereitgestellt haben, oder wir könnten den Anbieter des Services fragen, um sicher die vollständige und korrekte Liste der Cookies zu erhalten.
  • _gid, _ga: Der Name "ga" könnte eine AbkĂĽrzung fĂĽr Google Analytics sein, was wir auch bestätigen können. Durch eine schnelle Suche finden wir eine ausfĂĽhrliche Dokumentation, in der zu lesen ist, dass "_gid" ebenfalls von dem Dienst stammt.
  • _cfduid: Der Name lässt nicht sofort erkennen, welcher Dienst dahinter steckt. Eine kurze Recherche fĂĽhrt aber direkt zur Dokumentation von Cloudflare, wo wir dieses und andere Cookies finden, wobei bestimmte Cookies nur bei der Nutzung bestimmter Services gesetzt werden. Hier mĂĽssen wir also differenzieren, welche der Informationen auf unseren Fall zutreffen. Wir nutzen Cloudflare, um unsere Website vor bösartigen Angriffen zu schĂĽtzen, weshalb wir davon ausgehen, dass es sich um einen essentiellen Service handelt.
  • NID, CONSENT: Bei den letzten beiden Cookies können wir anhand des Namens nicht genau erkennen, was diese Cookies sein sollen. Wir können aber in der Spalte Domain sehen, dass die Cookies fĂĽr ".google.com" gesetzt wurden. Im vorherigen Abschnitt haben wir bereits gesehen, dass wir YouTube in einen iframe einbetten und YouTube Daten von google.com lädt. Die Vermutung ist also, dass diese Cookies durch das YouTube-Video kommen. Andererseits können sie auch von Google Analytics kommen - einem weiteren Google-Dienst, den wir nutzen. In diesem Fall lohnt es sich oft, einen der beiden Dienste vorĂĽbergehend zu deaktivieren, um zu sehen, ob das Cookie danach immer noch gesetzt wird (in einem neuen privaten Fenster). In diesem Fall stellen wir mit Hilfe der Google Datenschutzerklärung fest, dass diese Cookies von YouTube stammen.

Wie erstelle ich einen Service- und Content Blocker in Real Cookie Banner?

In den vorherigen Schritten haben wir identifiziert, welche Dienste wir auf unserer Website nutzen. Damit ist der komplexeste Teil der Aufgabe, alle Cookies etc. zu sammeln, erledigt. Diese Informationen (und zusätzliche Informationen) müssen nur noch zu unserem Cookie Banner hinterlegt werden.

Real Cookie Banner versucht, es dir einfach zu machen. Das WordPress Plugin bietet dir viele Vorlagen unter Services (Cookies) oder Content Blocker. In diesen Vorlagen sind nicht nur die technischen Cookies etc. bereits hinterlegt, sondern auch ein Beschreibungstext, Link zur Datenschutzerklärung und andere notwendige rechtliche Informationen. Mit diesen Vorlagen kannst du eine Menge Zeit sparen! Es empfiehlt sich, zuerst die Services und dann die Content Blocker zu erstellen, denn unsere Service-Vorlagen leiten dich bei Bedarf automatisch direkt auf die entsprechende Content Blocker-Vorlage weiter.

Sollte für einen von dir genutzten Service keine Vorlage vorhanden sein, kannst du eine solche Service-Vorlage kostenlos bei uns anfordern. Alternativ kannst du natürlich auch selbst individuelle Services und Inhalte erstellen. Wie du das machst, wird in den folgenden Artikeln Schritt für Schritt erklärt:

Dein Kopf ist explodiert? Unsere Cookie Experten sind hier um zu helfen!

We admit, it is not easy to find all the services, cookies, etc. The legal requirements in the EU require something quite complex for any website operator. We can understand if you feel overwhelmed after reading this article – if this goes far beyond what you can technically do. Maybe the question of how to ever make your website privacy compliant, after knowing what all needs to be considered, won’t let you sleep easy either.

Don’t worry, we have a solution for you! Our Cookie Experts have already set up many cookie banners and know exactly what they are doing. They can also set up your cookie banner quickly and easily. So, we can simply take this worry away from you.

WordPress Plugins von devowl.io

Finde hilfreiche Artikel

Themen