Wissensdatenbank (FAQ)

Wie finde ich alle Services (Cookies) auf meiner Website?

Real Cookie Banner stellt dir viele n├╝tzliche Tools zur Verf├╝gung, mit denen du ganz einfach die Einwilligung f├╝r Cookies etc. auf deiner WordPress-Website einholen kannst. Es gibt auch einen Service-Scanner, der die meisten auf deiner Website verwendeten Services automatisch erkennt. Was der Service-Scanner erkennt und was er nicht erkennt, haben wir in einem separaten Artikel erkl├Ąrt. Daher solltest du deine Website immer manuell ├╝berpr├╝fen, um sicherzugehen, dass du wirklich alle Services gefunden hast, die eine Einwilligung erfordern und dass du die Vorlagen an deinen spezifischen Fall angepasst hast. In diesem Artikel erkl├Ąren wir dir, wie du alle Cookies und Services, die personenbezogene Daten verarbeiten, auf deiner Webseite finden kannst.

Wir m├╝ssen darauf hinweisen, dass die folgenden Aussagen keine Rechtsberatung darstellen. Wir k├Ânnen dir daher nur Einsch├Ątzungen aus unserer intensiven Erfahrung mit den EU-Rechtsvorschriften in der Praxis und eine technische Einsch├Ątzung der Situation geben.

Wof├╝r du eine Einwilligung auf deiner Website brauchst

Tools, die gemeinhin als "Cookie Banner" bezeichnet werden, sind, wenn sie den gesetzlichen Anforderungen der EU entsprechen, eigentlich Consent Management Plattformen (CMPs). Praktisch gesehen verwalten sie nicht nur die Einwilligungen f├╝r Cookies, sondern auch Einwilligungen f├╝r zus├Ątzliche Datenverarbeitungen und deren Zwecke. Cookies und diese zus├Ątzlichen M├Âglichkeiten der Datenverarbeitung sind meist so eng miteinander verbunden, dass das eine ohne das andere nicht existieren kann. In diesem Artikel erl├Ąutern wir den rechtlichen Hintergrund in vereinfachter Form.

Die rechtlichen Hintergr├╝nde haben wir f├╝r dich im Artikel Wof├╝r ben├Âtige ich Einwilligungen? n├Ąher erl├Ąutert. Diesen solltest du lesen, um alle folgenden Schritte nachvollziehen zu k├Ânnen.

Du als Webseitenbetreiber solltest in der Lage sein, die folgenden Fragen zu beantworten, um alle relevanten Informationen zur Einholung von Einwilligungen im Real Cookie Banner zu hinterlegen:

  1. Welche Inhalte bette ich von externen Quellen ein, die potenziell personenbezogene Daten verarbeiten k├Ânnten?
  2. Welche Services, Plugins und Themes nutze ich, die personenbezogene Daten direkt auf meiner Website (meinem Webhosting) verarbeiten?
  3. Welche Inhalte von externen Quellen, Services, Plugins und Themes setzen Cookies oder Cookie-├Ąhnliche Informationen auf dem Client (Browser) meiner Besucher und sind diese essenziell?

Im folgenden Artikel gehen wir davon aus, dass du Google Chrome oder einen anderen Chromium-basierten Browser benutzt, der nicht datenschutzfreundlich ist (z.B. nicht Brave). Wir nennen diese Software verallgemeinert Browser, weil die Entwicklerwerkzeuge in diesen Browsern nahezu gleich sind.

1. Einbettungen aus externen Quellen

Zuerst wollen wir alle Inhalte finden, die deine Website aus externen Quellen einbettet. Damit sind sichtbare Inhalte von z.B. YouTube- und Vimeo-Videos, Twitter-Timelines, Facebook-Posts, Instagram-Bilder oder Google Maps gemeint. Es bedeutet aber auch "unsichtbare" oder weniger offensichtliche Inhalte wie Google Analytics, Matomo, Google Fonts, AddToAny Share Buttons oder Google reCAPTCHA. All diese Inhalte haben gemeinsam, dass sie von Drittanbieterservern eingebunden werden und mindestens die IP-Adresse deiner Nutzer ├╝bermitteln. Wir empfehlen dir diese Inhalte zu blockieren, bevor du eine Einwilligung eingeholt hast, es sei denn, du denkst, dass eine andere Rechtfertigung f├╝r die Verwendung dieser Inhalte gem├Ą├č Art. 6 DSGVO anzunehmen ist.

Beachte, dass jede Unterseite deiner Website unterschiedliche Inhalte enthalten kann, weshalb du die folgenden Schritte auf jeder Unterseite durchf├╝hren solltest. Au├čerdem k├Ânnen Inhalte nachtr├Ąglich geladen werden, wie z.B. ein YouTube Video in einer Lightbox, weshalb du auf jede erdenkliche Weise mit der Website interagieren solltest.

So findest du die Inhalte in deinem Browser:

  1. Stelle sicher, dass kein Content Blocker auf deiner Website und kein Adblocker f├╝r deine Website in deinem Browser aktiv ist
  2. ├ľffne deine Website in Google Chrome oder einem Chromium Browser in einem privaten (Inkognito) Fenster
  3. Klicke mit der rechten Maustaste irgendwo auf deine Website, um das Kontextmen├╝ zu ├Âffnen, in dem du Untersuchen w├Ąhlst
  4. Es ├Âffnet sich eine neue Leiste in deinem Browser mit mehreren Tabs. Du w├Ąhlst den Tab Sources.
  5. Du wirst nun ein dreispaltiges Layout sehen, wobei uns die linke Spalte interessiert. In dieser Spalte kannst du sehen, welche Dateien von welchen Domains (Services) geladen wurden, als du diese spezielle Unterseite deiner Website aufgerufen hast.
  6. Die Domain deiner Website steht ganz oben und zeigt an, welche Dateien von deiner Website heruntergeladen wurden. Alle Eintr├Ąge darunter sind von anderen Domains. Klicke dich durch die ganzen Eintr├Ąge. Du wirst Bilder, Videos, Schriften etc. finden, aber auch HTML-, CSS- und JavaScript-Code sowie Iframes. Frage dich bei jedem Eintrag, von welchem Service er stammt und ob du eine andere Rechtfertigung als die Einwilligung hast, diese zu laden - und damit die IP-Adresse deiner Besucher zu ├╝bertragen.
Beispiel f├╝r Einbettungen aus externen Quellen

Der Screenshot zeigt ein Beispiel aus dem devowl.io Blog (ohne Cookie Banner). Wir k├Ânnen die folgenden Eintr├Ąge sehen und als Beispiel einsch├Ątzen. Die Bewertung, ob etwas essentiell ist oder nicht, kann f├╝r jede Website unterschiedlich ausfallen.

  • cdn.paddle.com: Diese Domain geh├Ârt offensichtlich zum Service Provider Paddle.com. Wir nutzen Paddle.com f├╝r unseren Online-Shop, ├╝ber den z.B. der Bezahlvorgang bereitgestellt wird. Ohne diesen k├Ânnten die Besucher nicht auf unserer Seite einkaufen, weshalb wir ein berechtigtes Interesse als Rechtfertigung f├╝r diesen Service annehmen. Daher m├╝ssen wir Paddle.com als essentiellen Service/Cookie in unserem Cookie Banner benennen, aber seine Skripte d├╝rfen in jeder Phase des Kaufs eingebunden werden.
  • www.google-analytics.com: Die Domain verr├Ąt bereits, dass wir Google Analytics auf unserer Website einsetzen. Das Tool zeichnet umfangreiche Statistiken ├╝ber das Verhalten der Besucher auf der Website auf. Daher betrachten wir Google Analytics als Statistik-Service/Cookie, f├╝r dessen Nutzung wir eine Einwilligung ben├Âtigen. Google Analytics darf also erst geladen werden, nachdem wir die Zustimmung des Besuchers eingeholt haben.
  • INJ_sS81ua8: Der Name dieses Elements ist nicht selbsterkl├Ąrend. Das Icon vor dem Namen zeigt jedoch an, dass es sich um einen Iframe handelt (bettet eine andere Website in deine Website ein). Au├čerdem k├Ânnen wir sehen, von welchen Domains innerhalb des Iframe Dateien heruntergeladen werden. Wenn du dir die einzelnen Dateien genau ansiehst, wirst du feststellen, dass es sich um ein YouTube-Video handelt, das wir in den Blogartikel eingebettet haben. Ein Video von YouTube erg├Ąnzt den Inhalt unserer Website. Ohne das Video w├╝rde unsere Website aber weiterhin funktionieren. Daher betrachten wir YouTube als einen funktionalen Service/Cookie, f├╝r dessen Nutzung wir eine Einwilligung ben├Âtigen. Das YouTube-Video kann daher nur nach Einholung der Einwilligung des Besuchers geladen werden.

Wir kennen nun alle drei Services, die wir auf unserer Website einbinden und die wir im Cookie Banner (Consent Management Tool) erw├Ąhnen sollten. Am Ende des Artikels erf├Ąhrst du, wie du sie im Cookie Banner nennst und wie du das Laden der Services vor der Einwilligung mit einem Content Blocker verhindern kannst.

2. Verarbeitung von personenbezogenen Daten auf deinem Webspace

Als zweites m├Âchten wir herausfinden, ob und wenn ja, welche personenbezogenen Daten auf dem eigenen Webspace verarbeitet werden. Diese Frage ist mit technischen Mitteln eher schwierig zu beantworten. Wichtiger ist es sich Fragen zur Struktur der eigenen Website zu stellen.

Der Webserver deiner Website, PHP, etc. (alle Komponenten, die notwendig sind, um deine Webseite ├╝berhaupt zu betreiben) verarbeitet zumindest die IP-Adresse deines Besuchers. Dies sollte durch eine implizite (stillschweigende) Einwilligung deines Besuchers bereits vor dem Besuch gekl├Ąrt werden, da er deine Website freiwillig besucht hat. Alternativ k├Ânnte auch ein berechtigtes Interesse als Rechtfertigung angenommen werden.

Anders verh├Ąlt es sich, wenn du z.B. Matomo nutzt, um Statistiken ├╝ber die Besucher deiner Website zu sammeln, wobei die IP-Adresse des Besuchers in ungek├╝rzter Form verarbeitet und/oder gespeichert wird. Matomo ist eine beliebte Alternative zu Google Analytics, die du auf deinem eigenen Server laufen lassen kannst. Wenn du detailliertere Daten ├╝ber deine Besucher sammeln willst, indem du die komplette IP-Adresse verarbeitest, musst du unserer Meinung nach eine Einwilligung deiner Besucher einholen, auch wenn du das Tool auf deinem eigenen Webspace oder Server laufen l├Ąsst.

Wenn du solche Services auf deinem eigenen Webspace entdeckt hast und sie eine Einwilligung erfordern, solltest du sie auch in deinem Cookie Banner nennen und die Verarbeitung personenbezogener Daten erst nach Einholung der Einwilligung zulassen.

3. Cookies und Cookie-├Ąhnliche Informationen

Last but not least k├╝mmern wir uns um Cookies und Cookie-├Ąhnliche Informationen. Aus technischer Sicht sind nicht alle Cookies gleich. Der Begriff "Cookie" steht rechtlich f├╝r sogenannte HTTP-Cookies. Die geltenden Gesetze verlangen jedoch, dass auch Cookie-├Ąhnliche Informationen den gleichen Rechten unterliegen. Technisch gesehen gibt es eine Vielzahl von M├Âglichkeiten, solche Informationen zu speichern. Die g├Ąngigsten Methoden werden im Folgenden kurz erkl├Ąrt:

  • HTTP Cookie: Klassischer Cookie, der bei jeder Verbindung an den Server ├╝bertragen wird.
  • Local Storage: Moderne lokale Speicherung von Informationen, ├Ąhnlich wie bei Cookies, die aber nur von JavaScript-Anwendungen gelesen werden k├Ânnen.
  • Session Storage: Genauso wie Local Storage, aber technisch auf den jeweiligen Tab im Browser beschr├Ąnkt, in dem die Informationen gesetzt wurden.
  • Pixel Tracker: Laden einer (meist) unsichtbaren Grafik, die den Nutzer eindeutig identifizieren kann.
  • Flash Local Shared Object: Objekt zum Speichern von Informationen ├╝ber Benutzer in Flash-Dateien (wird kaum noch verwendet).
  • IndexedDB: Moderne Alternative zum Local Storage f├╝r gr├Â├čere Datenmengen (noch selten genutzt).

Pixel-Tracking haben wir in der Regel bereits mit der Ma├čnahme in den vorherigen Schritten erfasst. Von den in der Liste genannten Cookies und Cookie-├Ąhnlichen Informationen (im Folgenden einfach "Cookies" genannt) werden in fast allen F├Ąllen HTTP-Cookies, Local Storage und Session Storage verwendet, um die f├╝r uns relevanten Informationen zu speichern. Aus diesem Grund werden wir im Folgenden nur auf diese Cookie-Typen eingehen.

Beachte, dass jede Unterseite deiner Website andere Cookies setzen kann. Daher solltest du die folgenden Schritte auf jeder Unterseite durchf├╝hren. Au├čerdem werden Cookies nicht immer gesetzt, wenn die Website l├Ądt, sondern manchmal auch nur, wenn du mit ihr interagierst (z.B. ein Kontaktformular absenden). Um alle Cookies zu erfassen, solltest du daher alle erdenklichen Arten der Interaktion mit der Website ausprobieren und jedes Mal pr├╝fen, ob neue Cookies gesetzt wurden. Auch wenn ein externer Service wie YouTube Cookies setzt, h├Ąngen die Art und die Eigenschaften der Cookies oft davon ab, ob der Besucher deiner Website bei dem jeweiligen Service angemeldet ist. Du solltest daher auch jede der vorherigen Kombinationen als eingeloggter und nicht eingeloggter Nutzer bei dem jeweiligen Service ausprobieren.

So findest du die Cookies in deinem Browser:

  1. Stelle sicher, dass kein Cookie Banner oder Content Blocker auf unserer Website aktiv ist und kein Adblocker f├╝r deine Website in deinem Browser aktiv ist. Au├čerdem blockiert der Browser in einem privaten (Inkognito) Fenster deines Google Chrome standardm├Ą├čig Drittanbieter-Cookies. Das wird dir direkt nach dem ├ľffnen eines privaten Fensters angezeigt. Du musst diese Datenschutzfunktion deaktivieren, um alle Cookies zu sehen.
Inkognito Fenster in Google Chrome mit 3th-Party-Cookies erlaubt
  1. ├ľffne deine Website in Google Chrome oder einem Chromium Browser in einem privaten (Inkognito) Fenster
  2. Klicke mit der rechten Maustaste irgendwo auf deine Website, um das Kontextmen├╝ zu ├Âffnen, in dem du Untersuchen w├Ąhlst
  3. Es ├Âffnet sich eine neue Leiste in deinem Browser mit mehreren Tabs. Du w├Ąhlst den Tab Applikation.
  4. Du siehst nun ein zweispaltiges Layout (Seitenleiste und Inhaltsbereich), wobei uns der Bereich Speicher in der linken Spalte interessiert. Mit einem Klick auf die Dreiecke neben Lokaler Speicher, Sitzungsspeicher und Cookies kannst du sehen, dass im aktuell ge├Âffneten Tab Cookies f├╝r Websites gesetzt werden. Wenn sich hier nicht nur deine eigene Domain befindet, bettest du z.B. Iframes ein. Iframes sind eigenst├Ąndige Websites, die du in deine Website einbettest und die daher separat angezeigt werden. Dennoch bist du daf├╝r verantwortlich, wenn sie Cookies oder Cookie-├Ąhnliche Informationen setzen oder auslesen, da du diese Website geladen hast (ohne die explizite Entscheidung deines Besuchers). Wir m├╝ssen uns daher im Folgenden alle aufgef├╝hrten Domains bez├╝glich Cookies oder Cookie-├Ąhnlicher Informationen ansehen.
  5. Wenn du auf einen Domainnamen klickst, siehst du in der linken Spalte alle konkreten Cookies, die auf deinem Computer gesetzt sind, mit all ihren Eigenschaften und Flags wie Name, Wert, Domain, Ablaufdatum usw. HTTP Cookies haben mehr Eigenschaften als Local Storage und Session Storage Cookies. Abh├Ąngig von der Art des Cookies, musst du unterschiedliche Informationen in dein Cookie Banner eintragen (die Benutzeroberfl├Ąche von Real Cookie Banner zeigt nur Pflichtfelder an).
  6. Nun sollten wir einen Blick auf die einzelnen Cookies werfen. Oft sagt uns der Name in Kombination mit der Domain schon, welcher Service dieses Cookie gesetzt hat. Manchmal ist dies jedoch nicht nachvollziehbar. In diesem Fall lohnt es sich nach dem Cookie-Namen in einer Suchmaschine zu suchen, um z.B. in der Datenschutzerkl├Ąrung des jeweiligen Dienstanbieters herauszufinden, welches Cookie von welchem Service gesetzt wird. Unser Ziel ist es immer, herauszufinden, welches Cookie zu welchem Service geh├Ârt.
  7. Wenn wir den Service des Cookies kennen, k├Ânnen wir beurteilen, ob der Service und damit das Cookie essenziell ist. Ein Service ist nur dann essenziell, wenn unsere Website ohne ihn nicht mehr funktionieren w├╝rde. Dabei ist es unerheblich, ob unsere Website ohne den Service z.B. schlecht aussieht oder nur noch irgendwie funktioniert, aber wirtschaftlich nicht mehr sinnvoll betrieben werden kann.
  8. Wir m├╝ssen jeden Dienst mit all seinen technischen Cookies in Real Cookie Banner speichern. Wie man das macht, wird im n├Ąchsten Abschnitt dieses Artikels erkl├Ąrt.
Beispiel f├╝r Cookies auf einer WordPress Website

Der Screenshot zeigt wieder ein Beispiel aus dem devowl.io Blog (ohne Cookie-Banner). Wir k├Ânnen die folgenden Cookies sehen und versuchen, deren Dienste herauszufinden. Dies wird im Beispiel nur f├╝r HTTP-Cookies gemacht, sollte aber auch f├╝r jede andere Cookie-├Ąhnliche Information gemacht werden. Die Einsch├Ątzung, ob etwas essentiell ist oder nicht, kann f├╝r jede Website unterschiedlich ausfallen.

  • wp-wpml_current_language: Im Namen des ersten Cookies sehen wir die Zeichenfolge "wpml", was der Name eines WordPress Plugins ist, das wir verwenden. Eine schnelle Suche f├╝hrte uns zu einem Artikel der Entwickler, in dem sie uns erkl├Ąren, dass WPML dieses und andere Cookies setzt. Damit haben wir die wesentlichen Informationen zu den technischen Cookies f├╝r diesen Dienst. Ohne diesen Dienst w├Ąre unsere Website nicht in mehreren Sprachen verf├╝gbar, weshalb wir ihn f├╝r essentiell halten.
  • paddlejs_checkout_variant: In den vorherigen Abschnitten haben wir bereits gesehen, dass wir Paddle.com verwenden. Der Name "paddlejs" weist darauf hin, dass der Cookie von diesem Service stammt. Bei einer Suche haben wir jedoch keine offizielle Dokumentation ├╝ber die Cookies des Services gefunden. Wir haben jedoch einige andere Websites gefunden, die in ihren Datenschutzerkl├Ąrungen dieses und andere Cookies f├╝r den Paddle.com Service setzen. Wir k├Ânnten darauf vertrauen, dass diese Websites korrekte Informationen bereitgestellt haben, oder wir k├Ânnten den Anbieter des Services fragen, um sicher die vollst├Ąndige und korrekte Liste der Cookies zu erhalten.
  • _gid, _ga: Der Name "ga" k├Ânnte eine Abk├╝rzung f├╝r Google Analytics sein, was wir auch best├Ątigen k├Ânnen. Durch eine schnelle Suche finden wir eine ausf├╝hrliche Dokumentation, in der zu lesen ist, dass "_gid" ebenfalls von dem Dienst stammt.
  • _cfduid: Der Name l├Ąsst nicht sofort erkennen, welcher Dienst dahinter steckt. Eine kurze Recherche f├╝hrt aber direkt zur Dokumentation von Cloudflare, wo wir dieses und andere Cookies finden, wobei bestimmte Cookies nur bei der Nutzung bestimmter Services gesetzt werden. Hier m├╝ssen wir also differenzieren, welche der Informationen auf unseren Fall zutreffen. Wir nutzen Cloudflare, um unsere Website vor b├Âsartigen Angriffen zu sch├╝tzen, weshalb wir davon ausgehen, dass es sich um einen essentiellen Service handelt.
  • NID, CONSENT: Bei den letzten beiden Cookies k├Ânnen wir anhand des Namens nicht genau erkennen, was diese Cookies sein sollen. Wir k├Ânnen aber in der Spalte Domain sehen, dass die Cookies f├╝r ".google.com" gesetzt wurden. Im vorherigen Abschnitt haben wir bereits gesehen, dass wir YouTube in einen iframe einbetten und YouTube Daten von google.com l├Ądt. Die Vermutung ist also, dass diese Cookies durch das YouTube-Video kommen. Andererseits k├Ânnen sie auch von Google Analytics kommen - einem weiteren Google-Dienst, den wir nutzen. In diesem Fall lohnt es sich oft, einen der beiden Dienste vor├╝bergehend zu deaktivieren, um zu sehen, ob das Cookie danach immer noch gesetzt wird (in einem neuen privaten Fenster). In diesem Fall stellen wir mit Hilfe der Google Datenschutzerkl├Ąrung fest, dass diese Cookies von YouTube stammen.

Wie erstelle ich einen Service- und Content Blocker in Real Cookie Banner?

In den vorherigen Schritten haben wir identifiziert, welche Dienste wir auf unserer Website nutzen. Damit ist der komplexeste Teil der Aufgabe, alle Cookies etc. zu sammeln, erledigt. Diese Informationen (und zus├Ątzliche Informationen) m├╝ssen nur noch zu unserem Cookie Banner hinterlegt werden.

Real Cookie Banner versucht, es dir einfach zu machen. Das WordPress Plugin bietet dir viele Vorlagen unter Services (Cookies) oder Content Blocker. In diesen Vorlagen sind nicht nur die technischen Cookies etc. bereits hinterlegt, sondern auch ein Beschreibungstext, Link zur Datenschutzerkl├Ąrung und andere notwendige rechtliche Informationen. Mit diesen Vorlagen kannst du eine Menge Zeit sparen! Es empfiehlt sich, zuerst die Services und dann die Content Blocker zu erstellen, denn unsere Service-Vorlagen leiten dich bei Bedarf automatisch direkt auf die entsprechende Content Blocker-Vorlage weiter.

Sollte f├╝r einen von dir genutzten Service keine Vorlage vorhanden sein, kannst du eine solche Service-Vorlage kostenlos bei uns anfordern. Alternativ kannst du nat├╝rlich auch selbst individuelle Services und Inhalte erstellen. Wie du das machst, wird in den folgenden Artikeln Schritt f├╝r Schritt erkl├Ąrt:

Dein Kopf ist explodiert? Unsere Cookie Experten sind hier um zu helfen!

Wir geben zu, es ist nicht einfach, alle Services, Cookies, etc. zu finden. Die gesetzlichen Vorgaben in der EU verlangen etwas recht Komplexes f├╝r jeden Webseitenbetreiber. Wir k├Ânnen verstehen, wenn du dich nach dem Lesen dieses Artikels ├╝berfordert f├╝hlst - wenn dies weit ├╝ber das hinausgeht, was du technisch leisten kannst oder m├Âchtest. Vielleicht l├Ąsst dich die Frage, wie du deine Website jemals datenschutzkonform gestalten kannst - nachdem du wei├čt, was alles zu beachten ist - auch nicht mehr ruhig schlafen.

Mach dir keine Sorgen, wir haben eine L├Âsung f├╝r dich! Unsere Cookie Experten haben schon viele Cookie Banner eingerichtet und wissen genau, was sie tun. Sie k├Ânnen auch deinen Cookie Banner schnell und einfach einrichten. So k├Ânnen wir dir diese Sorge einfach abnehmen.

WordPress Plugins von devowl.io

Finde hilfreiche Artikel

Themen