Wissensdatenbank (FAQ)

Wie finde ich alle Services (Cookies) auf meiner Website?

Real Cookie Banner stellt dir viele n√ľtzliche Tools zur Verf√ľgung, mit denen du ganz einfach die Einwilligung f√ľr Cookies etc. auf deiner WordPress-Website einholen kannst. Es gibt auch einen Service-Scanner, der die meisten auf deiner Website verwendeten Services automatisch erkennt. Was der Service-Scanner erkennt und was er nicht erkennt, haben wir in einem separaten Artikel erkl√§rt. Daher solltest du deine Website immer manuell √ľberpr√ľfen, um sicherzugehen, dass du wirklich alle Services gefunden hast, die eine Einwilligung erfordern und dass du die Vorlagen an deinen spezifischen Fall angepasst hast. In diesem Artikel erkl√§ren wir dir, wie du alle Cookies und Services, die personenbezogene Daten verarbeiten, auf deiner Webseite finden kannst.

Wir m√ľssen darauf hinweisen, dass die folgenden Aussagen keine Rechtsberatung darstellen. Wir k√∂nnen dir daher nur Einsch√§tzungen aus unserer intensiven Erfahrung mit den EU-Rechtsvorschriften in der Praxis und eine technische Einsch√§tzung der Situation geben.

Wof√ľr du eine Einwilligung auf deiner Website brauchst

Die gemeinhin als "Cookie-Banner" bezeichneten Tools sind, sofern sie den rechtlichen Anforderungen der EU entsprechen, eigentlich Consent Management Platforms (CMPs). In der Praxis verwalten sie nicht nur die Zustimmung zu Cookies, sondern auch die Zustimmung zu zusätzlichen Zwecken. Cookies und diese zusätzlichen Zwecke sind in der Regel so eng miteinander verbunden, dass das eine ohne das andere nicht möglich ist.

Die rechtlichen Hintergr√ľnde haben wir f√ľr dich im Artikel Wof√ľr ben√∂tige ich Einwilligungen? n√§her erl√§utert. Diesen solltest du lesen, um alle folgenden Schritte nachvollziehen zu k√∂nnen.

Du als Webseitenbetreiber solltest in der Lage sein, die folgenden Fragen zu beantworten, um alle relevanten Informationen zur Einholung von Einwilligungen im Real Cookie Banner zu hinterlegen:

  1. Welche Inhalte bette ich von externen Quellen ein, die potenziell personenbezogene Daten verarbeiten könnten?
  2. Welche Services, Plugins und Themes nutze ich, die personenbezogene Daten direkt auf meiner Website (meinem Webhosting) verarbeiten?
  3. Welche Inhalte von externen Quellen, Services, Plugins und Themes setzen Cookies oder Cookie-ähnliche Informationen auf dem Client (Browser) meiner Besucher und sind diese essenziell?

Im folgenden Artikel gehen wir davon aus, dass du Google Chrome oder einen anderen Chromium-basierten Browser benutzt, der nicht datenschutzfreundlich ist (z.B. nicht Brave). Wir nennen diese Software verallgemeinert Browser, weil die Entwicklerwerkzeuge in diesen Browsern nahezu gleich sind.

1. Einbettungen aus externen Quellen

Zuerst wollen wir alle Inhalte finden, die deine Website aus externen Quellen einbettet. Damit sind sichtbare Inhalte von z.B. YouTube- und Vimeo-Videos, Twitter-Timelines, Facebook-Posts, Instagram-Bilder oder Google Maps gemeint. Es bedeutet aber auch "unsichtbare" oder weniger offensichtliche Inhalte wie Google Analytics, Matomo, Google Fonts, AddToAny Share Buttons oder Google reCAPTCHA. All diese Inhalte haben gemeinsam, dass sie von Drittanbieterservern eingebunden werden und mindestens die IP-Adresse deiner Nutzer √ľbermitteln. Wir empfehlen dir diese Inhalte zu blockieren, bevor du eine Einwilligung eingeholt hast, es sei denn, du denkst, dass eine andere Rechtfertigung f√ľr die Verwendung dieser Inhalte gem√§√ü Art. 6 DSGVO anzunehmen ist.

Beachte, dass jede Unterseite deiner Website unterschiedliche Inhalte enthalten kann, weshalb du die folgenden Schritte auf jeder Unterseite durchf√ľhren solltest. Au√üerdem k√∂nnen Inhalte nachtr√§glich geladen werden, wie z.B. ein YouTube Video in einer Lightbox, weshalb du auf jede erdenkliche Weise mit der Website interagieren solltest.

So findest du die Inhalte in deinem Browser:

  1. Stelle sicher, dass kein Content Blocker auf deiner Website und kein Adblocker f√ľr deine Website in deinem Browser aktiv ist
  2. √Ėffne deine Website in Google Chrome oder einem Chromium Browser in einem privaten (Inkognito) Fenster
  3. Klicke mit der rechten Maustaste irgendwo auf deine Website, um das Kontextmen√ľ zu √∂ffnen, in dem du Untersuchen w√§hlst
  4. Es öffnet sich eine neue Leiste in deinem Browser mit mehreren Tabs. Du wählst den Tab Sources.
  5. Du wirst nun ein dreispaltiges Layout sehen, wobei uns die linke Spalte interessiert. In dieser Spalte kannst du sehen, welche Dateien von welchen Domains (Services) geladen wurden, als du diese spezielle Unterseite deiner Website aufgerufen hast.
  6. Die Domain deiner Website steht ganz oben und zeigt an, welche Dateien von deiner Website heruntergeladen wurden. Alle Eintr√§ge darunter sind von anderen Domains. Klicke dich durch die ganzen Eintr√§ge. Du wirst Bilder, Videos, Schriften etc. finden, aber auch HTML-, CSS- und JavaScript-Code sowie Iframes. Frage dich bei jedem Eintrag, von welchem Service er stammt und ob du eine andere Rechtfertigung als die Einwilligung hast, diese zu laden - und damit die IP-Adresse deiner Besucher zu √ľbertragen.
Beispiel f√ľr Einbettungen aus externen Quellen

Der Screenshot zeigt ein Beispiel aus dem devowl.io Blog (ohne Cookie Banner). Wir k√∂nnen die folgenden Eintr√§ge sehen und als Beispiel einsch√§tzen. Die Bewertung, ob etwas essentiell ist oder nicht, kann f√ľr jede Website unterschiedlich ausfallen.

  • cdn.paddle.com: Diese Domain geh√∂rt offensichtlich zum Service Provider Paddle.com. Wir nutzen Paddle.com f√ľr unseren Online-Shop, √ľber den z.B. der Bezahlvorgang bereitgestellt wird. Ohne diesen k√∂nnten die Besucher nicht auf unserer Seite einkaufen, weshalb wir ein berechtigtes Interesse als Rechtfertigung f√ľr diesen Service annehmen. Daher m√ľssen wir Paddle.com als essentiellen Service/Cookie in unserem Cookie Banner benennen, aber seine Skripte d√ľrfen auf jeden Fall eingebunden werden.
  • www.google-analytics.com: Die Domain verr√§t bereits, dass wir Google Analytics auf unserer Website einsetzen. Das Tool zeichnet umfangreiche Statistiken √ľber das Verhalten der Besucher auf der Website auf. Daher betrachten wir Google Analytics als Statistik-Service/Cookie, f√ľr dessen Nutzung wir eine Einwilligung ben√∂tigen. Google Analytics darf also erst geladen werden, nachdem wir die Zustimmung des Besuchers eingeholt haben.
  • INJ_sS81ua8: Der Name dieses Elements ist nicht selbsterkl√§rend. Das Icon vor dem Namen zeigt jedoch an, dass es sich um einen Iframe handelt (bettet eine andere Website in deine Website ein). Au√üerdem k√∂nnen wir sehen, von welchen Domains innerhalb des Iframe Dateien heruntergeladen werden. Wenn du dir die einzelnen Dateien genau ansiehst, wirst du feststellen, dass es sich um ein YouTube-Video handelt, das wir in den Blogartikel eingebettet haben. Ein Video von YouTube erg√§nzt den Inhalt unserer Website. Ohne das Video w√ľrde unsere Website aber weiterhin funktionieren. Daher betrachten wir YouTube als einen funktionalen Service/Cookie, f√ľr dessen Nutzung wir eine Einwilligung ben√∂tigen. Das YouTube-Video kann daher nur nach Einholung der Einwilligung des Besuchers geladen werden.

Wir kennen nun alle drei Services, die wir auf unserer Website einbinden und die wir im Cookie Banner (Consent Management Tool) erwähnen sollten. Am Ende des Artikels erfährst du, wie du sie im Cookie Banner nennst und wie du das Laden der Services vor der Einwilligung mit einem Content Blocker verhindern kannst.

2. Verarbeitung von personenbezogenen Daten auf deinem Webspace

Als zweites möchten wir herausfinden, ob und wenn ja, welche personenbezogenen Daten auf dem eigenen Webspace verarbeitet werden. Diese Frage ist mit technischen Mitteln eher schwierig zu beantworten. Wichtiger ist es sich Fragen zur Struktur der eigenen Website zu stellen.

Der Webserver deiner Website, PHP, etc. (alle Komponenten, die notwendig sind, um deine Webseite √ľberhaupt zu betreiben) verarbeitet zumindest die IP-Adresse deines Besuchers. Dies sollte durch eine implizite (stillschweigende) Einwilligung deines Besuchers bereits vor dem Besuch gekl√§rt werden, da er deine Website freiwillig besucht hat. Alternativ k√∂nnte auch ein berechtigtes Interesse als Rechtfertigung angenommen werden.

Anders verh√§lt es sich, wenn du z.B. Matmo nutzt, um Statistiken √ľber die Besucher deiner Website zu sammeln, wobei die IP-Adresse des Besuchers in ungek√ľrzter Form verarbeitet und/oder gespeichert wird. Matonmo ist eine beliebte Alternative zu Google Analytics, die du auf deinem eigenen Server laufen lassen kannst. Wenn du detailliertere Daten √ľber deine Besucher sammeln willst, indem du die komplette IP-Adresse verarbeitest, musst du unserer Meinung nach eine Einwilligung deiner Besucher einholen, auch wenn du das Tool auf deinem eigenen Webspace oder Server laufen l√§sst.

Wenn du solche Services auf deinem eigenen Webspace entdeckt hast und sie eine Einwilligung erfordern, solltest du sie auch in deinem Cookie Banner nennen und die Verarbeitung personenbezogener Daten erst nach Einholung der Einwilligung zulassen.

3. Cookies und Cookie-ähnliche Informationen

Zu guter Letzt k√ľmmern wir uns um Cookies und Cookie-√§hnliche Informationen aus technischer Sicht ‚Äď nicht alle Cookies sind gleich. Der Begriff "Cookie" steht rechtlich f√ľr sogenannte HTTP-Cookies. Die geltenden Gesetze schreiben aber auch vor, dass Cookie-√§hnliche Informationen den gleichen Rechten unterliegen. Technisch gesehen gibt es eine Vielzahl von M√∂glichkeiten, solche Informationen zu speichern. Die g√§ngigsten Methoden werden im Folgenden kurz erkl√§rt:

  • HTTP Cookie: Klassischer Cookie, der bei jeder Verbindung an den Server √ľbertragen wird.
  • Local Storage: Moderne lokale Speicherung von Informationen, √§hnlich wie bei Cookies, die aber nur von JavaScript-Anwendungen gelesen werden k√∂nnen.
  • Session Storage: Genauso wie Local Storage, aber technisch auf den jeweiligen Tab im Browser beschr√§nkt, in dem die Informationen gesetzt wurden.
  • Pixel Tracker: Laden einer (meist) unsichtbaren Grafik, die den Nutzer eindeutig identifizieren kann.
  • Flash Local Shared Object: Objekt zum Speichern von Informationen √ľber Benutzer in Flash-Dateien (wird kaum noch verwendet).
  • IndexedDB: Moderne Alternative zum Local Storage f√ľr gr√∂√üere Datenmengen (noch selten genutzt).

Pixel-Tracking haben wir in der Regel bereits mit der Ma√ünahme in den vorherigen Schritten erfasst. Von den in der Liste genannten Cookies und Cookie-√§hnlichen Informationen (im Folgenden einfach "Cookies" genannt) werden in fast allen F√§llen HTTP-Cookies, Local Storage und Session Storage verwendet, um die f√ľr uns relevanten Informationen zu speichern. Aus diesem Grund werden wir im Folgenden nur auf diese Cookie-Typen eingehen.

Beachte, dass jede Unterseite deiner Website andere Cookies setzen kann. Daher solltest du die folgenden Schritte auf jeder Unterseite durchf√ľhren. Au√üerdem werden Cookies nicht immer gesetzt, wenn die Website l√§dt, sondern manchmal auch nur, wenn du mit ihr interagierst (z.B. ein Kontaktformular absenden). Um alle Cookies zu erfassen, solltest du daher alle erdenklichen Arten der Interaktion mit der Website ausprobieren und jedes Mal pr√ľfen, ob neue Cookies gesetzt wurden. Auch wenn ein externer Service wie YouTube Cookies setzt, h√§ngen die Art und die Eigenschaften der Cookies oft davon ab, ob der Besucher deiner Website bei dem jeweiligen Service angemeldet ist. Du solltest daher auch jede der vorherigen Kombinationen als eingeloggter und nicht eingeloggter Nutzer bei dem jeweiligen Service ausprobieren.

So findest du die Cookies in deinem Browser:

  1. Stelle sicher, dass kein Cookie Banner oder Content Blocker auf unserer Website aktiv ist und kein Adblocker f√ľr deine Website in deinem Browser aktiv ist. Au√üerdem blockiert der Browser in einem privaten (Inkognito) Fenster deines Google Chrome standardm√§√üig Drittanbieter-Cookies. Das wird dir direkt nach dem √Ėffnen eines privaten Fensters angezeigt. Du musst diese Datenschutzfunktion deaktivieren, um alle Cookies zu sehen.
Inkognito Fenster in Google Chrome mit 3th-Party-Cookies erlaubt
  1. √Ėffne deine Website in Google Chrome oder einem Chromium Browser in einem privaten (Inkognito) Fenster
  2. Klicke mit der rechten Maustaste irgendwo auf deine Website, um das Kontextmen√ľ zu √∂ffnen, in dem du Untersuchen w√§hlst
  3. Es öffnet sich eine neue Leiste in deinem Browser mit mehreren Tabs. Du wählst den Tab Applikation.
  4. Du siehst nun ein zweispaltiges Layout (Seitenleiste und Inhaltsbereich), wobei uns der Bereich Speicher in der linken Spalte interessiert. Mit einem Klick auf die Dreiecke neben Lokaler Speicher, Sitzungsspeicher und Cookies kannst du sehen, dass im aktuell ge√∂ffneten Tab Cookies f√ľr Websites gesetzt werden. Wenn sich hier nicht nur deine eigene Domain befindet, bettest du z.B. Iframes ein. Iframes sind eigenst√§ndige Websites, die du in deine Website einbettest und die daher separat angezeigt werden. Dennoch bist du daf√ľr verantwortlich, wenn sie Cookies oder Cookie-√§hnliche Informationen setzen oder auslesen, da du diese Website geladen hast (ohne die explizite Entscheidung deines Besuchers). Wir m√ľssen uns daher im Folgenden alle aufgef√ľhrten Domains bez√ľglich Cookies oder Cookie-√§hnlicher Informationen ansehen.
  5. Wenn du auf einen Domainnamen klickst, siehst du in der linken Spalte alle konkreten Cookies, die auf deinem Computer gesetzt sind, mit all ihren Eigenschaften und Flags wie Name, Wert, Domain, Ablaufdatum usw. HTTP Cookies haben mehr Eigenschaften als Local Storage und Session Storage Cookies. Abhängig von der Art des Cookies, musst du unterschiedliche Informationen in dein Cookie Banner eintragen (die Benutzeroberfläche von Real Cookie Banner zeigt nur Pflichtfelder an).
  6. Nun sollten wir einen Blick auf die einzelnen Cookies werfen. Oft sagt uns der Name in Kombination mit der Domain schon, welcher Service dieses Cookie gesetzt hat. Manchmal ist dies jedoch nicht nachvollziehbar. In diesem Fall lohnt es sich nach dem Cookie-Namen in einer Suchmaschine zu suchen, um z.B. in der Datenschutzerklärung des jeweiligen Dienstanbieters herauszufinden, welches Cookie von welchem Service gesetzt wird. Unser Ziel ist es immer, herauszufinden, welches Cookie zu welchem Service gehört.
  7. Wenn wir den Service des Cookies kennen, k√∂nnen wir beurteilen, ob der Service und damit das Cookie essenziell ist. Ein Service ist nur dann essenziell, wenn unsere Website ohne ihn nicht mehr funktionieren w√ľrde. Dabei ist es unerheblich, ob unsere Website ohne den Service z.B. schlecht aussieht oder nur noch irgendwie funktioniert, aber wirtschaftlich nicht mehr sinnvoll betrieben werden kann.
  8. Wir m√ľssen jeden Dienst mit all seinen technischen Cookies in Real Cookie Banner speichern. Wie man das macht, wird im n√§chsten Abschnitt dieses Artikels erkl√§rt.
Beispiel f√ľr Cookies auf einer WordPress Website

Der Screenshot zeigt wieder ein Beispiel aus dem devowl.io Blog (ohne Cookie-Banner). Wir k√∂nnen die folgenden Cookies sehen und versuchen, deren Dienste herauszufinden. Dies wird im Beispiel nur f√ľr HTTP-Cookies gemacht, sollte aber auch f√ľr jede andere Cookie-√§hnliche Information gemacht werden. Die Einsch√§tzung, ob etwas essentiell ist oder nicht, kann f√ľr jede Website unterschiedlich ausfallen.

  • wp-wpml_current_language: Im Namen des ersten Cookies sehen wir die Zeichenfolge "wpml", was der Name eines WordPress Plugins ist, das wir verwenden. Eine schnelle Suche f√ľhrte uns zu einem Artikel der Entwickler, in dem sie uns erkl√§ren, dass WPML dieses und andere Cookies setzt. Damit haben wir die wesentlichen Informationen zu den technischen Cookies f√ľr diesen Dienst. Ohne diesen Dienst w√§re unsere Website nicht in mehreren Sprachen verf√ľgbar, weshalb wir ihn f√ľr essentiell halten.
  • paddlejs_checkout_variant: In den vorherigen Abschnitten haben wir bereits gesehen, dass wir Paddle.com verwenden. Der Name "paddlejs" weist darauf hin, dass der Cookie von diesem Service stammt. Bei einer Suche haben wir jedoch keine offizielle Dokumentation √ľber die Cookies des Services gefunden. Wir haben jedoch einige andere Websites gefunden, die in ihren Datenschutzerkl√§rungen dieses und andere Cookies f√ľr den Paddle.com Service setzen. Wir k√∂nnten darauf vertrauen, dass diese Websites korrekte Informationen bereitgestellt haben, oder wir k√∂nnten den Anbieter des Services fragen, um sicher die vollst√§ndige und korrekte Liste der Cookies zu erhalten.
  • _gid, _ga: Der Name "ga" k√∂nnte eine Abk√ľrzung f√ľr Google Analytics sein, was wir auch best√§tigen k√∂nnen. Durch eine schnelle Suche finden wir eine ausf√ľhrliche Dokumentation, in der zu lesen ist, dass "_gid" ebenfalls von dem Dienst stammt.
  • _cfduid: Der Name l√§sst nicht sofort erkennen, welcher Dienst dahinter steckt. Eine kurze Recherche f√ľhrt aber direkt zur Dokumentation von Cloudflare, wo wir dieses und andere Cookies finden, wobei bestimmte Cookies nur bei der Nutzung bestimmter Services gesetzt werden. Hier m√ľssen wir also differenzieren, welche der Informationen auf unseren Fall zutreffen. Wir nutzen Cloudflare, um unsere Website vor b√∂sartigen Angriffen zu sch√ľtzen, weshalb wir davon ausgehen, dass es sich um einen essentiellen Service handelt.
  • NID, CONSENT: Bei den letzten beiden Cookies k√∂nnen wir anhand des Namens nicht genau erkennen, was diese Cookies sein sollen. Wir k√∂nnen aber in der Spalte Domain sehen, dass die Cookies f√ľr ".google.com" gesetzt wurden. Im vorherigen Abschnitt haben wir bereits gesehen, dass wir YouTube in einen iframe einbetten und YouTube Daten von google.com l√§dt. Die Vermutung ist also, dass diese Cookies durch das YouTube-Video kommen. Andererseits k√∂nnen sie auch von Google Analytics kommen - einem weiteren Google-Dienst, den wir nutzen. In diesem Fall lohnt es sich oft, einen der beiden Dienste vor√ľbergehend zu deaktivieren, um zu sehen, ob das Cookie danach immer noch gesetzt wird (in einem neuen privaten Fenster). In diesem Fall stellen wir mit Hilfe der Google Datenschutzerkl√§rung fest, dass diese Cookies von YouTube stammen.

Wie erstelle ich einen Service- und Content Blocker in Real Cookie Banner?

In den vorherigen Schritten haben wir identifiziert, welche Dienste wir auf unserer Website nutzen. Damit ist der komplexeste Teil der Aufgabe, alle Cookies etc. zu sammeln, erledigt. Diese Informationen (und zus√§tzliche Informationen) m√ľssen nur noch zu unserem Cookie Banner hinterlegt werden.

Real Cookie Banner versucht, es dir einfach zu machen. Das WordPress Plugin bietet dir viele Vorlagen unter Services (Cookies) oder Content Blocker. In diesen Vorlagen sind nicht nur die technischen Cookies etc. bereits hinterlegt, sondern auch ein Beschreibungstext, Link zur Datenschutzerklärung und andere notwendige rechtliche Informationen. Mit diesen Vorlagen kannst du eine Menge Zeit sparen! Es empfiehlt sich, zuerst die Services und dann die Content Blocker zu erstellen, denn unsere Service-Vorlagen leiten dich bei Bedarf automatisch direkt auf die entsprechende Content Blocker-Vorlage weiter.

Sollte f√ľr einen von dir genutzten Service keine Vorlage vorhanden sein, kannst du eine solche Service-Vorlage kostenlos bei uns anfordern. Alternativ kannst du nat√ľrlich auch selbst individuelle Services und Inhalte erstellen. Wie du das machst, wird in den folgenden Artikeln Schritt f√ľr Schritt erkl√§rt:

Dein Kopf ist explodiert? Unsere Cookie Experten sind hier um zu helfen!

Wir geben zu, es ist nicht einfach, alle Services, Cookies, etc. zu finden. Die gesetzlichen Vorgaben in der EU verlangen etwas recht Komplexes f√ľr jeden Webseitenbetreiber. Wir k√∂nnen verstehen, wenn du dich nach dem Lesen dieses Artikels √ľberfordert f√ľhlst - wenn dies weit √ľber das hinausgeht, was du technisch leisten kannst oder m√∂chtest. Vielleicht l√§sst dich die Frage, wie du deine Website jemals datenschutzkonform gestalten kannst - nachdem du wei√üt, was alles zu beachten ist - auch nicht mehr ruhig schlafen.

Mach dir keine Sorgen, wir haben eine L√∂sung f√ľr dich! Unsere Cookie Experten haben schon viele Cookie Banner eingerichtet und wissen genau, was sie tun. Sie k√∂nnen auch deinen Cookie Banner schnell und einfach einrichten. So k√∂nnen wir dir diese Sorge einfach abnehmen.

WordPress Plugins von devowl.io

Finde hilfreiche Artikel

Themen