Du nutzt einen Service, für den es keine Vorlage in Real Cookie Banner gibt? Du kannst jederzeit eine neue Service-Vorlage kostenlos anfragen, und wir werden versuchen, sie zeitnah für dich zu implementieren. Alternativ kannst du auch jederzeit einen individuellen Service selbst erstellen. Dieser Artikel zeigt dir Schritt für Schritt, wie du alle notwendigen Informationen findest.
Gehe in dein WordPress Backend und dort in der linken Seitenleiste durch Klick auf Cookies in die Real Cookie Banner-Einstellungen. Auf dieser Seite findest du mehrere Tabs. Einer davon heißt Services (Cookies) und ist für uns relevant. In dem Tab gibt es oben rechts einen "Service hinzufügen"-Button, über den wir einen Service (Cookie) erstellen können. Neben der Auswahl aus Service-Vorlagen finden wir in dieser Ansicht oben einen "Individuell erstellen"-Button, mit dem wir einen individuellen Service erstellen können.
Um den Service zu erstellen, wirst du eine Reihe von Feldern sehen. Unter jedem Feld findest du eine Beschreibung, was genau in das Feld eingegeben werden muss. Bitte ließ dir die Beschreibung aufmerksam durch, um zu verstehen, was du in welches Feld eintragen musst. Wir gehen daher im Folgenden nur darauf ein, wie du die Informationen für die Felder am besten einholst.
Es gibt die folgende Felder zu auszufüllen:
Name
Der Name des Cookies (Service) wird deinen Besuchern in den individuellen Privatsphäre-Einstellungen angezeigt und sollte auf einen Blick zeigen, um welchen Service es sich handelt. Du solltest daher den vollständigen Namen des von dir genutzten Services nachschlagen.
Positives Beispiel: Google Analytics
Negatives Beispiel: Google oder Analyse Software
Gruppe
Du als Webseitenbetreiber musst eine rechtlich korrekte Einschätzung vornehmen, ob der Service essenziell oder nicht essenziell für deine Webseite ist. Wenn du entscheidest, dass der Service nicht essenziell ist, dann kannst du ihn in eine passende weitere Gruppe einordnen. Aus technischer Sicht spielt die Einordnung, in welcher nicht-essenziellen Service-Gruppe der Service steckt, jedoch nur eine untergeordnete Rolle.
In Bezug auf technische Cookies und die Verarbeitung personenbezogener Daten solltest du dir die folgenden Fragen stellen, um zu beurteilen, ob die Cookies des Services essenziell sind:
- Würde meine Website oder die eine Hauptfunktion (z.B. das Einkaufen in einem Online-Shop) ohne diesen Service oder Cookie nicht mehr funktionieren und hat der Besucher diesen Service durch den Aufruf der Website explizit anfragen wollen?
- Dient der Service oder das Cookie ausschließlich der Abwehr von Bedrohungen (z.B. gegen DDOS-Attacken), so dass die Webseite für legitime Nutzer verfügbar bleibt?
Wenn du mindestens eine dieser Fragen mit ja beantworten kannst, dann gibt es noch die folgenden Ausschlussfragen, die du mit nein beantworten können solltest:
- Wenn ich diesen Service von meiner Website entferne, funktioniert sie dann noch im technischen Sinne? Sie muss dabei nicht gut aussehen (z.B. Arial-Schriftart statt einer schönen Schriftart über Google Fonts) oder komfortabel sein (z.B. E-Mail-Adresse als Link statt Kontaktformular).
- Gibt es eine Möglichkeit, das gleiche oder ein sehr ähnliches Ergebnis mit vertretbarem Aufwand zu erreichen, ohne dass Cookies gesetzt oder personenbezogene Daten (von Dritten) verarbeitet werden müssen (z.B. Schriften in deinem WordPress hosten, statt Google Fonts zu nutzen)?
Wenn du mindestens eine der ersten beiden Fragen mit ja und die zweiten beiden Fragen mit nein beantworten kannst, dann hast du einen guten Hinweis darauf, dass es sich um einen essenziellen Service und essenzielle Cookies handelt. Wenn nicht, solltest du den Service in eine andere Gruppe einordnen und ihn erst laden lassen, wenn du die Zustimmung deines Besuchers hast.
Anbieter
Nach unserer Rechtsauffassung ist der Anbieter eines Services das Unternehmen oder die natürliche Person, die Cookies setzt/ausliest und personenbezogene Daten verarbeitet. Wenn der Service also komplett auf deinem Webspace läuft und keine Daten an den Hersteller der Software sendet, bist du der Anbieter. Ansonsten ist in der Regel der Betreiber des Services der Anbieter.
Es ist wichtig den rechtlich vollständigen Namen des Unternehmens oder der natürlichen Person anzugeben. Außerdem haben große Unternehmen oft verschiedene lokale Unternehmen, je nachdem, in welchem Land du die Webseite betreibst und für welches Land du sie betreibst. Zum Beispiel betreibt Google für seine EU-Kunden eine eigene Firma, die nicht die US-Muttergesellschaft ist. Solche Situationen sollten klar in der Datenschutzerklärung des Anbieters aufgeführt sein, weshalb du sie lesen solltest.
Zweck
Nach unserer Rechtsauffassung, wie wir es bereits in einem anderen Artikel beschrieben haben, muss der Zweck eines Services umfassend beschrieben werden, damit sich der Nutzer ein Bild davon machen kann, was der Service genau macht, bevor er seine Einwilligung gibt. Dies ist in der Datenschutzerklärung des Services oft weniger klar beschrieben, als man es erwarten würde.
Wir empfehlen, dass du zunächst im Feld beschreibst, was der Service aus Sicht deiner Nutzer macht. Dann solltest du beschreiben, welche Daten über den Nutzer verarbeitet werden und zu welchem Zweck. Zum Schluss sollte unserer Meinung nach deutlich gemacht werden, welche Daten genau mit den technischen Cookies erfasst werden.
Um den Zweck genau beschreiben zu können, solltest du dich zum einen intensiv mit den Möglichkeiten des von dir genutzten Services auseinandersetzen. Zum anderen ist das Lesen der Datenschutzerklärung in der Regel zwingend erforderlich, da sie oft die Verarbeitung der Daten erklärt, die nicht immer offensichtlich ist.
Datenschutzerklärung des Anbieters
Deine Besucher sollten genau lesen können, wie der jeweilige Service mit ihren Daten umgeht, bevor er seine Einwilligung gibt. Daher solltest du auf die Datenschutzerklärung des Anbieters verlinken. Die Datenschutzerklärung sollte außerdem in der gleichen Sprache wie deine Webseite sein, da davon auszugehen ist, dass nicht jeder Besucher deiner Webseite in der Lage ist ein rechtliches Dokument wie die Datenschutzerklärung in einer Fremdsprache zu lesen.
Datenverarbeitung in unsicheren Drittländern (wenn das Feature aktiviert ist)
Jedes Land, in dem die DSGVO nicht gilt oder für das es keinen Angemessenheitsbeschluss gibt, gilt aus datenschutzrechtlicher Sicht als unsicheres Drittland. Daher sollte geklärt werden, ob ein Dienst aus einem unsicheren Land kommt oder Daten in diesem Land verarbeitet.
Beachte, dass einige Unternehmen Tochtergesellschaften einer Muttergesellschaft in einem unsicheren Land sein können. So kann es aus rechtlichen Gründen vorkommen, dass die Muttergesellschaft Daten von den Tochtergesellschaften erhält. Wir empfehlen dir daher, die Datenverarbeitung in unsicheren Ländern anzugeben, auch wenn nur die Muttergesellschaft in einem unsicheren Land ansässig ist.
Du solltest erkennen, welche Cookies und Cookie-ähnlichen Informationen von dem Service gesetzt werden. Diese technischen Informationen geben weiteren Aufschluss über die Datenverarbeitung, die auf oder durch deine Webseite stattfindet. Wie du alle Cookies findest, wird in dem Artikel Wie finde ich alle Services (Cookies) auf meiner Website? ausführlich erklärt. Du solltest die Informationen, die du findest, einfach in die Tabelle mit den technischen Cookie Informationen übertragen.
Technische Handhabung
Wenn ein Service im obigen Feld Gruppe als nicht essenziell eingestuft wurde, darf er keine personenbezogenen Daten verarbeiten oder Cookies setzen, bevor du die Einwilligung des Besuchers eingeholt hast. Das heißt, der Besucher deiner Webseite muss im Cookie Banner explizit zugestimmt haben.
Dies führt zu den folgenden wichtigsten Fällen, die du für diesen Abschnitt bei der Erstellung eines individuellen Cookies (Service) berücksichtigen solltest:
- Eingebettete Inhalte blockieren: Du hast zum Beispiel ein YouTube Video in deinem Blog eingebettet. Dieses muss blockiert werden, bis du die Einwilligung hast, es zu laden. Natürlich sollst du nicht eine Version des Blogartikels mit und eine ohne Video pflegen müssen. An dieser Stelle musst du einen sogenannten Content Blocker einrichten, wie wir es im Artikel Wie erstelle ich einen individuellen Content-Blocker? beschrieben haben. Du musst in diesem Fall keinen Opt-In Code in den Technische Handhabung Abschnitt einfügen.
- Laden von Daten aus einem WordPress Plugin/Theme verhindern: Viele WordPress Plugins/Themes werden zunächst in deinem WordPress installiert, laden aber später Daten und Skripte von Drittanbietern in den Browser deiner Besucher. Wenn du z.B. das Plugin Smash Balloon Social Post Feed verwendest, soll es den Facebook-Feed von z.B. deiner Facebook-Seite anzeigen. Um das zu erreichen, lädt das Plugin Daten von den Facebook-Servern in den Browser deiner Besucher (wie das ermittelt wird, haben wir im Artikel Wie finde ich alle Services (Cookies) auf meiner Website? erklärt und übermittelt Daten an die Server von Facebook. An dieser Stelle musst du auch einen Content Blocker einrichten, der nicht unbedingt Facebook blockiert, sondern einen Schritt früher ansetzt und den Smash Balloon Social Post Feed blockiert. Was genau blockiert werden muss, ist von Fall zu Fall unterschiedlich. In der Regel musst du in diesem Fall keinen Opt-In Code in den Technische Handhabung Bereich einfügen.
- Service nur nach Einwilligung laden: Viele Dienste, die SaaS oder Cloud Services genannt werden, stellen dir HTML- oder JavaScript-Code zur Verfügung, um den Service in den Browser deiner Besucher zu laden. So funktionieren zum Beispiel Google Analytics, Hotjar oder Intercom. Der Code zum Laden des Services darf erst ausgeführt werden, nachdem du die Einwilligung deines Besuchers hast und sollte daher nur in das Feld "Code executed on opt-in" gesetzt werden.