Wenn Sie glauben, dass Ihre WordPress-Website cookie-frei ist, weil Sie kein sichtbares Banner haben, sollten Sie dies vielleicht noch einmal überprüfen.
Die Realität ist oft chaotisch: Kontaktformular-Plugins, Analysetools, Social-Media-Feeds und Caching-Ebenen laden wahrscheinlich gerade im Hintergrund Tracking-Cookies. Diese versteckten Cookies sind nicht nur technische Schulden. Sie sind auch rechtliche Verbindlichkeiten.
Gemäß Vorschriften wie der DSGVO und dem CCPA müssen Sie genau wissen, was Ihre Besucher trackt, und dies offenlegen, bevor Sie deren Einwilligung einholen. Hier hilft Ihnen ein Cookie-Compliance-Audit.
Die Überprüfung ist nicht kompliziert, erfordert jedoch, dass Sie Ihre Website systematisch durchgehen und nach Skripten suchen, die möglicherweise Cookies zu Ihrer Website hinzufügen.
In diesem Leitfaden zeige ich Ihnen, wie Sie Ihre WordPress-Website auf Cookie-Konformität überprüfen und alle versteckten Cookies finden können.
Warum sollten Cookie-Compliance-Audits durchgeführt werden?
Eine Cookie-Prüfung ist die Grundlage Ihrer Datenschutzstrategie. Wenn Sie nicht wissen, welche Skripte ausgeführt werden, können Sie diese auch nicht kontrollieren. Der Hauptgrund für regelmäßige Prüfungen ist, dass Compliance keine einmalige Angelegenheit ist. Die Strafen gemäß DSGVO und CCPA sind real, und die Aufsichtsbehörden werden immer aktiver.
Aber über die Vermeidung von Strafen hinaus schafft Auditing Vertrauen bei Ihren Besuchern und hilft Ihnen, Probleme zu erkennen, bevor sie zu größeren Problemen werden.
1. Compliance ist spezifisch
Datenschutzgesetze wie die DSGVO verlangen, dass Sie Cookies nach ihrem Zweck kategorisieren, z. B. als „Essentials“, „Statistics“ und „Marketing“. Sie können nicht einfach ein generisches Banner einblenden.
Sie müssen bestimmte Cookie-Namen und deren Verantwortliche auflisten. Wenn Sie Daten verkaufen (oder wenn Ihre Cookies dies für Sie tun), verlangt der CCPA eine klare Offenlegung.
2. Google-Einwilligungsmodus v2
Ab März 2024 verlangt Google ordnungsgemäße Einwilligungssignale. Wenn Sie dies nicht eingerichtet haben, werden Ihre Analytics- und Ads-Daten nicht mehr korrekt angezeigt. Dies ist eine Änderung in der Art und Weise, wie Tracking-Daten an Google weitergeleitet werden.
Ohne eine verifizierte Prüfung und ordnungsgemäße Umsetzung der Einwilligung agieren Sie hinsichtlich der Marketingkennzahlen blind. Die Conversion-Verfolgung funktioniert nicht mehr und die Remarketing-Zielgruppen werden nicht mehr aufgebaut. Weitere Informationen finden Sie in unserem Leitfaden zur Einrichtung von Google Consent V2 in WordPress.
3. Website-Leistung
Das ist der Punkt, den die meisten Leute übersehen: Bei Audits werden oft alte, nicht mehr verwendete Skripte von Plugins entdeckt, die Sie schon vor Monaten deaktiviert haben. Ich habe schon erlebt, dass Websites ihre Ladezeiten deutlich verkürzen konnten, indem sie einfach die bei einem einfachen Audit entdeckten verwaisten Tracking-Skripte entfernt haben.
4. Vertrauenssignale
Wenn Sie genau auflisten, welche Cookies Ihre Website verwendet, wird dies von den Besuchern wahrgenommen. Vage Datenschutzrichtlinien wecken Misstrauen. Eine detaillierte, ehrliche Überprüfung zeigt, dass Sie die Privatsphäre Ihrer Besucher respektieren, was Vertrauen schafft.
5. Cookies aus neuen Plugins konfigurieren
Die häufigste Situation, die ich beobachte, sind Websites, die bei ihrer Einrichtung konform waren, aber im Laufe der Zeit davon abgewichen sind.
Beispielsweise haben Sie möglicherweise ein neues Chat-Widget hinzugefügt, und niemand hat an dessen Cookies gedacht. Oder ein Marketing-Plugin beginnt mit der Einrichtung von Tracking-Cookies, die das Einwilligungstool umgehen. Ein WordPress-Update ändert die Art und Weise, wie Skripte geladen werden.
Diese Dinge sammeln sich an, und ohne regelmäßige Überprüfung wissen Sie nicht, welche Cookies Ihrer Website hinzugefügt werden, bis etwas schief geht.
Schauen wir uns nun an, wie Sie eine Cookie-Compliance-Prüfung in WordPress starten können.
WordPress-Cookie-Compliance-Prüfungsverfahren
Lassen Sie mich Ihnen nun den Audit-Prozess erläutern, den Sie für Ihre WordPress-Website durchführen können.
Herausfinden, welche Cookies Ihre Website tatsächlich setzt
Der erste Schritt besteht darin, herauszufinden, welche Cookies tatsächlich auf Ihrer Website gesetzt sind. Öffnen Sie dazu zunächst ein Inkognito- oder privates Browserfenster. So erhalten Sie eine saubere Oberfläche ohne vorhandene Cookies oder Einwilligungsoptionen.
Besuchen Sie einfach Ihre Website, aber interagieren Sie noch nicht mit dem Cookie-Banner. Bevor Sie auf etwas klicken, öffnen Sie die Entwicklertools Ihres Browsers. Drücken Sie in Chrome die Taste F12, gehen Sie dann zur Registerkarte „Anwendung“ und klicken Sie auf „Cookies“.
Überprüfen Sie, welche Cookies vorhanden sind, bevor Sie eine Einwilligungsentscheidung treffen. Zu diesem Zeitpunkt sollten nur essentielle Cookies angezeigt werden. Dinge wie Sitzungscookies, Warenkorb-Cookies oder Login-bezogene Cookies sind in Ordnung.
Wenn Sie jedoch Cookies mit den Bezeichnungen _ga (Google Analytics), _fbp (Facebook Pixel) oder Cookies von Werbenetzwerken sehen, haben Sie ein Problem. Diese sollten erst nach Zustimmung des Nutzers gesetzt werden.
Notieren Sie sich nun alle Cookies, die Sie sehen, akzeptieren Sie dann alle Cookies in Ihrem Banner und überprüfen Sie erneut.
Sie sollten Ihre Analyse- und Marketing-Cookies sehen. Vergleichen Sie die Listen vor und nach der Zustimmung. Die Cookies, die nach der Zustimmung angezeigt werden, sind diejenigen, die Sie blockieren und die korrekt verarbeitet werden.
Alle nicht unbedingt erforderlichen Cookies, die vor der Einwilligung vorhanden waren, stellen Lücken in Ihrer Compliance dar.
Profi-Tipp: Blockieren Sie Cookies von Drittanbietern mit WPConset
Sobald Sie wissen, welche Cookies auf Ihrer Website gesetzt werden, müssen Sie diese vor der Einwilligung blockieren. Am einfachsten geht das mit WPConsent.
Es ist das beste WordPress-Plugin für die Einhaltung der Cookie-Richtlinien, mit dem Sie Ihre Website nach Cookies scannen, diese konfigurieren und einen Cookie-Banner einrichten können, ohne über technische Kenntnisse oder Programmierkenntnisse zu verfügen. Im Gegensatz zu externen Tools, die Ihre Website von außen crawlen, können Sie mit WPConsent den Scanner direkt in Ihrem WordPress-Dashboard bedienen.
WPConsent scannt standardmäßig Ihre Homepage. Sie können jedoch auch andere Seiten zum Scanvorgang hinzufügen, z. B. die Checkout-Seite, die Kontaktseite und mehr.
Dies ist hilfreich, um Skripte von Drittanbietern aufzudecken, die möglicherweise Cookies hinzufügen und vom Scanner nicht erkannt werden. Als Nächstes erhalten Sie eine Liste aller auf Ihrer Website gefundenen Cookies und Skripte. Scrollen Sie einfach nach unten zum Abschnitt „Detaillierter Bericht “. Hier kategorisiert WPConsent Cookies automatisch in verschiedene Kategorien.
Sie können dann das Kontrollkästchen „Bekannte Skripte daran hindern, Cookies vor der Einwilligung hinzuzufügen” aktivieren und auf die Schaltfläche„Cookies automatisch konfigurieren”klicken.
Testen Sie Ihr Cookie-Banner
Überprüfen wir nun, ob Ihre Einwilligungsschnittstelle korrekt funktioniert. Löschen Sie erneut Ihre Cookies und besuchen Sie Ihre Website erneut. Betrachten Sie Ihr Banner kritisch.
Sind die Optionen „Akzeptieren“ und „Ablehnen“ gleichermaßen leicht zu finden und anzuklicken? Gemäß der DSGVO muss dies der Fall sein. Wenn „Akzeptieren“ ein großer, farbiger Button ist und „Ablehnen“ ein kleiner grauer Text, der in einer Ecke versteckt ist, entspricht dies nicht den Vorschriften. Die Optionen sollten wirklich gleichwertig sein.
Können Besucher detaillierte Entscheidungen treffen? Am besten ist es, wenn die Nutzer Analysen akzeptieren, aber Marketing ablehnen können oder umgekehrt. Wenn Ihr Banner nur die Optionen „Alle akzeptieren“ oder „Alle ablehnen“ ohne Zwischenstufen bietet, sollten Sie eine Aktualisierung in Betracht ziehen.
Gibt es eine Möglichkeit, die Einstellungen später zu ändern? Suchen Sie in Ihrer Fußzeile oder an anderer Stelle nach einem Link mit der Bezeichnung „Cookie-Einstellungen“ oder „Datenschutzeinstellungen“. Klicken Sie darauf und vergewissern Sie sich, dass Sie Ihre Auswahl tatsächlich ändern können.
Überprüfen, ob die Blockierung tatsächlich funktioniert
Dies ist der entscheidende Test, und hier scheitern die meisten Websites. Ein Banner allein reicht nicht aus. Das Banner muss tatsächlich steuern, ob Skripte ausgeführt werden.
Sie können Ihre Cookies löschen, Ihre Website besuchen und alle Cookies in Ihrem Banner ablehnen. Surfen Sie dann wie gewohnt auf Ihrer Website, besuchen Sie einige Seiten, klicken Sie auf einige Links und verbringen Sie ein oder zwei Minuten mit der Navigation. Überprüfen Sie anschließend Ihre Cookies erneut in den Entwicklertools.
Wenn Sie Cookies abgelehnt haben und weiterhin Analyse- oder Marketing-Cookies sehen, funktioniert Ihre Blockierung nicht.
Hier können Sie benutzerdefinierte Skripte und Iframes mit WPConsent blockieren. Mit dem Plugin können Sie Skripte oder eingebettete Iframe-Details manuell hinzufügen und sicherstellen, dass Cookies vor der Einwilligung blockiert werden.
Überprüfen Ihrer Dokumentation
Als Nächstes können Sie Ihre Datenschutzrichtlinie und Cookie-Richtlinie aufrufen. Diese müssen genau widerspiegeln, was Ihre Website tatsächlich tut.
Überprüfen Sie einfach, ob alle Cookies, die Sie bei Ihrer Bestandsaufnahme gefunden haben, aufgeführt und erklärt sind. Wenn Sie Google Analytics, Facebook Pixel oder andere spezifische Dienste verwenden, sollten diese mit einer klaren Erklärung ihrer Funktion und des Grundes für ihre Verwendung aufgeführt sein.
Profi-Tipp: Mit WPConsent können Sie im Handumdrehen eine Seite mit Ihren Cookie-Richtlinien erstellen. Das Beste daran ist, dass Sie sich nicht darum kümmern müssen, die Cookies manuell auf dieser Seite aufzulisten, da das Plugin diese Arbeit für Sie übernimmt.
Stellen Sie sicher, dass in Ihrer Richtlinie erläutert wird, wie Besucher ihre Cookie-Einstellungen ändern können. Sie können auch die konkreten Schritte angeben und nicht nur eine vage Aussage zum Verwalten der Einstellungen machen.
Überprüfen Sie das Datum der letzten Aktualisierung. Wenn dort 2021 steht und Sie seitdem mehrere Dienste hinzugefügt haben, ist dies ein Zeichen dafür, dass Ihre Dokumentation aktualisiert werden muss.
Testen von Benutzerszenarien
Probieren Sie einige realistische Szenarien durch, um sicherzustellen, dass alles wie erwartet funktioniert.
Akzeptieren Sie beispielsweise alle Cookies, besuchen Sie dann Ihre Website und führen Sie eine typische Aktion durch, wie etwas in den Warenkorb legen oder ein Kontaktformular ausfüllen. Funktioniert alles normal? Das sollte es.
Lehnen Sie alle Cookies ab und führen Sie dieselben Schritte aus. Die wesentlichen Funktionen Ihrer Website sollten weiterhin funktionieren. Wenn das Ablehnen von Cookies den Bezahlvorgang unterbricht oder Formulare fehlerhaft macht, wurde etwas fälschlicherweise als nicht wesentlich eingestuft, das eigentlich notwendig ist.
Akzeptieren Sie Cookies, nutzen Sie Ihre Website eine Weile, suchen Sie dann den Link zu den Cookie-Einstellungen und widerrufen Sie Ihre Zustimmung. Die nicht unbedingt erforderlichen Cookies sollten gelöscht oder als widerrufen markiert werden. Einige Websites handhaben dies nicht korrekt, sodass zuvor akzeptierte Marketing-Cookies auch nach dem Widerruf weiterhin Tracking betreiben.
Automatisches Scannen einrichten
Ein weiterer Vorteil der Verwendung von WPConsent besteht darin, dass Sie das automatische Scannen aktivieren und regelmäßige Scans für Ihre Website planen können.
Dadurch wird verhindert, dass Sie bei der späteren Installation neuer Plugins gegen die Vorschriften verstoßen. Wenn Sie beispielsweise ein Live-Chat-Widget oder ein neues Facebook-Pixel hinzufügen, erkennt der Scanner die neuen Cookies und aktualisiert Ihr Banner automatisch.
Um die automatische Überprüfung zu aktivieren, rufen Sie die Seite „WPConsent-Einstellungen“ in Ihrem Dashboard auf. Scrollen Sie dann nach unten und klicken Sie auf den Schalter, um die automatische Überprüfung zu aktivieren. Als Nächstes können Sie das Überprüfungsintervall auswählen: täglich, wöchentlich oder monatlich.
Häufige Probleme und wie man sie behebt
Das häufigste Problem, das ich feststelle, ist, dass Cookies vor der Einwilligung angezeigt werden. In der Regel geschieht dies, weil das Einwilligungstool Skripte nicht ordnungsgemäß blockiert oder weil Skripte geladen werden, bevor das Einwilligungstool initialisiert wird.
Die Lösung besteht in der Regel in einer Konfigurationsänderung, bei der sichergestellt wird, dass alle Tracking-Skripte in Ihrem Einwilligungstool registriert und so eingestellt sind, dass sie bis zur Einwilligung blockiert werden.
Ein weiteres häufiges Problem ist die ungleiche Hervorhebung der Schaltflächen. Dies ist in der Regel ein Designproblem in den Einstellungen Ihres Einwilligungstools. Suchen Sie nach Optionen zur Anpassung der Schaltflächengröße, -farbe und -platzierung und machen Sie die Ablehnung ebenso sichtbar wie die Zustimmung.
Mit WPConsent haben Sie die vollständige Kontrolle darüber, wie Ihr Cookie-Einwilligungsbanner aussieht. Sie können sein Erscheinungsbild anpassen, die Schaltflächen bearbeiten, seine Position ändern und vieles mehr.
Ein weiteres Problem sind Cookie-Walls, bei denen Inhalte blockiert werden, bis jemand zustimmt. Wenn Ihr Banner verhindert, dass Nutzer Ihre Website verwenden können, bis sie auf „Akzeptieren“ klicken, entfernen Sie diese Einschränkung. Besucher sollten Cookies ablehnen und dennoch auf Ihre Inhalte zugreifen können.
Veraltete Dokumentation lässt sich leicht beheben, wird jedoch häufig vernachlässigt. Überprüfen Sie vierteljährlich Ihre Richtlinien anhand Ihres tatsächlichen Cookie-Bestands, entfernen Sie nicht mehr verwendete Cookies, fügen Sie neue hinzu und aktualisieren Sie das Datum.
Wann sollten Cookie-Compliance-Audits durchgeführt werden?
Ich empfehle eine monatliche Schnellüberprüfung. Öffnen Sie Ihre Website im Inkognito-Modus, überprüfen Sie, ob das Banner angezeigt wird, lehnen Sie Cookies ab und überprüfen Sie stichprobenartig, ob vor der Zustimmung nichts Offensichtliches verfolgt wird. Dies dauert fünf Minuten und deckt offensichtliche Probleme auf.
Eine vollständige Prüfung wie die oben beschriebene sollte vierteljährlich oder immer dann durchgeführt werden, wenn Sie Ihrer Website wichtige neue Funktionen hinzufügen. Neue Plugins, neue Integrationen, größere WordPress-Updates und Neugestaltungen der Website rechtfertigen jeweils eine neue Prüfung.
Wenn Sie in einer regulierten Branche tätig sind oder mit sensiblen Daten umgehen, sollten Sie eine jährliche professionelle Überprüfung in Betracht ziehen, die eine rechtliche Bewertung Ihrer Dokumentation und Praktiken umfasst.
Wenn Ihre Prüfung Probleme aufdeckt
Keine Panik. Die meisten Compliance-Probleme lassen sich schnell beheben. Wenn Ihr aktuelles Einwilligungstool nicht richtig blockiert, haben Sie zwei Möglichkeiten: Sie können es richtig konfigurieren oder zu einem Tool wechseln, das das Blockieren automatisch übernimmt.
WPConsent enthält einen Scanner, der Cookies auf Ihrer Website erkennt, und eine automatische Blockierung für gängige Dienste wie Google Analytics und Facebook Pixel. Wenn Ihre Prüfung ergeben hat, dass Ihre aktuelle Konfiguration Skripte nicht tatsächlich blockiert, ist ein Wechsel möglicherweise der schnellste Weg zur Einhaltung der Vorschriften.
Nachdem Sie die Korrekturen vorgenommen haben, führen Sie die Prüfung erneut durch, um zu überprüfen, ob sie funktioniert haben. Bei der Compliance geht es nicht darum, das richtige Tool installiert zu haben, sondern darum, dass dieses Tool auch tatsächlich seine Aufgabe erfüllt.
Häufig gestellte Fragen zum Cookie-Compliance-Audit WordPress
Hier sind einige häufig gestellte Fragen von Benutzern zu Cookie-Compliance-Audits.
1. Wie oft sollte ich die Einhaltung der Cookie-Richtlinien überprüfen?
Monatliche Schnellprüfungen, vierteljährliche vollständige Audits. Außerdem sollten Audits nach dem Hinzufügen neuer Plugins, der Integration neuer Dienste oder nach wesentlichen Änderungen an Ihrer Website durchgeführt werden.
2. Was passiert, wenn ich feststelle, dass meine Website nicht konform ist?
Zunächst müssen Sie die spezifischen Probleme beheben, die Sie gefunden haben. In der Regel bedeutet dies, dass Sie Ihr Einwilligungstool neu konfigurieren oder zu einem Tool wechseln müssen, das das Blockieren ordnungsgemäß handhabt. Hier kommt ein Cookie-Management-Plugin wie WPConsent zum Einsatz. Es nimmt Ihnen die Arbeit ab und hilft Ihnen bei der Konfiguration von Cookies, sodass diese nicht vor der Einwilligung geladen werden.
3. Wie oft sollte ich scannen?
Führen Sie einen Scan durch, wenn Sie das Theme ändern oder Plugins hinzufügen. Wenn Sie die automatische Scan-Funktion von WPConsent verwenden, stellen Sie diese auf wöchentlich oder monatlich ein und lassen Sie sie im Hintergrund laufen.
4. Warum zeigt der Scanner andere Ergebnisse als DevTools?
DevTools zeigt jeweils eine Seite zu einem bestimmten Zeitpunkt an. Ein automatischer Scanner durchsucht die gesamte Website und fasst die Ergebnisse zusammen. Verwenden Sie den Scanner für einen Überblick und DevTools für Stichproben.
5. Kann ich Cookies manuell ohne Plugin blockieren?
Das ist möglich, aber ich würde es nicht empfehlen. Sie müssten jedes Skript in einen bedingten Code einbinden, der die Zustimmung überprüft. Ein einziges Plugin-Update könnte Ihre Änderungen zunichte machen. Es ist besser, ein Tool zu verwenden, das die Blockierung auf Infrastruktur-Ebene übernimmt.
Ich hoffe, dieser Artikel hat Ihnen dabei geholfen, zu lernen, wie Sie Ihre WordPress-Website auf Cookie-Konformität überprüfen können. Vielleicht möchten Sie auch unseren Leitfaden zur Cookie-Zustimmung in WooCommerce und zur Implementierung von IAB TCF in WordPress lesen.
Wenn Ihnen dieser Artikel gefallen hat, dann folgen Sie uns bitte auf X (früher bekannt als Twitter). Sie können auch unten einen Kommentar hinterlassen, wenn Sie Hilfe benötigen.
