Seit einiger Zeit müssen Webseiten ihre Besucher fragen, ob und welche Cookies sie zulassen möchten. Was Cookies sind, was sie tun und wie man damit umgehen soll, ist den meisten aber nur vage bewusst. Wir brechen das Thema kompakt herunter und zeigen euch, worauf ihr beim alltäglichen Surfen achten solltet.

Was ist ein Cookie?

Ein Cookie ist zunächst erstmal nichts Schlimmes, sondern bis zu einem gewissen Punkt sogar notwendig. Als Cookie bezeichnet man Textdateien, die eine besuchte Website an euren Browser schickt. Der Browser speichert die Textdateien im Cache, also auf eurem Endgerät (Mac/PC, Laptop oder Smart-Device).

In diesen Dateien werden dann Informationen gespeichert, die euren aktuellen Besuch dokumentieren und damit das Surfen für euch erleichtern. Beispielsweise für die Darstellung der Seite oder damit ihr euch auf einer Seite registrieren könnt. Die Cookies speichern auch Informationen zu eurem Verhalten. Dazu kommen wir aber später noch.

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Und wieso „Cookie“, also Keks? Die Bezeichnung kommt vom Terminus „Magic-Cookie“, der ein Datenpaket bezeichnet. Und dieser hat wiederum seinen Namen von den vermeintlich chinesischen Glückskeksen: Ein Keks mit eingebetteter Nachricht.

Cookies und die Erlaubnispflicht

Spätestens seit Ende 2019 ist auch dem Letzten die Existenz von Cookies bekannt. Denn am 1. Oktober 2019 hat der EuGH entschieden, dass sich Webseitenbetreiber das O. K. ihrer Nutzer für das Ablegen der Cookies einholen müssen. Seit dieser Entscheidung werden wir auch alle beim ersten Besuch einer Seite zwingend gefragt, ob wir die digitalen Süßwaren zulassen wollen.

Das Urteil (hier) hat jedoch viele Fragen offen gelassen, weshalb erst im Laufe von 2020 etwas klarer wurde, wie diese Abfrage genau gestaltet sein muss und welche Cookies überhaupt zulässig sind. Spoiler: Auch 2020 hat keine vollständige Klarheit gebracht. Wir werden aber später noch einmal darauf zurückkommen.

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Welche Cookies gibt es?

Jetzt wird es interessant, denn hier trennt sich die Spreu vom Weizen – oder eher Gut von Böse. Es gibt allerdings mehr als nur diese zwei Unterscheidungen und damit wird es auch etwas umfangreicher. Auf geht’s.

Notwendige Cookies

Hier haben wir es vor allem mit sogenannten Session Cookies zu tun. Die heißen so, weil sie temporär, also nur für die Dauer einer Session (Sitzung), gespeichert werden. Schließen wir den Browser, sollten diese Infos auch wieder gelöscht werden.

Hier speichert der Keks beispielsweise die Sprachauswahl oder in einem Shop den Inhalt unseres Warenkorbs. Wenn wir uns einloggen müssen, speichern Session Cookies natürlich auch die Information, damit wir uns nicht laufend neu anmelden müssen. Als notwendig gelten diese Kekse schon, sie müssen aber nicht zwingend temporär sein.

Leistungs- oder Performance-Cookies

Der Webseitenbetreiber liest auch unser Surfverhalten aus. Zunächst nicht böswillig, sondern lediglich, um statistische Informationen über die Nutzung der eigenen digitalen vier Wände zu eruieren. Unser persönliches Verhalten, beispielsweise Surfdauer oder Präferenzen, wird zwar auch gespeichert, aber diese Datensammlung muss für uns nicht zwingend problematisch sein.

Tracking-Cookies

Hier haben wir es mit rein werblichen Datensammlungen zu tun. Diese sind definitiv nicht unproblematisch. Dank dieser Kategorie bekommen wir auf Seite X Werbung angezeigt, weil wir uns auf Seite Y etwas angeschaut haben. Oder ein Unternehmen, dessen Seite wir besucht haben, verfolgt uns durchs halbe Internet.

Hier werden natürlich auch Daten gespeichert, damit Profile erstellt werden können, die uns als Konsumenten im Marketing diverser Seiten definieren. Diese Cookies sind oftmals der Stein des Anstoßes, wenn es um datenrechtliche Dispute geht.

Gruß vom Drittanbieter

Bei Cookies unterscheiden wir auch, von wem wir sie bekommen haben: Der Erstanbieter (First-Party) ist der Betreiber der Website, auf der wir surfen. Die Drittanbieter (Third-Party) sind Unternehmen, die der Erstanbieter auf unsere Daten zugreifen lässt. Hier sammeln fremde Unternehmen Nutzungsinformationen direkt bei uns.

Das ist nicht unproblematisch. Und wie wir später noch sehen werden, kann die Zahl dieser Drittanbieter schon in die Hunderte bis Tausende gehen.

Handlungsbedarf

Bevor wir ein paar Praxisbeispiele zeigen, gehen wir erstmal in die Grundeinstellungen. Natürlich kann ich, unabhängig von den Einwilligungen auf den individuellen Seiten, im Browser einstellen, was ich zulassen möchte und was nicht.

In der Regel findet man diese Optionen in den Einstellungen des Browsers. Natürlich in der Sparte Datenschutz und Sicherheit. Ob es Sinn macht, hier grundsätzlich alles zu blockieren, muss jeder für sich entscheiden.

Wir empfehlen als Handlungsmaßnahme, die Praxis besser kennenzulernen und dann selbst individuell zu entscheiden, was man zulässt und was nicht.

Praxis

Die Einwilligungsabfrage der Webseitenbetreiber ist leider nicht genormt. Oftmals handelt es sich bei diesen Abfragebannern auch um Module, die beim Aufbau einer Seite verwendet werden. Das bedeutet, dass der Betreiber nicht wirklich so viel Einfluss auf das Design dieser Formulare hat.

Der ärgerliche Teil dieses Abschnitts ist, dass viele, auch renommierte Portale, sehr hakelige Varianten anbieten und die meisten Nutzer schlicht ahnungslos mehr zulassen, als sie wollten. Auch wenn wir ebenfalls ein Anbieter von Marketingleistungen sind, so distanzieren wir uns selbstverständlich ausdrücklich von einem solchen Vorgehen. Solche Methoden sind arglistig und können zu ernsten juristischen Konsequenzen führen.

Beispiel 1 – Nice and easy

Hier sind die notwendigen Cookies bereits mit einem Häkchen versehen, wenn das Banner angezeigt wird. Wir haben dann die Wahl, dies zu bestätigen, zu speichern oder explizit „notwendige/essentielle“ Optionen zu bestätigen. Weitere Cookies werden gelegentlich bereits auf der ersten Seite gezeigt, können aber auch direkt abgewählt oder beibehalten werden.

Auch wenn diese Variante die fairste Lösung darstellt, wird die Auswahlmöglichkeit „Alles akzeptieren“ prominenter, also meist farblich auffällig, angeboten. Alles zu akzeptieren überschreitet natürlich den Rahmen der Notwendigen. Aber: Fairer wird es nicht. Zumindest zum aktuellen Zeitpunkt nicht.

Beispiel 2 – Das versteckte Scheunentor

Dies ist leider die häufigste Variante: Die Entscheidung für die notwendigsten Cookies kann man nicht wie in Beispiel 1 durch den ersten Klick treffen. Auswählen kann man hier in der Regel „Einstellungen“ und „Alles akzeptieren“ – was gleichbedeutend mit dem schlichten „Akzeptieren“ oder „Zustimmen“ ist.

Wenn nicht explizit die Auswahl der notwendigsten Cookies angeboten wird, akzeptiert man mit einer Bestätigung, den Rechner wie ein Scheunentor zu öffnen. Was hinter diesem versteckten Scheunentor steckt, entdeckt man durch den Klick auf „Einstellungen“ – manchmal auch bedeutungsschwanger „Privacy Center“ genannt.

Wir sehen in dem Beispiel hier, dass zwar lediglich „Notwendig“ voreingestellt ist, wenn man jedoch akzeptiert, dann akzeptiert man mehr als die notwendigen Cookies.

Im nächsten Beispiel (s.u.) findet der Nutzer in den „Optionen“ zunächst nur deaktivierte Schalter. Vertraut man dieser Auswahl, entgeht einem, dass unter der nächsten, noch nicht sichtbaren Kategorie alle nicht notwendigen Cookies voreingestellt, also bereits aktiviert sind.

Das Beispiel der nächsten Form des Einwilligungsformulars (s.u.) kommt besonders häufig bei größeren Medienanbietern und Verlagshäusern vor. Während beim vorherigen Beispiel noch klar Optionen an- und abgewählt werden können, wird dem Nutzer hier überhaupt nicht die Wahl der notwendigen Cookies gelassen. Wir haben versucht, die Drittanbieter zu zählen. Bei 950 haben wir die Zählung abgebrochen. Ein klare und transparente Möglichkeit für den Besucher, notwendige von anderen Cookies zu unterscheiden, gibt es nicht. Und wie es scheint, lässt diese Variante überhaupt nicht die Wahl, ausschließlich notwendige Cookies zuzulassen.

Fingerabdruck vom Rechner

Bevor wir den technischen und praktischen Teil hinter uns lassen, wollen wir noch eine andere Tracking-Variante einbringen: Canvas Fingerprinting. Hier wird kein Cookie abgelegt. Betriebssystem, Hardware-Komponenten wie Grafikkarte oder CPU, Plug-Ins, etc. erstellen ein individuelles Bild des Rechners, der auch ohne Cookies und browserübergreifend vom Zielserver wiedererkannt werden kann.

Wenn man das Canvas Fingerprinting verhindern will, muss man Java-Script abschalten, was allerdings viele Websites kaum noch surfbar macht. Verschiedene AdBlocker haben ebenfalls Features, um diese digitale Malerei zu verhindern. Da ein Rechner jedoch selten über einen längeren Zeitraum gleich konfiguriert bleibt, gilt das Canvas Fingerprinting auch als ziemlich fehlerhaft.

Legal oder illegal?

Wir möchten an dieser Stelle erst einmal vorausschicken, dass wir natürlich keine Juristen sind und deshalb keine wasserdichten Rechtsempfehlungen geben dürfen – geschweige denn können.

Bereits mit dem ersten Urteil des EuGH (s.o.) war klar, dass man für die notwendigen Cookies keine Opt-In-Lösung braucht. Das bedeutet, der bereits gesetzte Haken bei den Notwendigen ist in Ordnung. Der Streitpunkt waren Cookies, die zu Marketingzwecken genutzt werden und vor allem Drittanbieter einbinden.

Hier hat der BGH, auf Drängen der Verbraucherzentralen, am 28. 05. 2020 bestätigt, dass die Opt-In-Lösung für alle Cookies gilt, die für den Betrieb der Seite nicht notwendig sind. Wir machen es an dieser Stelle mal kurz: Uns sind wenige Seiten begegnet, die sich in dem Punkt an geltendes Recht halten.

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Fazit

Cookies sind nicht partout etwas Schlechtes. Das gilt auch für werbliche Cookies. Selbst wenn sie natürlich nervig sein können und die Erstellung von individuellen Verhaltensprofilen durchaus bedenklich sein könnte: sie dienen auch der Optimierung der Websites und ihrer Angebote. Und nicht selten sind sie beim Shopping hilfreich. Letztendlich sind wir auch keine Freunde der Mentalität, jeden Verbraucher zum naiven Kleinkind erziehen zu wollen, das kategorisch von allen Vermarktungstools ferngehalten wird. Auch Verbraucher müssen im Alltag lernen, mit den Eigenheiten des Internets umzugehen.

Trotzdem: Niemand kann und sollte mit der aktuellen Praxis zufrieden sein. Wir sind öfter versteckten Rechtsbrüchen begegnet, als sauberen und transparenten Handlings. Wenn man den Verbraucher hinten herum zum ahnungslosen Melkvieh der werblichen Sammelwut macht, wird dies den gesetzlichen Rahmen nach und nach enger ziehen. Wir hoffen daher auf viele rechtliche Konsequenzen mit dem Ausblick auf eine für alle Seiten zufriedenstellende Entwicklung.

Artikelbild: Canva

Blog Netzwelt Tutorials

One reply to “Schnüffelkekse – Was jeder über Cookies wissen sollte”

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert