Website (fast) ohne Cookies

Ist es Ihnen aufgefallen? Die meisten unserer Websites haben keine Cookie-Warnung mit nervtötenden Auswahlmechanismen. Heißt das, dass wir Datenschutz, DSGVO oder EU-Richtlinie nicht ernst nehmen? Ganz im Gegenteil:

Die Intention des Europäischen Parlaments und des Rates zielt eigentlich darauf ab, den Wildwuchs des Datensammelns und Verfolgens (Tracking) einzudämmen und die Benutzer über die damit verbundenen Gefahren aufzuklären. Leider widerlaufen viele der Cookie-Einstimmungserklärungen geradezu dieser Zielsetzung.

Die Einleitung des Absatz 66 der Richtlinie 2009/136/EG, übrigens der einzige, der sich mit Cookies beschäftigt, lautet wie folgt:

„Es ist denkbar, dass Dritte aus einer Reihe von Gründen Informationen auf der Endeinrichtung eines Nutzers speichern oder auf bereits gespeicherte Informationen zugreifen wollen, die von legitimen Gründen (wie manchen Arten von Cookies) bis hin zum unberechtigten Eindringen in die Privatsphäre (z. B. über Spähsoftware oder Viren) reichen.“

Aus diesem Grund wird in weiterer Folge verlangt, dass „eine klare und verständliche Information bereitgestellt wird, wenn sie (Anmerkung: die Benutzer) irgendeine Tätigkeit ausführen, die zu einer solchen Speicherung oder einem solchen Zugriff führen könnte.“ Es ist hier also nicht die Rede davon, die Benutzbarkeit durch ein flächendeckendes Fenster zu verunmöglichen. Ferner heißt es:

„Die Methoden der Information und die Einräumung des Rechts, diese abzulehnen, sollten so benutzerfreundlich wie möglich gestaltet werden.“

Die weit verbreitete Methode ist es jedoch, neben der oft haarsträubend kompliziert gestalteten Auswahlmöglichkeit und langwierigen Erläuterungen das Ärgernis mit einem „Button of Convenience“ zu beenden und damit alle Cookies zuzulassen. (Was man aber leicht umgehen kann, siehe unten.)

Sehr oft wird einem dabei erklärt, dass Cookies das Leben erleichtern und für den Weltfrieden beitragen. Ersteres trifft aber eigentlich nur auf jene Cookies zu, die ohnedies erlaubt sind und keinerlei Warnung oder Zustimmung bedürfen:

„Ausnahmen von der Informationspflicht und der Einräumung des Rechts auf Ablehnung sollten auf jene Situationen beschränkt sein, in denen die technische Speicherung oder der Zugriff unverzichtbar sind, um die Nutzung eines vom Teilnehmer oder Nutzer ausdrücklich angeforderten Diens­tes zu ermöglichen.“

Diese auch als Session-Cookies bezeichnete Form der Datenspeicherung hinterlassen nichts anderes als einen zeitlich begrenzten nichtssagenden Hash, der es dem Webserver in weiterer Folge ermöglicht, den Besucher zu identifizieren und so zum Beispiel den Login-Status oder den Warenkorb eines Webshops zu definieren.

Cookie-Falle

Viele Content Management Systeme oder Website-Baukästen haben jedoch die großzügig angelegte Verwendung von Cookies fest verankert. Sehr schnell ist man mit eingebetteten Skripten zum Beispiel für Google Analytics, Google Maps oder Social-Media-Widgets in der Cookie-Falle. Betreibt man eine Website auf Basis von Werbenetzwerken wird man wohl oder übel eine Cookie-Einwilligung (Consent Banner) brauchen. Der traurige Background: Diese sind natürlich absichtlich so umständlich gestaltet, um eine möglichst hohe Opt-in Quote zu erreichen. Google Analytics etwa gilt bis dato Cookie-frei als unbrauchbar.

Um die Sache endgültig zu pervertieren: Viele dieser Consent Banner sind eingebundene Skripte Dritter, die im günstigsten Fall Daten sammeln, wenn nicht sogar Schlimmeres anrichten. Das ist eigentlich genau das Gegenteil von der ursprünglichen Intention der EU.

Und es kommt noch ärger: Um einen „Datenverlust“ zu verhindern werden nun andere angeblich DSGVO-konforme Techniken angeboten. Tatsächlich sind Cookies nur eine Tracking-Möglichkeit von vielen. Das Einbetten von Skripten oder auch nur Dateien (Schrift-Fonts zum Beispiel) ermöglicht ebenso das Sammeln von Daten, da jeder Request mit Metadaten wie Ursprungsseite, IP-Adresse, Betriebssystem, Browser und dergleichen einhergehen.

Wir machen Websites für unsere Kunden nicht für Google, Facebook oder Amazon

Die meisten unserer Kunden betreiben ihre Website jedoch vorrangig als Service für ihre Kunden, was auch Webshops miteinbezieht. Niemanden geht es etwas an, dass Benutzer XY sich für diesen oder jenen Artikel interessiert. Niemanden außer dem Betreiber selbst braucht es zu interessieren, wie viele und welche Benutzer die Website hat.

Viele Systeme sind jedoch nur mühevoll auf Basis einfacher und ungefragt erlaubter Session-Cookies zu konfigurieren. Das Consentio Content Management hingegen ist von Haus aus so eingerichtet. Dazu zählt auch die einfache und doch aussagekräftige Webanalyse Consentio Webanalyse. Für detailliertere Reports ist aber neuerdings auch die Einbindung von Matomo (vormals Piwik) auch ohne Cookies möglich.

Zu guter Letzt verraten wir noch ein scheinbar gut gehütetes Geheimnis: Die meisten Browser allen voran Firefox haben Mechanismen, um Cookies Dritter, Skripte zur Verfolgung oder „Fingerprinter“ zu unterbinden. Selbst das automatische Löschen aller Cookies beim Schließen des Browsers ist einstellbar. Das will uns der Consent Banner freilich nicht verraten.