PYNGU MAGAZIN

Est. 11111100101

PYNGU MAGAZIN

Est. 11111100101

Die Cookie-Banner Flut des Internets – Wie sind wir da hin gekommen und wie kommen wir da wieder raus?

3. Jun 2021 | Privacy

Cookie-Banner sind ein alltägliches Ärgernis im World Wide Web. Inzwischen gibt es in Deutschland nur noch wenige Seiten, deren Besucher nicht zu einer Zustimmung von Cookies oder anderen Trackingmechanismen genötigt werden. Aber warum ist das so und ist das überhaupt notwendig?

Warum gibt es Cookie-Banner?

Cookie-Banner sind Consent Management Tools. Sprich, sie sorgen dafür, dass die Anbieter einer Webseite die Einwilligung für die Nutzung von personenbezogenen Daten ihrer Besucher einholen können.

Cookies können dazu dienen, den Nutzer eindeutig wiederzuerkennen. Sie weisen dem Besucher einer Webseite in der Regel eine bestimmte Identität zu und stellen somit auch ein personenbezogenes Datum dar. Die Verarbeitung von personenbezogenen Daten ist laut DSGVO ein Verbot mit Erlaubnisvorbehalt. Die Erlaubnistatbestände finden sich in Artikel 6 DSGVO wieder. Der geläufigste ist die Einwilligung, also genau das, was die Banner erreichen wollen.

Artikel 6 Abs.1 lit f) DSGVO kann dem für die Verarbeitung Verantwortlichen auch eine Verarbeitung aufgrund von „berechtigtem Interesse“ erlauben. Hierbei ist es, wie so häufig bei Gesetzen, nicht eindeutig definiert, welches Interesse berechtigt ist und welches nicht. Werden Daten an Dritte weitergeben, insbesondere an Unternehmen, die mit den Daten durch das korrelieren und den Verkauf Geld verdienen (Google, Facebook, etc.), kann jedoch nicht mehr von einem berechtigten Interesse ausgegangen werden, da hier die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen dürften.

Cookies sind nicht so schlecht wie ihr Ruf

Cookies können die Besucher einer Webseite eindeutig identifizieren. Dies ist manchmal aus technischer Sicht durchaus sinnvoll. Das prominenteste Beispiel ist vermutlich der Warenkorb in Onlineshops. Hier sorgen Cookies dafür, dass sich die Besucher weiterhin auf der Webseite umschauen können und die abgelegten Artikel im Check-Out (Kasse) hinterlegt werden.

Es gibt noch eine ganze Reihe weiterer Einsatzmöglichkeiten, bei denen Cookies dabei helfen können, wesentliche technische Funktionen von Webseiten bereitzustellen.

Technisch notwendige Cookies, die keine personenbezogenen Daten an Dritte weitergeben, benötigen keine Banner

Leider hat sich im Web eine regelrechte Panik breit gemacht. Viele gehen lieber auf Nummer sicher und nutzen Cookie-Banner, obwohl sie diese eigentlich nicht benötigen. Denn

Wenn es jeder hat, brauch ich es wohl auch!?

Andere denken, wenn ich ja jetzt schon einen Banner eingerichtet habe, kann ich ja noch mehr externe Sachen integrieren. Dies hat zu der Cookie-Banner-Flut im Internet geführt, die wir alle so leid sind.

Ein funktionaler First-Party-Cookie, der nach Besuch der Webseite verfällt, braucht keine Cookie-Einwilligung, wenn er keine personenbezogenen Daten speichert, für den Webseitenbetreiber verarbeitet oder an Dritte weitergibt. Der Landesdatenschutzbeauftragte von Baden-Württemberg hat es auf seinem Mastodon Account treffend auf den Punkt gebracht:

Mastodon Account Lüdi BW zu Cookies

Ein „Toot“ des LfDI Baden-Württemberg auf seinem Mastodon Account im März 2021

Cookie-Banner helfen dem Datenschutz nicht

Im Kern gut gemeint, um die Besucher von Webseiten über die datenschutzrechtlichen Praktiken auf den Webseiten zu informieren, sorgen Cookie-Banner in der Realität aber vermutlich dafür, den Datenschutz zu schwächen. Warum? Ganz einfach!

Jemand, der auf Datenschutz Wert legt, wird seinen Browser vermutlich so einstellen, dass alle Cookies beim Schließen des Browsers gelöscht werden. Einige surfen auch generell im “Privaten Modus“, sodass die Cookies nach jeder Tab-Session verfallen.

Was hat das jetzt mit den Bannern zu tun?

Wenn so wie beschrieben gehandelt wird, müsste jedes Mal, wenn eine bereits besuchte Webseite wieder angesteuert wird, die Datenschutzeinstellungen, erneut konfiguriert werden. Dies, gepaart mit den üblichen Dark Patterns, führt dazu, dass viele Nutzer nur noch genervt sind und das Tracking einfach abnicken.

Dark Patterns – Die alltägliche Praxis der Banner

Hier kann man sehen, wie die Besucher der Webseite dazu verleitet werden sollen, den “Zustimmen“ Button zu drücken. Er wird farblich hervorgehoben und es ist generell der einzige sichtbare Button. Immerhin ist es in diesem Beispiel möglich, direkt auf ablehnen zu drücken. Diese Option haben die Banner oftmals nicht integriert und die Besucher müssen sich erstmal durch einen Dschungel von Einstellungen und Dark Patterns kämpfen, um die Tracking-Cookies ablehnen zu können. Bedauerlicherweise sieht es in der Realität aber oft so aus, dass häufig die Konfigurationen trotzdem nicht vollständig übernommen werden.

Cookie-Banner mit Dark Pattern

Cookie-Banner mit Dark Pattern

Schaut man sich jetzt mal an, wie ein wirklich rechtssicheres Consent Management aussehen müsste, wird schnell klar, dass dies dazu führen würde, dass das Einsetzen von Analytics-Tools Dritter oder eine Verbindung zu Werbepartnern quasi nutzlos ist.

Rechtssicherer Cookie-Banner

Beispiel wie ein wirklich rechtssicherer Cookie-Banner aussehen könnte

Die Consent Managment Platform (Cookie-Banner) müsste so eingestellt sein, dass alle nicht wirklich notwendigen Cookies beim Aufruf der Webseite deaktiviert sind. Die Besucher der Seite müssten von sich aus die Cookies aktivieren (Opt-in). Dies wird ohne die Zuhilfenahme von Dark Patterns in der Realität vermutlich so gut wie niemals passieren.

Ich will keine Banner auf meiner schönen Seite! Was kann ich tun?

Wer keine Werbung auf seiner Webseite schaltet und die Nutzer-Sessions nicht nachhaltig identifizieren muss (bspw. wegen des Warenkorbs) kann zumeist auf Cookies verzichten. Aber wie schon gesagt kommt es nicht auf die Cookies an, ob ein Banner benötigt wird oder nicht, sondern was diese machen.

Unser Tipp: Wenn Sie nicht zwingender Maßen Inhalte Dritter auf ihre Webseite einsetzen müssen, lassen Sie es einfach. Die Schriftarten können (und sollten) auf der Webseite ebenfalls direkt eingebunden werden. Es ist ja auch ein Wahnsinn, wenn man bedenkt, dass so viele Seiten stets Verbindung zu Googles Servern aufnehmen, nur um von dort dann die Schriften zu laden.

Aber auch beim Thema Analytics gibt es gute Alternativen. Matomo, die Open Source Analytics-Software, kann ebenfalls selbst gehostet werden. Für kleine Webseiten gibt es unter WordPress direkt ein Plugin, welches für die Basis-Funktionen von Analytics-Tools bestens geeignet ist. Wer einen noch größeren Funktionsumfang haben möchte, kann Matomo auch selbst auf einem Linux Server hosten (lassen).

Matomo kann so konfiguriert werden, dass keine personenbezogenen Daten verarbeitet werden. Somit ist bei entsprechender Konfiguration auch kein Banner vonnöten.

Alternative Formen des Consent Managements

Wie könnte es alternativ zu den Bannern gelingen, die Nutzer zu fragen, ob Sie der Verarbeitung ihrer Daten zur Profilbildung für Werbung zustimmen? Hier gab es bereits mehrere Gedankenspiele.

Am häufigsten wird vorgeschlagen, das Consent Management in den Browser zu verlegen. Diese Lösung besteht theoretisch bereits. Die Do-Not-Track-Initiative hat ein HTTP-Header-Feld, welches den Besuchern ermöglichen soll, das Tracking abzulehnen, bereits im Jahr 2009 an den Start gebracht. Wenn der Nutzer dieses in den Browsereinstellungen aktiviert, wird die Entscheidung den Webseiten mitgeteilt. Das Problem daran ist nur, dass Webseitenbetreiber nicht verpflichtet sind, sich an den Do-Not-Track-Header zu halten. So viel zum Thema, man kann der Verarbeitung seiner personenbezogenen Daten jederzeit nach Art. 21 DSGVO widersprechen.

Eine andere Lösung könnte eine Art Ampel in Form eines Widgets sein, die die Webseiten Besucher auf der Startseite über die Online- und Tracking-Praktiken in Kenntnis setzt und über die sie dann gegebenenfalls die Möglichkeit hätten weitere Konfigurationen vorzunehmen. Hierbei wäre es aber wichtig, dass beim ersten Aufruf der Startseite noch keine Daten an Dritte fließen. Dies sollte auch für aktuelle Webseiten mit Cookie-Bannern selbstverständlich sein. Die Realität sieht aber oftmals leider anders aus.

Fazit

Cookies sind sinnvoll, wo sie wirklich gebraucht werden. Wer seine Webseite nicht mit Werbung finanziert oder keinen Webshop betreibt, kann oftmals auf Cookies verzichten. Insbesondere Third-Party-Cookies sollten vermieden werden. Diese werden ohnehin immer mehr durch die Voreinstellungen einiger Browser blockiert.

Tun Sie sich selbst einen Gefallen und nutzen Sie nur Cookies, die aus technischer Sicht wirklich notwendig sind. Und verzichten Sie auf Cookie-Banner, die Sie nicht brauchen.

Wir bei Pyngu Digital versuchen unsere Kunden stets davon zu überzeugen, ihre Webseiten so zu gestalten, dass keine Cookie-Banner notwendig sind. Zudem ermutigen wir sie auch, ihre hohen datenschutzrechtlichen Standards öffentlichkeitswirksam, als Wettbewerbsvorteil einzusetzen. Teile dieses Artikels haben wir direkt von unserer Pyngu-Cookie-Policy entlehnt.

Echter Datenschutz schafft Vertrauen.

Pyngu Digital

Diese Webseite benutzt keine Cookies.

Mit der weiteren Nutzung der Webseite stimmen Sie zu, dass Sie damit einverstanden sind nicht getrackt zu werden. Sie stimmen außerdem zu, dass Ihre Daten nicht an Dritte weitergegeben werden. Wir verarbeiten keine personenbezogenen Daten auf der Webseite zur Wahrung unseres berechtigten Interesses, den Datenschutz unserer Besucher zu respektieren.

Folgende Kategorien von Cookies werden von uns eingesetzt:

- Keine

- Nada

- Niente

Weitere Informationen finden Sie in unserer Pyngu-Cookie-Policy.