Alles was Sie über Cookies wissen sollten
Auf nahezu jeder Webseite werden sogenannte Cookie Banner zur Abfrage einer Einwilligung eingesetzt. Erfahren Sie, wofür eine Einwilligung eingeholt werden muss, warum Cookie Banner oft eine große Gefahr sind und wie Sie nervige Cookie Popups vermeiden können. Der Beitrag zeigt außerdem, warum Cookie Popups und Datenschutzerklärungen oft falsch sind.
Nachdem Sie diesen Artikel gelesen haben, werden Sie wahrscheinlich direkt Ihre Datenschutzerklärung anpassen oder das nächste Cookie Popup, welches Sie sehen, mit anderen Augen wahrnehmen. Erfahren Sie zuerst, was Cookies sind. Danach kläre ich die größten Missverständnisse zu Cookies und Cookie Bannern auf. Ich verrate Ihnen außerdem, wie ca. 90% aller Webseiten ganz ohne nervige Einwilligungsabfrage auskommen.
Was sind Cookies?
Die Antwort wird Sie überraschen und zeigt, dass die meisten Datenschutzerklärungen falsch sind. Cookies sind nicht etwa Textdateien, wie oft behauptet wird. Richtig ist: Cookies sind Datensätze. Den Beweis finden Sie in meiner Untersuchung.
Ein Cookie wird auf dem Smartphone oder dem PC eines Nutzers gespeichert, der eine Webseite besucht. Ein Cookie wird oft von der besuchten Webseite erzeugt, die Cookies meistens selbst einsetzt, um Einstellungen zu verwalten. Weiterhin werden Cookies von Diensten erzeugt, die auf einer Webseite eingebunden sind. Ein Dienst wird oft auch als Tool, Script oder Plugin bezeichnet. Ein Beispiel für einen Dienst ist Google reCAPTCHA.
Cookies existieren also nicht einfach so. Meistens sind Dienste verantwortlich, wenn von „kritischen Cookies“ gesprochen wird.
Was ist das Problem mit Cookies?
Die ePrivacy Richtlinie fordert, dass für Cookies eine Einwilligung vom Nutzer eingeholt werden muss, bevor die Cookies verwendet werden dürfen. Dies gilt für Marketing-Cookies und Cookies, mit denen Nutzerprofile erstellt werden können. Bedeutet: Fast alle Cookies fallen unter die Einwilligungspflicht. Die ePrivacy Richtlinie gilt auch für Deutschland, wie der Bundesgerichtshof (BGH) am 28.05.2020 festgestellt hat. Der BGH entschied, dass das Telemediengesetz (TMG) richtlinienkonform auszulegen ist. Somit wurde die Pflicht zur Bereitstellung einer Abwahlmöglichkeit (Opt-Out) des TMG um eine Einwilligungspflicht erweitert.
Was sind Cookie Banner?
Ein Cookie Banner ist eine Abfrage nach einer Einwilligung. Sicher haben Sie diese sogenannten Cookie Popups beim Besuch einer Webseite auch schon gesehen. Cookie Banner werden auch als Cookie Blocker, Consent Tools, Consent Management Platform (CMP) oder Cookie Lösung bezeichnet.
Was sind die Probleme mit Cookie Bannern?
In Wahrheit erzeugen Cookie Banner ähnlich viele Probleme, wie sie lösen sollen. Um das zu verstehen, betrachten wir uns die Funktionsweise eines Cookie Blockers für eine beliebige Webseite:
- Ein Cookie Scanner untersucht die Webseite und versucht herauszufinden, welche auf der Webseite verwendeten Dienste Cookies verwenden
- Dienste, für die kritische Cookies erkannt wurden, versucht der Cookie Blocker zu blockieren, wenn die Webseite aufgerufen wird, bis eine Einwilligung vom Besucher der Webseite eingeholt wurde
- Wird die Webseite aufgerufen, blendet der Cookie Blocker eine Einwilligungsabfrage ein
- Hat der Besucher der Webseite sein Einverständnis gegeben, lädt der Cookie Blocker die bisher blockierten Dienste nach.
Soweit die Theorie. In der Praxis gibt es einige Probleme bei dieser Vorgehensweise. Die Datenschutzgrundverordnung (DSGVO) erfordert nämlich auch dann eine Einwilligung, wenn Dienste aus unsicheren Drittländern verwendet werden sollen. Bekannt wurde diese Vorschrift durch das sogenannte Privacy Shield Urteil. Als unsicheres Drittland gelten nahezu alle Länder außerhalb der Europäischen Union, insbesondere auch die USA als Heimat von Internetkonzernen wie Google, Amazon oder Facebook.
Außerdem muss eine Einwilligung vom Nutzer eingeholt werden, wenn vermeidbare Datentransfers stattfinden. Ein Beispiel hierfür sind externe Google Schriften, die von einem Google Server abgerufen werden. All dies können Cookie Banner nicht wirkungsvoll leisten, weil sie sich „nur“ auf Cookies konzentrieren.
Es geht noch weiter: Generell ist es nicht möglich, durch Scannen einer Webseite alle verwendeten Cookies zu erfassen. Der Grund: Jeder Nutzer hat andere Cookies auf seinem Endgerät gespeichert, je nach dem, wie die Reise durch das Internet vor dem Aufruf einer Webseite aussah.
Als wäre das nicht genug, können Cookie Blocker zudem einwilligungspflichtige Dienste nicht wirksam „automatisch“ blockieren. Auch hierfür gibt es einen einfachen Grund: Moderne Browser laden mehrere Dienste gleichzeitig, die auf einer Webseite eingebunden sind. So wird die Ladezeit verkürzt. Bevor der Cookie Blocker selbst geladen ist und seine Arbeit aufnehmen kann, werden bereits andere Dienste geladen, obwohl sie hätten blockiert werden sollen.
Was ist die Lösung?
Sie möchten nun sicher wissen, wie eine Webseite diese Probleme vermeiden kann und ganz ohne nervige Einwilligungsabfrage auskommt. Mein Ansatz funktioniert für die meisten Webseiten.
Zunächst sollten Sie eine Bestandsaufnahme der auf Ihrer Webseite eingesetzten Dienste vornehmen. Das geht testweise mit einem kostenfreien Online Tool.
Danach entfernen Sie alle Dienste, die nicht wirklich benötigt werden. Fragen Sie sich einmal, was der Nutzen einer eingebundenen Karte von Google ist. Möchten Sie eine interaktive Karte verwenden, nutzen Sie meine frei verfügbare datenschutzfreundliche Karte.
Externe Google Schriften, FontAwesome und andere externe Dateien ersetzen Sie durch lokale Kopien.
Matomo ist eine oft ausreichende Alternative zu Google Analytics. Richtig konfiguriert und lokal betrieben, benötigen Sie für die Reichweitenmessung mit Matomo keine Einwilligung. Für WordPress und andere Content Management Systeme gibt es gute Plugins.
Auch für Google reCAPTCHA gibt es Alternativen, beispielsweise Contact Form 7 Image Captcha oder Securimage.
Wenn Sie den Google Tag Manager einsetzen, ist die Wahrscheinlichkeit hoch, dass in der Datenschutzerklärung so etwas steht wie: „Der Google Tag Manager ist eine cookielose Domain“. Sollte diese Erklärung vorhanden sein, ändern Sie diese am besten noch heute ab, denn sie ist gleich zweifach falsch. Sie finden den Beweis in meiner Untersuchung zum Tag Manager. Viele Webseiten nutzen den Tag Manager, um stupide andere Dienste nachzuladen. Haben Sie alle Dienste entfernt oder ersetzt, für die eine Einwilligung erforderlich gewesen ist, brauchen Sie den Tag Manager nicht mehr und können die verbleibenden unkritischen Dienste einfach direkt laden.
Fazit und Ausblick
Zum Datenschutz für Webseiten gibt es eine Reihe von weit verbreiteten Fehlinformationen, auch deswegen, weil das Thema von vielen technischen Details geprägt ist. Datenschutzfreundliche Alternativen sind vorhanden und warten nur darauf, genutzt zu werden.
Aktuell sieht es so aus, als würde das Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG), wenn es in Kraft tritt, die oben angesprochene Reichweitenmessung mit Cookies erlauben. Dann dürfte ein Tool wie Matomo sogar mit Cookies betrieben werden. Für Google-Produkte gilt dieser Freibrief allerdings auch mit dem neuen TTDSG nicht.