Cookie-Banner: Kleines Fenster, grosse Wirkung

Einerseits geben wir Daten über uns freiwillig preis, beispielsweise bei Facebook oder Instagram über das eigene Profil oder bei Google über unseren Mailverlauf, via die Verwendung von Google Search und Maps und vieles mehr.

Andererseits verfolgen die Web-Giganten unseren Weg durch das Netz. Während der Facebook Like-Button mittlerweile nur noch auf wenigen Seiten zu finden ist, ist der Facebook-Pixel allgegenwärtig. Weiterhin enorm häufig eingesetzt werden Tools von Google wie beispielsweise der Tag Manager, Maps-Einbettungen oder natürlich Google Analytics. Die Nutzungsbedingungen der verschiedenen Dienste versprechen teilweise, dass die Daten nicht verknüpft werden. Weil aber immer mehr Browser das Tracking ausbremsen, wird die Versuchung für die Tech-Giganten immer grösser (werden), die Daten eben doch zu verknüpfen. Das ist problematisch:

Über das Mitschreiben der Browsing-History ist es nicht nur möglich, ein Profil zu erstellen, sondern sogar mit hoher Treffsicherheit individuelle Nutzer*innen wiederzuerkennen. Der Wert solcher Daten kann enorm sein. Das haben auch verschiedene Browser-Hersteller erkannt und Massnahmen ergriffen, beispielsweise bietet Firefox Total Cookie Protection an. Solche Techniken erschweren es den entsprechenden Firmen, die Daten zu erheben. Aber unmöglich ist es trotzdem nicht, das Katz-und-Maus-Spiel geht weiter.

Eine zufällige Auswahl der Agenturwebsites unserer Konkurrenz hat ergeben, dass bei mehreren Websites der Google Tag Manager eingebunden wird, ohne Möglichkeit dies abzulehnen oder sogar ohne jegliche Information. Wo der Tag Manager nicht eingebunden wird, fliessen teilweise trotzdem Daten an Google, beispielsweise weil ein Maps Widget eingebunden wird oder weil Webfonts von Google, Adobe oder anderen Anbietenden eingesetzt werden.

Programmierer*innen und KMU ächzen möglicherweise zurecht darüber, dass es zunehmend schwieriger wird, den Überblick über die relevanten Entwicklungen im Bereich der Technologie und der Datenschutzrichtlinien zu behalten. Unser Tipp: am Besten ohne das Einverständnis der Nutzer*innen die entsprechenden Skripte gar nicht erst einbinden. Einige Cookie-Banner informieren nur, dass Cookies eingesetzt werden, und lassen den Widerspruch gar nicht zu. Andere Banner lassen zwar eine Auswahl zu, aber ertränken die User in einer Flut von Optionen und verwenden Dark Patterns wie verwirrend beschriftete Buttons, um die User doch zu einem Einverständnis zu überreden. Nochmals andere Banner sehen zwar gut aus und bieten einfache Möglichkeiten, die eigenen Präferenzen mitzuteilen, allerdings ist Analytics bereits eingebunden und die entsprechenden Daten sind schon längst abgeflossen. Das bringt weniger als nichts.

Ob das legal ist oder nicht, spielt eine untergeordnete Rolle im Vergleich dazu, was das Richtige^TM ist bzw. was getan werden soll¹.

¹Legal und moralisch “gut” ist nicht dasselbe.

Unser Cookie Banner

Unser Cookie Banner ist inspiriert von den besten Cookie Bannern und lässt nur zwei Optionen zu:

1. Take it (Alle akzeptieren)
2. Leave it (Nicht-essentielle Cookies verweigern)

Tracking Cookies sind nie essentiell. Essentielle Cookies sind beispielsweise solche, welche verwendet werden, um eine von den Usern selbst eröffnete Session zu speichern (beispielsweise auf einer Website mit Login-Funktion). Ohne Cookies müsste man sich für jeden Klick neu anmelden, was keine Lösung sein kann.

Wesentlich dabei: Ohne das erteilte Einverständnis werden Tracking-Skripte überhaupt nicht eingebunden. Es wird also nicht nur nicht getrackt, sondern es geht von Anfang an gar keine Anfrage an die Server, beispielsweise von Google.

Das Beste daran: Das Banner ist Open Source (go get it, Tiger!)

Wie finde ich heraus, ob mich eine Seite trackt?

Wir geben dir hier eine kurze Anleitung, wie du selbst nachsehen kannst, welche Cookies beim Besuch einer Website gesetzt werden:

Firefox:

1. Privates Fenster öffnen:

2. Website aufrufen, z.B. https://www.20min.ch/

Kein Einverständnis erteilen oder “Zwecke anzeigen”, sondern direkt Web Developer Tools öffnen, per Rechtsklick und “Inspect (Q)” (DE: “Untersuchen”):

3. Storage öffnen (DE: "Web-Speicher"):

4. Die enorme Menge von gesetzten Cookies bewundern:

Ein beachtenswertes Beispiel sind die Google Analytics Cookies, welche mit _ga_ beginnen. Diese Cookies haben eine Lebensdauer von zwei Jahren; das heisst, dass Google Analytics wenigstens potenziell einen wiederkehrenden Nutzer auch nach über 700 Tagen Pause (!) immer noch erkennen kann.

Die analoge Ansicht auf unserer eigenen Website ist wie folgt, vor dem Einverständnis:

Nach dem Einverständnis werden zwei Google Analytics Cookies gesetzt, sowie das “f3cc” (feincms3-cookiecontrol) Cookie, welches das Einverständnis speichert:

Falls das Einverständnis ausbleibt, wird nur das “f3cc” Cookie gespeichert, damit das Banner verschwinden kann:

Natürlich gibt es weitere Möglichkeiten, um Daten zu sammeln. Allerdings ist die Erstellung eines persönlichen Profils dort schwieriger, aber nicht unmöglich (siehe oben).

Randnotiz: Das “Network” Panel in den Web Developer Tools listet alle HTTP-Anfragen auf, welche der Browser sendet. Dort sind teilweise weitere interessante Details zu finden. Der eigene Internetprovider hat aber über DNS-Abfragen etc. weitere Möglichkeiten, das Browserverhalten und besuchte Websites zu bestimmen. Eine Vertiefung in diese Thematik würde hier aber zu weit führen, die Länge dieses Textes ist schon jetzt Republik-würdig.

Was kann ich selbst tun, um mich zu schützen?

Empfehlungen:

• Firefox installieren.
• https://ublockorigin.com/ installieren
• Enhanced Tracking Protection auf Strict stellen

Komplexer, aber besser:

• Multi Account Containers verwenden, und pro Anbieter einen einzelnen Container erstellen (z.B. Google, LinkedIn, Facebook, Twitter etc.)

Geplättet von all den Informationen?

Komm bei uns einen Kaffee trinken und lass uns über Datenschutz sprechen. Es gibt auch ein Cookie zum Kafi.