Diese Website verwendet Cookies …

… so lautet heute die Standard-Begrüßung auf Webseiten. Und diese Meldung ist genauso lästig wie sinnlos.

Kekse mit Schoko-Stückchen auf einer Tastatur.
Dieser Artikel war eine ausgezeichnete Ausrede, um Kekse (Cookies) zu kaufen. Ich sollte mir überlegen, meinen nächsten Artikel über Tortendiagramme zu schreiben.

Es war einmal ein kleines Web, das vom Volk der Nerds bevölkert war, einer sagenumwobenen Spezies, welche die elbenhafte Magie der Mathematik und Physik beherrschte. Nach und nach wurde dieses junge Web dann auch von anderen seltsamen Gestalten bevölkert, darunter auch von meiner Wenigkeit.

Schon recht früh hörte man hier Legenden über eine mysteriöse Gefahr, die unter dem Namen »Cookies« (englisch für Kekse) bekannt ist. Also wappnete ich mich entsprechend gegen dieses gemeingefährliche Backgut. In meinem Browser fand ich eine Funktion, die mich vor diesen Dingern warnen konnte. Von da an erhielt ich jedes Mal eine Meldung, wenn eine Website ein Cookie setzen wollte – und ich musste jedes Mal entscheiden, ob ich es annehme oder ablehne.

Wie ich sehr schnell lernen musste, waren Cookies schon damals allgegenwärtig und ich war ununterbrochen damit beschäftigt, Meldungen wegzuklicken. Letztendlich musste ich über meine eigene Torheit lachen und deaktivierte diesen Schwachsinn wieder.

Aber das Web wurde zunehmend von immer mehr seltsamen Wesen bevölkert, darunter auch die rätselhaftesten von allen: Bürokraten. Diesen ist es zu verdanken, dass sinnlose Cookiemeldungen jetzt auf jeder Website separat eingebunden sind, sodass man sie nicht mehr so einfach los wird.

Ja, ich weiß: Diese Überschrift ist ein einfallsloser Wortwitz, aber sie passt gut zu meiner ebenso einfallslosen Erklärung, was Cookies eigentlich sind. Ich verspreche dafür, dass die nächsten Überschriften origineller werden.

Was ist nun also ein Cookie? In aller Kürze: Wenn ich mit meinem PC oder einem Smartphone eine Website aufrufe, dann kann diese eine kleine Textinformation auf meinem Gerät abspeichern oder wieder auslesen – das ist ein Cookie.

In so einem Texthäppchen könnte eine Website zum Beispiel das Datum meines Besuches speichern. Wenn ich dann zwei Monate später wieder auf dieselbe Seite komme, könnte sie aus diesem Cookie auslesen, wann ich das letzte Mal da war, und mir darauf basierend zeigen, was es seitdem Neues gibt.

Detaildaten eines Cookies in ein paar Formularfeldern: Domain: upload.wikimedia.org, Name: WMF-Last-Access, Wert: 11-Oct-2020.
Dieses Cookie von upload.wikimedia.org hat offensichtlich das Datum meines letzten Zugriffs gespeichert (Screenshot aus dem Firefox-Plugin Cookie Quick Manager). Die meisten Cookies, die man heutzutage ansammelt, haben allerdings einen deutlich kryptischeren Inhalt, aus dem man nicht so leicht schlau wird.

Warum diese Informationen nun Cookies, zu deutsch »Kekse«, heißen, ist etwas rätselhaft. Mir ist es außerhalb des Internets jedenfalls noch nicht passiert, dass mir jemand ungefragt Kekse in den Mund stopft und sie später wieder sehen will. Cookie Controller liefert als mögliche Erklärungen unter anderem Glückskekse, die ja einen Text beinhalten, und Hänsel und Gretel, die im Wald eine Spur aus Kekskrümeln gelegt haben, um früher besuchte Orte zurückverfolgen zu können.

Ich weiß, wo du letzten Sommer Kekse gegessen hast.

Die Geschichte von Hänsel und Gretel kenne ich eigentlich mit Brotkrümeln statt Keksen, aber ich will mal nicht kleinlich sein. Der Vergleich mit diesem Märchen veranschaulicht zumindest, warum Cookies in der Kritik stehen: Man legt eine Spur, die zur Verfolgung genutzt werden kann.

Grundsätzlich kann ein Cookie nur von jener Website ausgelesen werden, die es auch gesetzt hat. Speichere ich etwa über wiesoso.com ein Cookie ab, kann auch nur wiesoso.com es wieder auslesen.

Oft wird das nur für harmlose Komfort-Funktionen genutzt. Das einzige Cookie auf wiesoso.com ist ein sogenanntes Session-Cookie, das nur dazu da ist, um festzustellen, ob der Besucher Administrator-Rechte hat. Ohne dieses Cookie müsste ich als Seitenbetreiber ständig mein Passwort neu eingeben, weil sich die Website nicht merken kann, dass ich als Administrator eingeloggt bin. In ähnlicher Art benutzen Webshops Cookies, um sich zu merken, was man bereits in seinem Warenkorb hat.

Jetzt hat sich das Web seit damals aber nicht nur verändert, indem immer technikfernere Nutzer hinzugekommen sind, sondern auch das Webdesign hat immer seltsamere Blüten getrieben. So ist es heute üblich, dass man auf seiner eigenen Website unzählige Skripts und Ressourcen von anderen Seiten einbindet – und diese anderen Seiten können dann ebenso Cookies setzen und auslesen.

Ausschnitt aus einer Detailliste in einem Cookiebanner. 19 Partner sind allein in diesem Ausschnitt gelistet, darunter Instagram, Twitter und YouTube, aber auch weniger bekannte wie Mapcreator, Podigee GmbH und Outbrain UK Ltd.
Die Detaileinstellungen in einem Cookie-Banner können abenteuerlich aussehen. Dieser Screenshot zeigt nur einen kleinen Ausschnitt davon, wer auf bild.de aller Cookies setzen darf.

Wäre etwa in diesem Artikel hier ein YouTube-Video eingebunden, würde man nicht nur wiesoso.com aufrufen, sondern indirekt auch youtube.com. Google, zu dem YouTube gehört, könnte dann jeden Zugriff auf diesen Artikel mitverfolgen. Und Google-Produkte sind auf unzähligen Websites eingebunden, oft auch unsichtbar. Zu diesen Produkten gehören neben YouTube-Videos zum Beispiel auch Ortskarten mit Google Maps, Werbeanzeigen mit Google AdSense und Website-Statistiken mit Google Analytics. Deshalb könnte Google einzelne Personen leicht durch das halbe Web verfolgen.

Solche Cookies, die nicht nur zwischen Websitebetreiber und Besucher gewechselt werden, bezeichnet man üblicherweise als Third-Party-Cookies, also Cookies von Dritten. Wenn sie gezielt dazu da sind, einen Besucher zu verfolgen (englisch »tracken«), spricht man auch von Tracking-Cookies.

Scherzkeksverordnung

Offensichtlich kamen irgendwann auf EU-Ebene ein paar Bleistiftschieber zusammen, denen die Verfolgung durch Cookies zu bunt geworden war. Also beschlossen sie, etwas dagegen zu machen – und nahmen letztendlich die Website-Betreiber in die Pflicht. Das Ergebnis sind die Cookie-Banner, wie wir sie heute kennen und »lieben«.

Was die Regelung ganz konkret vorschreibt, ist etwas umstritten. Oft liest man, dass Meldungen nur für Cookies von Dritten oder nur für Tracking-Cookies verpflichtend sind. Weil ich kein Jurist bin, will ich auf diese rechtlichen Details hier aber gar nicht eingehen, sonst endet dieser Artikel, der mit »es war einmal« begonnen hat, noch damit, dass ich wegen falscher Rechtsberatung im Kerker lande.

Unabhängig von der rechtlichen Situation verfehlen Cookie-Meldungen jedenfalls komplett ihren Zweck. Kaum ein Seitenbetreiber überdenkt die Praxis, die Privatsphäre seiner Besucher an Hinz und Kunz zu verkaufen.

Stattdessen wird einfach weitergemacht wie bisher und den Besuchern knallt man eine Meldung vor den Latz, die nach allen Regel der psychologischen Manipulation darauf ausgerichtet ist, auf »Alle akzeptieren« zu klicken. Die einzigen Möglichkeiten, nicht alles zu akzeptieren, verstecken sich hinter kleinen, unscheinbar ausgegrauten Links oder in endlosen Listen, in denen man jedes unerwünschte Cookie einzeln abwählen muss.

Zwei Cookiebanner auf der Stern-Website.
Stern.de greift (wie viele andere Websites) tief in die psychologische Trickkiste. Erst bekommt man eine Meldung, bei der man scheinbar nur die Option »Zustimmen« hat. Will man nicht alle Cookies annehmen, muss man rechts oben auf den Link »Einstellungen« klicken, vor dem ein zackiges Symbol steht, das fast schon wie eine Warnung aussieht. Anschließend gelangt man auf eine Seite, auf der man einzelne Cookies abwählen kann – aber um diese Auswahl tatsächlich zu übernehmen, muss man auf den unscheinbaren Link »Auswahl speichern« klicken und keinesfalls auf den fett beschrifteten Button »Alle akzeptieren«.

Aus Nutzersicht fühlt man sich von diesen Meldungen weder gewarnt noch informiert, weil sie im Stil von »Peter und der Wolf« ohnehin alltäglich sind. Man klickt sie einfach weg. Und wenn die Meldungen die Seite nicht komplett blockieren, macht man mitunter nicht einmal das, sondern lässt die Dinger einfach stehen und ignoriert sie. So manchem Designer würde sicher das Herz bluten, wenn er sehen könnte, wie ich seine Website nutze, ohne den hässlichen Cookie-Banner wegzuklicken.

Wie gesagt, hatte ich mich schon einmal lange vor den heutigen Cookie-Meldungen selbst mit so einem Schwachsinn malträtiert, indem ich eine Funktion in meinem Browser aktiviert hatte. Und auch wenn diese konkrete Funktion nicht sinnvoll war, kann ich nur sagen: Genau dort, nämlich in den Browser, gehört die Cookie-Verwaltung auch hin.

Und der Witz ist, dass man sie auch nach wie vor dort findet. Die Konfiguration mit lästigen Meldungen mag Unfug gewesen sein, aber in meinem heutigen Firefox gibt es stattdessen längst die Option, Cookies von Drittanbietern zu blockieren.

Menü im Browser Firefox, über das »Skripten zur Aktivitätenverfolgung und sonstige Inhalte« blockiert werden können. In einem ausgeklappten Dropdown-Feld ist folgender Punkt ausgewählt: »Alle Cookies von Drittanbietern (einige Websites funktionieren dann eventuell nicht mehr)«
Browsereigene Cookie-Blockierung in Firefox. Entgegen der Warnung ist mir noch keine Website untergekommen, die deshalb nicht mehr funktioniert.

Das vermeintliche Problem, dem sich Cookie-Banner widmen sollen, ist damit längst gelöst. Wenn ich im Internet nicht durch Cookies verfolgt werden will, kann ich das mit einer zentralen Einstellung festlegen. Diese gilt für das gesamte Web und ich bin nicht darauf angewiesen, einzelnen Website-Betreibern zu vertrauen.

Cookie-Meldungen sind damit eine komplett unnötige Verdopplung. Solange ich Cookies von Dritten im Browser blockiere, kann ich ruhigen Gewissens überall auf »Alle akzeptieren« klicken und akzeptiere damit doch nicht alle, weil meine Browser-Einstellungen ein deutlich höheres Gewicht haben.

Tracking ohne Cookies

Was im Browser vielleicht fehlt, sind detaillierte Einstellungen – zum Beispiel für den Fall, dass man einer Website mehr Cookie-Berechtigungen geben will als einer anderen. Wer so etwas tatsächlich will oder oder braucht, verwendet aber wahrscheinlich ohnehin spezielle Browser-Erweiterungen. Ich bin jedenfalls noch nie in diese Verlegenheit gekommen.

Wenn es zum Normalfall wird, dass Leute Cookies im Browser blockieren, könnte sich die Situation allerdings ändern. Ich halte es nicht für unwahrscheinlich, dass dann ein ähnliches Wettrüsten stattfindet wie bei Werbe-Blockern und man als Besucher einzelner Websites dann nur noch die Meldung zu sehen bekommt: »Bitte aktivieren Sie Cookies, um diese Seite zu betreten!« Letztendlich sind die meisten Cookies schließlich auch nur ein Teil der Werbe-Seuche.

Andererseits benötigen Unternehmen in Zukunft vielleicht gar keine Cookies mehr, um Benutzer zu verfolgen. Seitenbetreiber können von ihren Besuchern schon heute eine Vielzahl an technischen Informationen einsehen, darunter Betriebssystem, Bildschirmauflösung und Zeitzone. Daraus lässt sich oft ein eindeutiger »Fingerabdruck« erstellen. (So ein Profil kann man sich für sein eigenes System etwa auf amiunique.org ansehen.)

Zu guter Letzt redet auch Google noch ein Wörtchen mit. Der Engineering Director von Google Chrome, dem meistbenutzten Browser der Welt, hat bereits angekündigt, dass Cookies von Drittanbietern abgeschafft werden sollen. Google strebt stattdessen unter der Bezeichnung »Privacy Sandbox« an, die gesamte Profilbildung für Werbezwecke in den Browser zu verlegen. Ob es da primär um Nutzerservice geht oder doch nur darum, der Werbekonkurrenz eins auszuwischen, sei dahingestellt. In jedem Fall würde es den Status-Quo gewaltig aufmischen.

Insgesamt stehen somit die Chancen gut, dass Cookie-Banner bald wieder aus dem Web verschwinden werden. Die spannende Frage wird dann bloß sein, was den weltfremden Bürokraten als nächstes einfällt – denn wenn sie mittlerweile nicht gestorben sind, dann leben sie noch heute.

Artikel-Informationen

Artikel veröffentlicht:
Letzte Aktualisierung:

Kommentare

Neuen Kommentar schreiben

Bisherige Kommentare

  • Horst

    Kuketz, 2018: https://www.kuketz-blog.de/firefox-ein-browser-fuer-datenschutzbewusste-firefox-kompendium-teil1/
    Die Illusion, mit einer Einstellung im Browser (quasi via EINEM »Klick«) irgendeine zweckdienliche Einstellung vorgenommen zu haben, wird dort beseitigt.

    Der »zahnlose Tiger« Do Not Track ist ebenfalls eine zweckfreie Einstelloption, die bald behördlicherseits verboten gehört: Liest man allein die Datenschutzverordnung von Microsoft, wo explizit steht, dass dieser Kasperleverein an einer Definiton dieser Browser-Einstellung »mitarbeite« (was schon ein Hohn ist) und zugleich schambefreit den Ahnungsbefreiten gern mitteilt, dass Microsoft »derzeit« diese Do-Not-Track-Einstellung schlicht ignoriert, ist es ein hübsches Bild, was bleibt, von all den Nutzern des Netzes, die in den Browser-Einstellungen ein büschen herumklicken und am Ende meinen, sie hätten irgendetwas geregelt.

    Eine Studie aus 2014 – ja, schon älteren Datums, aber was macht es?! – des Frauenhofer-Instituts bringt diese »Wildwestmanier des Datensammelns« anschaulich in den Blick – wenn es denn der geneigte Nutzer des Netzes zur Kenntnis nehmen wollte …
    Der Link zum Institut: (PDF-Datei) https://www.sit.fraunhofer.de/fileadmin/dokumente/studien_und_technical_reports/Web_Tracking_Report_2014.pdf

    Dieser Keks-Artikel ist nett – mehr aber nicht. Vielleicht auch etwas in die Irre führend, als dass der Glaube entstehen könnte, man sei anhand einiger lernbarer Kniffe aktiv und gut unterwegs.

    Das Web braucht eine verbindliche Ethik. Aber nicht einmal diese Ethik wäre ein Problem (und die Theorien darüber sind ja zahlreich). Die Verbindlichkeit ist das Problem …

    Derzeit ist der Nutzer alleine – und vollkommen überfordert, desinteressiert bis gottesfürchtig …

    Grüße

    Horst Peters

    • Michael Treml (Seitenbetreiber)

      Antwort an Horst:

      Dass so viele Leute auf »Do Not Track« pochen, habe ich in diesem Zusammenhang auch noch nie verstanden, macht man damit doch letztendlich den Bock zum Gärtner.

      Dass sämtliche Browsereinstellungen gar keinen Zweck erfüllen, halte ich allerdings für eine stark überspitzte Darstellung. Wenn ich bei mir lokal einstelle, dass Cookies von Dritten gar nicht erst angenommen werden, dann erwarte ich mir auch, dass die Software das entsprechend umsetzt. Alles Andere würde ich dem Browserhersteller als Skandal anrechnen.

      Dass man mit dieser einen Einstellung allein nicht gegen alle Gefahren gewappnet ist, ist natürlich eine andere Geschichte.

      • Horst

        Antwort an Michael Treml:

        »Was mich wirklich wütend macht«: https://bigbrotherawards.de/2021/was-mich-wirklich-wuetend-macht-google

        Aufmerksam gemacht sei auf: „FloC“ – Federated Learning of Cohorts. Ein Google-Kind … das verspricht, was Sie zuversichtlich von anderer Stelle entfernt sehen wollen: »dass Cookie-Banner bald wieder aus dem Web verschwinden werden«.

        Gruselig, dass Google in der EU noch eine Frau Dixon an der Seite hat, auf die dieser Konzern sich seit Jahren verlassen kann: https://bigbrotherawards.de/2022/lebenswerk-irische-datenschutzbehoerde-dpc

        Die »Browserhersteller«, wie Sie es schreiben, sind gewiss Teil dessen, was Sie als »Skandal anrechnen« könnten … wenn wir denn als Verbraucher oder Nutzer des Netzes laut werden wollten.

        »Der Werbekonkurrenz eins auszuwischen«, ist von Ihnen eine verniedlichende Umschreibung, wie ein Konzern Insider-Geschäfte betreibt und sein Monopol ausbauen und festigen will, indem dieser Konzern den freien Wettbewerb schlicht ausschaltet und Konkurrenten aufkauft oder aufs Abstellgleis jagt.

        Die Einstellungen im hauseigenen Browser bewirken derzeit – aus meiner Sicht der Dinge – wenig bis eher nichts.

  • Muvimaker

    "Die einzigen Möglichkeiten, nicht alles zu akzeptieren, verstecken sich hinter kleinen, unscheinbar ausgegrauten Links oder in endlosen Listen, in denen man jedes unerwünschte Cookie einzeln abwählen muss."
    So einfach geht das mittlerweile nicht mehr. Max Schrems hat dies bereits zum Anlass genommen, um ein paar hundert Firmen diesbezüglich anzuschreiben, sie mögen sich doch an die Datenschutzgrundverordnung halten und die Cookie-Hinweise transparent gestalten. Wenn dies innerhalb einer Nachfrist von einem Monat nicht passiert, werden diese Firmen angezeigt. Unabhängig davon kann jeder Betroffene (also auch Sie und ich) eine Beschwerde bei der Datenschutzbehörde (ich weiß jetzt nicht im Detail wie der richtige Name lautet) einbringen. Wie die Sache ausgegangen ist und ob er seine "Drohung" wahr gemacht hat, habe ich bis dato nicht verfolgt. Doch am Beispiel Facebook (EuGH-Beschwerde) zeigt sich, dass der Bursche hartnäckig ist und deshalb bin ich überzeugt, dass auch diese Aktion seine Wirkung nicht verfehlen wird.
    Die im Artikel vorgeschlagene Blockade der Cookies von Drittanbietern ist nicht immer zielführend, denn manchen Seiten funktionieren dann nicht mehr zufriedenstellend und man braucht sie trotzdem. Also heißt es entweder zähneknirschend zustimmen oder die einzelnen Cookies durchzuarbieten (dies können im ärgsten Fall hunderte sein).
    Die Ankündigung von Google dürfte rein der Gewinnoptimierung dienen, denn dieser Konzern ist so ziemlich der letzte, welcher sich für ein benutzerfreundlicheres Internet einsetzen würde. Stattdessen schaltet er mit einem Browserupdate die lästige Konkurrenz aus, gaukelt dem Benutzer "endlich Ruhe von den ungeliebten Keksen" vor, um jedoch mit einem Modell aufzuwarten, das die gleichen oder noch bessere Tracking-Ergebnisse erzielt, jedenfalls vom Benutzer so gut wie nicht (mehr) beeinflusst werden kann bzw das sogar ohne dessen Wissen abläuft.
    Zum letzten Absatz: Sie leben nach wie vor und erfreuen sich bester Gesundheit und Kreativität. Die Ärmelschoner wurden abgelegt und stattdessen heißen treten sie als Bachelor, Master und unter ähnlichen Anglizismen auf, um ihre Tätigkeit ungleich besser (da sehr gut ausgebildet) fortsetzen zu können.

  • Robert

    Danke für den Artikel. Ich kann es zwar nicht so fundiert erklären aber rein gefühlsmäßig sehe ich es genau wie du. Auch ich setze nur die technischen Cookies auf meiner Seite. Tracking gehört sich m.E. nicht und von Dritten binde ich auch nichts ein.
    Ich treffe selten jemanden, der das auch so sieht.
    Das allerdings die Banner verschwinden glaube ich nicht. Mittlerweile gibt es zu viele, die daran verdienen.

    • Anonym

      Antwort an Robert:

      "Ich treffe selten jemanden, der das auch so sieht."
      Genau darin steckt das eigentliche Problem. Solange alles gratis ist, kümmert sich niemand darum. Außerdem glaube ich, dass dem überwiegenden Teil der Internetbenutzer die ganze Cookie-Problematik überhaupt nicht bewusst ist. Tracking ist in zweifacher Hinsicht ein Fremdwort für diese Nutzer. Auch hier hört man immer wieder die gleiche stupide Antwort: "Ich habe ja nichts zu verbergen."
      Man klickt auf den Cookie-Hinweis (zustimmen) und schon geht es weiter, damit man ja schnell seinen geistigen Müll absetzen kann. Ich muss beruflich Mail- und WhatsApp-Inhalte auswerten und weiß deshalb wovon ich spreche.
      Hier drängt sich der Ausspruch von Albert Einstein auf, als er das Universum mit der menschlichen Dummheit verglich. Von der Unendlichkeit Letzterer bin ich mittlerweile völlig überzeugt.
      Man kann noch so fundiert argumentieren, viele Leute verstehen es nicht oder wollen es einfach nicht hören. Daher sehe ich von der Benutzerseite her schwarz. Gesetzliche Vorgaben (so gut diese im Ansatz auch sein mögen - Stichwort DSGVO) wären zwar möglich, doch zeigt sich die in der Praxis ausufernde Realitätsferne sowie der Lobbyismus, dass damit wieder nur Teilerfolge zugunsten der Benutzer erzielt werden würden.
      "Tracking gehört sich m.E. nicht": Willkommen im Jahr 2021. Heute lautet das Motto: "Alles was geht wird auch gemacht!".

    • Michael Treml (Seitenbetreiber)

      Antwort an Robert:

      Schön zu lesen, dass Du meine Ansichten teilst!

      Bzgl. verschwindender Banner meine ich nur die Hinweismeldungen, dass Cookies verwendet werden. Falls Google Chrome wirklich Drittanbieter-Cookies abschaltet oder die Werbetreiber ihre Besucher anderweitig verfolgen können, kann ich mir schon gut vorstellen, dass diese Meldungen schlagartig obsolet werden. Die klassischen Werbe-Banner werden wir dagegen sicher nicht so schnell los.

      • Robert

        Antwort an Michael Treml:

        Ja, so hatte ich das auch verstanden - ich meinte mit "Banner" den Cookie-Hinweis bzw. die Einwilligung. Ich denke nur, dass schon zu viele Kanzleien, Agenturen und Software-Anbieter daran verdienen. Ich würde mich aber freuen, wenn du recht hättest.

  • Tony T

    Besten Dank, hab die Funktion grade ausgewählt. :)

    • Michael Treml (Seitenbetreiber)

      Antwort an Tony T:

      Gern geschehen. :-)