Allerorten sprießen sie aus dem Boden bzw. dem unteren Bildschirmrand, wann immer man eine Webseite betritt: Cookie-Hinweise, die spätestens seit Einführung der DSGVO vor gut einem Jahr in vorauseilendem Gehorsam von unzähligen Webseitenbetreibern irgendwie eingerichtet werden, meist ohne Sinn und Verstand. Die weitaus meisten entsprechen nicht den Forderungen der Datenschützer (die weder Recht sprechen noch Regeln definieren), und wenn man genau hinschaut, sind diesen Forderungen folgende Cookie-Hinweise ein hirnrissiger Bärendienst.
Über sinnlose Cookie-Hinweise sowie die Möglichkeit, diese zu missbrauchen, habe ich bereits berichtet. In diesem Beitrag möchte ich begründen, warum ich bisher auf Cookie-Hinweise verzichte und auch erst dann einen einrichten werde, wenn es dazu eine klare rechtliche Verpflichtung gibt. Diese definieren Gerichte, nicht Datenschützer.
Die DSGVO selbst regelt Cookies nicht deutlich, aber die deutschen Datenschützer, genauer gesagt die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK), haben bereits im April 2018 eine Positionsbestimmung (der verlinkte Download ist ein PDF) veröffentlicht, in dem sie in Punkt 9 fordern:
Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung i. S. d. DSGVO 8, in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, d. h. z. B. bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.
Positionspapier der DSK
So weit, so gut. Leider wurde dies vielfach als Pauschalverurteilung von Cookies ausgelegt, als wären Cookies ausschließlich Datensammlungs-Werkzeuge, was technischer Unsinn ist. Die weitaus meisten Cookies dienen technischen Zwecken und ohne sie wären weite Teile des Internet nicht funktionsfähig. Da die wenigsten Webseitenbetreiber jedoch verstehen, ob und welche Cookies sie setzen, wurden vermeintlich „DSGVO-konforme“ Cookie-Hinweise flächendeckend umgesetzt.
Im April 2019 wurde seitens der DSK ein ergänzendes Dokument (ebenfalls ein PDF) veröffentlicht, das zusätzliche Klarheit schaffen soll. Immerhin wird dort deutlich hervorgehoben:
Die Nutzung von Cookies ist nicht per se einwilligungsbedürftig. Entsprechende Banner sollen daher nur eingesetzt werden, wenn tatsächlich eine Einwilligung notwendig ist.
Orientierungshilfe der DSK
Der Augenmerk liegt auf Cookies, die dem Tracking dienen, und vor allem auf solchen, die das Tracking über mehrere Webseiten ermöglichen. Im Grunde dürften damit Webseiten, auf denen keinerlei Nutzungsstatistiken geführt werden und auch keine entsprechenden Sammelfunktionen Dritter (z. B. Google, Facebook…) implementiert wurden, auch keine Veranlassung haben, einen Cookie-Hinweis vorzuschalten.
Die Datenschützer fordern, dass Tracking-Cookies einen vorgeschalteten Opt-In benötigen, der folgende Funktionalitäten aufweist:
Der Cookie-Hinweis muss überall (nicht wie so oft nur auf der Startseite, die nur selten wirlich die erste Seite ist, die ein Besucher sieht) beim ersten Betreten der Webseite eingeblendet werden.
Der Cookie-Hinweis muss verhindern, dass Tracking Cookies gesetzt sowie entsprechende Skripte ausgeführt werden, solange der Hinweis nicht ausdrücklich angenommen wurde. Trotzdem muss die Webseite vollumfänglich benutzbar bleiben.
Der Cookie-Hinweis muss alle Tracking-Cookies und -Techniken auflisten und deren Sinn und Verwendung beschreiben. Sie müssen einzeln zur Zustimmung auszuwählen sein und dürfen nicht vorausgewählt sein.
Die Einwilligung in die Verwendung der Cookies muss dokumentiert werden.
Um eine erneute Einwilligung unnötig zu machen, muss die Einwilligung in einem Cookie (!) im Browser des Besuchers gespeichert werden. (Wobei Cookies immer Verfallsdaten haben, für die Ewigkeit ist diese Speicherung also selten.)
Eine spätere Rücknahme der Einwilligung muss möglich sein.
Die meisten Cookie-Hinweise, denen man im Internet begegnet, entsprechen nicht mal einer dieser Voraussetzungen.
Der besondere Irrsinn ergibt sich aber aus der Dokumentationspflicht für die Einwilligung, welche die DSGVO vorsieht. Nehmen wir an, Helga Musterfrau betritt meine Seite und willigt zu Anfang in die Erfassung ihres Besuchs mittels meiner Matomo-Statistik ein. Die Statistik erfasst ihrerseits jedoch nur eine unvollständige IP-Adresse, der ein Oktett fehlt. Dies geschieht, da IP-Adressen nach deutschem Recht zu den persönlichen Daten gehören, weshalb es nicht rechtens ist, sie ohne guten Grund vollständig zu speichern. Da ich für mich keinen solchen Grund sehe, wird die IP-Adresse anonymisiert, indem ein Teil davon abgetrennt und nicht gespeichert wird. Das war übrigens auch schon lange vor der DSGVO so.
Aber nehmen wir nun weiterhin an, dass Helga Musterfrau von ihrem Auskunftsrecht Gebrauch macht und mir vorwirft, ihren Besuch gegen ihren Willen aufzuzeichnen. Laut DSGVO muss ich ja seinerzeit die Einwilligung dokumentiert haben. Ich muss also mindestens ihre IP-Adresse vollständig speichern, wobei diese aber nur mithilfe eines richterlichen Beschlusses und der Strafverfolgungsbehörden beim Provider mit einer Person in Verbindung zu bringen ist (übrigens dem Anschlussinhaber, was nicht unbedingt Frau Musterfrau sein muss; es könnte ein Familienanschluss oder gar eine ganze Firma dahinter stecken). Also müsste ich doch eigentlich wohl die Einwilligung durch Abfrage des Namens des Einwilligenden inkl. Mail-Adresse und Double-Opt-In als Schutz gegen Schindluder erfragen. Mit anderen Worten: Die Dokumentation der Einwilligung zwingt mich dazu, persönliche Daten zu sammeln, die ich eigentlich gar nicht haben möchte: deutlich mehr Daten als zuvor.
Gerade deshalb sind Cookie-Hinweise meines Erachtens Blödsinn. Wer Tracking für sich als Internet-Benutzer verhindern will, kann dies viel komfortabler über Browser-Plugins wie Ghostery und die browsereigenen Do-Not-Track-Funktionen lösen.
Würde ich meine selbst gehostete Matomo-Trackinglösung, deren Daten nur ich zu Gesicht bekomme, vorab zur ausdrücklichen Annahme anbieten, könnte ich sie auch gleich deinstallieren. Webseitenstatistik bietet ohnehin schon keine sehr verlässlichen Zahlen, sondern primär nur Tendenzen, aber wenn nur noch jeder x-te Besucher der Datenerfassung zustimmt, auch wenn ich sie und ihre Ungefährlichkeit genau erkläre, dann verliert sie jeden Nutzen. Und das wirkt sich dann negativ auf die Qualität der Seite und der Beiträge aus, da ich nicht mehr nachvollziehen kann, wie oft welche Inhalte gelesen werden.
Ich hoffe, dass die wohl 2020 kommende Neufassung der e-privacy-Verordnung dieses Chaos etwas lichtet und mehr Hirn in die Veranstaltung bringt. Obwohl… Von Politikern ist das wohl zuviel verlangt. Aber die Hoffnung stirbt zuletzt.
In meinem nächsten Beitrag werde ich erläutern, mit welchen Mitteln Webseitenbetreiber prüfen können, welche Cookies ihr System überhaupt setzt und wann es dies tut.
Wenn Sie weietr mit Cooki2 operiren werde och die Seite nicht mehr aufrufenRE E2 nervt unendlich.