Cookie-Opt-In jetzt Pflicht

Der Schwachsinn, der anscheinend 90% des politisch-rechtlichen Datenschutzes ausmacht, geht in die nächste Runde: Der Europäische Gerichtshof hat geurteilt, dass Tracking-Cookies grundsätzlich einen Opt-In brauchen. Gut, mit der kommenden e-Privacy-Verordnung wäre das vermutlich sowieso passiert. Der Schwachsinn liegt auf der Betonung von Cookies statt Tracking. Cookies haben viele Zwecke, nicht alle dienen der Speicherung persönlicher Daten oder dem Tracking. Und Tracking geht auf viele Weisen, nicht nur mit Cookies.

Auch Kommentare zu diesem Urteil betonen leider viel zu sehr die Cookies, ohne eine Anleitung zu geben, was denn nun eigentlich Tracking Cookies sind. Leider dürfte es ebenfalls fraglich sein, ob Abmahner, Datenschützer, Richter diesen Unterschied wirklich machen (können / wollen).

Es ist absehbar, dass mit der Verbreitung von Informationen über dieses Urteil wieder, wie schon bei der DSGVO-Einführung vor einem Jahr, breite Panik ausbricht, gerade unter kleinen Webseitenbetreibern, die weder technisch noch finanziell in der Lage sind, die Situation zu beurteilen oder gar eine Abmahnung oder Strafe zu zahlen. Auch jetzt wird es womöglich wieder zu einem Webseitensterben kommen.

Währenddessen tracken die Großen einfach weiter, oder es kommt noch besser: sie implementieren tatsächlich einen Opt-In, der jetzt schon nervt und in Zukunft noch viel mehr nerven wird, wodurch ein Klick-Reflex entsteht. Jeder Cookie-Hinweis wird akzeptiert (ganz ehrlich, bei mir ist es in 90% der Fälle schon so weit), und dahinter kann man dann fröhlich noch viel mehr und tiefergehendes Tracking betreiben, denn man hat ja die Einwilligung. Das Kleingedruckte hat eh keiner gelesen.

So wird die DSGVO zu einem Datenschutzfiasko.

Tracking auf dieser Webseite

Auf meiner Seite gab und gibt es nur ein Tracking-Werkzeug: die Statistiksoftware Matomo (früher Piwik), die mir zeigt, welche Beiträge und Seiten gelesen werden, welche Wege Besucher durch die Webseite nehmen, wie viel Zeit sie für die Lektüre aufwenden. Diese Statistiksoftware speichert diese Daten auf meinem eigenen Webspace, wo sie auch nur mir zugänglich sind. Sie setzt ein Cookie. Brauche ich nun ein Cookie-Opt-In?

Sehr wahrscheinlich ja, aber was wären die Folgen? Wie kann ich es sinnvoll umsetzen?

Ich könnte das Opt-In, wie sehr oft üblich, zum Beispiel unfair gestalten: große, schöne „Akzeptieren“-Schaltfläche, Aufklärung und Ablehnung aber erst im Kleingedruckten hinter einem unauffälligen kleinen Textlink. Ich denke, die meisten genervten Besucher werden auf „Akzeptieren“ klicken. Genau so einen Opt-In haben Sie wahrscheinlich weggeklickt, wenn Sie den eingangs verlinkten Blog-Beitrag von Dr. Schwenke zu dem Urteil geöffnet haben.

Oder ich gestalte das Opt-In fair und ermögliche Akzeptanz und Ablehnung gleichberechtigt sofort und deutlich. Technisch korrekt wäre es wohl dann, wenn diese Ablehnung dazu führen würde, dass Matomo keinerlei Daten mehr erfasst. Außerdem dürfte es bis zur ausdrücklichen Annahme ebenfalls keine Daten erfassen. Und der Cookie-Opt-In sollte außerdem auch dann die Benutzung der Seite erlauben, wenn man ihn nur ignoriert und nicht beantwortet. (Nebenbei, ich kenne keine derartige funktionierende Umsetzung in freier Wildbahn.) Die Folge wäre, dass ich die Statistik auch gleich abschaffen könnte, worunter die Qualität der Webseite leiden würde, da ich nicht mehr erführe, was die Besucher eigentlich interessiert. Immerhin bräuchte ich nach der Abschaffung der Statistik keinen Opt-In mehr.

Ich habe mich aber für einen dritten Weg entschieden: wenn ausdrücklich ein Cookie-Opt-In gefordert wird (anstelle eines Tracking Opt-Ins), dann setze ich eben kein Cookie mehr und tracke einfach ohne weiter. Ätsch. Das geht in Matomo einfach. Das Skript wird um eine Zeile erweitert:

  _paq.push(["setDomains", ["*.computer-service-remscheid.de"]]);
  _paq.push(['disableCookies']);
  _paq.push(['trackPageView']);
  _paq.push(['enableLinkTracking']);

Interessant ist hier die zweite Zeile: Cookies werden abgeschaltet. Die Folge ist, dass Besucher der Webseite weiterhin auf der Seite getrackt werden, aber sie werden bei einem späteren Besuch nicht wiedererkannt. Für mich ist das keine wesentliche Funktion. Notfalls würde es auch manuell gehen: schließlich meldet der Browser seine Version, sein Betriebssystem, die Monitorauflösung, Spracheinstellungen und noch ein bisschen mehr, da kann man schauen, ob so jemand schon mal da war.

Gerade jetzt, während ich dies verfasse, ist jemand aus USA mit Windows Vista (verrückt!) und Internet Explorer 9 (noch verrückter!) mit einem ollen 4:3-Monitor und der vorsintflutlichen Auflösung von 1024×768 auf meiner Seite unterwegs. Er war vor über einer halben Stunde schon mal da und interessiert sich für Linux-Themen. Es besteht also Hoffnung für ihn. Wohlgemerkt, diese Infos erhalte ich ohne Cookies und mit anonymisierter IP-Adresse, lediglich die Vermerkung als wiederkehrender Besucher in der Statistik entfällt zusammen mit dem Cookie. Aber der Forderung, keine Tracking Cookies zu setzen, ist Genüge getan.

Sollte Ihnen persönlich das zu unheimlich sein, dürfen Sie gerne auf meine Datenschutzerklärung springen und dort das Tracking durch Matomo ganz unterbinden. Das setzt dann aber ein unvermeidliches Cookie bei Ihnen, denn jetzt MUSS Matomo Sie ja wiedererkennen können, damit es Sie auch weiterhin nicht trackt. Brauche ich jetzt doch ein Cookie-Opt-In? Sind die Kopfschmerzen bereits unangenehm?

Es gibt sicher auch einige andere tiefergehende Informationen, die Matomo mit Cookie ermitteln kann, die für mich aber nicht relevant sind. Beispiel: Kunde, der gestern auf der Seite war und sich Produkt X angesehen hat, ist durch Retargeting-Anzeige Y auf Webseite Z auf Landing Page A erneut angekommen und hat dann gekauft. Auch solche Infos sind für Shop-Betreiber sinnvoll, da sie sehen, welche Marketing-Maßnahmen Früchte getragen haben.

Wenn solches Tracking nicht mehr erlaubt ist oder durch Ablehnung von Tracking Cookies verhindert wird, entsteht eine Situation, die ich zur besseren Einordnung einmal in die nicht-digitale Welt übertragen möchte:

Sie betreten einen Laden. Das Licht schaltet sich ein, Sie sehen Gänge mit Waren. Niemand außer Ihnen ist gleichzeitig anwesend. Gleich neben dem Eingang steht ein schwarzer Kasten, 2 m hoch. Darin befindet sich der Ladenbesitzer. Nur mit ihrer Zustimmung darf der Ladenbesitzer den Kasten verlassen und Sie bedienen. Sie stöbern stattdessen nur herum, schauen sich bestimmte Dinge an, andere nicht, dann gehen Sie wieder, ohne etwas zu kaufen. Welche Waren Sie interessieren, welche nicht, warum Sie nichts gekauft haben, dass Sie überhaupt da waren, nichts davon erfährt der Ladenbesitzer, wenn Sie ihn nicht aus dem Kasten holen. Haben Sie dadurch etwas gewonnen? Oder hat nur der Ladenbesitzer wertvolle Information verloren?

Statt idiotischer Verbote oder Opt-In-Verpflichtungen, die das Internet nur allgemein unerfreulicher machen, hätte man auf Aufklärung setzen sollen. Browser haben „Do-Not-Track“-Optionen, die der Benutzer einschalten kann und die Webseitenbesitzer beachten könnten. Plugins wie Ghostery oder das etwas paranoide, aber häufig aktivierte automatische Löschen sämtlicher Cookies beim Beenden des Browsers können das Tracking über mehrere Webseiten und Sitzungen hinweg ebenfalls unterbinden. Der Internet-Benutzer hat bereits jetzt wesentlich bessere Werkzeuge zur Verhinderung von Tracking in der Hand, als es ein Cookie-Opt-In jemals sein kann.