Die Cookies der eigenen Webseite prüfen

In meinem letzten Beitrag habe ich meine Ansicht zu den allgegenwärtigen Cookie-Hinweisen dargelegt. In diesem Beitrag möchte ich nun zeigen, mit welchen Mitteln man prüfen kann, ob und zu welchem Zeitpunkt die eigene Webseite (oder auch andere) Cookies setzt.

Zuallererst ist es wichtig, dass keine Cookies der betreffenden Seite im Cookie-Speicher Ihres Browsers vorhanden sind. Jeder Browser bietet die Möglichkeit, vorhandene Cookies nach Seiten-Adresse aufzulisten und zu löschen. Nutzen Sie diese Möglichkeit, während die betreffende Seite nicht geöffnet ist, und löschen Sie alle vorhandenen Cookies.

Testen Sie später Ihre Seite nicht, während Sie dort eingeloggt sind – der Einlogg-Prozess setzt ebenfalls Cookies. Betreten Sie die Seite mit Ihrem Browser so, als wären Sie ein einfacher Besucher. Sie können auch den Privatmodus des Browsers nutzen, damit sich möglichst keine Voreinstellungen auswirken, die einen Einfluss auf die Darstellung haben könnten. Wenn Sie eine Do Not Track-Einstellung im Browser eingeschaltet haben oder solche Plug-Ins und Add-Ons wie Werbeblocker usw. nutzen, schalten Sie auch diese ab.

Tracking Cookies: Ghostery als Browser Add-On

Wie bereits im letzten Beitrag dargelegt, geht es den Datenschützern in erster Linie um Tracking Cookies, die also der Verfolgung von Benutzern auf Webseiten und auch über mehrere Webseiten dienen. Gefordert ist ein Opt-In für solche Cookies. Zuerst müssen wir also herausfinden, ob unsere Seite solche Cookies setzt. Bei CMS wie WordPress kann es z.B. sein, dass das verwendete Theme oder ein Plugin solche Cookies setzt, ohne dass wir es wissen.

Um das zu prüfen, installieren wir in den Browsern Firefox oder Chrome das Add-On Ghostery. Meine Beispiele in diesem Beitrag stammen alle aus Firefox, dürften aber analog auch für Chrome gelten. In Firefox macht sich das Plugin als kleiner blauer Geist oben rechts in der Adressleiste bemerkbar.

Ghostery ist ein Plugin, welches Tracking Cookies blocken kann, wodurch es wesentlich mehr für Ihre Privatsphäre tut als Cookie-Hinweise. Es bietet über Reiter oben eine einfache und eine Detailansicht. Meine Fotos im Folgenden sind Detailansichten.

Rufen Sie bei eingeschaltetem Ghostery zum Test die Webseite einer beliebigen überregionalen Tageszeitung auf. Vermutlich werden Sie, bis die Seite zu Ende geladen hat und wenn Sie bis ganz nach unten scrollen, irgendwo zwischen 20 und 80 Tracker finden. Was Sie wahrscheinlich eher nicht gesehen haben, ist ein Cookie-Hinweis. Die großen Tracker-Schleudern kümmern sich tendenziell eher nicht um solche Dinge.

Meistens werden die vorhandenen Tracker nicht einmal erschöpfend in der Datenschutzerklärung beschrieben. Übrigens sind auch viele behördliche Webseiten, insbesondere die von größeren Städten, oft voller solcher Tracker.

Rufen Sie nun Ihre eigene Seite auf. Falls Sie eine Statistik wie Matomo / Piwik oder Google Analytics verwenden, wird Ghostery das zugehörige Cookie anzeigen. Auch Affiliate-Programme usw. können Cookies setzen. Alles, was Ghostery anzeigt, muss zumindest ordentlich in der Datenschutzerklärung aufgeführt sein. Ghostery beim Aufruf meiner Seite:

Funktioniert der Cookie-Hinweis als Opt-In ordnungsgemäß?

Wenn Sie einen Cookie-Hinweis auf Ihrer Webseite einsetzen und alle Cookies Ihrer Webseite vor dem Aufruf gelöscht haben, dann sollte der Cookie-Hinweis beim Betreten der Seite erscheinen. Wenn Ghostery vor der ausdrücklichen Annahme der Tracking Cookies bereits welche anzeigt, werden diese Cookies entgegen der Aufgabe eines Opt-Ins bereits gesetzt. Kein Tracking Cookie darf vor der ausdrücklichen Annahme gesetzt werden, um einen Opt-In im Sinne der Datenschützer zu gewährleisten.

Bewegen Sie sich auf Ihrer Seite, ohne den Cookie-Hinweis zu akzeptieren. Wenn Ghostery weiterhin schweigt, ist ein erster Schritt getan.

Ihr System setzt jedoch vermutlich weitere Cookies, die nicht dem Tracking dienen. Diese können Sie auch prüfen. Dazu haben moderne Browser Entwicklerwerkzeuge an Bord. Im Firefox befinden sich diese in dem durch drei Striche dargestellten Menü ganz rechts in der Adressleiste. Der Menüpunkt „Web-Entwickler“ befindet sich unten in diesem Menü. Durch Klick darauf öffnet sich ein weiteres Menü, darin gibt es einen Eintrag „Web-Speicher-Inspektor“. Analog dazu in Chrome: Weitere Tools – Entwicklertools, darin „Application“ (Anwendung), Cookies.

Der Inspektor öffnet sich am unteren Rand des Browsers (ggfs. auch anderswo, das ist einstellbar). Links ist eine Liste der Elemente, die man sich ansehen kann, darunter eines namens „Cookies“. Wird dieser Eintrag aufgeklappt, erscheint eine Liste von Webseiten. Sämtliche Webseiten in dieser Liste außer Ihrer sind Dritte, die Cookies bei Ihnen setzen. Dabei muss es sich nicht zwingend um Datensammlung handeln. Wenn Sie eine der Webseiten anklicken, erscheint recht daneben eine Auflistung der zugehörigen Cookies. Die Liste zeigt Namen, Ablaufdaten, Inhalte und andere Daten an.

Leider kann es durchaus möglich sein, dass Tracking Cookies auch durch Ihre eigene Domäne gesetzt werden, ohne dass Sie es wissen. So gibt es beispielsweise WordPress-Themes, die ein Facebook Pixel als Teil ihrer Programmierung setzen. Ich habe auch schon welche gesehen, die ihre Arbeit einstellen, wenn man den zugehörigen Code entfernt.

Wenn Sie den Cookie-Hinweis Ihrer Seite noch nicht bestätigt haben, in dieser Liste aber Tracking Cookies auftauchen, so ist auch hier der Opt-In wirkungslos.

Wenn Sie nun den Cookie-Opt-In ablehnen, wird ein Cookie gesetzt. Das gleiche gilt bei Annahme – diese Cookies speichern die Entscheidung. Sie gehören zu den technischen Cookies und sind keine Tracker. Absurderweise habe ich schon viele Webseiten gesehen, bei denen gar keine Cookies gesetzt werden, abgesehen von dem Cookie des Cookie-Hinweises. In solchen Fällen ist der Hinweis wirklich völlig sinnfrei.

Korrektes Verhalten des Cookie-Hinweises

Wenn Sie einen Cookie-Hinweis mit Opt-In im Sinne der Datenschützer einsetzen wollen, prüfen Sie mittels der oben genannten Hilfsmittel dessen Funktion. Achten Sie auf folgende Punkte:

• Der Cookie-Hinweis muss auf jeder Seite angezeigt werden, nicht nur auf der Startseite.
• Kein Tracking Cookie darf gesetzt werden, sofern dem jeweiligen Cookie nicht ausdrücklich zugestimmt wurde.
• Jedes Tracking Cookie muss einzeln im Rahmen des Opt-Ins erläutert werden und einzeln wählbar sein. Was nicht gewählt wird, gilt als abgelehnt, nichts darf vorausgewählt sein.
• Verlinkungen zur Datenschutzerklärung oder weiteren Erläuterungen müssen funktionieren (selbst das wird oft nicht getestet und funktioniert nicht) und die Datenschutzerklärung muss dann auch relevante Informationen enthalten.
• Die Funktionalität der Webseite muss gewährleistet sein, auch ohne Einwilligung zu Tracking Cookies. Egal, ob der Hinweis ignoriert, weggeklickt oder abgelehnt wird, außer bei ausdrücklicher Einwilligung dürfen keine Tracking Cookies gesetzt werden.
• Der Cookie-Hinweis muss erreichbar bleiben, damit man eine erteilte Einwilligung auch widerrufen kann.

Bedenken Sie jedoch auch, dass jede Einwilligung zur Datenverarbeitung laut DSGVO eindeutig dokumentiert werden muss. Wie das gehen soll, ohne mehr und deutlichere persönliche Daten über den Besucher zu erfragen, erschließt sich mir nicht, wie ich in meinem vorigen Beitrag dargelegt habe.