Ein Ding, das mir moderat auf den Wecker geht, sind diese Cookie-Disclaimer. Die sieht man auf vielen Websites. Sie informieren einen darüber, dass Cookies zum Einsatz kommen. Manchmal muss man der Verwendung der Cookies auch explizit zustimmen. Martin Steiger schreibt dazu auf cyon.ch.
Bei der sogenannten Cookie-Richtlinie handelt es sich um die europäische Richtlinie 2009/136/EG. Sie trat am 19. Dezember 2009 in Kraft und revidierte die bestehende europäische Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG). Da mit dieser Revision insbesondere die rechtlichen Voraussetzungen für die Verwendung von Cookies verschärft wurden, ist die Bezeichnung als Cookie-Richtlinie weit verbreitet.
In der EU gilt seit Inkrafttreten der Cookie-Richtlinie, dass Cookies nur noch verwendet werden dürfen, wenn die Nutzerinnen und Nutzer einer Website nach vorgängiger Aufklärung ihre Einwilligung erteilt haben (Opt-in-Prinzip, Informed Consent).
Die Auswirkungen für die Schweiz beschreibt Steiger wie folgt:
Als EU-Recht ist die Cookie-Richtlinie für Website-Betreiber in der Schweiz nicht direkt anwendbar. Da die meisten schweizerischen Websites aber Nutzerinnen und Nutzern aus der EU offen stehen sowie Cookies verwenden, empfiehlt es sich auch für Website-Betreiber in der Schweiz, die Cookie-Richtlinie der EU umzusetzen.
Für gängige Content Management Systeme (CMS) sind Plugins verfügbar. Für WordPress gibt es unter anderem «Cookie Notice» und «Cookie Law Info».
Websites, die andere Content-Management-Systeme nutzen, können das Script von cookieconsent.com einbinden.
Aber wie angedeutet: In meinen Augen ist das ein lästiger Bürokratie-Auswuchs, der obendrein einen widersinnigen Aspekt hat: Wenn man die Verwendung von Cookies ablehnt, wie wird diese Ablehnung wohl gespeichert? Genau, über ein Cookie.
Es bringt nichts, wenn wir Nutzer das Setzen von Cookies abnicken müssen
Abgesehen von diesem pikanten Detail bringt es nichts, dem Benutzer die Zustimmung oder Ablehnung zu den Cookies abzuverlangen. Und zwar aus folgenden Gründen:
- Das Problem sind nicht die Cookies an sich, sondern nur diejenigen Cookies, die nicht die Nutzung einer Website vereinfachen, sondern vom Website-Betreiber genutzt werden, möglichst viel über den Surfer und seine Wege durchs Netz herauszufinden. Das sind die Cookies, die von Dritten gesetzt werden und allenfalls auch die persistenten (also diejenigen, die die Browser-Sitzung überdauern). Diesbezüglich hilft vorwiegend die richtige Browser-Konfiguration².
- Cookies sind heute absoluter Standard. Laut Usage of Cookies for websites verwenden sie 45,8 Prozent aller Websites. Bezogen auf die «grossen» und «wichtigen» Websites dürfte der Anteil bei hundert Prozent liegen. Oder hat jemand einen wichtigen Webdienst, ein namhaftes soziales Netzwerk, eine einflussreiche Newssite oder ein beliebtes Portal gesehen, das auf Cookies verzichten würde? Hinweise auf die Cookies sind darum etwa so sinnvoll wie die Allergikerhinweise auf Milchpackungen, die darüber informieren, dass Milch Milch enthält.
- Die Nutzung von Cookies sagt nichts über die Intention des Website-Betreibers aus. Sollte ein Betreiber auf Cookies verzichten, heisst das nicht, dass er seine Nutzer nicht ausspioniert. Es gibt längstens andere Methoden zur Identifikation, insbesondere das Browser-Fingerprinting. Hier wird anhand der vom Browser über sich selbst und das System übermittelten Parameter (Plugins, Mime-Typen, installierte Fonts, Display-Einstellungen, etc.) eine eindeutige Kennung generiert. Wie gut das funktioniert, lässt sich bei Henning Tillmann nachlesen. Ob der eigene Browser einen eindeutigen Fingerabdruck hat, zeigt auch Panopticlick.
- Wenn der Nutzer den Einsatz von Cookies ablehnt, funktioniert die Website u.U. nicht mehr richtig oder nicht mehr komfortabel. Eine vernünftige Implementation der Cookie-Zustimmung müsste einen Hinweis darauf beinhalten, wozu die Cookies genutzt werden und mit welchen Auswirkungen der Nutzer zu rechnen hat, falls er seine Zustimmung verweigert.
Viel Aufwand, der wenig bringt
Fazit: Ein Aufwand für die Website-Betreiber und eine zusätzliche Ablenkung für die Website-Nutzer, die sich womöglich in falscher Sicherheit wiegen – also eine echte Pseudo-Massnahme, die Datenschutz bloss vorgaukelt. Sinnvoll sind klare Datenschutzrichtlinien auf Websites, die den Nutzer darüber informieren, welche Informationen über ihn gespeichert werden – und happige Strafen für diejenigen Sünder, die gegen ihre Richtlinien verstossen.
Fussnoten
1) Änderungen am Bild, gemäss der CC-Lizenz: Rand weggeschnitten, Bild gedreht. ↩
2) Wichtig ist, dass die Cookies von Drittanbietern gesperrt sind:
- Firefox: In den Einstellungen in der Rubrik Datenschutz wählt man die Chronik-Option Firefox wird eine Chronik nach benutzerdefinierteen Einstellungen anlegen und setzt unter der Option Cookies akzeptieren entweder Nur von besuchten Drittanbietern (die habe ich gewählt) oder Nie. Wirkungsvoll ist für Firefox auch die Option Behalten, bis Firefox geschlossen wird. Das kann die Nutzung Websites mit Login beeinträchtigen, aber es erhöht den Schutz der Privatsphäre markant. Im Abschnitt Verfolgung von Nutzeraktivitäten empfehle ich die Option Websites mitteilen, meine Aktivitäten nicht zu verfolgen. (Siehe Die Nicht-Verfolgen-Funktion einschalten)
- Google Chrome: In den Einstellungen auf Erweiterte Einstellungen anzeigen klicken, dann im Abschnitt Datenschutz die Schaltfläche Inhaltseinsteellungen betätigen und im Abschnitt Cookies die Option Drittanbieter-Cookies und Websitedaten blockieren anklicken. Im Abschnitt Datenschutz sollte ausserdem die Option Mit Browserzugriffen eine «Do Not Track»-Anforderung senden einschalten. (Siehe Datenschutzeinstellungen auswählen)
- Apple Safari: Via Safari > Einstellungen die Rubrik Datenschutz öffnen und dort bei Cookies und Website-Daten die Option Nur von Websites erlauben, die ich besuche setzen. An der gleichen Stelle gibt es die unbedingt einzuschaltende Option Tracking durch Websites ablehnen. (Siehe Safari 7 (Mavericks): Verwenden des Bereichs «Datenschutz» der Safari-Einstellungen)
- Internet Explorer: In den Internetoptionen im Reiter Datenschutz auf Erweitert klicken, die Option Automatische Cookieverarbeitung ausser Kraft setzen anklicken und die Option Cookies von Drittanbietern auf Blockieren setzen. Die Abwehr der Nachverfolgung wird beim Internet Explorer über die Zahnrad-Schaltfläche und Sicherheit > Tracking-Schutz aktivieren eingeschaltet. (Siehe Verwenden des Tracking-Schutzes in Internet Explorer)
Man kann es sich auch zur Gewohnheit machen, die Cookies regelmässig zu löschen. Das ist in anderem Zusammenhang im Beitrag Sich beim Browsen nicht ausbremsen lassen beschrieben. Es sei auch darauf hingewiesen, dass es Browser-Erweiterungen gibt, die das Tracking erschweren. Beispiele sind disconnect.me (Facebook abklemmen) oder Ghostery (Guck mal, wer da Daten sammelt). ↩
In eigener Sache. Wer nach einer Lösung sucht welche viele Einstellungsmöglichkeiten bietet sollte sich das http://cookieinfoscript.com etwas näher anschauen. Für Rückfragen stehe ich gern zur Verfügung.