Berechtigtes Interesse

Das Jahr 2020 war neben COVID-19 für mich das "Cookie Popup-Jahr", weil aufgrund einer neuen Rechtslage nun Webseiten von Besuchern aktiv die Einwilligung zum Setzen von Cookies einholen müssen. Es ist zugleich ein Beispiel, wie handwerklich unsauber Gesetze gemacht werden, denn es hat sich natürlich nichts gebessert. Insbesondere die Definition von "Berechtigtem Interesse" ist wachsweich.

Wie würden Sie sich verhalten: Sie gehen zum Einkaufen und ihnen folgt ungefragt ein "Schatten" und protokolliert ihre Aktivitäten. Ich würde dieses Geschäfts zukünftig meiden. Aber dann folgt ihnen Schatten in weitere Geschäfte. Ist das nicht "Stalking"? Genau das machen aber immer mehr Webseiten, indem Sie trotz Cookie-Banner einfach ein "berechtigtes Interesse" definieren.

Ich bin mittlerweile erschrocken, wie sogar angeblich "seriöse" Zeitungen und Zeitschriften ihren Ruf durch solche "Optimierungen" in Gefahr bringen und jeglichen Anstand verlieren.

Wenn ein Haushalt eine "Kamera" aufstellt, um Besucher aufzuzeichnen, dann macht er sich in einigen Fällen strafbar. Wenn ein Websurfer sich informiert, dann ist das digitale Nachverfolgen problemlos?

Worum geht es?

Cookie sind für die Funktion vieler Webseiten unerlässlich, und im Grund ja auch nicht schlecht. Ein Webserver kann dem Besucher eine Information übergeben, die dessen Browser in der Folge immer wieder mitschickt. So kann die Webseite zum Besucher eine "Sitzung" zuordnen. Allein die IP-Adresse ihres PCs ist dazu ja nicht ausreichend und mit jeder Anfrage immer wieder z.B. Anmeldedaten mit zusenden wäre nicht sicher. Daraus lässt sich ein "Berechtigtes Interesse" ableiten. Die meisten Anbieter fordern daher ihre Zustimmung für drei Klassen:

Klassifizierung Zustimmung
Beschreibung

Berechtigtes Interesse

Nicht abwählbar

Cookies, die für die Funktion der zwingend erforderlich oder für den Betreiber wichtig sind. Aus meiner Sicht könnte ich da drei Beispiele aufführen:

  • Warenkorb-Cookies
    Wann immer sie etwas in einen Warenkorb legen, muss der Webserver diesen Inhalt sich ja merken. Am einfachsten geht dies durch ein Cookie, der die Sitzung wiedererkennbar macht. Wenn der Coockie einige Tage gültig ist, können Sie sogar nach einem Neustart wieder dort fortsetzen, wo sie aufgehört haben. Das ist einfacher als Sie zu einer "Anmeldung" zu zwingen.
  • Identity/Anmeldecookies
    Wenn Sie sich an einer Webseite mit Benutzername und Kennwort anmelden, dann setzt der Anbieter meist einen Identitätscookie, damit in der Folge keine Anmeldedaten mehr übertragen werden und mit einer kurzen Lebenszeit ist auch eine automatische Abmeldung bei Inaktivität eingebaut.
  • Besucherstatistik
    Solche Cookies sind genaugenommen schon grenzwertig aber würde ich noch tolerieren, denn wenn ich die gleiche Seite mehrfach abrufe, dann kann die Webseite nur mit einem Cookie erkennen, dass ich der gleiche Besucher bin und Mehrfachzählungen verhindern.. Allerdings kann damit die Webseite auch meinen "Pfad" durch die Webseite nachverfolgen. Das ist aber für Seiten, an denen ich mit sowieso anmelde (z.B. Amazon etc.), eh nicht zu vermeiden.

All diese Cookies sind aber "First Party Cookies", d.h. sie kommen bei eine guten Design von der Webseite, die ich aktiv besuche und deren Adresse auch im Browser steht.. Aber auch diese "Tracking-Leistung" wird oft fremd eingekauft, so dass sie bei diesen "Anbieter" schon Spuren hinterlassen, ohne dass Sie zugestimmt haben oder dies abwählen können. Das sehe ich kritisch, wenn diese Anbieter von vielen Seiten einbezogen werden und damit ein umfangreicheres Bild bekommen.

Funktionale Cookies

Optional

Neben den "notwendigen" Cookies gibt es auch Dinge, die eine Webseite beim Benutzer für zukünftige Zugriffe hinterlegen will, die über das zwingend Notwendige hinaus gehen. Das können "Vorschläge" sein oder Tipps, besondere Aktionen beim ersten Besuch.

Wobei man hier natürlich zwischen dem "berechtigten Interesse" des Anbieters und des Besuchers streiten kann. Oft wird damit geworben, dass ein Abschalten dieser Cookies zu einer "weniger zielgruppengerechten Werbung" führt. Ich bin gerade kein Freund von "Filterblasen". Es ist eher umgekehrt, dass Werbung für Produkte eingeblendet wird, die ich vor kurzem schon gekauft habt. Das zeigt mir eher, dass der Algorithmus lange noch nicht ausgereift ist und welche Webseiten den gleichen Anbieter nutzen.

Marketing Cookies/3rd Party

Optional

Und dann gibt es noch die 3rd Party-Komponenten, die eigentlich nur dazu dienen, mehr über den Besucher zu ermitteln, um mit den Daten Geld zu verdienen. Wenn Sie als Besucher eine Webseite besuchen, für die sie nicht direkt als Abonnement oder indirekt als Käufer der Produkte etwas zum Gewinn beitragen, dann bezahlen Sie eben mit ihren Daten. Der Betrieb einer Webseite ist ja mit Kosten verbunden, die dann durch den Verkauf von Daten gegenfinanziert werden müssen. Das muss ihnen bei jeder "kostenfreien" Funktion im Internet aber auch bei Smartphone-App" bewusst sein.

Daher binden Webseiten-Betreiber Inhalte von anderen "Inhaltsanbietern" ein, für die der Betreiber dann Geld bekommt. Dass kann einfach Werbung sein aber natürlich hinterlassen Sie Spuren bei den Anbietern der eingebundenen Inhalte. Die kommen nämlich nicht direkt von der von ihnen besuchten Seite sondern anderen Webservern. Wenn Sie dann z.B. auf 10 unterschiedlichen Webseiten unterwegs sind, die aber alle die gleichen Werbenetzwerk einbinden, dann hat dieser Anbieter viel mehr Informationen von ihnen, als jede einzelne besuchte Seite.
Allerdings wird dieses Modell auf Basis von Coockies immer schwerer, da die klassischen "3rd Party Cookies" von Browsern und Add-Ons mehr und mehr unterbunden werden

Tipp:
Nutzen Sie aktiv den "privaten Modus" ihres Browsers als neuen Standard. Damit werden zwar nicht alle Spuren verhindert aber mit dem Neustart des Browsers sind die gespeicherten Cookies erst einmal wieder weg, d.h. die Nachverfolgung über Sitzungen hinweg ist deutlich erschwert. Aber Achtung: Ihr normale und der private Browser nutzen die gleichen öffentliche IP-Adresse und können so wieder "verknüpft" werden. Das Risiko sind die von mehreren Anbietern genutzten "Werbenetzwerke".

Ich nutze auf der MSXFAQ auch Cookies (Cookies auf der MSXFAQ), die eine bessere Zählung der Seitenbesuche mit Google Analytics ermöglichen. Eine weitere Analyse oder gar Verkauf der Daten oder andere Monetarisierung findet nicht statt. Ich kann aber nicht genau sagen, welche weiteren Rückschlüsse Google aus den Daten gewinnen kann. Vielleicht helfen die Abrufe bei der Klassifizierung in der Google Suche. Sie können aber die MSXFAQ auch mit komplett blockierten Cookies uneingeschränkt nutzen.

Berechtigte 3rd Party Zugriffe?

Für Anbieter von Informationen auf Webseiten gilt es nun zu entscheiden, welche Cookies sie wie klassifizieren und welche Optionen der Besucher beim ersten Zugriff angezeigt bekommt. Webseiten mit Anmeldung, z.B. Amazon etc., brauchen hier weniger Cookies, da Sie ja schon mehr von ihnen als Besucher kennen als eine Nachrichtenseite. Das "Problem" haben also eher die Betreiber, die ganz wenig vom Kunden wissen.

Wenn aber die Besucher einer Webseite gar nicht wissen, was es mit den Cookies auf sich hat, dann können Sie auch nicht bewerten, welche Seite "seriöser" ist und welche Seite "rücksichtsloser" seine Besucher ausspäht. Daher wird der Anbieter mit der sparsameren Voreinstellung keinen Vorteil bei den Besuchern haben aber viel mehr Nachteile bei den Einnahmen. Aus Sicht der Gewinnmaximierung ist es daher eher üblich, jede Gelegenheit mitzunehmen.

Wie in der Einleitung schon geschrieben, bin ich mittlerweile enttäuscht von dem Verhalten immer weiterer Webseiten, die über den Cookie-Dialog dem Besucher nur noch subjektiv den Eindruck geben, dann er etwas bestimmen könnte. Wenn ich auf eine Webseite gehe und bewusst beim Cookie-Dialog nicht auf "zustimmen" klicke sondern ablehne, dann erwarte ich, dass genau die 3rd Party Cookies, über die überall geschrieben wird, nicht eingesetzt werden.

Beispiel: Welt.de

Ich habe nichts persönlich gegen die Tageszeitung und es ist nur ein exemplarisches Beispiel vom 26. Dez 2020. Bitte die Ausführung nicht als "Welt-bashing" falsch interpretieren. Anscheinend arbeiten viele Zeitungen und Zeitschriften nach dem gleichen Schema.

Es ist aber schon ein Unterschied, ob man eine Webseite im Ausland besucht oder eine Webseite im Deutschland mit einem deutschen Betreiber. Ich habe dazu am 26. Dez 2020 einen Artiel der "Welt" unter der Url https://www.welt.de/print-welt/article574497/Weltweiter-Wirbel-um-Webwasher.html aufgerufen. Sie sehen eine zu der zeit "übliche" Webseite mit Werbung oben, rechts, im und unter dem Artikel. Damit werden Sie immer leben müssen, wenn Sie statt mit Euro mit ihren Daten zahlen.


Quelle: https://www.welt.de/print-welt/article574497/Weltweiter-Wirbel-um-Webwasher.html

Die Frage ist nun nur, wie der Anbieter diese Information ausliefert. Daher habe ich im Hintergrund die Chromium-Developertools (F12) gestartet und einen Netzwerktrace mitlaufen lassen:

Noch ehe der "Cookie-Consent" kommt, hat die Homepage schon jede Menge Daten von welt.de aber auch vielen anderen Seiten bezogen. Eine Webseite kann nämlich durchaus Inhalte auch von anderen URLs "einbinden". Das ist üblich und im Grunde nicht verwerflich, um z.B. statische Inhalte wie Logos, Schriften, Bilder, StyleSheets u.a. von anderen Servern in der Nähe des Besuchers auszuliefern und den eigentlichen Webserver damit nicht zu belasten. Allerdings nutzt Welt.de dazu nicht nur ihre eigenen Hostnamen sondern auch schon 3rd-Party Dienstleister. Hier ein paar der URLs, die ohne vorherige Rückfrage nachgeladen wurde

  • https://yagiay.com/img/deutschland/crop140132097/4978400654-ci5x10s-w450/promotools/Bilder-zur-Campus-Elite-Uni-GoettingenKBVSR.jpg
    Diese URL kommt mir von meiner Seite zu Web-Werbung auf welt.de sehr bekannt vor. Diesmal ist es ein schwarzes Bild. Allerdings hat der Name in der URL definitiv nichts mit dem Inhalt der angezeigten Webseite zu tun und dient wohl eher der Suchmaschinenoptimierung.
  • https://www.asadcdn.com/*
    Lädt mit 29 Request  einzelne JavaScript-Dateien mit gesamt ca. 17Kbyte nach.
  • https://eu-tlp03.kameleoon.com/visit.gif?lp=1&p=xxxxxxxxxxxx
    Das dürften "Zählpixel" sein, von denen 11 unterschiedliche GIF-Dateien mit 142 Bytes pro Datei geladen werden.
  • https://confiant-integrations.global.ssl.fastly.net/xxxx/axel/config.js
    3 Javascript, die ebenfalls mit Werbung was zu tun haben
  • https://cdn.privacy-mgmt.com/Notice.c3b1a.js
    JavaScript kommt auch von der Domain privacy-mgmt.com. Angeblich registriert von einer Firma PERFECT PRIVACY, LLC die sich hinter dem Anonymisierungsdient von Network Solution versteckt.
  • https://ssl-welt.met.vgwort.de/blank.gif
    Dass auch ein Zählpixel der VGWort eingebunden wird, dürfte bei all den anderen Zugriffen noch verschmerzbar sein. Wobei der bei mir sogar aus dem Diskcache gekommen ist

Denken sie daran, dass Sie schon vor der Bestätigung des "Cookie-Banners" nicht nur Daten von "welt.de" und weiterer Unterdomains abrufen, sondern auch bei den anderen eingebundenen Anbietern entsprechende "Spuren" hinterlassen.

Würden Sie beim Zugriff auf "welt.de" erwarten, dass der Betreiber ihren PC anweist, Skriptcode einer andere Domäne einzubinden und auszuführen?

Natürlich sehen Sie dann im Browser das "Cookie Consent"-Fenster, welches den normalen Besucher zu "geht mir weg" -Handlung verführen soll und er doch bitte "Alle akzeptieren" klicken sollte.

Der Button "Einstellungen oder ablehnen" ist natürlich weniger sichtbar und jeder Lektor würde mir den Text ankreiden. Auch der Hinweis zu "berechtigtem Interesse" ist darunter zu sehen. Also klicken wird doch mal und der nächste Dialog suggeriert, dass alle Einstellungen nun "ausgeschaltet" sind. Die wirken aber nur, wenn Sie auch "Ablehnen wie ausgewählt" klicken und nicht doch noch auf " Alle akzeptieren". Ein Schuft, der böses dabei denkt.

Aber was lehnen wir denn hier eigentlich ab? Der Link unter "Berechtigtes Interesse" ist schon sehr unauffällig und dort kommen wir auf den dritten Dialog. Hier sind doch wieder alle zusätzlichen Optionen aktiv.

Sie können natürlich auch wieder die Optionen abschalten aber freuen Sie sich nicht zu früh. Ich habe exemplarisch den Punkt "Marktforschung einsetzen.." geöffnet, den sie abschalten können.

Hier wird dann erstmals genannt, dass die Firma "Zeta Global" auch Daten nutzen darf. Der Verweis hinter der Firma geht auf deren "privacy policy" https://zetaglobal.com/privacy-policy/, aus der ich mal zwei Sätze zitiere:

For users based in the European Economic Area (EEA) we may share your personal data within the Zeta Group or with external third parties. This may involve transferring your data outside the EEA, including (but not limited to) the United States or India.
Quelle https://zetaglobal.com/privacy-policy/

Als Steigerung wird auch ein "No Not Track" mit der Begründung ignoriert, dass es ja kein Standard sei.

Currently, various browsers – including Internet Explorer, Firefox, and Safari – offer a “do not track” or “DNT” option that relies on a technology known as a DNT header, which sends a signal to Web sites’ visited by the user about the user’s browser DNT preference setting. Zeta does not currently commit to responding to browsers’ DNT signals with respect to the Company’s Web sites, in part, because no common industry standard for DNT has been adopted by industry groups, technology companies or regulators, including no consistent standard of interpreting user intent.
Quelle: https://zetaglobal.com/privacy-policy/

Wie stellt sich eigentlich eine Redaktion einer Tageszeitung auf, die solche Dienstleister nutzt? Da die bisher schon eingebundenen Dienstleister für Tracking und Werbung aus dem europäischen Raum wohl nicht gut genug sind, zwingt die Webseite des ungeübten Besuchers dazu, deine Daten auch noch an eine amerikanische Firma auszuleiten.

In schlechter Gesellschaft

Die Welt ist leider nicht die einzige Zeitschrift und wenn Sie sich andere Seiten anschauen, dann gibt es sogar eine frappierende Ähnlichkeit der Dialoge:

  • Sueddeutsche.de  (26. Dez 2020)
  • faz.de
  • bild.de

Und das ist nur eine Stichprobe an einem Tag von drei Zeitschriften. Der Dialog ist bei allen Zeitungen frappierend ähnlich. Vielleicht haben Sie nur voneinander abgeschaut oder sie nutzen nur zufällig den gleichen Dienstleister für die "Cookie-Fenster"

In der Hinsicht könnte man fast von einer Gleichschaltung reden. Ob man aber Bild, FAZ und WELT in die gleiche Kiste stecken, überlasse ich ihnen.

Mein berechtigtes Interesse

Ich kann als Einzelperson sicher nicht das Verhalten von Anbietern direkt beeinflussen. Ich kann zwar darauf aufmerksam machen aber so viele Personen werden die MSXFAQ deswegen nicht finden und schon gar nicht lesen. Also bleibt mir nichts anderes übrig, als den Zugriff auf andere Domains und deren Cookie-Nutzung zu unterbinden.

Ja, es kann sein, dass einige Webseiten damit unbenutzbar werden. Dann kann der Inhalt aber gar nicht so wichtig sein oder lenkt sogar eher ab.
Aber wenn mich jemand "stalkt", dann muss er damit rechnen, dass ich etwas dagegen unternehme. Da kann aber nur ein Bruchteil der "Websurfer" und daher wäre es mal an der Zeit, dass die Hausordnung (namentlich Gesetze) an die neuen Gegebenheiten angepasst werden.

  • Browser Einstellungen
    Zuerst sorge ich dafür, dass meine Browser, soweit mit Bordmitteln oder 3rd-Party Add-Ons möglich, diese Daten gar nicht mehr anfordern oder ich zustimmen muss. Beim Edge ist das die strenge Einstellung

    Beim Chrome ist es etwas mehr

    Leider muss man das ja pro Browser und Profil immer wieder einstellen, denn natürlich sind die Defaults erst einmal "Provider-freundlich". Es hilft natürlich nicht gegen den Zugriff auf fremde URl's
  • Hosts//URL-Blocker
    Natürlich könnte man die Hostnamen dieser "unerwünschten Gegenstellen" einfach per DNS-Blockade unerreichbar machen, sei es per Hosts-Datei auf jedem Endgerät oder per DNS-Server wie z.B. Pihole (https://pi-hole.net/). Auch ein Browser-AddOn könnte schon die HTML-Seite so anpassen, dass die unerwünschten URLs gar nicht erst sichtbar werden.
  • NoScript
    Die meisten Aktionen erfolgen durch Skripte im Browser und dazu gibt es. z.B. mit NoScript eine Erweiterung, mit der ich pro Domain einstellen kann, von wo Skripte ausgeführt werden. Interessant ist dabei, dass die meisten Webseite dann erst einmal kein "Cookie-Banner" mehr zeigen.
  • Spuren beseitigen
    Gerade die Cookies funktioniert ja derart, dass der Browser die Cookies einer Domain immer wieder an die Webseite sendet, auch wenn der Browser zwischenzeitlich neu gestartet, der PC gebootet oder sich ihre IP-Adresse geändert hat. Eine Wiedererkennung wird erschwert, wenn Sie am Ende eben diese Spuren löschen. Aber da es noch andere Verfahren des Trackings gibt, ist dies nur ein Teil der Strategie.
  • Tor
    Wenn Sie ihre Spuren noch weiter verschleiern wollen, dann bleibt nur der Tor-Browser samt Tor-Netzwerk, so dass die Betreiber noch weniger Daten bekommen. Neben der Verschleierung von IP-Adressen und Verschlüsselung der Übertragung zählt hier eher die im Tor-Browser eingebauten Funktion von NoScript und die automatische Löschung von Cookies am Ende der Sitzung

Leider sind diese Ansätze nichts für die Masse und daher eigentlich keine Lösung.

Zusammenfassung

In der Einleitung habe ich nicht nur die Cookies sondern auch die Einbindung anderer Webseiten als Kritikpunkt benannt. Aus meiner Sicht bewegen sich die Anbieter in mehrfacherer Hinsicht auf dünnem Eis. Ich bin mir sicher, dass die Gesetzgebung mit der "Cookie-Richtlinie" einen Zweck erreichen wollte, der so nicht mehr gegeben ist und die Einbeziehung von Quellen aus Staaten, die nicht der DSGVO unterliegen, zumindest fragwürdig ist. Ich sehe da schon eine Herausforderung beim Datenschutz.

Aber dass gerade die Organe des angeblich "seriösen Journalismus" so leicht sich verführen lassen, die Daten und Profile der Besucher zu verkaufen statt ein ordentliches Abrechnungsmodell zu etablieren, finde ich persönlich erschreckend. Ich persönlich informiere mich immer bei mehreren Quellen und würde es begrüßen, wenn ein einfacher bezahlter Zugang zu vielen Medien möglich wäre. Was spricht gegen eine "virtuelle Geldkarte", mit der Artikel sogar anonym bezahlt werden könnten? Ich "kaufe" bei einer Zeitung quasi ein "Gutscheinheft" und löse die Codes bei Bedarf ein.

Weitere Links