Cookies auf der MSXFAQ

Auf dieser Seite erkläre ich, warum und in welchem Umfang die MSXFAQ mit Cookies arbeitet. Mit dem Besuch der Seite erklären Sie sich mit der Verwendung einverstanden. Sie können Sie aber gerne auf ihrem Browser verbieten. Weitere Details zu verarbeiteten Daten finden Sie auf Datenschutzerklärung.

Warum kein Cookie-Banner?

Auf der MSXFAQ werden Sie nicht durch ein Cookie-Banner gestoppt. Wenn ich andere Webseiten anschaue, dann ist das Banner genau genommen eine Auswahlbox, mit der Sie den Umfang der Cookie-Nutzung bestimmten sollen. Ehrliche Webseiten schalten nur die erforderlichen Cookies ein aber die Mehrzahl der Webseiten möchte natürlich, dass Sie allen Cookies zustimmen, damit das Tracking und die Werbeeinnahmen funktionieren. Das Ergebnis dieser Bestätigung wird natürlich ebenfalls in einem Cookie gespeichert. Sie können aber nie die "essentiellen" Cookies abschalten und wenn eine Webseite nur solche Cookies nutzt, dann braucht man doch keine Rückfrage.

Eine gut gemachte und faire Internetseite benötigt kein Cookie-Banner, weil sie nur technisch notwendige Cookies verwendet. Wenn Webseitenbetreibende aber unbedingt personenbezogene Daten sammeln wollen, dann dürfen sie sich eine Einwilligung dafür nicht mit unfairen oder rechtswidrigen Mitteln holen.“
Quelle: Bundesbeauftragte für Datenschutz und die Informationsfreiheit (BfDI) Ulrich Kelber.

Sofern Sie auf Ihrer Internetseite nur Cookies einsetzen, die für den technischen Betrieb der Webseite unabdingbar sind, benötigt Ihre Internetseite kein Cookie-Banner.
Quelle: IHK: Cookie-Banner: fünf Fehler, die Sie vermeiden sollten!
https://www.ihk.de/halle/recht/datenschutz/sonstige-rechtsinformationen/cookie-banner-fuenf-fehler-die-sie-vermeiden-sollten--4854218

Cookie Klassen

Wenn Sie die verschiedenen Cookie-Banner anderer Webseiten unterscheiden, dann kommen dort in mehr oder weniger versteckter Form (Stichwort: Dark Pattern) die Banner hoch. mit wenigen Ausnahmen haben alle Banner einen prominenten "Ich stimme zu" Button und wer mehr wissen will, landet in den Tiefen der Optionen. Schauen wir uns doch mal an, welche Cookies die meisten Webseiten heute unterscheiden:

Cookie Beschreibung Abwählbar MSXFAQ
Erforderlich
Essentiell		 Der Webseitenanbieter listet auf, welche Cookies er zwingend setzt. Ich habe noch keine Webseite gefunden, die mir die Abwahl dieser Cookies erlaubt. Wenn ich diese Cookies nicht haben will, muss ich auf dem Client das Speichern per AddOn oder Konfiguration unterbinden.
Zu diesen Cookies gehören in fast allen Fällen auch statistische Cookies (z.B. Google Analytics) und der Cookie um ihre Auswahl auf dem Cookie-Banner zu speichern. Der Anbieter entscheidet, was er als "Essentiell" ansieht. Ich nutze Google Analytics mit anonymisierten IP-Adressen, um besser zu verstehen, welche Seiten und damit Themen interessant sind.

Nein

Ja

Funktionale Cookies

Diese Cookies nutzt der Webseitenbetreiber um die Nutzbarkeit der Webseite zu verbessern, z.B. in welchen Bereichen Sie waren und um ihnen diese wieder anzuzeigen oder z.B. "was sie zuletzt gesehen haben" auf Shop-Seiten zu ermöglichen. Einige Betreiber verzichten auf "Essentielle Cookies" und bezeichnen die funktionalen Cookies als erforderlich und damit nicht abwählbar. Solche Cookies kommen auf der MSXFAQ nicht zum Einsatz.

Ja/Nein

Nein
Werbung
Marketing		 Dahinter verbergen sich meist Cookies anderer Webseiten, insbesondere Werbenetzwerk. Es soll sogar Verbände geben, die diese Cookies als "Essentiell" einstufen. Wenn eine an sich "kostenfreie Webseite" sich nur per Werbung finanziert, dann sind diese Cookies aus deren Sicht sicherlich "erforderlich", da sonst deren Geschäftsmodell nicht funktioniert. Aus Datenschutzüberlegungen sehe ich das kritisch und setzte solche Cookies nicht ein.

Ja

Nein

Welche Cookies vom Anbieter als "Erforderlich" angesehen werden, ist nirgends festgelegt, sondern ist dem Webseitenbetreiber überlassen. Eine Aussage des Bundesgerichtshof sagt zu Cookies für Werbung:

"Der Bundesgerichtshof machte jedoch im Mai 2020 klar: Bei Cookies zu Werbezwecken müssen die Nutzer explizit um Erlaubnis gefragt werden."
Quelle https://www.heise.de/news/TTDSG-Regelungsluecke-fuer-Cookies-koennte-sich-schliessen-5998188.html

Wenn ich aber gar keine Cookies der Klasse "Funktionell" oder "Werbung/Marketing" einsetze, die sie dann auch nicht abwählen müssen, weil sie nicht da sind, dann bleiben nur die "essentiellen Cookies" übrig, die sie aber nie abwählen können. Das steckt im Namen "Essentiell" oder "für die Funktion erforderlich" drin.

Damit stellt sich natürlich die Frage, ob aus meiner Sicht "essentielle" Funktionen auch aus ihrer Sicht so zu bewerten sind. Ein Webshop nutzt gerne Cookies, um den Warenkorb zu speichern oder ihre Identitäten auch bei einem Neuaufbau der Verbindung mit neuer IP-Adresse wieder zu verknüpfen. Wer aber auch nur die Besucher einer Webseite zählt, möchte halbwegs passende Werte erhalten. Besucher hinter einer Firmenfirewall (NAT) oder einem Carrier Grade NAT (CGNAT) kann ich nicht anhand der IP-Adresse erfassen. Daher kommen Cookies dafür zum Einsatz.

Da sie sich auf der MSXFAQ nirgendwo mit einem Konto anmelden müssen und ich die Werte in den Cookies auch nicht speichere, kann ich keine Verbindung ihres Besuchs zu ihrer Person herstellen.

Auch Daten zur genutzten Bildschirmauflösung und Fähigkeiten des Browsers sehe ich nicht alleine aus denn Logfiles des Servers. Theoretisch "müsste" ich diese Daten vielleicht nicht erheben aber dann wüsste ich noch weniger über meine Besucher, um die Weiterentwicklung der MSXFAQ zu betreiben.

Es werden keine Third-Party-Cookies von Werbenetzwerken etc. eingebunden, die sie auf ihrem Weg durch das Internet nachverfolgen. Es gibt daher keine Cookies, die sie abschalten können und daher beschränke ich mich auf den Hinweis am oberen Rand und informiere hier über die eingesetzten Cookies. Genau genommen hoffe ich, dass ich diesen "Schandfleck" irgendwann auch mal wieder entfernen kann, denn Cookies sind nur ein Teil der alltäglichen Überwachung. Siehe dazu auch Werbenetzwerke.

MSXFAQ ist statisch

Die Erfassung von Daten auf der MSXFAQ auf ein Minimum beschränkt ist. Dazu gibt es zwei grundlegende Überlegungen:

  • Datensparsamkeit
    Daten, die nicht erhoben werden, können auch nicht gestohlen werden. Daher gibt es auf der MSXFAQ keine Funktion um von ihnen Daten zu erfragen, d.h. es gibt kein Formular zur Eingabe von Daten, keine Suchmaske aber auch keine dynamischen Werbebanner oder von anderen Seiten eingebundene Zählgrafiken. Das macht mir das Leben nicht gerade einfach, da ich jedes Banner oben Rechts mit Inhalten zu Net at Work selbst pflegen muss.
  • Nutzung mit "eingeschränkten Browsern und auf Servern
    Die meisten Inhalte beziehen sich auf die Arbeit als Consultant oder Administrator und ich gehe einfach davon aus, dass der ein oder andere Besucher auf auf einem Exchange Server oder sogar Domain Controller die Webseite besucht. Zum einen gibt es hier "eingeschränkte Browser" und auf Servern gelten verschärfte Bedingungen. Um hier die Risiken zu minimieren, sind die Seiten der MSXFAQ offline generiert und als statische HTML-Seiten bereitgestellt.

Sie können die MSXFAQ mit verschiedenen Tools sogar komplett 1:1 herunterladen und offline nutzen. Es gibt nichts, was sie daran hindert. Kein Werbebanner, keine Paywall o.ä. und sie müssen auch nirgendwo sich anmelden oder ihre Mailadresse oder andere Daten eintragen.

Externe URLs

Dennoch hinterlassen Sie nicht nur in den Logfiles der MSXFAQ Spuren sondern auch auf anderen Webseite, von denen ich Inhalte nachlade. Sie können dies einfach über den Debugger (F12 Taste) im Browser selbst analysieren. Stellen Sie sicher, dass oben das "Preserve Log" aktiviert ist und sie den roten "Aufnahme-Button" aktiviert haben. Hier die Dateien beim Zugriff auf die Homepage am 9.8.2022

Wenn Sie genau hinschauen, dann lädt ihr Browser die Homepage und dann die darin verlinkten Bilder, sofern diese nicht schon im Cache sind. Die meisten Daten kommen von der MSXFAQ-Webseite aber jeder einzelne Zugriff generiert einen Eintrag im Webserver mit Informationen wie "Wann", "Client-IP", "URL", "UserAgent", etc.

Sie sehen aber auch, dass wenige Inhalte von anderen Webseiten nachgeladen werden, wenn das kein Blocker o.ä. unterbindet. Hier sind es folgende Adressen:

  • Net at Work
    Es ist kein Geheimnis, dass ich auf die ein oder andere Seite mit der Firma Net at Work verbunden bin und oben rechts sehen Sie einen Hinweis auf aktuelle Aktionen dieser Firma. Letztlich bindet ich nur ein Bild von Net at Work mit einem Hyperlink ein. Über den Weg kommen aber keine Skripte oder Cookies. Sie müssen schon absichtlich auf das Bild klicken, um zu Net at Work zu wechseln. Allerdings verraten Sie allein durch den Abruf des Bildes natürlich schon den Zeitpunkt, ihre IP-Adresse und was ihr Browser sonst noch freiwillig mitliefert.
  • Googletagmanager
    Für den Einsatz von Google Analystics wird ein Skript von www.googletagmanager.com geladen, welches dann Daten an www.google-analytics.com sendet. Mit dem Abruf des Skripts und den Parameter weiß Google schon mal, dass ein System zu einem Zeitpunkt und IP-Adresse von der MSXFAQ kommt. Wobei das nicht sicher ist, denn theoretisch könnten Sie auch diese URLs "spoofen".
    Rufen Sie einfach mal "https://www.googletagmanager.com/gtag/js?id=UA-1005397-1" auf und schauen Sie sich das Skript an.
    Übrigens: Jede Webseite, die sich aufrufen kann so einen Zugriff sammeln noch ehe sie ein Cookie-Banner überhaupt erst anzeigen kann.
  • Google Analytics-Zugriff
    Wenn Sie Skripte von Google erlauben, dann wird das Skript eine Basisinformation über Sie als Besucher an Google senden. Über Parametrisierung habe ich Google Analytics so konfiguriert, dass die IP-Adresse z.B. verkürzt gespeichert wird. Hier der vollständige Request:
Request URL:  https://www.google-analytics.com/j/collect?v=1
                                 &_v=j96
                                 &aip=1&a=1019492961
                                 &t=pageview
                                 &_s=1
                                 &dl=https%3A%2F%2Fwww.msxfaq.de%2F
                                 &ul=de-de
                                 &de=UTF-8
                                 &dt=MSXFAQ%20-%20Exchange%2C%20SfB%2C%20Teams%2C%20Office%20365%2C%20Outlook%2C%20...
                                 &sd=24-bit
                                 &sr=2048x1152
                                 &vp=1002x1082
                                 &je=0
                                 &_u=YEBAAUABAAAAAC~
                                 &jid=1193866779
                                 &gjid=886355614
                                 &cid=1972911100.1650060257
                                 &tid=UA-1005397-1
                                 &_gid=2042966743.1650060257
                                 &_r=1
                                 &gtm=2ou880
                                 &z=1199634179
Request Method:  POST
Status Code:  200 
Remote Address:  [2a00:1450:4001:82f::200e]:443
Referrer Policy:  no-referrer
Raccept:  */*
accept-encoding:  gzip, deflate, br
accept-language:  de-DE,de;q=0.9
content-length:  0
content-type:  text/plain
origin:  https://www.msxfaq.de
sec-ch-ua:  "Chromium";v="104", " Not A;Brand";v="99", "Google Chrome";v="104"
sec-ch-ua-mobile:  ?0
sec-ch-ua-platform:  "Windows"
sec-fetch-dest:  empty
sec-fetch-mode:  cors
sec-fetch-site:  cross-site
user-agent:  Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/104.0.0.0 Safari/537.36

Das Nachladen solcher Funktionen ist übrigens nicht zustimmungspflichtig und sie können dies in ihrem Cookie-Banner daher auch nicht konfigurieren.

Sie können natürlich "JavaScript" komplett abschalten aber die meisten Webseiten funktionieren dann gar nicht mehr.
Die MSXFAQ funktioniert auch ohne deaktiviertes JavaScript auf 99% der Seiten. Nur die ICE-Berechnung auf ICEWarn Bedeutung funktioniert dann nicht mehr.

Sie könnten nun fragen, warum ich diese Daten sammle. Um die MSXFAQ besser auf meine Leser auszurichten, helfen mir statistische Daten zur Sprache, Client-Version, Auflösungen, um das Layout auf den verschiedenen Systemen zu prüfen. Auch die "Hauptaktivität tagsüber" zeigt mir, dass viele Leser während der Arbeitszeit unterwegs sind und ich größere Umstellungen besser auf die Nacht verlegen.

IP-Adressen bei Google USA?

Im August 2022 haben Anwälte eine neue Variante für Abmahnungen entdeckt. Sie behaupten die jeweilige Webseite besucht zu haben und die Webseite hätte die kostenfreien Fonts von Google heruntergeladen. Damit kann Google sehen, welche Besucher auf der Webseite waren, da die IP-Adresse des Surfers samt Useragent und Referrer so auch Google bekannt wurde. Die Abmahnung bezieht sich nun darauf, dass diese Zugriffe auf einem US-Server landen, was nach nach einem Urteil des Landgericht I, München vom 19. Januar 2022, Az. 3 O 17493/20 nicht erlaubt sei. In einem redaktionellen Artikel steht dazu:

...Berücksichtigt werden muss dabei auch, dass unstreitig die IP-Adresse an einen Server von Google in den USA übermittelt wurde, wobei dort kein angemessenes Datenschutzniveau gewährleistet ist (vgl. EuGH, Urteil vom 16.7.2020 - C-311/18 (Facebook Ireland u. Schrems), ...
Quelle: LG München, Urteil vom 19.01.2022, Az. 3 O 17493/20 https://rewis.io/urteile/urteil/lhm-20-01-2022-3-o-1749320/

Diese Aussage würde ich hinterfragen, denn nach meinen Analysen der Latenzzeit stehen die angesprochenen Server ert einmal im europäischen Raum und nicht in den USA.

Für Webseitenbetreiber ist es natürlich sehr einfach, einfach die Fonts auf die eigene Webseite zu kopieren und von dort zu laden. Auf der MSXFAQ binde ich keine Google-Fonts ein und versuche möglichst von anderen URLs unabhängig zu sein. Aber landet denn bei einer Nutzung von Google Diensten tatsächlich der Zugriff in den USA?. Das können Sie einfach nachprüfen, denn die Latenzzeit von Europa in die USA ist aufgrund der technischen Fakten meist 80ms oder höher. Ein einfacher PING auf die Adresse liefert sehr schnell die RoundTripTime:

Ziel Ping Bewertung

Google Fonts

 
C:\>ping fonts.googleapis.com -4

Ping wird ausgeführt für fonts.googleapis.com [142.250.185.170] mit 32 Bytes Daten:
Antwort von 142.250.185.170: Bytes=32 Zeit=15ms TTL=117
Antwort von 142.250.185.170: Bytes=32 Zeit=16ms TTL=117
Antwort von 142.250.185.170: Bytes=32 Zeit=17ms TTL=117
Antwort von 142.250.185.170: Bytes=32 Zeit=17ms TTL=117
PS C:\> (measure-command {`
   Invoke-WebRequest `
      -uri https://fonts.googleapis.com/css2?family=Crimson+Pro `
   }`
).totalmilliseconds
63,1281

15-17ms ist definitiv viel zu schnell, als dass das Packet über den Teich in die USA gegangen ist. Auch Google nutzt die Funktion von CDNs und lokalen Servern, um eine schnelle Antwort zu liefern. Der Zugriff landete damit auf jeden Fall auf einem Server in Europa.

Selbst der Download der Datei mit 209 Bytes dauert per HTTPS mit TCP-Handshake immer noch weniger als 80ms und kommt damit definitiv aus Europe.

Google Analytics

 
C:\>ping www.google-analytics.com -4

Ping wird ausgeführt für www-alv.google-analytics.com [216.239.32.178] mit 32 Bytes Daten:
Antwort von 216.239.32.178: Bytes=32 Zeit=13ms TTL=119
Antwort von 216.239.32.178: Bytes=32 Zeit=12ms TTL=119
Antwort von 216.239.32.178: Bytes=32 Zeit=15ms TTL=119
Antwort von 216.239.32.178: Bytes=32 Zeit=15ms TTL=119

Auch der Zugriff auf Google-Analytics ist sogar noch schneller. Mit 12-15ms scheint der Server noch näher bei mir zu stehen.

Google Tagmanager

 
C:\>ping www.googletagmanager.com -4

Ping wird ausgeführt für www-googletagmanager.l.google.com [142.250.184.200] mit 32 Bytes Daten:
Antwort von 142.250.184.200: Bytes=32 Zeit=16ms TTL=117
Antwort von 142.250.184.200: Bytes=32 Zeit=16ms TTL=117
Antwort von 142.250.184.200: Bytes=32 Zeit=14ms TTL=117
Antwort von 142.250.184.200: Bytes=32 Zeit=17ms TTL=117

Wie nicht andres zu erwarten, ist auch die letzte Google-URL irgendwo in Europa.

Die MSXFAQ nutzt aktuell noch Google Analytics/Tagmanager aber ihr Zugriff landet gewiss nicht in den USA. Sie können das nun Spitzfindig bezeichnen aber die Zahlen lügen nicht. Keine Gewähr gibt es nun natürlich dafür, dass die Zugriffsprotokolle selbst nicht doch von Google vielleicht doch in die USA übertragen und verarbeitet werden. Diesen Vorwurf müssen Sie dann aber für jeden Cloud-Service gelten lassen. Dann müsste der Cloud Service nicht nur in Deutschland gehostet sein und dürfte keine Niederlassungen in den USA oder anderen Ländern haben. Was machen Sie dann mit einem Mitarbeiter, der per Dienstreise in den USA unterwegs ist? Der greift natürlich auf die Office 365 Services vor Ort zu und hinterlässt dort seine Spuren.

Dass hier nun Google Fonts als Hebel für Abmahnungen gegenüber kleinen Webseiten genutzt werden, ist traurig und funktioniert wohl nur aufgrund des ungleichen Kräfteverhältnisses. Damit stellen sich aus meiner Sicht diese Anwälte auf eine Stufe von Präsidenten, die Nachbarländer bekriegen, weil sie ihren Vorteil sehen. Die Wandlung zum Robin Hood durch eine Abmahnung an eine große Webseite erwarte ich bei dieser Kinderstube nicht.

Hier mal eine nicht repräsentative Stichprobe:

  • basf.de
    bindet Fonts von https://fast.fonts.net/t/1.css?apiType= ein. Eine Firma in den USA
  • Deutsche-bank.de
    Bindet JavaScript von https://assets.adobedtm.com/.....ein
  • Heise.de
    Bindet Schriften von https://fonts.gstatic.com/s/roboto/v18/KFOmCnqEu92Fr1Mu4mxK.woff2 ein
    Bindet JavaScript von https://www.youtube-nocookie.com/ ein
  • Mercedes-benz.de
    Nutzt Cloudfront.net als CDN. Dahinter steht die US-Firma Amazon

Das Thema ist also nicht mal so schnell mit ein paar Google-Fonts getan

Querverweise anderes Seiten

Und nun starten Sie mal die "Debugging Tools" im Browser (F12-Taste), aktivieren die Funktion "Preserve Log" und "3rd-party-requests" und besuchen die Webseite ihrer Wahl. Hier am Beispiel von heise.de.

 

Das ist nur ein Ausschnitt aber sie sehen, dass auch hier schon beim Zugriff und vor der Bestätigung des Cookie-Banners diverse 3rd-Party-URLs eingebunden werden. Dabei werden Zugriffe auf andere URLs unter dem Namen "*.heise.de" gar nicht aufgelistet, obwohl der DNS-Admin auch diese Hosts natürlich "woanders" verweisen kann. Hier die so ausgefilterten URLs, von denen wir nur annehmen müssen, dass die Daten im Hoheitsbereich von Heise sind:

All diese Zugriff waren schon vor der Bestätigung der Cookie-Abfrage. Wenn die solche URLs dann blocken, können sie dennoch die Inhalte nach Bestätigung des Cookie-Banners lesen. Genaugenommen sind diese URLs also nicht erforderlich. Wenn Sie dann aber die Seite komplett laden, dann sind es >500 Requests mit Abrufen von Outbrain.com, bidswitch.net, adscale.de, kameleoon.eu etc. Da ist GoogleSyndication dann nur eine Komponente.

Ich habe dann mal nach "Landgericht München" gesucht und die URL https://www.justiz.bayern.de/gerichte-und-behoerden/landgericht/muenchen-1/ im Debugger aufgerufen. Auch hier wird vor dem Cookie-Banner schon die URL https://vrweb15.linguatec.org/VoiceReaderWeb15User/player/scripts/readpremium15.js eingebunden. Das dürfte natürlich unkritisch sein. Aber damit sieht ein anderer Anbieter auch, wer auf der Seite des Landgerichts rumsurft.

Ich würde mir persönlich ja wünschen, wenn diese "Includes" von vielen anderen Seiten endlich mal geregelt und etwas eingedämmt wird. Leider wurde gegen das Urteil wohl nicht in Berufung gegangen

Man sieht, wie wachsweich hier Vorschriften sind und wie unbrauchbar die "Rückfrage" zum Setzen von Cookies.
Da ist es vermutlich besser, einfach immer im "Gast"-Mode zu surfen und alle Cookies bis zum nächsten Neustart des Browsers anzunehmen und vertrauenswürdige Seiten in eine anderen Browser zu öffnen. Oder mit AddOns oder z.B. Brave Browser per Software die ärgsten Dinge abzublocken.

Google Analytics/Tagmanager

Wenn Sie aber ihren Browser anschauen, dann finden Sie aber auch Cookies von der Domain "msxfaq.de".

Diese Cookies werden von dem JavaScript gesetzt, welche ich für die Funktion "Google Analytics" einbinde. Auch diese Einbindung können Sie im Sourcecode der Seite am Anfang sehen und auch, dass die Source-IP-Adresse anonymisiert werden soll.

Bei Google Tagmanager werden angeblich keine IP-Adressen erfasst:


https://support.google.com/analytics/answer/2763052

Ob das schon "reicht" um allen Datenschutzvorschriften zu entsprechen? Es gibt gar kein "Welt-Recht", so dass ich für jedes Land laufend die sich ebenfalls ändernde Rechtsprechung beobachten müsste. Das kann ich nicht leisten. Die MSXFAQ können Sie natürlich auch aufrufen, wenn Sie die Cookies von Google Analytics blockieren. Streng genommen sind die Cookies nicht erforderlich. Sie können also gerne alle Cookies der MSXFAQ blocken oder jederzeit löschen. Oder sie nutzen, wie ich, einfach den Gast-Modus ihres Browsers, so dass am Ende der Sitzung alle Cookies und Einstellungen wieder weg sind.

Streng genommen könnten Sie in ihrem Auto auch die Tankanzeige, den Öldrucksensor und sogar den Airbag deaktivieren. Für den Fahrbetrieb braucht man all das nicht aber würden Sie das tun? Eine Webseite "Blind" zu betreiben ist genauso fahrlässig.

Google Analytics ist eine einfache Möglichkeit, Sie als Besucher bezüglich der besuchten Seiten einfacher auszuwerten. Ich könnte einen Teil der Informationen auch über die Logfiles des Providers erhalten, wozu ich dann aber die kompletten Logs erst herunterladen, speichern und analysieren müsste. Sie können sicher sein, dass kommerzielle werbefinanzierte Webseiten dies umfangreich auch tun. Ich schließe nicht aus, dass ich irgendwann mal z.B. eine PIWIK-Instanz o.ä. einsetze aber auch das muss gewartet und gepflegt werden. Letztlich habe auch ich nur eine gewisse Zeit zur Verfügung.

Freiwillig gelieferte Daten

Bei aller Aufregung um Cookies und Werbetracking sollten Sie immer bedenken, dass ihr Browser von sich aus bei jedem Zugriffe auf eine Webseite entsprechende Spuren hinterlässt. Bei einem Request sendet ihr Browser Informationen über ihren Browser, das Betriebssystem und andere Daten mit. Hier ein Beispiel:

Der Webserver protokolliert einen Teil der Daten, z.B. UserAgent, Referer etc. zusammen mit dem Zeitpunkt und der IP-Adresse, die der Webeserver sieht. Sie dürfen auch nicht vergessen, dass auch der Internetprovider sehr wohl die "Verbindungen" sieht und auch ihre DNS-Anfragen vermutlich erfasst werden. Diese Metadaten sind natürlich auch für Schlapphüte und Ermittlungsbehörden von Interesse und da solche Institutionen nicht nur einen Surfer überwachen, lassen sich mit Big Data-Analysen ganz andere Personenprofile erstellen.

Cookie-Hinweise auf anderen Seiten

Beachten Sie auch die Seite In den Händen der Werbenetzwerk - Tracking im Internet

Das Problem der Cookies ist natürlich für all die Firmen von Belang, die exzessiv mit Cookies arbeiten und sogar externe Werbenetzwerke einbinden, die so auch jeden Besucher nachverfolgen können. Aber auch hier gibt es gut Beispiele, schlechte Beispiele und Seiten, die trotz Cookie auf entsprechende Warnungen verzichten.

Interessant sind Seiten, die zwar ein Cookie-Banner in der ein oder anderen Form anzeigen aber nicht verhindern, dass Sie das Banner einfach ignorieren und weiter surfen.

  • https://www.networkworld.com - Zeitschriftenverlag.
    Die erste Karteikarte ist ja noch übersichtlich. die zweite Karteikarte enthält aber 327! weitere Firmen, die auch Daten erhalten wollen.
  • ibm.com (04. Okt 2019)
    Ein Cookie-Banner erlaubt die Anpassung der Default, die aber erst mal alles enthalten. Das finde ich schon bedenklich:
  • https://ownsmarthome.de, powered by Borlabs
    Auch diese Cookie-Voreinstellung finde ich befremdlich
  • Mehrere Seiten
    Im Januar 2021 haben mit weitere "Format" abgeschreckt. Die URLs werde ich nicht nennen aber die erste Seite sah wie folgt aus:

    Ich kann sogar "Legitimes Interesse" abschalten und dann Speichern. Den Rollbalken rechts ignorieren wir mal. Aber den Button "Anbieter-Liste" sollten Sie nicht ignorieren. Denn dahinter verbirgt sich die eigentliche Überraschung:

    Die Liste ist deutlich länger und bei dieser Flut von "Anbietern" vergeht eine die Lust hier ohne Gast/Inkognito-Mode weiter zu gehen.
  • Prese - Abo oder Werbung (mit Cookie)
    Hier wird die Zustimmung einfach über aus Auswahl eingeholt: Entweder die akzeptieren Cookies und Werbung oder die kaufen den Zugriff. Anscheinend ist es mit den Cookies dann doch nicht so schlimm.
  • Sonstige Seiten
    Es gibt aber auch Seiten, die keinen Banner anzeigen oder Consent einfordern. Wie genau sich deren Rechtabteilung positioniert, kann ich dazu nicht sagen, denn Cookies werden auch genutzt, z.B. https://www.service.bund.de/
  • Microsoft.com (04. Okt 2019)
    Ein kleiner Hinweis zeigt die Verwendung von Cookies an aber verschwindet nach einiger Zeit alleine. Der Links verweist auf einen Text, welcher die Nutzung der Cookies erläutert aber keine Anpassung erlauben. Sie schreiben einfach, dass man den Bedingungen automatische zustimmt, wenn Sie auf der Seite surfen.

    Sie können die Seite komplett weiter verwenden aber das Banner bleibt da, bis sie eine Entscheidung getroffen haben. Das hindert Microsoft aber nicht daran, ein paar vermutlich "essentielle" Cookies zu verwenden:

    Microsoft: Cookies und ähnliche Technologien
    https://privacy.microsoft.com/de-DE/privacystatement#maincookiessimilartechnologiesmodule

Am Beispiel der Cookies ist wohl am einfachsten zu sehen, dass jede kommerzielle Webseite irgendwie ein Cookie-Banner platziert, was aber aus meiner Sicht so nervend gestaltet wird, dass die meisten Besucher dies nicht lesen und einfach "wegklicken". Es wurde nichts besser sondern schlechter und die Datensammelwut in keinster Weise eingedämmt..

Weitere Links