Berechtigtes Interesse

Das Jahr 2020 war neben COVID-19 für mich das "Cookie Popup-Jahr", weil aufgrund einer neuen Rechtslage nun Webseiten von Besuchern aktiv die Einwilligung zum Setzen von Cookies einholen müssen. Es ist zugleich ein Beispiel, wie handwerklich unsauber Gesetze gemacht werden, denn es hat sich natürlich nichts gebessert. Insbesondere die Definition von "Berechtigtem Interesse" ist wachsweich.

Wie würden Sie sich verhalten: Sie gehen zum Einkaufen und ihnen folgt ungefragt ein "Schatten" und protokolliert ihre Aktivitäten. Ich würde dieses Geschäfts zukünftig meiden. Aber dann folgt ihnen Schatten in weitere Geschäfte. Ist das nicht "Stalking"? Genau das machen aber immer mehr Webseiten, indem Sie trotz Cookie-Banner einfach ein "berechtigtes Interesse" definieren.

Ich bin mittlerweile erschrocken, wie sogar angeblich "seriöse" Zeitungen und Zeitschriften ihren Ruf durch solche "Optimierungen" in Gefahr bringen und jeglichen Anstand verlieren.

Wenn ein Haushalt eine "Kamera" aufstellt, um Besucher aufzuzeichnen, dann macht er sich in einigen Fällen strafbar. Wenn ein Websurfer sich informiert, dann ist das digitale Nachverfolgen problemlos?

Worum geht es?

Cookie sind für die Funktion vieler Webseiten unerlässlich, und im Grund ja auch nicht schlecht. Ein Webserver kann dem Besucher eine Information übergeben, die dessen Browser in der Folge immer wieder mitschickt. So kann die Webseite zum Besucher eine "Sitzung" zuordnen. Allein die IP-Adresse ihres PCs ist dazu ja nicht ausreichend und mit jeder Anfrage immer wieder z.B. Anmeldedaten mit zusenden wäre nicht sicher. Daraus lässt sich ein "Berechtigtes Interesse" ableiten. Die meisten Anbieter fordern daher ihre Zustimmung für drei Klassen:

Klassifizierung Beschreibung Zustimmung

Berechtigtes Interesse

Cookies, die für die Funktion der zwingend erforderlich oder für den Betreiber wichtig sind. Aus meiner Sicht könnte ich da drei Beispiele aufführen:

  • Warenkorb-Cookies
    Wann immer sie etwas in einen Warenkorb legen, muss der Webserver diesen Inhalt sich ja merken. Am einfachsten geht dies durch einen
  • Identity/Anmeldecookies
  • Besucherstatistik
    Solche Cookies sind genaugenommen schon grenzwertig aber würde ich noch tolerieren, denn wenn ich die gleiche Seite mehrfach abrufe, dann kann die Webseite nur mit einem Cookie erkennen, dass ich der gleiche Besucher bin. Allerdings kann damit die Webseite auch meinen "Pfad" durch die Webseite nachverfolgen. Das ist aber für Seiten, an denen ich mit sowieso anmelde (z.B. Amazon etc.), eh nicht zu vermeiden.

All diese Cookies sind aber "First Party Cookies", d.h. sie kommen von der Webseite, die ich aktiv besuche und deren Adresse auch im Browser steht.

Nicht abwählbar

Funktionale Cookies

Neben den "notwendigen" Cookies gibt es auch Dinge, die eine Webseite beim Benutzer für zukünftige Zugriffe hinterlegen will oder um Zusatzfunktionen bereit zu stellen, die über das zwingend notwendige Verhalten hinaus gehen. Das können "Vorschläge" sein oder Tipps, besondere Aktionen beim ersten Besuch. Wenn Sie als "Besucher" diese Cookies nicht zulassen, dass könnte Werbung weniger "zielgruppengerecht" sein o.ä.

Optional

Marketing Cookies/3rd Party

Zur "Monetarisierung" von Webseiten, insbesondere bei Verlagen und anderen mehr oder minder kostenfreien Angeboten, bei denen Sie als Besucher zumindest nicht direkt etwas "bezahlen", binden die Betreiber auch anderen Anbieter mit ein. Das sind die klassischen "3rd Party Cookies", die es aber immer schwerer haben, da Browser-Hersteller und Add-Ons diese Cookies mehr und mehr unterbinden.

Optional

Für Anbieter von Informationen auf Webseiten gilt es nun zu entscheiden, welche Cookies sie wie klassifizieren und welche Optionen der Besucher beim ersten Zugriff angezeigt bekommt. Webseiten mit Anmeldung, z.B. Amazon etc., brauchen hier weniger Cookies, da Sie ja schon mehr von ihnen als Besucher kennen als eine Nachrichtenseite. Das "Problem" haben also eher die Betreiber, die ganz wenig vom Kunden wissen.

Ich nutze auf der MSXFAQ auch Cookies (Cookies auf der MSXFAQ), die eine bessere Zählung der Seitenbesuche mit Google Analytics ermöglichen. Eine weitere Analyse oder gar verkauf der Daten oder andere Monetarisierung findet nicht statt. Ich kann aber nicht genau sagen, welche weiteren Rückschlüsse Google aus den Daten gewinnen kann. Vielleicht helfen die Abrufe bei der Klassifizierung in der Google Suche. Sie können aber die MSXFAQ auch mit blockierten Cookies uneingeschränkt nutzen.

Berechtigte 3rd Party Zugriffe?

Wie in der Einleitung schon geschrieben, bin ich mittlerweile enttäuscht von dem Verhalten immer weiterer Webseiten, die über den Cookie-Dialog dem Besucher nur noch subjektiv den Eindruck geben, dann er etwas bestimmen könnte. Wenn ich auf eine Webseite gehe und bewusst beim Cookie-Dialog nicht auf "zustimmen" klicke sondern ablehne, dann erwarte ich, dass genau die 3rd Party Cookies, über die überall geschrieben wird, nicht eingesetzt werden.

Beispiel: Welt.de

Ich habe nichts persönlich gegen die Tageszeitung und es ist nur ein exemplarisches Beispiel vom 26. Dez 2020. Bitte die Ausführung nicht als "Welt-bashing" falsch interpretieren. Anscheinend arbeiten viele Zeitungen und Zeitschriften nach dem gleichen Schema.

Es ist aber schon ein Unterschied, ob man eine Webseite im Ausland besucht oder eine Webseite im Deutschland mit einem deutschen Betreiber. Ich habe dazu am 26. Dez 2020 die folgende Url aufgerufen:

https://www.welt.de/print-welt/article574497/Weltweiter-Wirbel-um-Webwasher.html

Im Hintergrund habe ich die Chromium-Developertools (F12) gestartet und einen Netzwerktrace mitlaufen lassen:

Noch ehe der "Cookie-Consent" kommt, hat die Homepage schon jede Menge Daten von welt.de aber auch vielen anderen Seiten bezogen. Eine Webseite kann nämlich durchaus Inhalte auch von anderen URLs "einbinden". Das ist üblich und im Grunde nicht verwerflich, um z.B. statische Inhalte wie Logos, Schriften, Bilder, StyleSheets u.a. von anderen Servern in der Nähe des Besuchers auszuliefern und den eigentlichen Webserver damit nicht zu belasten. Allerdings nutzt Welt.de dazu nicht nur ihre eigenen Hostnamen sondern auch schon 3rd-Party Dienstleister. Hier ein paar der URLs, die ohne vorherige Rückfrage nachgeladen wurde

  • https://yagiay.com/img/deutschland/crop140132097/4978400654-ci5x10s-w450/promotools/Bilder-zur-Campus-Elite-Uni-GoettingenKBVSR.jpg
    Diese URL kommt mir von meiner Seite zu Web-Werbung auf welt.de sehr bekannt vor. Diesmal ist es ein schwarzes Bild.
  • https://www.asadcdn.com/*
    Lädt mit 29 Request  einzelne JavaScript-Dateien mit gesamt ca. 17Kbyte nach.
  • https://eu-tlp03.kameleoon.com/visit.gif?lp=1&p=xxxxxxxxxxxx
    Das dürften "Zählpixel" sein, von denen 11 unterschiedliche GIF-Dateien mit 142 Bytes pro Datei geladen werden.
  • https://confiant-integrations.global.ssl.fastly.net/xxxx/axel/config.js
    3 Javascript, die ebenfalls mit Werbung was zu tun haben
  • https://cdn.privacy-mgmt.com/Notice.c3b1a.js
    Ein paar JavaScripte kommen auch von der Domain privacy-mgmt.com. Angeblich registriert von einer Firma PERFECT PRIVACY, LLC die sich hinter dem Anonymisierungsdient von Network Solution versteckt
  • https://ssl-welt.met.vgwort.de/blank.gif
    Dass auch ein Zählpixel der VGWort eingebunden wird, dürfte bei all den anderen Zugriffen noch verschmerzbar sein. Wobei der bei mir sogar aus dem Diskcache gekommen ist

Denken sie daran, dass Sie schon vor der Bestätigung des "Cookie-Banners" nicht nur Daten von "welt.de" und weiterer Unterdomains abrufen, sondern auch bei den anderen eingebundenen Anbietern entsprechende "Spuren" hinterlassen.

Würden Sie beim Zugriff auf "welt.de" erwarten, dass der Betreiber ihren PC anweist, Skriptcode einer andere Domäne einzubinden und auszuführen?

Natürlich sehen Sie dann im Browser das "Cookie Consent"-Fenster, welches den normalen Besucher zu "geht mir weg" -Handlung verführen soll und er doch bitte "Alle akzeptieren" klicken sollte.

Der Button "Einstellungen oder ablehnen" ist natürlich weniger sichtbar und jeder Lektor würde mir den Text ankreiden. Auch der Hinweis zu "berechtigtem Interesse" ist darunter zu sehen. Also klicken wird doch mal und der nächste Dialog suggeriert, dass alle Einstellungen nun "ausgeschaltet" sind. Die wirken aber nur, wenn Sie auch "Ablehnen wie ausgewählt" klicken und nicht doch noch auf " Alle akzeptieren". Ein Schuft, der böses dabei denkt.

Aber was lehnen wir denn hier eigentlich ab? Der Link unter "Berechtigtes Interesse" ist schon sehr unauffällig und dort kommen wir auf den dritten Dialog. Hier sind doch wieder alle zusätzlichen Optionen aktiv.

Sie können natürlich auch wieder die Optionen abschalten aber freuen Sie sich nicht zu früh. Ich habe exemplarisch den Punkt "Marktforschung einsetzen.." geöffnet, den sie abschalten können.

Hier wird dann erstmals genannt, dass die Firma "Zeta Global" auch Daten nutzen darf. Der Verweis hinter der Firma geht auf deren "privacy policy" https://zetaglobal.com/privacy-policy/, aus der ich mal zwei Sätze zitiere:

For users based in the European Economic Area (EEA) we may share your personal data within the Zeta Group or with external third parties. This may involve transferring your data outside the EEA, including (but not limited to) the United States or India.
Quelle https://zetaglobal.com/privacy-policy/

Als Steigerung wird auch ein "No Not Track" mit der Begründung ignoriert, dass es ja kein Standard sei.

Currently, various browsers – including Internet Explorer, Firefox, and Safari – offer a “do not track” or “DNT” option that relies on a technology known as a DNT header, which sends a signal to Web sites’ visited by the user about the user’s browser DNT preference setting. Zeta does not currently commit to responding to browsers’ DNT signals with respect to the Company’s Web sites, in part, because no common industry standard for DNT has been adopted by industry groups, technology companies or regulators, including no consistent standard of interpreting user intent.
Quelle: https://zetaglobal.com/privacy-policy/

Wie stellt sich eigentlich eine Redaktion einer Tageszeitung auf, die solche Dienstleister nutzt? Da die bisher schon eingebundenen Dienstleister für Tracking und Werbung aus dem europäischen Raum wohl nicht gut genug sind, zwingt die Webseite des ungeübten Besuchers dazu, deine Daten auch noch an eine amerikanische Firma auszuleiten.

In schlechter Gesellschaft

Die Welt ist leider nicht die einzige Zeitschrift und wenn Sie sich andere Seiten anschauen, dann gibt es sogar eine frappierende Ähnlichkeit der Dialoge:

  • Sueddeutsche.de  (26. Dez 2020)
  • faz.de
  • bild.de

Und das ist nur eine Stichprobe an einem Tag von drei Zeitschriften. Der Dialog ist bei allen Zeitungen frappierend ähnlich. Vielleicht haben Sie nur voneinander abgeschaut oder sie nutzen den gleichen Dienstleister.

In der Hinsicht könnte man fast von einer Gleichschaltung reden. Ob man aber Bild, FAZ und WELT in die gleiche Kiste steckt, überlasse ich ihnen.

Mein berechtigtes Interesse

Ich kann als Einzelperson sicher nicht das Verhalten von Anbietern direkt beeinflussen. Ich kann zwar darauf aufmerksam machen aber so viele Personen werden die MSXFAQ deswegen nicht finden und schon gar nicht lesen. Also bleibt mir nichts anderes übrig, als den Zugriff auf andere Domains und deren Cookie-Nutzung zu unterbinden.

Ja, es kann sein, dass einige Webseiten damit unbenutzbar werden. Dann kann der Inhalt aber gar nicht so wichtig sein oder lenkt sogar eher ab.
Aber wenn mich jemand "stalkt", dann muss er damit rechnen, dass ich etwas dagegen unternehme. Da kann aber nur ein Bruchteil der "Websurfer" und daher wäre es mal an der Zeit, dass die Hausordnung (namentlich Gesetze) an die neuen Gegebenheiten angepasst werden.

  • Browser Einstellungen
    Zuerst sorge ich dafür, dass meine Browser, soweit mit Bordmitteln oder 3rd-Party Add-Ons möglich, diese Daten gar nicht mehr anfordern oder ich zustimmen muss. Beim Edge ist das die strenge Einstellung

    Beim Chrome ist es etwas mehr

    Leider muss man das ja pro Browser und Profil immer wieder einstellen, denn natürlich sind die Defaults erst einmal "Provider-freundlich". Es hilft natürlich nicht gegen den Zugriff auf fremde URl's
  • Hosts//URL-Blocker
    Natürlich könnte man die Hostnamen dieser "unerwünschten Gegenstellen" einfach per DNS-Blockade unerreichbar machen, sei es per Hosts-Datei auf jedem Endgerät oder per DNS-Server wie z.B. Pihole (https://pi-hole.net/). Auch ein Browser-AddOn könnte schon die HTML-Seite so anpassen, dass die unerwünschten URLs gar nicht erst sichtbar werden.
  • NoScript
    Die meisten Aktionen erfolgen durch Skripte im Browser und dazu gibt es. z.B. mit NoScript eine Erweiterung, mit der ich pro Domain einstellen kann, von wo Skripte ausgeführt werden. Interessant ist dabei, dass die meisten Webseite dann erst einmal kein "Cookie-Banner" mehr zeigen.
  • Spuren beseitigen
    Gerade die Cookies funktioniert ja derart, dass der Browser die Cookies einer Domain immer wieder an die Webseite sendet, auch wenn der Browser zwischenzeitlich neu gestartet, der PC gebootet oder sich ihre IP-Adresse geändert hat. Eine Wiedererkennung wird erschwert, wenn Sie am Ende eben diese Spuren löschen. Aber da es noch andere Verfahren des Trackings gibt, ist dies nur ein Teil der Strategie.
  • Tor
    Wenn Sie ihre Spuren noch weiter verschleiern wollen, dann bleibt nur der Tor-Browser samt Tor-Netzwerk, so dass die Betreiber noch weniger Daten bekommen. Neben der Verschleierung von IP-Adressen und Verschlüsselung der Übertragung zählt hier eher die im Tor-Browser eingebauten Funktion von NoScript und die automatische Löschung von Cookies am Ende der Sitzung

Leider sind diese Ansätze nichts für die Masse und daher eigentlich keine Lösung.

Zusammenfassung

In der Einleitung habe ich nicht nur die Cookies sondern auch die Einbindung anderer Webseiten als Kritikpunkt benannt. Aus meiner Sicht bewegen sich die Anbieter in mehrfacherer Hinsicht auf dünnem Eis. Ich bin mir sicher, dass die Gesetzgebung mit der "Cookie-Richtlinie" einen Zweck erreichen wollte, der so nicht mehr gegeben ist und die Einbeziehung von Quellen aus Staaten, die nicht der DSGVO unterliegen, zumindest fragwürdig ist. Ich sehe da schon eine Herausforderung beim Datenschutz.

Aber dass gerade die Organe des angeblich "seriösen Journalismus" so leicht sich verführen lassen, die Daten und Profile der Besucher zu verkaufen statt ein ordentliches Abrechnungsmodell zu etablieren, finde ich persönlich erschreckend. Ich persönlich informiere mich immer bei mehreren Quellen und würde es begrüßen, wenn ein einfacher bezahlter Zugang zu vielen Medien möglich wäre. Was spricht gegen eine "virtuelle Geldkarte", mit der Artikel sogar anonym bezahlt werden könnten? Ich "kaufe" bei einer Zeitung quasi ein "Gutscheinheft" und löse die Codes bei Bedarf ein.

Weitere Links