Berechtigtes Interesse
Das Jahr 2020 war neben COVID-19 für mich das "Cookie Popup-Jahr", weil aufgrund einer neuen Rechtslage nun Webseiten von Besuchern aktiv die Einwilligung zum Setzen von Cookies einholen müssen. Es ist zugleich ein Beispiel, wie handwerklich unsauber Gesetze gemacht werden, denn es hat sich natürlich nichts gebessert. Insbesondere die Definition von "Berechtigtem Interesse" ist wachsweich.
Wie würden Sie sich verhalten: Sie gehen zum Einkaufen und ihnen folgt ungefragt ein "Schatten" und protokolliert ihre Aktivitäten. Ich würde dieses Geschäfts zukünftig meiden. Aber dann folgt ihnen Schatten in weitere Geschäfte. Ist das nicht "Stalking"? Genau das machen aber immer mehr Webseiten, indem Sie trotz Cookie-Banner einfach ein "berechtigtes Interesse" definieren.
Ich bin mittlerweile erschrocken, wie sogar angeblich "seriöse" Zeitungen und Zeitschriften ihren Ruf durch solche "Optimierungen" in Gefahr bringen und jeglichen Anstand verlieren.
Wenn ein Haushalt eine "Kamera" aufstellt, um Besucher aufzuzeichnen, dann macht er sich in einigen Fällen strafbar. Wenn ein Websurfer sich informiert, dann ist das digitale Nachverfolgen problemlos?
Worum geht es?
Cookie sind für die Funktion vieler Webseiten unerlässlich, und im Grund ja auch nicht schlecht. Ein Webserver kann dem Besucher eine Information übergeben, die dessen Browser in der Folge immer wieder mitschickt. So kann die Webseite zum Besucher eine "Sitzung" zuordnen. Allein die IP-Adresse ihres PCs ist dazu ja nicht ausreichend und mit jeder Anfrage immer wieder z.B. Anmeldedaten mit zusenden wäre nicht sicher. Daraus lässt sich ein "Berechtigtes Interesse" ableiten. Die meisten Anbieter fordern daher ihre Zustimmung für drei Klassen:
Klassifizierung | Zustimmung |
---|---|
Beschreibung | |
Berechtigtes Interesse |
|
Cookies, die für die Funktion der zwingend erforderlich oder für den Betreiber wichtig sind. Aus meiner Sicht könnte ich da drei Beispiele aufführen:
All diese Cookies sind aber "First Party Cookies", d.h. sie kommen bei eine guten Design von der Webseite, die ich aktiv besuche und deren Adresse auch im Browser steht.. Aber auch diese "Tracking-Leistung" wird oft fremd eingekauft, so dass sie bei diesen "Anbieter" schon Spuren hinterlassen, ohne dass Sie zugestimmt haben oder dies abwählen können. Das sehe ich kritisch, wenn diese Anbieter von vielen Seiten einbezogen werden und damit ein umfangreicheres Bild bekommen. |
|
Funktionale Cookies |
|
Neben den "notwendigen" Cookies gibt es auch Dinge, die eine Webseite beim Benutzer für zukünftige Zugriffe hinterlegen will, die über das zwingend Notwendige hinaus gehen. Das können "Vorschläge" sein oder Tipps, besondere Aktionen beim ersten Besuch. Wobei man hier natürlich zwischen dem "berechtigten Interesse" des Anbieters und des Besuchers streiten kann. Oft wird damit geworben, dass ein Abschalten dieser Cookies zu einer "weniger zielgruppengerechten Werbung" führt. Ich bin gerade kein Freund von "Filterblasen". Es ist eher umgekehrt, dass Werbung für Produkte eingeblendet wird, die ich vor kurzem schon gekauft habt. Das zeigt mir eher, dass der Algorithmus lange noch nicht ausgereift ist und welche Webseiten den gleichen Anbieter nutzen. |
|
Marketing Cookies/3rd Party |
|
Und dann gibt es noch die 3rd Party-Komponenten, die eigentlich nur dazu dienen, mehr über den Besucher zu ermitteln, um mit den Daten Geld zu verdienen. Wenn Sie als Besucher eine Webseite besuchen, für die sie nicht direkt als Abonnement oder indirekt als Käufer der Produkte etwas zum Gewinn beitragen, dann bezahlen Sie eben mit ihren Daten. Der Betrieb einer Webseite ist ja mit Kosten verbunden, die dann durch den Verkauf von Daten gegenfinanziert werden müssen. Das muss ihnen bei jeder "kostenfreien" Funktion im Internet aber auch bei Smartphone-App" bewusst sein. Daher binden
Webseiten-Betreiber Inhalte
von anderen
"Inhaltsanbietern" ein, für
die der Betreiber dann Geld
bekommt. Dass kann einfach
Werbung sein aber natürlich
hinterlassen Sie Spuren bei
den Anbietern der
eingebundenen Inhalte. Die
kommen nämlich nicht direkt
von der von ihnen besuchten
Seite sondern anderen
Webservern. Wenn Sie dann
z.B. auf 10
unterschiedlichen Webseiten
unterwegs sind, die aber
alle die gleichen
Werbenetzwerk einbinden,
dann hat dieser Anbieter
viel mehr Informationen von
ihnen, als jede einzelne
besuchte Seite. |
Tipp:
Nutzen Sie aktiv den "privaten Modus" ihres Browsers als
neuen Standard. Damit werden zwar nicht alle Spuren
verhindert aber mit dem Neustart des Browsers sind die
gespeicherten Cookies erst einmal wieder weg, d.h. die
Nachverfolgung über Sitzungen hinweg ist deutlich erschwert.
Aber Achtung: Ihr normale und der private Browser nutzen die
gleichen öffentliche IP-Adresse und können so wieder
"verknüpft" werden. Das Risiko sind die von mehreren
Anbietern genutzten "Werbenetzwerke".
Ich nutze auf der MSXFAQ auch Cookies (Cookies auf der MSXFAQ), die eine bessere Zählung der Seitenbesuche mit Google Analytics ermöglichen. Eine weitere Analyse oder gar Verkauf der Daten oder andere Monetarisierung findet nicht statt. Ich kann aber nicht genau sagen, welche weiteren Rückschlüsse Google aus den Daten gewinnen kann. Vielleicht helfen die Abrufe bei der Klassifizierung in der Google Suche. Sie können aber die MSXFAQ auch mit komplett blockierten Cookies uneingeschränkt nutzen.
Berechtigte 3rd Party Zugriffe?
Für Anbieter von Informationen auf Webseiten gilt es nun zu entscheiden, welche Cookies sie wie klassifizieren und welche Optionen der Besucher beim ersten Zugriff angezeigt bekommt. Webseiten mit Anmeldung, z.B. Amazon etc., brauchen hier weniger Cookies, da Sie ja schon mehr von ihnen als Besucher kennen als eine Nachrichtenseite. Das "Problem" haben also eher die Betreiber, die ganz wenig vom Kunden wissen.
Wenn aber die Besucher einer Webseite gar nicht wissen, was es mit den Cookies auf sich hat, dann können Sie auch nicht bewerten, welche Seite "seriöser" ist und welche Seite "rücksichtsloser" seine Besucher ausspäht. Daher wird der Anbieter mit der sparsameren Voreinstellung keinen Vorteil bei den Besuchern haben aber viel mehr Nachteile bei den Einnahmen. Aus Sicht der Gewinnmaximierung ist es daher eher üblich, jede Gelegenheit mitzunehmen.
Wie in der Einleitung schon geschrieben, bin ich mittlerweile enttäuscht von dem Verhalten immer weiterer Webseiten, die über den Cookie-Dialog dem Besucher nur noch subjektiv den Eindruck geben, dann er etwas bestimmen könnte. Wenn ich auf eine Webseite gehe und bewusst beim Cookie-Dialog nicht auf "zustimmen" klicke sondern ablehne, dann erwarte ich, dass genau die 3rd Party Cookies, über die überall geschrieben wird, nicht eingesetzt werden.
Beispiel: Welt.de
Ich habe nichts persönlich gegen die Tageszeitung und es ist nur ein exemplarisches Beispiel vom 26. Dez 2020. Bitte die Ausführung nicht als "Welt-bashing" falsch interpretieren. Anscheinend arbeiten viele Zeitungen und Zeitschriften nach dem gleichen Schema.
Es ist aber schon ein Unterschied, ob man eine Webseite im Ausland besucht oder eine Webseite im Deutschland mit einem deutschen Betreiber. Ich habe dazu am 26. Dez 2020 einen Artiel der "Welt" unter der Url https://www.welt.de/print-welt/article574497/Weltweiter-Wirbel-um-Webwasher.html aufgerufen. Sie sehen eine zu der zeit "übliche" Webseite mit Werbung oben, rechts, im und unter dem Artikel. Damit werden Sie immer leben müssen, wenn Sie statt mit Euro mit ihren Daten zahlen.
Quelle: https://www.welt.de/print-welt/article574497/Weltweiter-Wirbel-um-Webwasher.html
Die Frage ist nun nur, wie der Anbieter diese Information ausliefert. Daher habe ich im Hintergrund die Chromium-Developertools (F12) gestartet und einen Netzwerktrace mitlaufen lassen:
Noch ehe der "Cookie-Consent" kommt, hat die Homepage schon jede Menge Daten von welt.de aber auch vielen anderen Seiten bezogen. Eine Webseite kann nämlich durchaus Inhalte auch von anderen URLs "einbinden". Das ist üblich und im Grunde nicht verwerflich, um z.B. statische Inhalte wie Logos, Schriften, Bilder, StyleSheets u.a. von anderen Servern in der Nähe des Besuchers auszuliefern und den eigentlichen Webserver damit nicht zu belasten. Allerdings nutzt Welt.de dazu nicht nur ihre eigenen Hostnamen sondern auch schon 3rd-Party Dienstleister. Hier ein paar der URLs, die ohne vorherige Rückfrage nachgeladen wurde
- https://yagiay.com/img/deutschland/crop140132097/4978400654-ci5x10s-w450/promotools/Bilder-zur-Campus-Elite-Uni-GoettingenKBVSR.jpg
Diese URL kommt mir von meiner Seite zu Web-Werbung auf welt.de sehr bekannt vor. Diesmal ist es ein schwarzes Bild. Allerdings hat der Name in der URL definitiv nichts mit dem Inhalt der angezeigten Webseite zu tun und dient wohl eher der Suchmaschinenoptimierung. - https://www.asadcdn.com/*
Lädt mit 29 Request einzelne JavaScript-Dateien mit gesamt ca. 17Kbyte nach. - https://eu-tlp03.kameleoon.com/visit.gif?lp=1&p=xxxxxxxxxxxx
Das dürften "Zählpixel" sein, von denen 11 unterschiedliche GIF-Dateien mit 142 Bytes pro Datei geladen werden. -
https://confiant-integrations.global.ssl.fastly.net/xxxx/axel/config.js
3 Javascript, die ebenfalls mit Werbung was zu tun haben -
https://cdn.privacy-mgmt.com/Notice.c3b1a.js
JavaScript kommt auch von der Domain privacy-mgmt.com. Angeblich registriert von einer Firma PERFECT PRIVACY, LLC die sich hinter dem Anonymisierungsdient von Network Solution versteckt. - https://ssl-welt.met.vgwort.de/blank.gif
Dass auch ein Zählpixel der VGWort eingebunden wird, dürfte bei all den anderen Zugriffen noch verschmerzbar sein. Wobei der bei mir sogar aus dem Diskcache gekommen ist
Denken sie daran, dass Sie schon vor der Bestätigung des "Cookie-Banners" nicht nur Daten von "welt.de" und weiterer Unterdomains abrufen, sondern auch bei den anderen eingebundenen Anbietern entsprechende "Spuren" hinterlassen.
Würden Sie beim Zugriff auf "welt.de" erwarten, dass der Betreiber ihren PC anweist, Skriptcode einer andere Domäne einzubinden und auszuführen?
Natürlich sehen Sie dann im Browser das "Cookie Consent"-Fenster, welches den normalen Besucher zu "geht mir weg" -Handlung verführen soll und er doch bitte "Alle akzeptieren" klicken sollte.
Der Button "Einstellungen oder ablehnen" ist natürlich weniger sichtbar und jeder Lektor würde mir den Text ankreiden. Auch der Hinweis zu "berechtigtem Interesse" ist darunter zu sehen. Also klicken wird doch mal und der nächste Dialog suggeriert, dass alle Einstellungen nun "ausgeschaltet" sind. Die wirken aber nur, wenn Sie auch "Ablehnen wie ausgewählt" klicken und nicht doch noch auf " Alle akzeptieren". Ein Schuft, der böses dabei denkt.
Aber was lehnen wir denn hier eigentlich ab? Der Link unter "Berechtigtes Interesse" ist schon sehr unauffällig und dort kommen wir auf den dritten Dialog. Hier sind doch wieder alle zusätzlichen Optionen aktiv.
Sie können natürlich auch wieder die Optionen abschalten aber freuen Sie sich nicht zu früh. Ich habe exemplarisch den Punkt "Marktforschung einsetzen.." geöffnet, den sie abschalten können.
Hier wird dann erstmals genannt, dass die Firma "Zeta Global" auch Daten nutzen darf. Der Verweis hinter der Firma geht auf deren "privacy policy" https://zetaglobal.com/privacy-policy/, aus der ich mal zwei Sätze zitiere:
For users based in the European Economic
Area (EEA) we may share your personal data within the Zeta
Group or with external third parties. This may involve
transferring your data outside the EEA, including (but not
limited to) the United States or India.
Quelle
https://zetaglobal.com/privacy-policy/
Als Steigerung wird auch ein "No Not Track" mit der Begründung ignoriert, dass es ja kein Standard sei.
Currently, various browsers – including
Internet Explorer, Firefox, and Safari – offer a “do not
track” or “DNT” option that relies on a technology known as
a DNT header, which sends a signal to Web sites’ visited by
the user about the user’s browser DNT preference setting.
Zeta does not currently commit to responding to browsers’
DNT signals with respect to the Company’s Web sites, in part,
because no common industry standard for DNT has been adopted
by industry groups, technology companies or regulators,
including no consistent standard of interpreting user intent.
Quelle:
https://zetaglobal.com/privacy-policy/
Wie stellt sich eigentlich eine Redaktion einer Tageszeitung auf, die solche Dienstleister nutzt? Da die bisher schon eingebundenen Dienstleister für Tracking und Werbung aus dem europäischen Raum wohl nicht gut genug sind, zwingt die Webseite des ungeübten Besuchers dazu, deine Daten auch noch an eine amerikanische Firma auszuleiten.
In schlechter Gesellschaft
Die Welt ist leider nicht die einzige Zeitschrift und wenn Sie sich andere Seiten anschauen, dann gibt es sogar eine frappierende Ähnlichkeit der Dialoge:
- Sueddeutsche.de (26. Dez 2020)
- faz.de
- bild.de
Und das ist nur eine Stichprobe an einem Tag von drei Zeitschriften. Der Dialog ist bei allen Zeitungen frappierend ähnlich. Vielleicht haben Sie nur voneinander abgeschaut oder sie nutzen nur zufällig den gleichen Dienstleister für die "Cookie-Fenster"
In der Hinsicht könnte man fast von einer Gleichschaltung reden. Ob man aber Bild, FAZ und WELT in die gleiche Kiste stecken, überlasse ich ihnen.
Mein berechtigtes Interesse
Ich kann als Einzelperson sicher nicht das Verhalten von Anbietern direkt beeinflussen. Ich kann zwar darauf aufmerksam machen aber so viele Personen werden die MSXFAQ deswegen nicht finden und schon gar nicht lesen. Also bleibt mir nichts anderes übrig, als den Zugriff auf andere Domains und deren Cookie-Nutzung zu unterbinden.
Ja, es kann sein, dass einige Webseiten
damit unbenutzbar werden. Dann kann der Inhalt aber gar
nicht so wichtig sein oder lenkt sogar eher ab.
Aber wenn mich jemand "stalkt", dann muss er damit rechnen,
dass ich etwas dagegen unternehme. Da kann aber nur ein
Bruchteil der "Websurfer" und daher wäre es mal an der Zeit,
dass die Hausordnung (namentlich Gesetze) an die neuen
Gegebenheiten angepasst werden.
- Browser Einstellungen
Zuerst sorge ich dafür, dass meine Browser, soweit mit Bordmitteln oder 3rd-Party Add-Ons möglich, diese Daten gar nicht mehr anfordern oder ich zustimmen muss. Beim Edge ist das die strenge Einstellung
Beim Chrome ist es etwas mehr
Leider muss man das ja pro Browser und Profil immer wieder einstellen, denn natürlich sind die Defaults erst einmal "Provider-freundlich". Es hilft natürlich nicht gegen den Zugriff auf fremde URl's - Hosts//URL-Blocker
Natürlich könnte man die Hostnamen dieser "unerwünschten Gegenstellen" einfach per DNS-Blockade unerreichbar machen, sei es per Hosts-Datei auf jedem Endgerät oder per DNS-Server wie z.B. Pihole (https://pi-hole.net/). Auch ein Browser-AddOn könnte schon die HTML-Seite so anpassen, dass die unerwünschten URLs gar nicht erst sichtbar werden. - NoScript
Die meisten Aktionen erfolgen durch Skripte im Browser und dazu gibt es. z.B. mit NoScript eine Erweiterung, mit der ich pro Domain einstellen kann, von wo Skripte ausgeführt werden. Interessant ist dabei, dass die meisten Webseite dann erst einmal kein "Cookie-Banner" mehr zeigen. - Spuren beseitigen
Gerade die Cookies funktioniert ja derart, dass der Browser die Cookies einer Domain immer wieder an die Webseite sendet, auch wenn der Browser zwischenzeitlich neu gestartet, der PC gebootet oder sich ihre IP-Adresse geändert hat. Eine Wiedererkennung wird erschwert, wenn Sie am Ende eben diese Spuren löschen. Aber da es noch andere Verfahren des Trackings gibt, ist dies nur ein Teil der Strategie. - Tor
Wenn Sie ihre Spuren noch weiter verschleiern wollen, dann bleibt nur der Tor-Browser samt Tor-Netzwerk, so dass die Betreiber noch weniger Daten bekommen. Neben der Verschleierung von IP-Adressen und Verschlüsselung der Übertragung zählt hier eher die im Tor-Browser eingebauten Funktion von NoScript und die automatische Löschung von Cookies am Ende der Sitzung
Leider sind diese Ansätze nichts für die Masse und daher eigentlich keine Lösung.
Zusammenfassung
In der Einleitung habe ich nicht nur die Cookies sondern auch die Einbindung anderer Webseiten als Kritikpunkt benannt. Aus meiner Sicht bewegen sich die Anbieter in mehrfacherer Hinsicht auf dünnem Eis. Ich bin mir sicher, dass die Gesetzgebung mit der "Cookie-Richtlinie" einen Zweck erreichen wollte, der so nicht mehr gegeben ist und die Einbeziehung von Quellen aus Staaten, die nicht der DSGVO unterliegen, zumindest fragwürdig ist. Ich sehe da schon eine Herausforderung beim Datenschutz.
Aber dass gerade die Organe des angeblich "seriösen Journalismus" so leicht sich verführen lassen, die Daten und Profile der Besucher zu verkaufen statt ein ordentliches Abrechnungsmodell zu etablieren, finde ich persönlich erschreckend. Ich persönlich informiere mich immer bei mehreren Quellen und würde es begrüßen, wenn ein einfacher bezahlter Zugang zu vielen Medien möglich wäre. Was spricht gegen eine "virtuelle Geldkarte", mit der Artikel sogar anonym bezahlt werden könnten? Ich "kaufe" bei einer Zeitung quasi ein "Gutscheinheft" und löse die Codes bei Bedarf ein.
Weitere Links
- In den Händen der Werbenetzwerk - Tracking im Internet
- Google Analytics
- Web-Werbung auf welt.de
- Cookies auf der MSXFAQ
- Web-Werbung auf welt.de
- RICHTLINIE 2009/136/EG DES EUROPÄISCHEN
PARLAMENTS UND DES RATES
https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32009L0136&from=DE - IAB Transparency and Consent Framework
(TCF)
https://iabeurope.eu/transparency-consent-framework/ - Das sind 650.000 Kategorien, in die uns
die Online-Werbeindustrie einsortiert
https://netzpolitik.org/2023/microsofts-datenmarktplatz-xandr-das-sind-650-000-kategorien-in-die-uns-die-online-werbeindustrie-einsortiert - Verstehen Sie das IAB Framework in 15
Minuten (oder weniger!)
https://usercentrics.com/de/knowledge-hub/verstehen-sie-das-iab-framework-in-15-minuten/ - PiHole
https://pi-hole.net/
DNS-Server auf Rasberry (und anderen Plattformen) um DNS-Anfragen zu optimieren. - Die Umsetzung der EU-Cookie-Richtlinie in Deutschland
https://www.ionos.de/digitalguide/websites/online-recht/cookie-richtlinie/ - Der Cookie-Hinweis ist für jede Webseite Pflicht – richtig?
https://www.advocard.de/streitlotse/internet-und-konsum/internetrecht/der-cookie-hinweis-ist-fuer-jede-webseite-pflicht-richtig/