smilies

Cookies – the good, the bad and the ugly

Die Entscheidung des Europäischen Gerichtshofs (EuGH) vom 01. Oktober 2019 (Urt. v. 1.10.2019, Az. C-673/17) hat wieder Leben in die Debatte um den Datenschutz und den technischen Einsatz von Cookies gebracht. Ich möchte hier das Thema von der technischen Seite aufgreifen, um mehr Klarheit in das für Laien doch so verworrene Thema zu bringen.  

Cookies sind zunächst einmal nicht mehr als eine Technik, die es Entwicklern erlaubt, Informationen auf den Rechner des Besuchers in Form einer kleinen Textdatei zu speichern. Diese technische Möglichkeit hat erst dazu geführt, dass interaktive Anwendungen überhaupt machbar wurden, denn nur so ist es möglich, seitenübergreifende Informationen zu speichern. Ohne Cookies oder andere Identifikationsmechanismen sind Warenkörbe oder geschützte Mitgliederbereiche nicht zu realisieren.

Ein Cookie ist eigentlich die harmloseste Variante der technischen Speichermöglichkeiten, da die Datenmenge, die dort tatsächlich gespeichert werden kann, sehr klein ist (4kB). In der Regel hat ein Cookie einen eindeutigen Namen, einen zugewiesenen Wert und ein Ablaufdatum sowie noch einige andere für Entwickler notwendige Eigenschaften. Technisch erforderliche Cookies sind in der Regel sogenannte Session-Cookies. Sobald Sie Ihr Browserfenster wieder schließen, werden diese automatisiert gelöscht. Sie sind nicht böse und richten keinen Schaden an. Es gibt allerdings auch andere, die Sie vielleicht – wenn Sie nichts dagegen tun – solange begleiten, bis Ihr Rechner das Zeitliche segnet.

Cookies sind also in erster Linie eine Technik.

Wie und zu welchem Zweck diese von Entwicklern und Unternehmen benutzt wird, steht auf einem anderen Blatt.Sie können auch die technische Grundlage für personalisierte Werbung und gezieltes Internetmarketing sein. Ein Dienstleistungssektor für sich. Dahinter stehen nicht allzu selten große Konzerne, deren Datensammelwut allgemein bekannt ist. Die Entscheidung des EuGH für die Verwendung solcher Cookies eine aktive Zustimmung durch den Websitebesucher (Opt-in) zu fordern, ist eine Entscheidung, die ich aus Entwickler- und Verbrauchersicht sehr positiv bewerte. Sie hat jedoch weitreichende Konsequenzen und wird einen ganzen Wirtschaftszweig verändern.

Ein mächtiges Marketingtool ist unter anderem Google-Analytics. Viele Websitebetreiber nutzen es, um ihre Website auf die Bedürfnisse ihrer Kunden abzustimmen und mehr über ihr Verhalten zu lernen und adäquat darauf reagieren zu können – natürlich mit dem Ziel, ihre Produkte oder Dienstleistungen besser vermarkten zu können. Die meisten Unternehmen haben damit nichts Unethisches im Sinn, sondern möchten einfach ihre Reichweite erhöhen. Aber all diese Daten landen auch direkt bei Google, dort werden sie mit Hilfe von intelligenten Algorithmen miteinander verknüpft. Alle Websitebetreiber sollten sich wirklich fragen, ob die Erkenntnisse, die sie aus dem Einsatz eines solchen Tools ziehen, den Einsatz und die damit verbunden Konsequenzen rechtfertigen.

Ihre Daten sind schon heute nicht mehr aussagekräftig

Mozilla hat schon im September seinen Firefox mit der Enhanced Tracking Protection ausgestattet. Standardmäßig werden alle "Tracking-Cookies von Drittanbietern", die auf einer Black-List stehen, blockiert. Klickt man neben der URL-Eingabe-Zeile auf das kleine Icon mit Schutzschild, kann man alle blockierten Cookies der jeweiligen Website sehen. Warum es eine solche automatisierte Technologie im Google-Chrome nicht standardmäßig aktiviert ist, muss sicherlich nicht näher erläutert werden.

Das bedeutet, dass alle Marketingtools, die auf solche Trackingcookies setzen, seit September keine validen Daten mehr liefern, weil sie einen Großteil der Firefoxbesucher nicht miteinschließen. Google hat auf diese Cookiegeschichte reagiert, Google-Analytics lässt sich auch cookiefrei betreiben. (Fingerprint / LocalsStorage,  IP-basiert) – Daten gesammelt werden jedoch weiterhin. Bei Facebook sieht es nicht anders aus (FacebookPixel etc) – wir erinnern uns an Cambridge Analytics.

Mit Transparenz zum Ziel

Das Netz ist für uns alle eine Errungenschaft, die unser Zusammenleben in den letzten Jahren massiv verändert hat. Für mich ist dieses Sammelsurium von Wissen etwas, was ich nie wieder missen möchte. So viele verschiedene Menschen prägen einen technischen Raum und machen ihn zu einer eigenen, technischen Gesellschaft, wo es Austausch und Kommunikation genauso gibt, wie Verbrechen und Gewalt.

Als Websitebetreiber hat jeder das Ziel, besonders gut gefunden und bewertet zu werden - davon ist in vielen Fällen wirtschaftlicher Erfolg abhängig. Viele Websitebetreiber sorgen sich jetzt, sie könnten durch die Forderung der Zustimmung für Trackingcookies ihre Stellung einbüßen. Ich glaube, dass es auch Gewinner geben wird, nämlich jene, die ihren Besuchern gegenüber offen und transparent entgegentreten, indem sie ihre Besucher über die von ihnen eingesetzten Tools und Techniken informieren.

Anmerkung: Eine Alternative könnte für viele das Open Source Webanalysetool Matomo sein. Matomo kann cookiefrei auf dem eigenen Server betrieben werden. Es liefert viele wertvolle Informationen, etwas anders als Google-Analytics – aber als Alternative sicherlich einen Test wert. Aber dennoch sollten die Besucher auf den Einsatz solcher Tools hingewiesen werden.

Opt-in fordert der EuGh

Das ist eine eindeutige Aussage. Ohne die aktive Zustimmung des Nutzers keine Tracking-Cookies. In den letzten Wochen sind Cookie-Bots groß im Kommen, die mit Hilfe von JavaScript schon gesetzte Cookies wieder ausschalten und so den Eindruck erwecken, wir hätten die volle Kontrolle. Andere bieten notwendige Analysetechniken und Opt-in in einem an (e-recht etc.). Meist zu einem nicht ganz günstigen Preis. Technisch gesehen, ist das Ganze nämlich gar nicht so einfach. Je nachdem, welches CMS man nutzt, werden Cookies an unterschiedlicher Stelle im Renderingprozesss des Systems gesetzt. Ein Bot von außen kann hier keinen Zugriff haben. Er kann erst eingreifen, wenn das Rendering abgeschlossen ist.

Joomla – ein Lösungsansatz.

Das Joomla-Session-Cookie wird ganz zu Beginn des Renderingprozesses gesetzt, es ist technisch notwendig und dient u.a. der Sicherheit. (Beim Absenden von Formularen etc.) Externe Anwendungen und Marketing-Tools werden in der Regel über JavaScript-Schnipsel in die index.php des Templates eingebunden. Joomla bietet hier nun die technischen Voraussetzungen, um diese Einbindung erst nach vorheriger Zustimmung durch den Benutzer vorzunehmen. Hierzu ist ein Modul notwendig, das folgende Aufgaben erfüllt:

  • Bereitstellung eines Interfaces für die Eingabe der externen Javascript-Schnipsel/ PHP Schnipsel im Joomla-Backend.
  • Generierung eines Formulars mit Schaltern zur Aktivierung
  • Speicherung der Auswahl und anschließende Einbindung des dazugehörigen Codes
  • Bearbeitung und Veränderung der Auswahl
  • Löschung sämtlicher Cookies und dazugehöriger Javascript-Schnipsel mit JavaScript und PHP
  • Keine Speicherung der Auswahl in der Datenbank