Seit einigen Jahren kennen wir sie: die sogenannten Cookie-Banner oder -Popups. Anfangs waren sie lediglich zur Information der Webseitbesucher:innen vorgesehen. Später kam die Einschränkung der Cookie-Aktivierung hinzu. Und lange vor, aber spätestens mit der Einführung der DSGVO müssen wir von der alten Bezeichnung abrücken, denn die bekannten Banner tun noch einiges mehr! – bzw. sollten mehr tun. Grundsätzlich geht es inzwischen nämlich um vielfältige Einwilligungen zur Nutzung von Diensten und Quellen, die eine Website im Hintergrund bereitstellt. Seien es die „technisch notwendigen“ oder Quellen und Dienste fürs Marketing, Cookies, Skripte oder für Statistiken. Wir sprechen also heutzutage von „Consent-Bannern“.
Warum braucht man Consent-Banner?
Den Anstoß für die Einführung der DSGVO gaben große Konzerne, wie Facebook & Co., weil sie unheimlich große Mengen personenbezogener Daten gesammelt, ausgewertet und teilweise auch gewerblich genutzt haben. Da sich aber keine klare Grenze zwischen kleinen, mittleren und großen Unternehmen ziehen lässt gilt die DSGVO nun mal für „alle“ nicht ausschließlich privaten Websitebetreiber:innen gleichermaßen.
Was bei einem Website-Aufruf passiert
Wenn man nun eine Website besucht, passieren im Hintergrund viele Dinge: Der Server wird kontaktiert und „Nummern werden ausgetauscht“, damit ein „Gespräch“ zwischen Server und Besucher stattfinden kann. – Bereits diese erste Kontaktaufnahme betrifft die DSGVO: denn die ausgetauschte Nummer des Endgeräts, mit dem der Besuch stattfindet, ist bereits ein personenbezogenes Datum, das geschützt werden muss. – Zu unserem Glück ist dieses Datum aber ein „technisch notwendiges“ und somit immer erlaubt.
Doch was passiert nach dem Verbindungsaufbau? Wenn wir bei unserer Analogie eines Gesprächs zwischen Server und besuchender Person bleiben, werden Gesprächsinhalte ausgetauscht. In unserem Fall Inhalte der Website: Dateien, die auf dem Server gespeichert sind, Datenbank-Inhalte, Google Fonts, externe Skripte, iFrame-Daten, etc.
Skripte, Dienste, Cookies und Co.
Zur Veranschaulichung gibt es hier einmal eine gekürzte Liste von Seiteninhalten und Cookies bei einem Besuch der Website von Philips (hier sind alle Dienste und Quellen eingewilligt):
Viele dieser Verbindungen und Datenaustausche sind völlig legitim und notwendig, um die Website nutzen zu können: zum Beispiel alle Daten, die mit dem Server ausgetauscht werden, auf der die Website liegt.
Andere Quellen sind jedoch zu hinterfragen: yieldify, facebook, go-mpulse, google, etc. – Hier ist schlicht die Frage: wofür wird die Verbindung zu diesen Dritten aufgebaut?
Fazit
Woher also die Kritik, die Angst und Ablehnung an und vor „Cookies“? – Unserer Einschätzung nach resultiert das negative Bild von „Cookies“ daraus, dass zu Zeiten vor der Einführung der DSGVO den Dienstleistern für eingesetzte Tools, keine Schranken gegeben waren. Inzwischen dürfen Daten nur noch für ausdrücklich zugestimmte Zwecke genutzt werden, wenn sie in der EU/EWR oder durch einen Dienstleister in einem Drittland unter bestimmten Voraussetzungen erhoben werden. Das heißt: erhobene Daten dürfen nicht mehr wild für alles Mögliche genutzt oder weiterverkauft werden.
Wir haben Verständnis dafür, dass man der Nutzung von Daten erstmal kritisch gegenüber eingestellt ist – eben wegen der Vergangenheit. Doch mittlerweile ist die Nutzung einer Website unter Zustimmung aller Dienste und Quellen deutlich unkritischer, als die direkte Nutzung einer großen, bekannten Suchmaschine oder der Besuch von einschlägigen sozialen Netzwerken. Kern sollte es jedoch immer sein, sich bewusst zu machen, auf welchen Seiten man gerade unterwegs ist und zu hinterfragen ob man dem Seitenbetreiber vertraut – Ist das gegeben… 🤷♂