Cookies und Consent

… weshalb „Cookie-Banner“ nicht böse sind.

Auf nahezu jeder Website bekommen wir immer und immer wieder dieselbe Frage gestellt: Welche Dienste und Cookies wollen wir für den Besuch der Seite erlauben und welche nicht? Diese Banner haben durchaus ihre Daseinsberechtigung. Allerdings erscheint uns die Furcht vor "bösen Cookies" übertrieben. Wir klären euch auf, was hinter Cookies, Diensten, etc. steckt und was…

Quelle: unsplash.com | @lindseysavagecreative

Seit einigen Jahren kennen wir sie: die sogenannten Cookie-Banner oder -Popups. Anfangs waren sie lediglich zur Information der Webseitbesucher:innen vorgesehen. Später kam die Einschränkung der Cookie-Aktivierung hinzu. Und lange vor, aber spätestens mit der Einführung der DSGVO müssen wir von der alten Bezeichnung abrücken, denn die bekannten Banner tun noch einiges mehr! – bzw. sollten mehr tun. Grundsätzlich geht es inzwischen nämlich um vielfältige Einwilligungen zur Nutzung von Diensten und Quellen, die eine Website im Hintergrund bereitstellt. Seien es die „technisch notwendigen“ oder Quellen und Dienste fürs Marketing, Cookies, Skripte oder für Statistiken. Wir sprechen also heutzutage von Consent-Bannern“.

Warum braucht man Consent-Banner?

Den Anstoß für die Einführung der DSGVO gaben große Konzerne, wie Facebook & Co., weil sie unheimlich große Mengen personenbezogener Daten gesammelt, ausgewertet und teilweise auch gewerblich genutzt haben. Da sich aber keine klare Grenze zwischen kleinen, mittleren und großen Unternehmen ziehen lässt gilt die DSGVO nun mal für „alle“ nicht ausschließlich privaten Websitebetreiber:innen gleichermaßen.

Was bei einem Website-Aufruf passiert

Wenn man nun eine Website besucht, passieren im Hintergrund viele Dinge: Der Server wird kontaktiert und „Nummern werden ausgetauscht“, damit ein „Gespräch“ zwischen Server und Besucher stattfinden kann. – Bereits diese erste Kontaktaufnahme betrifft die DSGVO: denn die ausgetauschte Nummer des Endgeräts, mit dem der Besuch stattfindet, ist bereits ein personenbezogenes Datum, das geschützt werden muss. – Zu unserem Glück ist dieses Datum aber ein „technisch notwendiges“ und somit immer erlaubt.

Doch was passiert nach dem Verbindungsaufbau? Wenn wir bei unserer Analogie eines Gesprächs zwischen Server und besuchender Person bleiben, werden Gesprächsinhalte ausgetauscht. In unserem Fall Inhalte der Website: Dateien, die auf dem Server gespeichert sind, Datenbank-Inhalte, Google Fonts, externe Skripte, iFrame-Daten, etc.

Skripte, Dienste, Cookies und Co.

Zur veranschaulichung gibt es hier einmal eine gekürzte Liste von Seiteninhalten und Cookies bei einem Besuch der Website von Philips (zur Veranschaulichung haben wir hier allen Diensten und Quellen eingewilligt):

"Notwendige Dienste"

Viele dieser Verbindungen und Datenaustausche sind völlig legitim und notwendig, um die Website nutzen zu können: zum Beispiel alle Daten, die mit dem Server ausgetauscht werden, auf der die Website liegt.

Andere Quellen sind jedoch zu hinterfragen: yieldify, facebook, go-mpulse, google, etc. – Hier ist schlicht die Frage: wofür wird die Verbindung zu diesen Dritten aufgebaut?

  • "Berechtigtes Interesse"

    In den meisten Fällen werden externe Ressourcen geladen, um zusätzliche Funktionen, Schriften, Skripte, etc. für die Website bereitzustellen. In anderen Fällen (sehr oft bei größeren Unternehmen) werden Content Delivery Netzwerke eingesetzt: grob gesprochen werden in solchen Netzwerken Kopien der Website auf verschiedenen Servern (weltweit) verteilt, um die Erreichbarkeit und Ausfallsicherheit zu erhöhen.

    Auch hier: erstmal unproblematisch.

  • "Statistik und Marketing"

    Nun schauen wir uns die oft kritisierten „Statistik und Marketing“ Cookies, Quellen und Dienste an: Es werden heutzutage eine Vielzahl Tools in Websites integriert, um Besucherinteraktionen zu messen und zu verfolgen. Die Websitebetreibenden verfolgen damit das Ziel, herauszufinden, welche Inhalte für die Besucher:innen (un-)relevant sind, wie die Benutzer:innenfreundlichkeit ihrer Seiten gestaltet sind, wie gut Werbemaßnahmen funktionieren, etc. –

    Und wieder: grundsätzlich unproblematisch.

Fazit

Woher also die Kritik, die Angst und Ablehnung an und vor „Cookies“? – Unserer Einschätzung nach resultiert das negative Bild von „Cookies“ daraus, dass zu Zeiten vor der Einführung der DSGVO den Dienstleistern für eingesetzte Tools, keine Schranken gegeben waren. Inzwischen dürfen Daten nur noch für ausdrücklich zugestimmte Zwecke genutzt werden, wenn sie in der EU/EWR oder durch einen Dienstleister in einem Drittland unter bestimmten Voraussetzungen erhoben werden. Das heißt: erhobene Daten dürfen nicht mehr wild für alles Mögliche genutzt oder weiterverkauft werden.

Wir haben Verständnis dafür, dass man der Nutzung von Daten erstmal kritisch gegenüber eingestellt ist – eben wegen der Vergangenheit. Doch mittlerweile ist die Nutzung einer Website unter Zustimmung aller Dienste und Quellen deutlich unkritischer, als die direkte Nutzung einer großen, bekannten Suchmaschine oder der Besuch von einschlägigen sozialen Netzwerken. Kern sollte es jedoch immer sein, sich bewusst zu machen, auf welchen Seiten man gerade unterwegs ist und zu hinterfragen ob man dem Seitenbetreiber vertraut – Ist das gegeben… 🤷‍♂

Kontakt