1. Von Keksen und anderen Dämonen
Spätestens seit dem Urteil des Europäischen Gerichtshofs (EuGH) vom 01.10.2019 zum Thema Cookies liest man im Web immer häufiger von »technisch notwendigen« Cookies. Cookie-Banner enthalten oftmals ein Kästchen für diese Art von Cookies, das vorab angekreuzt ist und nicht abgewählt werden kann. Man ist damit wohl oder übel gezwungen zu akzeptieren, dass diese Cookies auf dem eigenen Rechner platziert werden. Wenngleich Möglichkeiten existieren, das Setzen von Cookies browserseitig zu verhindern, kann man davon ausgehen, dass ein wesentlicher Anteil der betroffenen Personen solche Änderungen nicht vornimmt und diesen Cookies daher ausgesetzt ist. Doch was genau macht diese Cookies technisch notwendig?
Gastbeitrag
Ein Gastbeitrag von Maximilian Ernst.
2. Technisch notwendige Cookies?
Klären wir zunächst einmal die Begriffe: Die Bedeutung des Wortes technisch sollte klar sein. Es besagt in diesem Zusammenhang, dass die Notwendigkeit des Cookiesetzens aus der Funktionsweise des Web und der Art und Weise, wie Webserver mit Browsern interagieren, erwächst. Notwendig beschreibt der Duden mit »nicht zu umgehen«, »unbedingt« und »in der Natur einer Sache liegend«. Für Cookies würde das bedeuten, dass das Setzen dieser ohne Alternative und daher ein Muss ist. In Kombination heißt »technisch notwendig« also: Aufgrund der allgemein anerkannten Protokolle, die die Arbeitsweise des Web vorgeben, ist es zwingend, dass Webseitenbetreiber Cookies bei ihren Besuchern setzen lassen.
Bereits der Ursprung des in diesem Zusammenhang verwendeten Begriffs notwendig wirft bei mir Fragen auf. Das entsprechende BGH-Urteil enthält zwar die Wortgruppe »technisch notwendig«, doch lässt sich daraus nicht die Deutung ableiten, die man in Cookie-Bannern und auf verschiedensten Webseiten zu dem Thema vorfindet. Hingegen spricht die sogenannte Cookie-Richtlinie von Erforderlichkeit, welche einen klar definierten Rechtsbegriff darstellt und dessen Bedeutung kaum mit einem anderen Wort repräsentiert werden kann. Ich möchte daher fortan von Erforderlichkeit sprechen. Man kann Art. 5 Abs. 3 der Richtlinie entnehmen, dass Cookies auch ohne Einwilligung gesetzt werden dürfen, wenn
dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.
Dann – und nur dann – darf meiner bescheidenen Einschätzung nach ein Auswahlkästchen vorangekreuzt und ohne Möglichkeit zur Entfernung des Kreuzes sein. Es würde dann vielmehr der Information anstelle der Einholung einer Einwilligung dienen.
Ihr fragt euch bestimmt schon, wo man die Vorgabe für diese unbedingte Erforderlichkeit des Setzens von Cookies finden und nachlesen kann. Ich verrate es euch: nirgends! Diese Vorgabe existiert nicht und gefühlte 95% dieser so bezeichneten Cookies sind weder erforderlich noch technisch notwendig. Doch was bringt mich zu dieser steilen These? Ganz einfach: Stellt in den Optionen eures Browser oder eurer Add-Ons ein, dass sämtliche Cookies abgewiesen werden. Ihr werdet schnell feststellen, dass ihr wie vorher problemlos surfen könnt. Aber warum werden uns dann ständig »technisch notwendige« Cookies um die Ohren gehauen? Das kann ich euch leider nicht beantworten. Allerdings lassen sich ein paar konkretere Beispiele untersuchen.
3. Cookies – Cookies – Cookies!
Eine Sorte Cookies, die man häufig antrifft, sind die Session Cookies, die eine eindeutige Kennung (ID) enthalten, mit der ein Webserver eine Person zu einem späteren Zeitpunkt wiedererkennen kann. Selbstverständlich gibt es Anwendungsfälle für diese Technik, doch ist der bloße Besuch einer Webseite alles andere als ein ausdrücklicher Wunsch, später wiedererkannt zu werden. Denn es gibt mit Sicherheit genug Menschen – einschließlich mir –, die im Normalfall möglichst unerkannt bleiben wollen.
Mittels der im Session Cookie enthaltene Kennung können Einstellungen oder ein Log-In, die jemand auf einer Webseite vorgenommen hat, über Browser-Sitzungen hinweg persistent bleiben, indem diese zusammen mit der ID auf dem Server gespeichert werden. Beim nächsten Besuch wird das Cookie wiedererkannt und die zugehörigen Einstellungen können abgerufen werden. Eine Variante dieses Cookies wird häufig auch für Warenkörbe auf Onlineshop-Seiten genutzt. Wird das Cookie nicht gefunden, geht der Warenkorb oft verloren, selbst wenn man nur auf eine andere Unterseite des Shops navigiert. Dabei kann man in meinen Augen nicht grundsätzlich von einem Wunsch nach dieser Funktionalität ausgehen, sondern erst dann, wenn tatsächlich ein Produkt in den Warenkorb gelegt oder sich eingeloggt wurde.
Noch schlimmer sind meiner Meinung nach Cookies, die festhalten sollen, dass eine Person ein Opt-Out von Trackingmethoden der Webseite vorgenommen hat. Das Grundübel liegt hier noch tiefer, da zunächst versucht wird zu tracken und noch Hürden genommen werden müssen, um dem zu entgehen. Die korrekte Variante wäre, grundsätzlich davon auszugehen, dass kein Tracking gewünscht ist, und erst nach aktivem Opt-In ein Cookie zu setzen und Tracking durchzuführen. Beides würde damit Besuchern erspart bleiben, bis eine Einwilligung erfolgt und somit ein Wunsch ersichtlich ist.
Selbst wenn man ein Cookie-Banner wegklickt, bedeutet dies meist, dass man ein Cookie aufgedrückt bekommt, auch wenn alles so weit wie möglich abgelehnt wurde. Dabei erscheint es paradox, einen Cookie bei jemandem setzen zu wollen, der der Verwendung von Cookies offensichtlich widerspricht, zumal dies für das Übertragen und Anzeigen der Webseite keineswegs notwendig ist. Eine datensparsame und auch die von mir befürwortete Möglichkeit ist, initial weder Cookies zu setzen noch danach zu fragen. Erst wenn sich jemand für die Datenschutzerklärung interessiert und beim Lesen dieser entsprechende Optionen willentlich aktiviert, sollte ein Cookie gesetzt werden, das dies festhält. Alle anderen Besucher der Webseite werden weder behelligt noch durchleuchtet.
Der Kuketz-Blog ist spendenfinanziert!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
4. Fazit
Ich behaupte, dass die Deklaration von Cookies als technisch notwendig eine ähnliche Entwicklung wie die des Webs insgesamt ist und somit die gleichen Ursachen hat. Es werden zunehmend neue Möglichkeiten ausgeschöpft wie Drittanbieter und Werbung teils in Hülle und Fülle einzubinden, ohne große Rücksicht auf Konsequenzen oder Datenschutz, und dabei die Abwägung über die Notwendigkeit und Folgen dieser Möglichkeiten gänzlich vergessen – so scheint es mir. In diesem Lichte wirkt der Umgang mit Cookies wie eine logische Folge der Praktiken, die sich bei Webseitenbetreibern und -entwicklern offenbar eingebürgert haben. Bevor ihr also das nächste Mal überlegt, wie ihr das Cookie-Banner rechtlich korrekt umsetzt, denkt darüber nach, ob ihr vielleicht lieber die Funktionen entfernt, durch die diese Cookies überhaupt erst »technisch notwendig« geworden sind. Es würde uns allen das Leben erleichtern.
Bildquellen:
Smashicons from www.flaticon.com is licensed by CC 3.0 BY
Desserts Candies: Freepik from www.flaticon.com is licensed by CC 3.0 BY
Über den Autor | Gastbeitrag
Gastbeiträge werden von Autoren verfasst, die nicht zum festen Redaktionsteam des Kuketz-Blogs gehören. Bevor ein Gastbeitrag veröffentlicht wird, findet eine inhaltliche Abstimmung mit mir statt. Dabei übernehme ich die redaktionelle Bearbeitung des Textes, prüfe den Inhalt und bereite den Beitrag sorgfältig für die Veröffentlichung im Blog vor.
Unterstützen
Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
Rechtswidrige Einwilligungs-Abfragen erkennen und dagegen vorgehen
DB Navigator: Datenschutz fällt heute aus – App-Check Teil1
Booking.com: Datenschutzrechtliche Bruchlandung mit Ansage – App-Check Teil4
Wer erlaubt Analysetracking in Deutschland und Europa – das TTDSG Teil2
eBay Kleinanzeigen: Datenschutz: Was letzte Preis? – App-Check Teil3
15 Ergänzungen zu “Kommentar: Technisch gesehen sind Cookies nur für das Krümelmonster notwendig”
Wenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-ForumAbschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.
Du interpretierst Gesetzestexte wörtlich und tendenziell extrem trennscharf. Für die Auslegung ist jedoch „der Wille des Gesetzgebers“ entscheidend ( https://de.wikipedia.org/wiki/Auslegung_(Recht)#Auslegungsziel ). Wobei die gesamte DSGVO wie auch Richtlinie den Charakter hat, dass Datenverarbeitung und darauf aufbauende Geschäftsmodelle durchaus möglich sind. So absolut wie deine Interpretation sind die Texte nicht im Ansatz gemeint[1].
Auch das Herumreiten auf einzelnen Wortdefinitionen. Würde es danach gehen wären extrem viele Gesetzestexte überhaupt nicht anwendbar, da extrem viele Begriffe in Rechtstexten im rechtlichen Sinne nicht klar definiert sind. Selbst der Duden hilft da nicht großartig weiter, dieser dokumentiert ja den zeitgemäßen Sprachgebrauch und nicht zwingend die historische, vom Gesetzgeber angedachte Bedeutung.
Entsprechend ist es rechtlich oftmals in Ordnung wenn Cookies gesetzt werden, solang diese nicht genutzt werden um Tracking und/oder Deanonymisierung zu betreiben.
Cookies die anzeigen, dass ein Nutzer Cookie, Datenschutz oder was auch immer gesehen haben und die Möglichkeit zum OptIn/OptOut hatten -> Kein Problem und für Betreiber ist diese Lösung sogar zu empfehlen. Denn so kann ein Betreiber nachweisen, dass technische Maßnahmen ergriffen wurden, die Nutzern Rechtsbelehrung, OptIn/OptOut angezeigt wurden und entsprechende Hinweise nur ausgeblendet werden, nachdem Nutzer diese aktiv bestätigt haben[2].
Es bleiben die massigen Fälle von Missbrauch und völlig missachtetem Datenschutz bei vielen Betreibern, die das als „technisch notwendig“ titulieren. Das ist aber eine andere Geschichte.
[1] Das ist u.a. so ein Rechtsstaatsding, dass Gesetzestexte in überwiegenden Fällen nicht Absolut gelten sondern nach Willen des Gesetzgebers, Interessenabwägung und im Kontext der Umstände des Einzelnen/Falles sowie weiterer Gesetze.
[2] Ok, da gibt es dann so schlaue Nutzer, die mittels Filterregeln und deaktiviertem Javascript das Aufzeigen solcher Meldungen unterbinden. Für solche Sonderfälle muss man häufig jedoch keine weiteren Maßnahmen ergreifen, da diese Modifikation in der Verantwortung der Nutzer liegt.
Rechtlich stimme ich dir zu und aus dieser Perspektive ist zumindest ein guter Teil der Cookies sicherlich in Ordnung. Ich habe jedoch eher versucht, „technisch notwendig“ zu interpretieren, was ja gerade nicht aus einem Gesetzestext kommt. Und das ist es meiner Meinung nach eben nicht, auch wenn es vielleicht die gängigste Methode darstellt.
FRAGE: Betrifft und gilt diese EU-Cookie-Richtlinie/Verordnung eigentlich immer auch für Supercookies und Konsorten? Also beispielsweise Zombie Coookies, Web Storage und Flash-Cookies / LSO. Wobei letztere wahrscheinlich kurz vorm endgültigen Aussterben sind. Ich Frage, weil es sich zum Teil um unterschiedliche Techniken handelt.
Da das eine Rechtsfrage ist, kann ich hier nur meine subjektive Meinung darlegen, die keinesfalls rechtsverbindlich ist.
„Cookie-Richtlinie“ ist nur der Spitzname, nicht der offizielle Name der Richtlinie 2002/58/EG. Das Wort Cookie lässt sich nicht einmal im Text finden. Im besagten Art. 5 Abs. 3 ist allgemein von Speicherung und Zugang die Rede.
Eine Richtlinie entfaltet normalerweise auch keine direkte Rechtswirkung, sondern muss in nationales Recht umgesetzt werden. Ich denke eher, dass das Telemediengesetz (TMG) so ziemlich das Gegenteil sagt. Allerdings ist im BGH-Urteil zu lesen, dass das TMG richtlinienkonform auszulegen ist und daher würde ich deine Frage eher mit „Ja“ beantworten.
Wie gesagt, das ist nur meine Interpretation ohne Anspruch auf Korrektheit.
Die Lösung, einmal die Ablehnung von Cookies in einem Cookie zu speichern und beim nächsten Website-Besuch den Dialog dann dadurch nicht mehr zu Gesicht zu bekommen, ist mir deutlich lieber als ganz auf das Setzen von Cookies zu verzichten und mich dafür jedesmal zu nerven.
Oder wie würdest du dir die Implementation einer cookie-freien Ablehnung von Cookies vorstellen?
Eine cookiefreie Ablehnung von Cookies ist ganz einfach: man stellt die Frage erst dann, wenn sie technisch erforderlich ist, also beispielsweise sobald jemand etwas in den Warenkorb legt oder sich einloggt. Ansonsten braucht man keine Cookies, muß also den Nutzer auch nicht mit einem entsprechenden Hinweis belästigen.
Eine Anmerkung, da bloß gegen den „Sonderfall“ Cookies gewettert wird, aber meiner Ansicht nach Gewichtigeres übersehen wird (Robert erwähnte aber den WebStorage bereits):
Manche (natürlich nicht alle von den Marketing-Abteilungen) als „technisch notwendig“ bezeichneten Cookies könnte man eher als „funktional notwendig“ bezeichnen, gerade in einem Internet, das leider, leider, leider ohne JavaScript oftmals nicht mehr auskommt und ein paar Daten beim Client hinterlegen möchte (z.B. eine aktuelle Scrollposition ein einer x-Seiten langen Doku etc.). Ich hab für sowas schon Verständnis, weil das richtig angewendet eine der besten Möglichkeiten ist, simple und selbstverständlich nicht personenbezogene Daten im Client (kurzzeitig) zu speichern, weil die User Experience in manchen Fällen mancher Webseiten dadurch tatsächlich stark profitieren kann.
Schmankerl: Ein Cookie ist übrigens limitiert auf 4 KB in der Größe, der Local-/Session-Storage auf etwa das 100x-Fache an möglichen Informationen (stark browserabhängig).
ABER…
Ich denke du solltest deine Kritik deutlich verallgemeinern. Denn: Wäre etwa irgendwas besser, wenn man den sog. LocalStorage/SessionStorage/IndexDB verwenden würde statt Cookies? Das sind im Grunde ja alles nur primitive Key-Value-Stores und alle diese Technologien sind in modernen Browsern implementiert/aktiviert und mit JS ansprechbar. (Einsehbar im z.B. Firefox über F12 -> Web-Speicher). Insofern ist es etwas irreführend, hier nur über Cookies zu sprechen, denn man kann mit mindestens 3 anderen gleichermaßen verfügbaren Technologien technisch das gleiche machen, das Cookies erledigen, ohne auch nur ein einziges Cookie zu setzen.
Etwa der LocalStorage (Kurzdoku: https://developer.mozilla.org/de/docs/Web/API/Window/localStorage).
Es braucht im Zweifel nur eine Zeile JS, dir ein Cookie anzulegen (vorausgesetzt, der Browser akzeptiert es) bzw. auszulesen und so ist es auch (z.B.) mit dem LocalStorage:
localStorage?.setItem(’sessionId‘, ‚IchWerdeGehasstAberDasIstMirEgal‘);
var sessionId = localStorage?.getItem(’sessionId‘);
Die Kritik der Cookies kann also die Cookies der Kritik nicht ersetzen.
Da gebe ich dir Recht. Vielleicht muss noch eine Fortsetzung geschrieben werden, bei der diese Techniken auch mal ein wenig beleuchtet werden und die die Kritik auch darauf erweitert.
Die Annahme, dass man immer davon ausgehen sollte, dass ein Nutzer kein Tracking wünscht und erst das Opt In in einem Cookie fest hält, halt leider auch so seine Tücken – und zwar aus technischer Sicht. Generell ist das Thema Cookies in technischen Belangen sehr kompliziert. Der Beitrag geht eigentlich nur auf den rechtliche Aspekt ein und stellt ein „wünscht dir was“ Szenario auf. Die technischen Aspekte in Bezug auf die Umsetzung werden leider völlig außer acht gelassen.
Zum Thema LocalStorage/SessionStorage: Hier ist ganz klar der Nachteil, dass dieser Storage nur eine begrenzte Kapazität bietet. Für Warenkörbe ist das leider nur begrenzt geeignet. Will man bspw. alle Produktdaten speichern, um einen Abgleich „alt“ gegen „aktuell“ machen zu können, bwp. um im Warenkorb anzuzeigen „Preis hat sich seit ihrem letzten Besuch geändert“, dann ist man je nach Komplexität der Daten leider schnell am Limit – welches von Browser zu Browser auch noch unterschiedlich ist.
Hinzu kommt, dass in vielen Managed Company Netzwerken LocalStorage/SessionStorage leider immer noch von zentraler Stelle deaktiviert wird – diesen Fall hatte ich erst noch Anfang des Jahres.
In Cookies wird ja oft nicht mal der ganze Warenkorb gespeichert, sondern nur eine Warenkorb-ID. Die Daten liegen dann Serverseitig irgendwo in einem Speicher / Datenbank, der es egal ist, wie viele Produkte im Warenkorb liegen.
Deshalb ist es auch egal, dass man in Cookies viel weniger Daten speichern kann, in Cookies werden für gewöhnlich lediglich Referenzen (IDs) gespeichert, die dann Serverseitig wieder aufgelöst werden.
IndexedDB ist eine frühe Technologie, sie ist noch nicht mal im Living Standard übernommen worden, sondern liegt nur als Vorschlag vor. Entsprechend ist die Kompatibilität noch schlechter, als LocalStorage/SessionStorage.
Auch „erst danach zu fragen, wenn notwendig“ ist oftmals viel leichter gesagt, als technisch umgesetzt. Die meisten Systeme sind nun mal auf Basis der Technologie und deren Möglichkeiten umgesetzt und nicht, wie der Gesetzgeber diese Technologie gerne „benutzt“ hätte.
Man müsste dann in jeden „Button“ der eine Aktion triggert – z.B. „zum Warenkorb hinzufügen“ – erst überprüfen, ob er der Cookie Speicherung zugestimmt hat, falls nein Fragen und dann erst die Aktion ausführen.
Und hier kommen wir bereits zum ersten technischen Problem: Man kann NICHT alle Cookies mit JS auslesen. Ein Cookie mit dem „httponly“ Flag, lässt sich in JS setzen, aber nicht mehr lesen. Aus Sicherheitsgründen sind eigentlich nahezu alle Cookies mit diesem Flag versehen. Und Plötzlich hat man ein Henne-Ei Problem.
Technisch ist diese Forderung also absolut nicht trivial zu beantworten.
Entweder man reduziert die Cookie Sicherheit, in dem man für den Tracking Cookie das „httponly“ Flag weg lässt oder man muss damit leben, dass man einen Fehler um die Ohren gehauen bekommt, wenn man nicht bereits im Vorfeld die Zustimmung erteilt hat.
Auch beim Caching ist das ganze Thema alles andere als Trivial. Wenn man diese Informationen z.B. in den LocalStorage/SessionStorage legen würde, statt in ein Cookie, muss man plötzlich viel mehr Client-Seitig mit JavaScript machen. Cookies können ein wichtiges Entscheidungskriterium für Server-Side-Caches sein. Fallen diese weg, dann ist man als Entwickler gezwungen die Dynamik in den Client zu verlagern. Man muss sich von dem Aberglauben frei machen, dass jede Seite die man ausgeliefert bekommt immer live gerendert wird. Bei vielen kleinen Seiten, die meist mit OSS CMS Systemen betrieben werden, mag das noch gehen. Aber auch diese System haben meistens irgendwelche Caches. Ohne Cache würden vor allem Projekten mit viel Traffic völlig in die Knie gehen.
Das ganze wird durch Client-seitige Dynamik – also mit JavaScript – kompensiert, ansonsten könnten viele Angebote überhaupt nicht mehr laufen oder wären unglaublich langsam oder kompliziert und unkomfortabel.
So viel zum Thema „gerade in einem Internet, das leider, leider, leider ohne JavaScript oftmals nicht mehr auskommt“ – sorry, ohne JavaScript wäre das Internet von heute mit allen seinen Möglichkeiten nicht nutzbar. Selbst so „statische“ Seiten wie Nachrichtenportale, nutzen Client-seitige Dynamik um ihr Angebot überhaupt vernünftig anbieten zu können.
Sorry wenn ich das so sagen muss, aber ich als (Web-)Entwickler kann das „Schreien“ nach einem JavaScript-freien Internet nicht mehr hören. Vor allem weil immer wieder das Thema „Sicherheit von JavaScript“ damit in Verbindung gebracht wird. Leute, ganz ehrlich, JavaScript ist NICHT unsicher – vor allem nicht in Bezug auf „IT Sicherheit“. Durch die zahlreichen Browser-Schranken die es bereits seit Jahren gibt, ist es kaum noch möglich mit JavaScript wirklich zu „hacken“.
Was zur Unsicherheit führt, sind „Möchte-Gern-Entwickler“ die einfach irgendwelche externen Skripte in ihre Website einbinden, weil sie sich damit ja eine „tolle Funktion“ in die Website holen – aber die Unsicherheit entsteht hier nicht im Bereich der „IT Sicherheit“, sondern viel mehr in Punkto Datenschutz.
Wir entwickeln selbst ein CMS und standen in den letzten Jahren, seit in Kraft treten der DSGVO vor genau solchen Problemen. Wir haben uns dazu Entschieden, die Zustimmung zur Verwendung von „externen Diensten“ (egal ob Tracking, Video-Dienste, Karten-Dienste, etc.) beim Client im LocalStorage zu speichern. Oder im SessionStorage, falls der Nutzer angegeben hat, dass er „nur für diesen Besuch“ die Entscheidung trifft.
Es wird dann Client-Seitig erst entschieden, ob eine Funktion aktiviert wird oder nicht.
Das war uns vor allem wegen einem weiteren Punkt wichtig: Caching.
Aber das möge viele dieser Dienste, hauptsächlich der Tracking Dienste nicht.
Bspw. Google Analytics / Google Tag Manager beschweren sich jetzt regelmäßig, sie wären „nicht“ oder „falsch“ eingebunden. Und dann dürfen wir unseren Kunden erst mal wieder einen technischen Vortrag halten, warum GA/GTM hier einfach „lügt“ bzw. wir nichts dagegen machen können.
Das das reicht erst mal als Abriss zur technischen Seite ;-D
Ich bin ja grundsätzlich auch ein Befürworter der DSGVO und auch der gesamten rechtlichen Entwicklung. Aber immer nur Forderungen stellen, ohne mal zu betrachten, wie es auf technischer Seite überhaupt umsetzbar ist, finde ich halt schlicht falsch und das kann auch schnell nach hinten los gehen – siehe die Artikel 13 Diskussion.
Vielen Dank für deinen ausführlichen Input!
Zum Thema Warenkorb: Meiner Meinung nach ist der Wunsch ausdrücklich, wenn jemand etwas dort hineinlegt. Demzufolge sehe ich auch eine Einwilligung nicht als nötig, denn das Cookies betrachte ich dann als angemessen. Meine Vorstellung ist hier also, dass nicht bei Besuch des Shops, sondern bei Ablage eines Artikels in den Warenkorb ungefragt ein Cookies gesetzt wird – natürlich mit Hinweis in der Datenschutzerklärung.
Du hast auf der Sachebene Recht. Hier sitzt aber auch ein (Web-)Entwickler, der allerdings nichts von (Pseudo-)Autoritätsargumenten hält, und im Gegensatz zu dir finde ich technisch betrachtet das „Internet von heute“ halt auch zum Großteil scheiße und finde mich auch nicht damit ab, dass es so mies sein soll. Die aktuellen Entwicklungen auf dem Browser“markt“ ist mehr als nur ein Spiegel der durchmonopolisierten Großindustrie, wo es ausschließlich um die nächsten paar Dividenden geht und die NutzerInnen sind bloß die Kühe, die gemolken werden, damit ein paar Milliardäre noch paar Milliarden mehr machen können.
Die Diskussion über die (angebliche) Unsicherheit von JS habe ich nicht begonnen, aber erkläre doch z.B. mal, wie ein effektives Browser-Fingerprinting ohne JS technisch möglich sein soll? Die Tracking-Industrie kann fast nicht ohne JS existieren (wir aber schon! Das „alte“ Internet, das manche noch kennen, ist der „Beweis“) und deshalb feiere ich jede Webseite, die noch Wert darauf legt, dass der Benutzer/die BenutzerIn entscheiden kann, ob er oder sie JS aktivieren will oder nicht – ohne fundamentale Einschränkungen in der Funktionalität.
Ja, ich bin auch so einer, der beim privaten Browsen grundsätzlich JS deaktiviert hat und das nur nach Bedarf dazuschaltet. Hat für mich mehr mit Selbstbestimmung als mit Sicherheit zu tun. Aber nein, ich erwarte nicht, dass jedeR das machen soll und halte das nicht für ein gutes allgemeines Verfahren, nur für mich selbst funktioniert es ganz gut und stellt mich aktuell zufrieden.
Das spricht eine etwas andere Sprache…
Und ja, du wirst natürlich immer irgendwelche Company-Netzwerke finden, wo gute (Netz-)admins sitzen, die den ganzen unnötigen modernen Mist in den Browsern einfach ausschalten bzw. ein Opt-In draus machen, aber das ist deren Sache und nicht Gegenstand von einer Diskussion über das (öffentliche) Internet und dessen größten Nutzungsfälle. Relevant für die Debatte sind nicht die quantitativen Sonderfälle, sondern die allgemeinen Fälle und da Lesen halt Leute die Bildzeitung, oder sowas reudiges wie den Spiegel oder werden gezwungen Doodle oder Microsoft zu nutzen.
Wenn „nahezu alle“ etwa 20-80 % bedeutet, dann stimme ich dir zu ;) Ich will dich nur ungern mit der Realität konfrontieren, aber guck dir mal z.B. nur die Webauftritte großer Zeitungen (ich meine die Werbeblöcke mit redaktionellen Textschnipseln) an, da muss man froh sein, wenn überhaupt nur die Hälfte von hunderten von Cookies httponly ist, weil denen „Sicherheit“ einfach sowieso egal ist, wenn man es nicht mit Profiten verbinden kann…. Extrembeispiel: Stuttgarter Nachrichten oder die Bild.
chip.de. Ansonsten ist das Cookie-Banner, oder eher: Blockier-Fenster, auch ein Vorbild an Undurchsichtigkeit und Nicht-Bedienbarkeit. Die hier gelisteten Cookies sind „technisch notwendig“, um einen Artikel zu lesen! Bin da von der Suchmaschine hin. Wird mir nicht mehr passieren, solange das Redirector-Addin funktioniert.
Danke für den Kommentar! Wozu ein Cookie, um ein paar Kilobyte TXT zu rezipieren?
Ich erinnere mich an einen Wettbewerb zum Anfang der 2000’er: „the 5K“ – erstelle Websites, die visuell ansprechend sind, aber nicht mehr als 5 Kilobyte Umfang haben.
Stattdessen wurden die 5K mit Megabytes an frames, iframes, hidden gifs, JSONs etc. und potentiellen Sicherheitslöchern garniert.
Als Nutzer von Addons die Cookie-nagscreens automatisch entfernen, die nun nicht mehr funktionieren, stellt sich die Frage, ob die Anbieter dieser Addons darauf reagieren werden, oder ob dies technisch nicht möglich sein wird.
Die Funktion Cookies beim Beenden des Browsers automatisch zu löschen halte ich für essenziell.
Wo sind eigentlich die ganzen Abmahn-Kanzleien, wenn man sie mal braucht? ;-)