foto von no revisions auf unsplash
baked cookies
foto von no revisions auf unsplash

Cookie-Banner Ärgernisse

von

Nach DSGVO und ePrivacy kommt man beim Besuch von Websites kaum noch an Cookie-Banners vorbei. Allerdings machen es einem nach wie viele Anbieter unnötig (unerlaubt) schwer, den Anspruch auf Schutz der eigenen Privatsphäre geltend zu machen.

Da ich fast täglich auf der Suche nach Informationen bin, und diese auf den unterschiedlichsten Websites finde, sehe ich eine Vielzahl und Vielfalt an Cookie Banner. Die Qualität eines Cookie-Banners ist für mich längst zum Kriterium geworden, ob ich auf einer Website bleibe, oder sie gleich wieder verlasse. – Ich gehöre zu denjenigen, die grundsätzlich die Annahme von Cookies verweigern, es sei denn, ich kann sofort erkennen, dass ein Betreiber meine Privatsphäre respektiert, indem er zum Beispiel Matomo verwendet statt Google Analytics, oder OpenStreet- statt Google Map.

Nachfolgend ein paar Beispiele, was gar nicht mehr geht.

Vor vollendete Tatsachen stellen

Über den Einsatz von Cookies zu informieren, und die Kenntnisnahme der Tatsache per „Ok“ oder „gelesen und verstanden“ bestätigen lassen, hat nichts mit einer Zustimmung im Sinne von DSGVO und ePrivacy zu tun. Der Besucher muss die Wahl haben, ob er Cookies akzeptiert oder nicht. Es darf nicht Bedingung für die Nutzung der Website sein (wie es sich bei Online-Zeitungen verhält, die man entweder gegen Geld oder Cookies lesen darf, kann ich aktuell nicht einschätzen), es sei denn natürlich, ein Cookie ist für den Betrieb zwingend notwendig. So genannte essentielle Cookies müssen nicht abgesegnet werden. Alleine, um sich die Entscheidung für oder gegen die Akzeptanz von Cookies eines Besuchers zu merken, ist ein Cookie erforderlich, damit essentiell, und nicht zustimmungspflichtig.

Cookies vor Zustimmung setzen

Bevor die Zustimmung eingeholt wurde, dürfen andere als essentielle Cookies nicht gesetzt werden. Bei falsch oder unvollständig konfigurierten Cookie-Banner passiert es gerne, dass Cookies bereits vor der Zustimmung auf dem Rechner des Nutzers gespeichert werden. Code der dazu führt, dass Cookies gesetzt werden, muss so eingebunden sein, dass er erst geladen werden kann, nachdem die Zustimmung dafür erfolgte. Aber – dieses technische Randgebiet ist manchen offenbar nicht bewusst, oder sie wissen gar nicht, wie sie das anstellen können. Nicht jeder, der eine Website betreibt, kann es sich leisten, einen Techniker dafür zu engagieren. Vielfach wäre es aber notwendig.

Grundsätzlich sollten Betreiber mit kleinem oder keinem Budget besonders auf den Datenschutz achten. Das erspart nämlich die komplexe Implementierung von Cookie- und Content-Blockern.

Vorausgewählte Cookies

Auch schon gesehen: zwar darf man individuelle Cookie-Einstellungen vorsehen, doch welche Cookies gesetzt werden, ist bereits vorausgewählt. Wer das nicht will, muss die Häkchen entfernen.

Alles ablehnen wird einem möglichst schwer gemacht

Alle Cookies ablehnen muss genauso relevant und leicht zu finden sein, wie alle Cookies annehmen. Stattdessen versuchen manche Anbieter, einen durch aufwendige Konfigurationen (X Cookies mit genauso vielen Erklärungen) dazu zu verleiten, den bequemen Weg zu wählen und alles anzunehmen, nur um sich nicht durch die ganzen Einstellungen wälzen zu müssen.

Man würde nicht glauben, was einem manche Websites alles auf den Rechner pflantschen, und durch wie viele Ebenen privatsphärebewusste Besucher geschickt werden, wenn sie nicht ausspioniert werden wollen. Das ist mehr als einfach nur unzumutbar!

Vernachlässigung von Drittanbieter-Inhalten durch Plugins oder Themes

Youtube-Videos, Google-Maps oder externe iframe-Inhalte werden von üblichen Cookie-Banner meist noch erkannt und behandelt. Anders jedoch sieht es mit Schriften oder Skripten von fremden Servern aus. Wer sich für seine Website einen gefälligen Google Font auswählt ahnt vielleicht nicht, dass dieser nicht integraler Bestandteil seines Themes ist, sondern direkt vom Google Server geladen wird. Auch das verletzt die Privatsphäre der Website-Besucher.

Plugins mit denen Elemente eingefügt werden, wie Formulare oder Slider, können ebenfalls betroffen sein. Neben Google Fonts kommen auch gerne Iconfonts (Font Awesome an erster Stelle) zum Einsatz. Fallweise werden auch diese von fremden Servern geholt.

Bei dieser Gelegenheit wird die IP-Adresse (die als persönliche Information gilt) des Besuchers an den Anbieter-Server weitergegeben. Im Falle von Google Fonts erhält Google so z.B. Informationen über die Bewegungen einzelner Menschen anhand der IP-Adressen im Web, kann Rückschlüsse auf Interessen und Kaufverhalten ziehen, und diese Informationen zum eigenen Vorteil (z.B. Zielgruppenwerbung) nutzen.

Würde ein Besucher die Annahme von Drittanbieter-Inhalten zurückweisen, dürfte auch die Schrift vom Google-Server nicht geladen werden. Daher ist es von vornherein sinnvoll, die gewünschte(n) Schrift(en) auf dem eigenen Webserver zu hosten und von dort einzubinden. Da das technisch nicht unaufwendig ist, lohnt es sich, lieber mal länger nach einem geeigneten Slider oder Formular-Plugin suchen.

Wer sich technisch überfordert fühlt, sollte den Umstand nutzen, dass WordPress eine große Community ist, es es Foren und Gruppen gibt, bei denen Wissen und Erfahrungen (gerne) geteilt werden.

Schreibe einen Kommentar

Bitte Kommentarfunktion nicht für Supportanfragen nutzen. Dem kann hier nicht entsprochen werden.

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Sowohl angegebener Name als auch E-Mail-Adresse (beides ist optional) werden dauerhaft gespeichert. Du kannst jeder Zeit die Löschung Deiner Daten oder / und Kommentare einfordern, direkt über dieses Formular (wird nicht veröffentlicht, und im Anschluss gelöscht), und ich werde das umgehend erledigen. – Mit hinterlassenen Kommentaren hinterlegte IP-Adressen werden nach zwei Monaten automatisch gelöscht

publicly queryable