Henning Kockerbeck

Freiberuflicher Web-Entwickler. Technische und redaktionelle Betreuung von Websites, Community-Betreuung.

Warum hat diese Website kein Cookie-Banner?

5 Minuten zum lesen

Einigen wird aufgefallen sein, dass hier etwas fehlt: Diese Website hat kein Cookie-Banner. Dabei sind die heute eigentlich allgegenwärtig. Warum also hier nicht? Dieser Blogbeitrag soll diese Frage klären.

Was sind eigentlich Cookies?

Cookies sind zunächst mal einfach kleine Datenpakete, die eine Website im Browser des Besuchers ablegen kann - kleine Notizen im Prinzip. Diese Notizen können dann bei folgenden Besuchen auf der Website ausgelesen und verwendet werden. Was in diesen Notizen drinsteht und was die Website dann damit anfängt, ist erst mal nicht festgelegt.

Ein wichtiger Einsatzzweck sind sogenannte Session Cookies. Damit kann der Webserver eine Anfrage einer sogenannten Sitzung oder Session zuordnen. Denn grundsätzlich “weiß” ein Webserver nicht, was derselbe Benutzer davor gemacht oder nicht gemacht hat. Wenn man sich beispielsweise bei einem Online-Shop anmeldet und dann die Unterseite eines bestimmten Artikels aufruft, weiß der Server beim Aufruf der Unterseite zunächst mal nicht, dass man sich angemeldet hat. Man müsste seine Zugangsdaten also, während man durch die Shop surft, also wieder und wieder eingeben.

Um das zu vermeiden, legt der Server sogenannte Sessions oder Sitzungen an. Der Server merkt sich also, was während eines einzelnen Besuchs in dem Online-Shop passiert ist, auch über den Aufruf mehrerer Unterseiten hinweg. Damit er zuordnen kann, welcher Aufruf zu welcher Session gehört, setzt der Server ein kleines Cookie, das die Nummer der Session enthält - also im Prinzip eine Notiz mit dem Inhalt “dieser einzelne Aufruf gehört zur Browsersitzung Nummer 1234”.

Session Cookies werden typischerweise gelöscht, wenn man den Browser beendet. Sie sind also nicht geeignet, um jemanden über längeren Zeitraum oder gar über mehrere Websites hinweg zu überwachen, und damit vom Datenschutz her unbedenklich.

Ein anderes Beispiel ist, wenn eine Website sich mit einem Cookie merkt, ob ein Benutzer einen Dark Mode verwenden möchte oder nicht. Dann kann der Webserver beispielsweise ein Cookie mit dem Inhalt dark_mode=0 oder dark_mode=1 setzen. Wenn derselbe Benutzer (technisch gesprochen, derselbe Webbrowser) die Website das nächste Mal aufruft, wertet der Server dieses Cookie aus, und verwendet direkt das gewünschte Farbschema. Solche Cookies werden typischerweise länger gespeichert als nur für die aktuelle Browsersitzung, sie sind aber aus Datenschutz-Recht in der Regel ebenfalls unbedenklich.

Wann werden Cookies zum Problem?

Problematisch wird es, wenn Cookies dazu genutzt werden, Benutzer über längere Zeit und/oder über mehrere Websites hinweg zu verfolgen oder zu “tracken”. Bisher haben wir von sogenannten First Party Cookies gesprochen. Das sind Cookies, die von einer Website gesetzt werden, und auch nur von dieser Website wieder ausgelesen werden können. Es gibt aber auch sogenannte Third Party Cookies. Diese können eben auch von anderen Websites ausgelesen werden.

Das kann dann von Websites genutzt werden, die beispielsweise vom selben Anbieter stammen, oder vom selben Anbieter mit Werbebannern ausgestattet werden. Dazu setzt die erste Website aus diesem Verbund, die man besucht, einen Cookie mit einer Tracking-ID. Besucht man später eine andere Website aus demselben Verbund, kann diese das Cookie mit der Tracking-ID auslesen. Die zweite Website “weiß” also, dass der aktuelle Besucher derselbe ist wie der, bei dem die erste Website das Cookie gesetzt hat.

Damit ist es natürlich leicht, über die Zeit Benutzerprofile aufzubauen. Man erkennt den Benutzer anhand der Tracking-ID im gesamten Verbund wieder, und kann notieren, was er so alles gemacht hat. Für welche Themen hat er sich interessiert? Welche Produkte in einem am Verbund beteiligten Online-Shop angesehen? In welcher Region wohnt er? Und welche Produkte könnte man ihm auf Basis dieser Informationen noch anbieten?

Nach der aktuellen Gesetzeslage, insbesondere nach der DSGVO, ist ein solches Tracking nur zulässig, wenn der Benutzer das vorher erlaubt hat. Und diese Einwilligung holen viele Websites mit den allgegenwärtigen Cookie-Bannern ab. Der Benutzer wird also im Prinzip gefragt, “diese Website möchte gerne dies und jenes mit Deinen Daten machen, bist Du damit einverstanden?”.

In den Details wird das alles richtig kompliziert. Zum Beispiel gibt es sogenannte “dark patterns” oder “dunkle Gestaltungsmuster”. Mit denen wird versucht, den Benutzer mehr oder weniger sanft in die Richtung zu schieben, möglichst viel zu erlauben - etwa indem man die “Alle Cookies erlauben”-Schaltfläche optisch auffälliger macht als die “Keine Cookies erlauben”-Schaltfläche. Solche und ähnliche Fragestellungen beschäftigen dann die Juristen, die entscheiden müssen, wann eine Einwilligung wozu als rechtsgültig eingeholt gilt und wann nicht.

Diese Website wurde von vorneherein mit dem Gedanken konzipiert, möglichst keine Cookies oder andere Tracking-Mechanismen zu verwenden. Damit erübrigt sich auch ein Cookie-Banner, denn was man gar nicht macht, muss man sich auch nicht erlauben lassen. Einzige Ausnahme ist die Statistik.

Diese Website verwendet die Software Matomo, um uns als Betreibern einen Einblick zu geben, wie unsere Besucher mit der Website interagieren. Welche Artikel werden häufig gelesen, welche weniger häufig? Zu welchen Zeiten am Tag oder in der Woche kommen besonders viele Besucher? Wie viele Besucher kommen überhaupt? Solche und andere Fragen dieser Art sind für uns von Interesse, und Matomo hilft uns dabei, sie zu beantworten.

Standardmäßig verwendet auch Matomo dazu Cookies, in denen eine ID abgelegt wird. Damit kann die Software verfolgen, welche Unterseiten derselbe Benutzer aufruft, wie lange er sich auf der Website aufhält und so weiter. Würden wir Matomo auf diese Weise verwenden, bräuchten wir einen Cookie-Banner, um die Zustimmung unserer Benutzer einzuholen. Matomo bietet jedoch alternativ eine andere Möglichkeit, nämlich die Verwendung einer sogenannten config_id, auch “config hash” genannt.

Wie funktionieren config hashes?

Dabei wird eine Zufallszahl verrechnet mit bestimmten Daten zur Software, die der Besucher verwendet, wie beispielsweise welches Betriebssystem er benutzt, welchen Browser, welche Browser-Plugins oder von welcher IP-Adresse aus er unsere Website aufruft. Aus diesen Daten ermittelt Matomo den config hash. Der wird jetzt verwendet, um Aktionen dieses Benutzers zu identifizieren und in der Statistik zu vermerken. Das heißt, wenn derselbe Benutzer mit demselben Betriebssystem, demselben Browser und so weiter die Website erneut besucht, ermittelt Matomo denselben config hash, und ordnet die Aktion korrekt zu. Es gibt jedoch kein ID oder ähnliches, die in einem Cookie oder sonstwie auf dem Gerät des Besuchers gespeichert wird.

Hinzu kommt, dass der config hash nach spätestens 24 Stunden neu berechnet wird, und zwar mit einer neuen Zufallszahl als Basis. Dadurch entsteht, auch wenn der Besucher weiterhin dasselbe Betriebssystem, denselben Browser und so weiter verwendet, ein neuer und unterschiedlicher config hash. Es ist also nicht möglich, die Aktionen eines Benutzers an einem Tag und die Aktionen desselben Benutzers an einem anderen Tag in Beziehung zu setzen. Ein längerfristiges Tracking ist damit also ausgeschlossen. Die verwendeten Zufallszahlen werden dabei übrigens nicht aufgewahrt, so dass auch nachträglich kein “Zurückrechnen” möglich ist.

Außerdem ist der config hash einzigartig für unsere Matomo-Installation. Auch wenn eine andere Webseite für ihre Statistik ebenfalls Matomo mit config_id verwendet, kommt die Matomo-Installation dort für denselben Besucher auf einen anderen config hash, so dass auch hier keine Zusammenführung möglich ist.

Wir sind der Ansicht, dass damit ein guter Kompromiss gefunden ist zwischen der Wahrung der Privatspähre unserer Besucher und unserem berechtigten Interesse an einer statistischen Analyse. In diesem Fall ist auch keine Einwilligung des Besuchers und damit kein Cookie-Banner erforderlich. Das sehen auch verschiedene Juristen so, beispielsweise die IT-Rechts Kanzlei.

Eine Möglichkeit, der Aufnahme in die Statistik zu widersprechen, benötigt man übrigens auch mit config hashes. In unserem Fall finden Sie diese Widerspruchsmöglichkeit auf unserer Kontakt- und Impressumsseite.

Ihnen gefällt vielleicht auch

Bist Du auch ein Mensch?

6 Minuten zum lesen

In letzter Zeit ist Künstliche Intelligenz (KI, auch artificial intelligence oder AI) in aller Munde. KI schreibt Zeitungsartikel, malt Bilder, steuert Robot...

Mails verschlüsseln mit Thunderbird

5 Minuten zum lesen

Links neben jedem Blogbeitrag oder auf unserer Kontaktseite gibt es eine Reihe von Möglichkeiten, wie man mit uns Kontakt aufnehmen kann. Darunter findet sic...

Hinter den Kulissen

7 Minuten zum lesen

Wie bereits im letzten Blogbeitrag angekündigt, geht es heute darum, wie wir die neue Website von Isatis Web & Media technisch umgesetzt haben.