Diese Website verwendet Cookies …

… so lautet heute die Standard-Begrüßung auf Webseiten. Und diese Meldung ist genauso lästig wie sinnlos.

Kekse mit Schoko-Stückchen auf einer Tastatur.
Dieser Artikel war eine ausgezeichnete Ausrede, um Kekse (Cookies) zu kaufen. Ich sollte mir überlegen, meinen nächsten Artikel über Tortendiagramme zu schreiben.

Es war einmal ein kleines Web, das vom Volk der Nerds bevölkert war, einer sagenumwobenen Spezies, welche die elbenhafte Magie der Mathematik und Physik beherrschte. Nach und nach wurde dieses junge Web dann auch von anderen seltsamen Gestalten bevölkert, darunter auch von meiner Wenigkeit.

Schon recht früh hörte man hier Legenden über eine mysteriöse Gefahr, die unter dem Namen »Cookies« (englisch für Kekse) bekannt ist. Also wappnete ich mich entsprechend gegen dieses gemeingefährliche Backgut. In meinem Browser fand ich eine Funktion, die mich vor diesen Dingern warnen konnte. Von da an erhielt ich jedes Mal eine Meldung, wenn eine Website ein Cookie setzen wollte – und ich musste jedes Mal entscheiden, ob ich es annehme oder ablehne.

Wie ich sehr schnell lernen musste, waren Cookies schon damals allgegenwärtig und ich war ununterbrochen damit beschäftigt, Meldungen wegzuklicken. Letztendlich musste ich über meine eigene Torheit lachen und deaktivierte diesen Schwachsinn wieder.

Aber das Web wurde zunehmend von immer mehr seltsamen Wesen bevölkert, darunter auch die rätselhaftesten von allen: Bürokraten. Diesen ist es zu verdanken, dass sinnlose Cookiemeldungen jetzt auf jeder Website separat eingebunden sind, sodass man sie nicht mehr so einfach los wird.

Ja, ich weiß: Diese Überschrift ist ein einfallsloser Wortwitz, aber sie passt gut zu meiner ebenso einfallslosen Erklärung, was Cookies eigentlich sind. Ich verspreche dafür, dass die nächsten Überschriften origineller werden.

Was ist nun also ein Cookie? In aller Kürze: Wenn ich mit meinem PC oder einem Smartphone eine Website aufrufe, dann kann diese eine kleine Textinformation auf meinem Gerät abspeichern oder wieder auslesen – das ist ein Cookie.

In so einem Texthäppchen könnte eine Website zum Beispiel das Datum meines Besuches speichern. Wenn ich dann zwei Monate später wieder auf die selbe Seite komme, könnte sie aus diesem Cookie auslesen, wann ich das letzte Mal da war, und mir darauf basierend zeigen, was es seitdem Neues gibt.

Detaildaten eines Cookies in ein paar Formularfeldern: Domain: upload.wikimedia.org, Name: WMF-Last-Access, Wert: 11-Oct-2020.
Dieses Cookie von upload.wikimedia.org hat offensichtlich das Datum meines letzten Zugriffs gespeichert (Screenshot aus dem Firefox-Plugin Cookie Quick Manager). Die meisten Cookies, die man heutzutage ansammelt, haben allerdings einen deutlich kryptischeren Inhalt, aus dem man nicht so leicht schlau wird.

Warum diese Informationen nun Cookies, zu deutsch »Kekse«, heißen, ist etwas rätselhaft. Mir ist es außerhalb des Internets jedenfalls noch nicht passiert, dass mir jemand ungefragt Kekse in den Mund stopft und sie später wieder sehen will. Cookie Controller liefert als mögliche Erklärungen unter anderem Glückskekse, die ja einen Text beinhalten, und Hänsel und Gretel, die im Wald eine Spur aus Kekskrümeln gelegt haben, um früher besuchte Orte zurückverfolgen zu können.

Ich weiß, wo du letzten Sommer Kekse gegessen hast.

Die Geschichte von Hänsel und Gretel kenne ich eigentlich mit Brotkrümeln statt Keksen, aber ich will mal nicht kleinlich sein. Der Vergleich mit diesem Märchen veranschaulicht zumindest, warum Cookies in der Kritik stehen: Man legt eine Spur, die zur Verfolgung genutzt werden kann.

Grundsätzlich kann ein Cookie nur von jener Website ausgelesen werden, die es auch gesetzt hat. Speichere ich etwa über wiesoso.com ein Cookie ab, kann auch nur wiesoso.com es wieder auslesen.

Oft wird das nur für harmlose Komfort-Funktionen genutzt. Das einzige Cookie auf wiesoso.com ist ein sogenanntes Session-Cookie, das nur dazu da ist, um festzustellen, ob der Besucher Administrator-Rechte hat. Ohne dieses Cookie müsste ich als Seitenbetreiber ständig mein Passwort neu eingeben, weil sich die Website nicht merken kann, dass ich als Administrator eingeloggt bin. In ähnlicher Art benutzen Webshops Cookies, um sich zu merken, was man bereits in seinem Warenkorb hat.

Jetzt hat sich das Web seit damals aber nicht nur verändert, indem immer technikfernere Nutzer hinzugekommen sind, sondern auch das Webdesign hat immer seltsamere Blüten getrieben. So ist es heute üblich, dass man auf seiner eigenen Website unzählige Skripts und Ressourcen von anderen Seiten einbindet – und diese anderen Seiten können dann ebenso Cookies setzen und auslesen.

Ausschnitt aus einer Detailliste in einem Cookiebanner. 19 Partner sind allein in diesem Ausschnitt gelistet, darunter Instagram, Twitter und YouTube, aber auch weniger bekannte wie Mapcreator, Podigee GmbH und Outbrain UK Ltd.
Die Detaileinstellungen in einem Cookie-Banner können abenteuerlich aussehen. Dieser Screenshot zeigt nur einen kleinen Ausschnitt davon, wer auf bild.de aller Cookies setzen darf.

Wäre etwa in diesem Artikel hier ein YouTube-Video eingebunden, würde man nicht nur wiesoso.com aufrufen, sondern indirekt auch youtube.com. Google, zu dem YouTube gehört, könnte dann jeden Zugriff auf diesen Artikel mitverfolgen. Und Google-Produkte sind auf unzähligen Websites eingebunden, oft auch unsichtbar. Zu diesen Produkten gehören neben YouTube-Videos zum Beispiel auch Ortskarten mit Google Maps, Werbeanzeigen mit Google AdSense und Website-Statistiken mit Google Analytics. Deshalb könnte Google einzelne Personen leicht durch das halbe Web verfolgen.

Solche Cookies, die nicht nur zwischen Websitebetreiber und Besucher gewechselt werden, bezeichnet man üblicherweise als Third-Party-Cookies, also Cookies von Dritten. Wenn sie gezielt dazu da sind, einen Besucher zu verfolgen (englisch »tracken«), spricht man auch von Tracking-Cookies.

Scherzkeksverordnung

Offensichtlich kamen irgendwann auf EU-Ebene ein paar Bleistiftschieber zusammen, denen die Verfolgung durch Cookies zu bunt geworden war. Also beschlossen sie, etwas dagegen zu machen – und nahmen letztendlich die Website-Betreiber in die Pflicht. Das Ergebnis sind die Cookie-Banner, wie wir sie heute kennen und »lieben«.

Was die Regelung ganz konkret vorschreibt, ist etwas umstritten. Oft liest man, dass Meldungen nur für Cookies von Dritten oder nur für Tracking-Cookies verpflichtend sind. Weil ich kein Jurist bin, will ich auf diese rechtlichen Details hier aber gar nicht eingehen, sonst endet dieser Artikel, der mit »es war einmal« begonnen hat, noch damit, dass ich wegen falscher Rechtsberatung im Kerker lande.

Unabhängig von der rechtlichen Situation verfehlen Cookie-Meldungen jedenfalls komplett ihren Zweck. Kaum ein Seitenbetreiber überdenkt die Praxis, die Privatsphäre seiner Besucher an Hinz und Kunz zu verkaufen.

Stattdessen wird einfach weitergemacht wie bisher und den Besuchern knallt man eine Meldung vor den Latz, die nach allen Regel der psychologischen Manipulation darauf ausgerichtet ist, auf »Alle akzeptieren« zu klicken. Die einzigen Möglichkeiten, nicht alles zu akzeptieren, verstecken sich hinter kleinen, unscheinbar ausgegrauten Links oder in endlosen Listen, in denen man jedes unerwünschte Cookie einzeln abwählen muss.

Zwei Cookiebanner auf der Stern-Website.
Stern.de greift (wie viele andere Websites) tief in die psychologische Trickkiste. Erst bekommt man eine Meldung, bei der man scheinbar nur die Option »Zustimmen« hat. Will man nicht alle Cookies annehmen, muss man rechts oben auf den Link »Einstellungen« klicken, vor dem ein zackiges Symbol steht, das fast schon wie eine Warnung aussieht. Anschließend gelangt man auf eine Seite, auf der man einzelne Cookies abwählen kann – aber um diese Auswahl tatsächlich zu übernehmen, muss man auf den unscheinbaren Link »Auswahl speichern« klicken und keinesfalls auf den fett beschrifteten Button »Alle akzeptieren«.

Aus Nutzersicht fühlt man sich von diesen Meldungen weder gewarnt noch informiert, weil sie im Stil von »Peter und der Wolf« ohnehin alltäglich sind. Man klickt sie einfach weg. Und wenn die Meldungen die Seite nicht komplett blockieren, macht man mitunter nicht einmal das, sondern lässt die Dinger einfach stehen und ignoriert sie. So manchem Designer würde sicher das Herz bluten, wenn er sehen könnte, wie ich seine Website nutze, ohne den hässlichen Cookie-Banner wegzuklicken.

Wie gesagt, hatte ich mich schon einmal lange vor den heutigen Cookie-Meldungen selbst mit so einem Schwachsinn malträtiert, indem ich eine Funktion in meinem Browser aktiviert hatte. Und auch wenn diese konkrete Funktion nicht sinnvoll war, kann ich nur sagen: Genau dort, nämlich in den Browser, gehört die Cookie-Verwaltung auch hin.

Und der Witz ist, dass man sie auch nach wie vor dort findet. Die Konfiguration mit lästigen Meldungen mag Unfug gewesen sein, aber in meinem heutigen Firefox gibt es stattdessen längst die Option, Cookies von Drittanbietern zu blockieren.

Menü im Browser Firefox, über das »Skripten zur Aktivitätenverfolgung und sonstige Inhalte« blockiert werden können. In einem ausgeklappten Dropdown-Feld ist folgender Punkt ausgewählt: »Alle Cookies von Drittanbietern (einige Websites funktionieren dann eventuell nicht mehr)«
Browsereigene Cookie-Blockierung in Firefox. Entgegen der Warnung ist mir noch keine Website untergekommen, die deshalb nicht mehr funktioniert.

Das vermeintliche Problem, dem sich Cookie-Banner widmen sollen, ist damit längst gelöst. Wenn ich im Internet nicht durch Cookies verfolgt werden will, kann ich das mit einer zentralen Einstellung festlegen. Diese gilt für das gesamte Web und ich bin nicht darauf angewiesen, einzelnen Website-Betreibern zu vertrauen.

Cookie-Meldungen sind damit eine komplett unnötige Verdopplung. Solange ich Cookies von Dritten im Browser blockiere, kann ich ruhigen Gewissens überall auf »Alle akzeptieren« klicken und akzeptiere damit doch nicht alle, weil meine Browser-Einstellungen ein deutlich höheres Gewicht haben.

Tracking ohne Cookies

Was im Browser vielleicht fehlt, sind detaillierte Einstellungen – zum Beispiel für den Fall, dass man einer Website mehr Cookie-Berechtigungen geben will als einer anderen. Wer so etwas tatsächlich will oder oder braucht, verwendet aber wahrscheinlich ohnehin spezielle Browser-Erweiterungen. Ich bin jedenfalls noch nie in diese Verlegenheit gekommen.

Wenn es zum Normalfall wird, dass Leute Cookies im Browser blockieren, könnte sich die Situation allerdings ändern. Ich halte es nicht für unwahrscheinlich, dass dann ein ähnliches Wettrüsten stattfindet wie bei Werbe-Blockern und man als Besucher einzelner Websites dann nur noch die Meldung zu sehen bekommt: »Bitte aktivieren Sie Cookies, um diese Seite zu betreten!« Letztendlich sind die meisten Cookies schließlich auch nur ein Teil der Werbe-Seuche.

Andererseits benötigen Unternehmen in Zukunft vielleicht gar keine Cookies mehr, um Benutzer zu verfolgen. Seitenbetreiber können von ihren Besuchern schon heute eine Vielzahl an technischen Informationen einsehen, darunter Betriebssystem, Bildschirmauflösung und Zeitzone. Daraus lässt sich oft ein eindeutiger »Fingerabdruck« erstellen. (So ein Profil kann man sich für sein eigenes System etwa auf amiunique.org ansehen.)

Zu guter Letzt redet auch Google noch ein Wörtchen mit. Der Engineering Director von Google Chrome, dem meistbenutzten Browser der Welt, hat bereits angekündigt, dass Cookies von Drittanbietern abgeschafft werden sollen. Google strebt stattdessen unter der Bezeichnung »Privacy Sandbox« an, die gesamte Profilbildung für Werbezwecke in den Browser zu verlegen. Ob es da primär um Nutzerservice geht oder doch nur darum, der Werbekonkurrenz eins auszuwischen, sei dahingestellt. In jedem Fall würde es den Status-Quo gewaltig aufmischen.

Insgesamt stehen somit die Chancen gut, dass Cookie-Banner bald wieder aus dem Web verschwinden werden. Die spannende Frage wird dann bloß sein, was den weltfremden Bürokraten als nächstes einfällt – denn wenn sie mittlerweile nicht gestorben sind, dann leben sie noch heute.

Kommentare

Neuen Kommentar schreiben

Robert, 2020-12-19 20:51:

Danke für den Artikel. Ich kann es zwar nicht so fundiert erklären aber rein gefühlsmäßig sehe ich es genau wie du. Auch ich setze nur die technischen Cookies auf meiner Seite. Tracking gehört sich m.E. nicht und von Dritten binde ich auch nichts ein.
Ich treffe selten jemanden, der das auch so sieht.
Das allerdings die Banner verschwinden glaube ich nicht. Mittlerweile gibt es zu viele, die daran verdienen.

Bisherige Kommentare

  • Robert

    Danke für den Artikel. Ich kann es zwar nicht so fundiert erklären aber rein gefühlsmäßig sehe ich es genau wie du. Auch ich setze nur die technischen Cookies auf meiner Seite. Tracking gehört sich m.E. nicht und von Dritten binde ich auch nichts ein.
    Ich treffe selten jemanden, der das auch so sieht.
    Das allerdings die Banner verschwinden glaube ich nicht. Mittlerweile gibt es zu viele, die daran verdienen.

    • Michael Treml (Seitenbetreiber)

      Antwort an Robert:

      Schön zu lesen, dass Du meine Ansichten teilst!

      Bzgl. verschwindender Banner meine ich nur die Hinweismeldungen, dass Cookies verwendet werden. Falls Google Chrome wirklich Drittanbieter-Cookies abschaltet oder die Werbetreiber ihre Besucher anderweitig verfolgen können, kann ich mir schon gut vorstellen, dass diese Meldungen schlagartig obsolet werden. Die klassischen Werbe-Banner werden wir dagegen sicher nicht so schnell los.

      • Robert

        Antwort an Michael Treml:

        Ja, so hatte ich das auch verstanden - ich meinte mit "Banner" den Cookie-Hinweis bzw. die Einwilligung. Ich denke nur, dass schon zu viele Kanzleien, Agenturen und Software-Anbieter daran verdienen. Ich würde mich aber freuen, wenn du recht hättest.

  • Tony T

    Besten Dank, hab die Funktion grade ausgewählt. :)

    • Michael Treml (Seitenbetreiber)

      Antwort an Tony T:

      Gern geschehen. :-)