„Alle akzeptieren“ – oder doch lieber nicht? Das Risiko bei den Cookies - Multimedia

Ein Teil der Cookies sind technisch notwendig, aber andere können die Nutzer regelrecht ausspionieren. So schützen Sie Ihre Privatsphäre! Was sind Cookies? Im Englischen sind Cookies ganz einfach Kekse! Im Internet stehen sie für kleine &bdquo;Daten-Kekse“, also winzige Datenpakete, die beim Aufrufen einer Internetseite auf dem Computer, Smartphon oder Tablet des Besuchers abgespeichert werden; auch im Internet of Things werden sie immer wichtiger, zum Beispiel bei einem vernetzten Auto, einem Staubsauger-Roboter oder einem Fitness-Armband. Warum werden Cookies abgespeichert? Rechtlich werden in erster Linie 2 große Gruppen von Cookies unterschieden: technisch erforderliche Cookies und Profiling-Cookies. Technische erforderliche Cookies werden abgespeichert, um Webdienste und bestimmte Funktionen möglich zu machen. &bdquo;Ein Paradebeispiel ist der Warenkorb-Cookie, der es einem Webshop ermöglicht, sich die Waren zu merken, die in den Warenkorb gelegt worden sind – auch ohne die Notwendigkeit, dass man sich eingeloggt hat“, sagt Rechtsanwalt Christian Notdurfter. Cookies sind zum Beispiel auch für die Anmeldung (Log-in) auf einer Webseite notwendig. Wer vorhandene Cookies löscht, muss daher die Anmeldedaten neu eingeben – und die &bdquo;Datenkekse“ werden neu deponiert. Alle anderen Cookies, die nicht für die Funktion eines bestimmten Dienstes erforderlich sind und somit nicht als technische Cookies anzusehen, werden in der Regel als Profiling-Cookies bezeichnet. Wenn diese auf einem Gerät abgespeichert sind, können sie zum Beispiel das Verhalten des Nutzers im Internet nachverfolgen und festhalten (z.B.: Wonach sucht jemand gerade? Wonach wurde in der Vergangenheit gesucht? Für welche Themen und Produkte interessiert er oder sie sich?). Diese Nachverfolgung (Tracking) machte es zum Beispiel möglich, detaillierte Nutzerprofile anzulegen. So kann ein Anbieter insbesondere gezielte, auf den Nutzer zugeschnittene Werbung platzieren. Rechtsanwalt Notdurfter hat hier Bedenken für die Privatsphäre und den Datenschutz: &bdquo;Durch Profiling-Cookies und ähnliche Technologien werden – in oft völlig intransparenter Weise – Profile der Nutzer angelegt, gehandelt und verwertet. Dabei besteht die zusätzliche Gefahr, dass diese Informationen mit weiteren Daten über uns – zum Beispiel aus sozialen Netzwerken – zusammengeführt werden, um noch genauere Profile über uns zu erstellen.“ Ob Werbung und Marketing allgemein dies rechtfertigen, ist insbesondere auch angesichts des damit einhergehenden Missbrauchspotentials fraglich. Ist eine solche allgegenwärtige Überwachung insbesondere gesellschaftlich verträglich? Wenn Cookies so nützlich und notwendig sind: Warum werden wir über diese Einblendungen zum Datenschutz überhaupt danach gefragt? Bei technisch notwendigen Cookies werden wir gar nicht nach einer Erlaubnis gefragt, dafür ist keine Einwilligung des Nutzers und daher auch kein Cookie-Banner notwendig. Technisch erforderliche Cookies sind in der Regel unbedenklich. Für den Einsatz von Profiling-Cookies ist hingegen eine Einwilligung notwendig, hier muss der User ausdrücklich der Verwendung zustimmen. Der Nutzer muss konkret entscheiden können, ob er nachverfolgt werden möchte oder nicht. Wie wird diese Einwilligung für Profiling-Cookies eingeholt? Durch einen Cookie-Banner, also diese bekannten Einblendungen beim Besuch einer Webseite. Früher war man der Ansicht, dass es für eine wirksame Einwilligung reicht, wenn ein Cookie-Banner angezeigt wird und der Nutzer durch Weitersurfen oder einfaches Scrollen seine Einwilligung gibt. Im Jahr 2020 hat der Europäische Gerichtshof im Lichte der europäischen Datenschutz-Grundverordnung (DSGVO) hingegen entschieden, dass eine aktive Einwilligung erforderlich ist, erklärt Notdurfter. Daher haben die nationalen Datenschutzbehörden ihre Vorgaben für Cookie-Banner überarbeitet und erneuert. Auch die italienische Datenschutzbehörde hat jüngst ihre neuen Leitlinien veröffentlicht. Damit wird den Websites insbesondere auch gesagt, wie sie ihre Cookie-Banner zu gestalten und die Einwilligung für Profiling-Cookies einzuholen haben. Im Umkehrschluss heißt das: Wenn Cookies nicht ausdrücklich abgestellt werden, sind sie aktiviert? Technische Cookies können gar nicht abgestellt werden, sie sind automatisch aktiviert. Sie können nur mittels besonderer Browser-Einstellungen vorab blockiert werden. Für Profiling-Cookies hingegen ist die ausdrückliche Zustimmung erforderlich. &bdquo;Viele Websites haben sich in der Vergangenheit allerdings nicht daran gehalten. Daher ist es sicher sinnvoll, sich die Browser-Einstellungen anzuschauen“, betont Christian Notdurfter. Über die Einstellungen lassen sich zum Beispiel &bdquo;Cookies von nicht besuchten Websites“ und &bdquo;Alle Cookies von Drittanbietern (einige Websites funktionieren dann eventuell nicht mehr)“ blockieren. So bietet Google Chrome über die lokale Seite chrome://settings/cookies (im Adressfeld eingeben!) die Optionen &bdquo;Alle Cookies zulassen“, &bdquo;Drittanbieter-Cookies blockieren“ und &bdquo;Alle Cookies blockieren (nicht empfohlen)“ an. Außerdem ist es möglich, bei bestimmten Webseiten das Setzen von Cookies zu unterbinden. Notdurfter verweist darauf, dass es grundsätzlich mehr oder weniger datenschutzfreundliche Browser gibt. Ein &bdquo;sehr datenschutzfreundlicher Open-Source-Browser“ ist zum Beispiel Brave, der standardmäßig datenschutzfreundliche Suchmaschinen wie DuckDuckGo einsetzt. Meist wird aber gar nicht die Frage gestellt, ob ich Profiling-Cookies will oder nicht, sondern es bleibt die Wahl zwischen &bdquo;Akzeptieren“ und &bdquo;Einstellungen“, die dann aber recht kompliziert aussehen. Was lässt sich da tun? Bei den Profiling-Cookies sind viele Cookie-Banner tatsächlich so konzipiert, dass sie es dem Nutzer schwer machen, sie abzulehnen. Hier spricht man von &bdquo;dark patterns“ oder &bdquo;nudging“, also der Technik, durch die ein Nutzer in die Zustimmung &bdquo;gestupst“ wird, weil es schon aufgrund des Designs des Cookie-Banners viel einfacher ist, die Cookies anzunehmen als abzulehnen. Notdurfter: &bdquo;Salopp ausgedrückt lässt sich sagen: Viele Websites machen es dem Nutzer bewusst schwer, nicht ausgespäht und profiliert zu werden.“ In Zukunft wird dieses &bdquo;nudging“ aber unterbunden. Nach den neuen Leitlinien der italienischen Datenschutzbehörden müssen die Cookie-Banner nämlich so gestaltet werden, dass man sie etwa durch das Klicken auf ein gut sichtbares &bdquo;X“ (in der Regel rechts oben im Cookie-Banner) einfach schließen kann, ohne dass man auf &bdquo;Einstellungen“ klicken muss, um damit die Profiling-Cookies abzulehnen. Sobald man diese abgelehnt hat, darf der Website-Betreiber dann auch nicht mehr ständig nachfragen und den Cookie-Banner bei jedem erneuten Besuch anzeigen, um den Nutzer zu einer Einwilligung zu &bdquo;drängen“. Für die Umsetzung der neuen Leitlinien hat die Datenschutzbehörde eine – recht großzügige Frist – von 6 Monaten gewährt. Inzwischen läuft auch eine Initiative, um das Zustimmen oder Ablehnen einfacher zu machen. Der vom Datenschutzaktivisten Max Schrems gegründete Verein Noyb weist darauf hin, dass die europäische Datenschutz-Grundverordnung (DSGVO) für die Anwenderinnen und Anwender eine klare Auswahl zwischen &bdquo;Ja “oder &bdquo;Nein“ vorsehe; wenn Anbieter versuchten, dies mit Tricks zu umgehen und die Zustimmung zu erhalten, sei das widerrechtlich. Der Verein will bis zu 10.000 der meistbesuchten Websites in Europa unter die Lupe nehmen, sie auf die Verstöße hinweisen und bei den zuständigen nationalen Behörden Beschwerde einreichen, wenn die Vorgaben nicht eingehalten werden. Eine erste Welle dieser Beschwerden ist bereits bei zahlreichen europäischen Datenschutzbehörden eingegangen. Kann ich eine Website trotzdem nutzen, auch wenn ich die Profiling-Cookies ablehne? Ja, der Besuch einer Website kann nicht von der Annahme der Cookies durch so genannte &bdquo;Cookie Walls“ abhängig gemacht werden, wenn keine angemessenen Alternativen geboten werden. &bdquo;Cookie Walls“, die dem Nutzer absolut keine Wahl lassen, &bdquo;sind nicht rechtmäßig“, so Notdurfter.