Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Cookie Abfrage abgelehnt oder Privatmodus genutzt: Sind Ihre Daten deswegen sicher?

0

Es klingt zu gut, um wahr zu sein: Auf dem Cookie-Popup auf Ablehnen geklickt oder sogar den Privatmodus des Browsers genutzt. Und schon sind „meine Daten“ sicher. Leider falsch. Ganz falsch. Verantwortlich sind vor allem Cookie Tools mit an sich falschem Konzept, die dazu noch falsch eingesetzt werden sowie ausufernde Datenverarbeitung durch Internetkonzerne und technische Gründe.

Das Problem mit den Cookie Popups

Wie oft habe ich schon über sogenannte Cookie Popups berichtet, die auch als Cookie Tools, Cookie Blocker oder Consent Management Platform (CMP) bezeichnet werden. Sie alle sorgen nicht dafür, dass rechtskonforme Webseiten entstehen. Das einzige, was sie mehr oder weniger rechtssicher können, ist die Verwaltung einer Zustimmung (Einwilligung) oder Ablehnung eines Besuchers einer Webseite. Das bedeutet, das Cookie Tool speichert für Sie, ob ein Nutzer eingewilligt hat und wenn ja, wann. Viel mehr dürfen Sie von einem Cookie Tool nicht erwarten.

Wenn Sie von einem Cookie Tool erwarten, dass es Ihre Webseite datenschutzkonform macht, sollten Sie andere Tabletten nehmen.

Die Liste der Unzulänglichkeiten von Cookie Tools ist so lang, dass ich hier nur eine kurze Aufzählung bringen kann:

  • Es geht nicht nur um Cookies. Die meisten Cookie-Tools tun aber so, als ginge es nur um Cookies. Es geht auch um IP-Adressen, Datentransfer in die USA, Nutzerprofilbildung sowie ausufernde Datenverarbeitungen (vgl. Art. 5 DSGVO oder Art. 25 DSGVO).
  • Google Fonts können von Cookie Tools faktisch nicht blockiert werden, müssten es aber. Sonst kann ein Schadenersatzanspruch gegen Sie entstehen.
  • Datenabrufe von amerikanischen Firmen oder Servern oder von Firmen mit amerikanischer Mutter können von Cookie Tools faktisch nicht zuverlässig blockiert werden, müssten es aber. Vergleiche EuGH-Urteil Schrems II, Art. 44 ff DSGVO und die Tatsache, dass die USA ein Überwachungsstaat sind (Cloud Act, EO12333, FISA 702)
  • Sogenannte Cookie Blocker können aus rein technischen Gründen nicht zuverlässig funktionieren.
  • Die Pflichtinformationen auf Cookie Popups sind oft mangelhaft. Grund: Niemand weiß, was Google & Co. mit unseren Daten macht. Wie soll es dann ausgerechnet vom Anbieter einer Cookies Popups für Sie als verantwortlichem Webseitenbetreiber erklärt werden können?
  • Alle Cookie Tools sind Versager. Siehe meinen umfangreichen Testbericht.

Wenn Sie also eine Webseite mit Cookie Popup aufrufen, werden bereits beim Aufruf, ohne dass Sie eine Aktion ausgeführt haben, oft schon rechtswidrige Datenverarbeitungen vorgenommen.

Zentrale Einwilligungsverwaltung (PIMS)

Auf Druck von Lobbyisten entstand der § 26 TTDSG. Der deutsche Gesetzgeber hat sich darin zwei Jahre Zeit gegeben, also bis Ende 2023, eine Verordnung für eine zentrale Einwilligungsverwaltung zu erlassen. Die Idee ist, Cookie Popups weitgehend zu eliminieren. Sie sollten zentral an einer noch zu schaffenden Stelle Ihre Datenschutzvorlieben hinterlegen können. Besuchen Sie dann eine Webseite, soll diese Webseite die Zentrale abfragen, um das Cookie Popup nicht mehr anzeigen zu müssen.

Niemand weiß, wie das funktionieren soll. Die Wahrheit ist, dass es nicht funktionieren kann und nicht funktionieren wird. Hierfür gibt es neben großen europarechtlichen Problemen auch rein praktische Probleme. Siehe hierzu meine Beiträge:

Zahlreiche weitere Kritikpunkte habe ich dabei nicht einmal thematisiert. Demnächst halte ich einen Vortrag hierzu vor einem Fachpublikum. Bin gespannt, wer mir erzählt, wie PIMS in der Realität funktionieren soll.

Der Privatmodus im Browser

Dieser Abschnitt ist nur relevant, wenn Sie keinen Google Browser nutzen. Denn dann wäre sowieso alles zu spät (siehe Folgeabschnitt).

Zum Privatmodus schreibt Mozilla als Anbieter des Firefox-Browsers selbst:

Quelle: https://support.mozilla.org/de/kb/privater-modus

Der Privatmodus macht also niemanden anonym. Lediglich, aber immerhin, verspricht Mozilla, dass keine Chronik der besuchten Webseiten geführt wird und nach Ende einer Sitzung alle (in der Sitzung erzeugten?) Cookies entfernt werden. Das ist schon mal für die Privatsphäre besser als den normalen Browser-Modus zu verwenden.

Dennoch werden personenbeziehbare Daten von Ihnen weitergegeben, die Sie im Internet identifizierbar und somit nachverfolgbar machen. Das gehören Ihre Netzwerkadresse (IP-Adresse) und Ihr sogenannter Browser-Fingerabdruck (User-Agent etc.). Sogar die dynamische IP-Adresse wurde von EuGH und BGH sogar als personenbezogenes Datum deklariert, weil es in Deutschland möglich ist, den Anschlussinhaber herauszufinden. Auch Sie könnten einen Anschlussinhaber herausfinden (lassen). Stellen Sie sich vor, es besteht der Verdacht einer Straftat. Schon ist der Anschlussinhaber „gefährdet“. Wie so oft hat das ganze zwei Seiten. Wer hat schon Mitleid mit einem Straftäter? Aber ist es auch einer oder hat jemand dessen WLAN-Anschluss gekapert? Oder war der Verdacht an sich unbegründet? Fragen über Fragen, die Sie und ich nicht beantworten können oder dürfen.

Ungeachtet dieser Probleme mit dem Privatmodus nützt er kaum etwas, wenn Sie einen Browser oder ein Endgerät von Google nutzen. Dazu gleich mehr.

Das Google Universum

Wer den Chrome Browser von Google nutzt, ist selber schuld. Einfacher kann man Daten kaum an Google liefern. Einfacher geht es nur bei Nutzung eines Android Smartphones, am besten noch in der Standardkonfiguration und mit dauernd eingeschaltetem GPS-Signal.

Für beides gibt es eine Abhilfe. Statt dem Chrome Browser stehen zahlreiche sehr gute Alternativen zur Verfügung, die sicher jedem bekannt sein dürften. Wer es nicht weiß, kann eine datenschutzfreundliche Suchmaschine wie Ecosia oder DuckDuckGo nutzen. Auch für das Handy gibt es geeignete Browser. Wer Android mag, aber Google nicht, dem empfehle ich ein ent-Google-tes Smartphone. Ich nutze selber eines. Es ist das Fairphone mit dem Betriebssystem /e/OS. Wahrscheinlich tausendmal besser als jedes Google Endgerät, was den Datenschutz angeht.

Wer die Google Suchmaschine nutzt, hat es nun leichter. Bis vor kurzem erlaubte Google es Ihnen, ganz einfach mit nur einem Klick der allumfassenden Nachverfolgung Ihrer Persönlichkeit zuzustimmen. Wollten Sie dies überraschenderweise nicht zulassen, mussten Sie mindestens fünfmal klicken. Ich hatte bereits darüber berichtet.

Viel besser geworden ist es aber nicht. Sie müssen nun tatsächlich nur einmal klicken für „Alle ablehnen“:

Neue Google-Einwilligungsabfrage auf google.de

Bevor Sie überhaupt etwas angeklickt haben, wird Ihre Privatsphäre aber schon nicht respektiert. Ein Teil dessen sind drei in Ihrem Endgerät in Summe rechtswidrig angelegte Cookies, von denen zwei Werte haben, die zu Ihrer Nachverfolgung geeignet sind:

Cookies, die nach § 25 TTDSG in Summe einer Einwilligung bedürften, weil sie technisch nicht notwendig sind.

Außerdem werden Google Beacons abgeschickt:

Ohne Einwilligung durchgeführte Datenerfassung.

Die Werte enthalten so viele potentielle Identifikatoren, dass in meinem Screenshot große Teile der Daten unscharf gemacht werden mussten. So geht Datenschutz mit Google. Einfach mit einem Klick gar nicht zustimmen oder auch mit null Klicks nichts tun. Sie werden garantiert trotzdem von Google im Internet nachverfolgt.

Das Facebook Universum

Kürzlich erfuhr ich davon, dass Facebook etwas gegen sogenannte Scraper tun möchte. Scraper sind Programme, die Inhalte automatisch abgrasen. Facebook hat deswegen Links auf Facebook Posts, die Facebook Nutzer teilen können, in Ihrer Struktur verändert.

Bisher war es so, dass eine geteilte Facebook-URL die Zielseite auf Facebook sowie einen Parameter namens fbclid enthielt. Dieser Parameter fbclid war für das Tracking gedacht. Damit konnte Meta Sie nachverfolgen, wenn Sie auf einen Link geklickt hatten, der über die Facebook Social Media Plattform geteilt wurde.

Nun hat Facebook die Zielseite und die Tracking-ID in einem Parameter vereint. Facebook sagt, dass dies dem Kampf gegen das Scraping diene. Möglicherweise ist es auch ein Kampf gegen datenschutzfreundliche Browser, die URL stripping betreiben, um sensible Informationen zu entfernen, damit Meta nicht noch mehr über Sie und mich erfährt.

Allerdings ist eine Tracking-ID eine Tracking-ID, egal, was Meta behauptet. Wenn Sie demnächst unbedingt ins Metaverse gehen wollen, warten Sie dort bitte nicht auf mich. Ich werde nicht da sein. Auch auf Facebook werden Sie mich nicht finden, seit ich dort mein Konto gelöscht habe. Übrigens sind Facebook Fanpages rechtswidrig. Betreiben Sie selbst eine solche Fanpage, dann sind Sie gemeinsam mit Meta verantwortlich für diesen Rechtsbruch. Hoffentlich ist der Nutzen Ihrer Fanpage gigantisch. Nicht, dass Sie sich viel Arbeit machen und wenig bis gar nichts davon haben, außer möglichem Ärger.

Browser-Plugins

Auch ein Plugin wie I don’t care about cookies, welches Cookie-Abfragen automatisch eliminiert, schützt Sie nicht davor, dass Ihre Daten unerlaubt (oder vielleicht sogar erlaubt, aber von Ihnen nicht erwünscht) an Dritte weitergegeben werden. Das Plugin sorgt dafür, dass diese nervigen Cookie-Abfragen nicht mehr erscheinen bzw. automatisch weggeklickt werden. So weit, so gut. Leider hat das ganze einen Haken.

Zunächst existiert mit „i dont’ care about cookies“ das gleiche Grundproblem, wie oben schon beschrieben. Weiterhin simuliert das Plugin einfach ein Akzeptieren aller Datenverarbeitungen. Es nimmt Ihnen also lediglich die Arbeit ab, allem zuzustimmen. Schön wäre es ja, wenn das Plugin „alles ablehnt“, aber genau das Gegenteil passiert. Hier der Beweis:

  1. Aufruf der Webseite https://www.dw4it.de/ (zufällig ausgewählt)
  2. Eine Einwilligungsabfrage erscheint:
Einwilligungsabfrage auf einer ausgesuchten Webseite.

3. Das Plugin „i dont’ care about cookies“ klickt die Abfrage weg.

4. Das Cookie „allowCookie“ wird erzeugt und hat den Wert 1, Google Analytics wird geladen (was erst nach Akzeptieren auf der Einwilligungsabfrage passiert)

Nach automatischem Wegklicken des „Cookie Popups“ erzeugtes Cookie, das die Universaleinwilligung darstellt, sowie die Google Analytics Cookies.

Das eben genannte Plugin macht also genau das, was der Name vermuten lässt: Cookies werden im wahrsten Sinne des Wortes hingenommen.

Browser-Plugins wie Ghostery oder uMatrix blockieren wirksam zahlreiche Tracker und Werbe-Scripte. Sie haben keinen Nachteil. Jedenfalls muss man das wohl im Summe so sehen. Zu Ghostery sagen manche, dass die Daten dann bei Ghostery landen würden. Das ist sicher so, wäre aber technisch notwendig. Womöglich werden die Daten dort auch ausgewertet (darauf käme es nur an). Selbst wenn diese Auswertung stattfindet, gehe ich davon aus, dass der Datenschaden weit geringer ist, als wenn die Daten ungefiltert direkt an die Werbeindustrie samt Google und Facebook gelangen.

Empfehlungen

Es schadet nicht, den Privatmodus des Browsers zu nutzen. Wichtiger ist aber, den richtigen Browser und eine datenschutzfreundliche Suchmaschine zu verwenden. Plugins wie die oben genannten sind teilweise mit Vorsicht zu genießen. uMatrix ist sicher empfehlenswert.

Wer ein Android Smartphone von Google nutzt, sollte wenigstens einen anderen Browser und eine andere Suchmaschine als die von Google verwenden. Ein Fairphone o. ä. ist eine gute Möglichkeit, sich von Google loszueisen. Auch als Handy mit einer zweiten SIM-Karte (Dual-SIM oder eigenständige Telefonnummer) kann es sinnvoll sein.

Wenn Sie das Gefühl haben, dass von Ihnen besuchte Webseiten die Datenschutzregeln nicht einhalten, empfehle ich zur Vertiefung der Analyse meinen Webseiten-Check. Schreiben Sie den Verantwortlichen doch einfach per Mail an und fragen Sie, warum es rechtmäßig sein soll, dass Google Fonts, der Facebook Pixel, Google Maps oder Google Analytics ohne Einwilligung geladen werden. Sie können sich danach überlegen, ein Auskunftsgesuch nach Art. 15 DSGVO zu stellen. Das dient als gute Grundlage für eine Abmahnung oder Klage. Soweit muss es aber meist nicht kommen. Die Vernunft überwiegt bei vielen dann doch. Bei größeren Firmen wird es allerdings oft anders sein. Vielleicht lohnt es sich da, hartnäckig zu bleiben. Kommen Sie gerne auf mich zu, wenn Sie das Bedürfnis verspüren, Datenschutzregeln durchzusetzen.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT und Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über neue Beiträge werden Sie informiert, wenn Sie meinen Newsletter abonnieren. Über Ihre Unterstützung für meine Arbeit würde ich mich besonders freuen.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

IT-Sicherheit und Datenschutz: Das Zusammenspiel im Internet und anderen Netzwerken