Cookie-Banner der meistbesuchten WebsitesMiese Tricks und fiese Klicks

Viele Seiten im Netz versuchen, mit künstlichen Hürden und Design-Tricks an die Datenschutz-Einwilligung ihrer Nutzer:innen zu kommen. Wir haben die 100 meistbesuchten Websites des Landes auf Dark Patterns untersucht und zeigen: Vier von fünf setzen auf manipulative Cookie-Banner.

Ein roter, explodierender Button mit "Alle akzeptieren", darum herum lauter Kekse
„Alle akzeptieren“: Viele Websites setzen auf Dark Patterns, um Datenschutzeinwilligungen zu erhalten – Hintergrund und Cookies: StableDiffusion; Montage: netzpolitik.org

Man will eigentlich nur schnell ein Apfelkuchen-Rezept nachschauen und klickt auf eine Website. Doch bevor diese uns das Mengenverhältnis von Zucker, Mehl und Früchten präsentiert, wartet ein Cookie-Banner. Dabei lassen sich die Seitenbetreiber einiges einfallen, wie sie den Nutzer:innen die Zustimmung für das Setzen von Cookies und damit auch Zustimmung zum Werbetracking abjagen.

Wir haben die 100 reichweitenstärksten Websites in Deutschland systematisch untersucht. Darunter befinden sich Online-Medien, Service-Seiten und Shopping-Portale. Wir haben analysiert, wie viel Mühe Nutzer:innen investieren müssen, um sie möglichst Tracking-frei aufzurufen. Und welche Methoden die Seitenbetreiber nutzen, um unsere Zustimmung zu bekommen.

Im Ergebnis zeigt sich, dass ein Großteil der meistbesuchten Websites in Deutschland es ihre Nutzer:innen bei Cookie-Bannern schwer macht. Von der Apotheken-Umschau über das PONS-Wörtbuch bis zu Portalen wie transfermarkt.de: Um die Einwilligung der Nutzer:innen zu bekommen, dass ihre Daten gesammelt und an zahlreichen Firmen weitergegeben werden dürfen, tricksen viele Anbieter mit unauffälligen Textlinks, komplizierter Menüführung oder Signalfarben.

Zwar sind die Zeiten vorbei, in denen man händisch hunderte Cookies einzeln abwählen muss, doch nur vier der hundert meistbesuchten Websites machen das Ablehnen von Cookies genau so leicht wie das Akzeptieren. Expert:innen kritisieren seit langem, dass Design-Tricks bei Cookie-Bannern gegen die Datenschutzgrundverordnung (DSGVO) verstoßen. Die Datenschutzbehörden wissen von dem Problem, doch unsere Recherche zeigt, dass die massenhafte Manipulation an der Tagesordnung bleibt.

77 Prozent haben irreführende Buttons

Für die Auswertung haben wir bei der IVW die 100 Seiten herausgesucht, die im Juni die meisten Visits hatten. Die „Informationsgemeinschaft zur Feststellung der Verbreitung von Werbeträgern“ ermittelt mit Zählpixeln für viele Websites die Seitenaufrufe. Das Ranking der IVW gilt als Indikator, wie relevant eine Seite für Werbetreibende ist. Diese Seiten haben wir einzeln im August ausgewertet.

Nach unserer Untersuchung, deren Ergebnisse wir hier vollständig veröffentlichen, versuchen 77 Prozent der reichweitenstärksten Seiten in ihren Cookie-Dialogen, mit farblich hervorgehobenen Buttons die Nutzer:innen zur Zustimmung zum Tracking zu bewegen. Dabei ist der datenschutzfreundliche Button zum Beispiel weiß oder ausgegraut, während der Zustimmungs-Button in einer auffälligen Farbe ins Auge sticht oder in einem rot markierten Feld platziert ist. Nur 23 von 100 Webseiten verzichten auf diesen Trick – und lenken die Besucher:innen nicht farblich auf die Version mit mehr Tracking.

Klassisches Dark Pattern: Schlechter Datenschutz ist durch die farbliche Gestaltung der Buttons im Vorteil, hier bei der Apothekenumschau. - Alle Rechte vorbehalten Screenshot Apotheken-Umschau

Solche Design-Tricks nennt man Dark Patterns. So heißen versteckte und manipulative Gestaltungsmuster, die Nutzer:innen zu einer bestimmten Handlung verleiten sollen. Etwa, wenn eine Shopping-Seite uns blinkend suggeriert, es wären nur noch zwei Exemplare zu diesem supersonderreduzierten Preis verfügbar. Oder wenn der Menüpunkt zum Kündigen eines Abos so gut versteckt ist, dass wir geneigt sind, nach langer Suche aufzugeben.

Die Anbieter:innen spekulieren darauf, dass wir die Option mit dem geringsten Aufwand wählen. Bei den Cookie-Bannern heißt das häufig: Die – für die Seitenbetreiber – gewünschte Option ist farblich hervorgehoben, größer und mit einem einzigen Klick erreichbar: „Alle akzeptieren“ und schnell zum Kuchenrezept statt aufwändiger Suche nach der kleinteiligen Ablehnung.

Viele Klicks zum Glück

Dabei wäre ein „Alle ablehnen“-Button direkt im ersten Cookie-Fenster die einfachste Variante, den Besucher:innen Souveränität über ihre Daten zu bieten. Bei nur 16 der 100 reichweitenstärktsten Websites lassen sich alle Cookies im ersten Fenster abwählen. Doch nur bei vier der Seiten steht die Ablehnen-Option gleichberechtigt neben der Akzeptieren-Variante.

Oft sind die Akzeptieren-Buttons auffälliger, bei manchen aber nicht einmal als direkte Auswahloption erkennbar. Der Weg zur schnellen Ablehnung verbirgt sich dann hinter einem unterstrichenen Textlink, etwa bei der Apotheken-Umschau oder auf bei Ebay Kleinanzeigen. Bei den restlichen Websites brauchen die Nutzer:innen noch mehr Geduld und Sorgfalt, um alles abzuwählen. In einigen Fällen sind es mehr als zehn Klicks – und auch dann nur, wenn man genau weiß, wo man hinklicken muss.

Cookie Banner bei Watson
Klickt man „falsch“, muss man bei Watson.de 107 Anbieter einzeln wegklicken. - Alle Rechte vorbehalten Screenshot Watson.de

So etwa bei watson.de, einem reichweitenstarken Online-Medium aus dem Hause Ströer. Hier braucht man ganze zehn Klicks, um alle Cookies abzulehnen. Dafür muss man aber wissen, welche Menüs man anwählt und ausklappt. Würden Nutzer:innen im Optionsmenü direkt die Anbieter ansteuern, müssten sie 107 Mal extra klicken, um jeden Anbieter einzeln abzuwählen. Wir haben bei Watson.de gefragt, warum sie ihren Leser:innen datenschutzfreundliche Einstellungen so schwer machen – und trotz Rückfrage keine Antwort bekommen.

Hier klicken, um den Inhalt von datawrapper.dwcdn.net anzuzeigen

Watson.de ist in guter Gesellschaft: 12 Klicks benötigt man beispielsweise beim Portal Sport1.de, um sich ohne Tracking zu informieren – „akzeptieren & schließen“ geht mit einem Klick. Bei der Sport-Website ist man sich keines Problems bewusst. Die genutzten Darstellungen seien weder geeignet einen Nutzer zu täuschen, noch ihn manipulativ zu veranlassen, eine bestimmte Entscheidung zu treffen.

„Das gewählte Design ermöglicht es unserer Meinung nach, dem Nutzer eine eigenständige Entscheidung zu treffen“, sagt der Pressesprecher gegenüber netzpolitik.org. Sport1 habe sich mit den „Anforderungen an einen Einwilligungsbanner intensiv befasst“ und verfolge die aktuell laufenden Entwicklungen.

Cookie-Banner
Nur ganz selten gibt es „Alle Ablehnen“ gleichberechtigt im ersten Dialogfeld. - Alle Rechte vorbehalten Screenshot: Speedweek.com

Bei knapp der Hälfte der 100 meistbesuchten Websites führen zwei bis fünf Klicks zur vollständigen Abwahl der optionalen Cookies, ergibt die Untersuchung von netzpolitik.org. Dennoch wäre eine Ein-Klick-Lösung technisch ohne weiteres möglich: Das demonstrieren das Spielemedium gamesworld.de, die Börsennachrichten deraktionaer.de und die Formel-1-Seite speedweek.com, wo ein „Alle ablehnen“-Button in gleicher Farbe und Größe unter oder neben dem „Alle akzeptieren“-Feld erscheint.

Auch die linke Tageszeitung taz gehörte lange Zeit zu den Seiten, die es ihren Leser:innen unnötig schwer machten, Tracking abzuwehren. Ein farblich hervorgehobener Button lockte zu „Alle akzeptieren“, um Cookies abzulehnen, musste man sich zunächst weiterklicken. Doch kurz nach unserer Presseanfrage hat das Medium das Cookie-Banner umgestellt: „Wir sind seit einiger Zeit mit unserem Werbeplatzvermarkter im Gespräch mit dem Ziel, unser Consent Tool verbraucherfreundlicher zu gestalten“, schrieb uns der Datenschutzbeauftragte des Medienhauses. Wenig später ist dort „Alle ablehnen“ auf der ersten Seite des Cookie-Banners möglich.

Hier klicken, um den Inhalt von datawrapper.dwcdn.net anzuzeigen

Der Trick mit dem „berechtigten Interesse“

Kompliziert gemacht wird die Cookie-Auswahl auch mit der Dark-Pattern-Variante „berechtigtes Interesse“. Hierbei setzen die Anbieter auf einen besonders fiesen Design-Trick: In den ohnehin schon vollkommen mit Text überladenen Bannern werden relevante Optionen versteckt. Lehnen die Nutzer:innen in einem ersten Schritt Cookies ab, für die eine Einwilligung nötig ist, werden nur bestimmte Cookies wirklich abgewählt. Diese abgewählten Cookies sind dann hinter Schiebereglern rot markiert und suggerieren damit, dass nun alles Tracking ausgeschaltet sei.

Doch hinter einem anderen Reiter im Menü des Cookie-Banners finden sich unter „Berechtigtes Interesse“ zahlreiche weitere Auswahlmöglichkeiten. Watson.de definiert zum Beispiel 107 Anbieter als „berechtigtes Interesse“. In der Datenschutzerklärung finden sich Informationen dazu, was Watson.de unter berechtigtem Interesse versteht: Etwa, Dienste bereitzustellen und zu warten. Aber auch, „um Ihnen maßgeschneiderte Inhalte anzubieten, beispielsweise, um Ihnen relevantere Suchergebnisse und personalisierte Werbung zur Verfügung zu stellen“. Das „berechtigte Interesse“ kann also sehr weit gefasst sein.

Selbst wenn Nutzer:innen erfolgreich alles abgelehnt haben, laufen sie im letzten Schritt nochmal Gefahr, ihre Klickarbeit wieder zunichte zu machen. Viele Dialoge enden mit einer Auswahlmöglichkeit zwischen „Einstellungen speichern“ und „Alle akzeptieren“, wobei letzteres oft wieder farblich hervorgehoben ist. Doch nur der unauffälligere Button „Einstellungen speichern“ führt dazu, dass die Cookies auch wirklich wie gewünscht abgelehnt werden.

In der Endlosschleife vom PUR-Abo

Eine andere Strategie verfolgen offenbar die PUR-Abo-Angebote. Die Nutzer:innen können sich entscheiden: Kostenlos weiterlesen und Tracking akzeptieren oder für Datenschutz zahlen. Die Option, ihre Zustimmung zu widerrufen gibt es dabei trotzdem. Dieser Widerruf ist jedoch damit verbunden, dass sie das Angebot nicht nutzen können und wieder beim ursprünglichen Abfrage-Dialog landen. Also entweder Cookies oder PUR-Abo.

PUR-Abo-Angebote haben aktuell 27 der 100 reichweitenstärksten Seiten, vor allem journalistische Angebote wie Spiegel, Zeit oder FAZ. Die meisten Pur-Abos kosten zwischen 2,99 Euro und 4,99 Euro im Monat. Das summiert sich schnell, wenn jemand mehrere Online-Zeitungen ohne Tracking lesen will. Zugriff auf Plus-Artikel hinter der Paywall oder andere Zusatzleistungen sind bei den meisten dieser Angebote nicht inklusive.

Die österreichische Datenschutzbehörde hat 2018 entschieden, dass das Pur-Angebot des Standard rechtmäßig ist. Die Datenschutzorganisation noyb jedoch wirft Anbietern vor, die Nutzer:innen müssten sich ihre Daten „zum Wucherpreis“ zurückkaufen. 2021 hat noyb daher Beschwerden gegen sieben große Nachrichtenseiten eingereicht.

Pur-Abo
Beim Express wird schon aus der „Vorauswahl“ klar, dass kaum Interesse an Pur-Aboverkäufen besteht. - Alle Rechte vorbehalten Express.de

Die Abozahlen der Pur-Angebote sind vergleichsweise gering, für die meisten Nutzer:innen ist es offenbar keine echte Alternative. Bei Zeit Online sind es bei fast 16 Millionen monatlichen Nutzern nur etwa 20.000, die ein solches Abo abgeschlossen haben, teil die Pressestelle auf Anfrage mit. Das ist etwa jede:r Tausendste Nutzer:in. Auch beim reichweitenstärkeren Spiegel, der allein täglich rund 4 Millionen Besucher:innen zählt, sind es nur 29.000 Abos. Die Springer-Medien Bild und Welt wollten gegenüber netzpolitik.org keine Abo-Zahlen nennen.

Unfreiwillig und unfair

Das umstrittene Pur-Abo ist für viele Medien also ein Weg, an Tracking-Einwilligungen zu kommen, ohne auf Design-Tricks zu setzen. Die meisten anderen beliebten Seiten im Netz dürften mit ihren Cookie-Bannern gegen die Vorgaben der Datenschutzgrundverordnung verstoßen. Allein der Trick mit den farblich hervorgehobenen Buttons wird von fast 80 Prozent der reichweitenstärksten Websites genutzt.

Dabei hatten die europäischen Datenschutzbehörden erst im Frühjahr 2022 Richtlinien zu Dark Patterns bei Sozialen Medien veröffentlicht, die deutschen Datenschützer:innen eine Orientierungshilfe (PDF) schon im vergangenen Dezember. Demzufolge verstoßen die Tricks häufig gegen die DSGVO, etwa gegen die Grundsätze von Fairness und Transparenz. Einwilligungen müssten zudem informiert und freiwillig sein.

Doch viele Dark Patterns schränkten diese Wahlfreiheit ein, erklärt die Datenschutz-NGO noyb. „Wenn für eine Einwilligung nur ein Klick notwendig ist, für das Ablehnen des Trackings aber beispielsweise drei Klicks, dann besteht keine freie Wahl und keine gültige Einwilligung“, sagt Jurist Felix Mikolasch. Gemeinsam mit dem Team um Facebook-Schreck Max Schrems hatte er 2021 mehr als 400 Beschwerden bei Aufsichtsbehörden wegen illegaler Cookie-Banner eingereicht

Von „Pseudo-Einwilligungen“, in die Websites und andere Online-Dienste ihre Nutzer:innen hunderte Mal pro Woche hineintricksen würden, spricht deshalb der Wiener Tracking-Forscher Wolfie Christl. Dies solle als Legitimation dafür dienen, dass die Websites die Daten ihrer Nutzer:innen im Rahmen von Werbe-Auktionen an teils hunderte Firmen weitergeben.

Legitimation für Online-Werbe-Maschine

Die Zustimmung im Cookie-Banner ist das technische Signal zum Start der „Real-Time-Bidding“ genannten Online-Werbe-Maschine. Wenn die Nutzer:innen akzeptiert haben, erzeugt ein Protokoll im Hintergrund einen individuellen Identifikator für sie. Mit diesem werden die Datenprofile der Nutzer:innen verknüpft. Heraus kommt ein Bild über Alter, Geschlecht, Interessen, besuchte Websites, Wohnort, Kaufkraft und so weiter.

Wenn eine Person im Cookie-Banner auf „Alle akzeptieren“ geklickt hat, findet in Sekundenschnelle eine automatisierte Auktion unter den Anbietern von Werbeanzeigen statt, das Real-Time Bidding. Das Profil und der Anzeigenpreis entscheiden darüber, welche Werbung die Nutzer:innen zu sehen bekommen – etwa für die Schuhe, die sie sich gestern in einem Online-Shop angeschaut haben. Oder die Kosmetik-Marke, die denkt, dass man zu ihrer Zielgruppe gehören könnte.

Unsere Recherche zeigt, dass vielen Anbietern offenbar so viel an der Einwilligung liegt, dass sie ihre Nutzer:innen dafür austricksen. Aber wie viel ist unsere Zustimmung zum Tracking eigentlich genau wert? Das herauszufinden, gestaltet sich schwierig. Keine der angefragten Websites und Medien wollte uns dazu Zahlen mitteilen.

Auch Branchenverbände der Tracking-Industrie, der Deutsche Dialogmarketing-Verband und der Bundesverband Digitalwirtschaft, wollten sich auf Anfrage lieber nicht dazu äußern, welche Einnahmen einer Website entgehen, wenn Nutzer:innen Tracking ablehnen. Zu dieser Frage gibt es unterschiedliche Studien, doch sie zeichnen kein einheitliches Bild, sondern schätzen zwischen vier und gut 50 Prozent Umsatzeinbußen.

„Die Einwilligung verkommt zur Farce“

Dass Dark Patterns bei Cookie-Bannern heute so weit verbreitet sind, ist Wolfie Christl zufolge auch die Schuld der Datenschutzbehörden. „Hätten die Aufsichtsbehörden die DSGVO von ihrer Einführung 2018 an strikt durchgesetzt, würde uns die Datenindustrie heute wohl nicht derart flächendeckend mit manipulativen, sinnlosen und nervigen Einwilligungs-Bannern belästigen“, sagt der Tracking-Experte. „Die Einwilligung verliert damit jeden Wert und verkommt zur Farce.“

Dabei hatte die belgische Datenschutzbehörde erst im Februar dieses Jahres einen technischen Standard, den fast alle Websites für ihre Cookie-Banner nutzen, für rechtswidrig erklärt. Seither sei leider nicht viel passiert, so Christl. Er fordert: „Die Aufsichtsbehörden müssen nun so schnell wie möglich tätig werden und massive Strafen und Verarbeitungsverbote gegen prominente Übeltäter verhängen.“

Hoffnungen setzen einige auch in den jüngst verabschiedeten Digital Services Act der EU. Er verbietet Praktiken, mit denen „darauf abgezielt oder tatsächlich erreicht wird, dass die Fähigkeit der Nutzer, eine autonome und fundierte Entscheidung oder Wahl zu treffen, erheblich verzerrt oder beeinträchtigt wird“. Allerdings ist auch diese Hoffnung mit einem Fragezeichen versehen.

„Leider wurde der Text in der finalen Verhandlungsrunde dahingehend abgeschwächt, dass bereits von bestehender Verbraucherschutz- und Datenschutzgesetzgebung abgedeckte Praktiken nicht in diesem Verbot enthalten sind“, sagt die Europaabgeordnete Alexandra Geese zu netzpolitik.org. Die Grünen-Politikerin war selbst an den Verhandlungen zum DSA beteiligt. „Dark Patterns sind in der DSGVO bereits verboten“, so Geese. Es fehle allerdings an Durchsetzung. Sie sieht die Europäischen Kommission in der Verantwortung, diese Ungerechtigkeit jetzt anzugehen.

Die Cookie-Dämmerung hat längst begonnen

Doch auch in Deutschland arbeitet die Regierung an einer Lösung für das Cookie-Problem. Das Bundesministerium für Digitales und Verkehr (BMDV) hat kürzlich eine Verordnung entworfen, die es Nutzer:innen einfacher machen soll, ihre Einwilligungen zu überblicken. Mit der Einwilligungsverwaltungsverordnung sollen sie „vom Treffen vieler Einzelentscheidungen entlastet werden“. Denkbar sei beispielsweise ein Browser-Plugin, in dem man einmal seine Wunscheinstellungen vornimmt und das dann alle Einwilligungen verwaltet. 

Doch der Verordnungsentwurf lässt offenbar bisher ein Schlupfloch offen. Websites, die ganz oder teilweise werbefinanziert sind, sollen die Nutzer:innen zum Beispiel auf ein kostenpflichtiges Angebot hinweisen dürfen. Das umstrittene Pur-Abo-Modell, das heute schon mehr als ein Viertel der Top-Websites nutzt, könnte sich dadurch noch weiter verbreiten.

Das tatsächliche Ende der nervigen Cookie-Banner könnte unterdessen bald aus ganz einer ganz anderen Richtung kommen. Denn in den letzten Jahren haben Google und Apple angefangen, dem Tracking mit Third-Party-Cookies in ihren Browsern und Betriebssystemen einen Riegel vorzuschieben. Dabei geht es zwar weniger darum, die Nutzer:innen zu schützen, sondern mehr darum, das Geschäft mit dem Online-Tracking zu monopolisieren. Für Nutzer:innen könnte das aber trotzdem bedeuten, dass sie nicht mehr ständig mit unterschiedlichen Einwilligungs-Bannern genervt werden.

Ob dies auch ein Ende der Dark Patterns bedeutet? Unwahrscheinlich. Denn bis Google selbst auf seinem Cookie-Banner einen „Alle ablehnen“-Button im ersten Dialog einführte, hat es mehrere Jahre und enormen Druck der Datenschutzbehörden gebraucht. Zudem gibt es ja nicht nur Cookie-Banner, sondern auch andere Dark Patterns – ob nun bei Amazon Prime oder bei Hotel-Buchungsportalen, die mit vermeintlich mangelnder Verfügbarkeit von Zimmern Druck auf die Nutzer:innen aufbauen.

Update 2.9.2022:
Wir haben noch die Orientierungshilfe der Datenschutzkonferenz (PDF) im Text verlinkt.  

Wir überwachen die Überwacher

WE FIGHT FOR YOUR DIGITAL RIGHTS

Wir kämpfen jeden Tag für digitale Grund- und Freiheitsrechte. Durch deine Spende sind wir dabei unabhängig und nicht auf Werbung, Tracking, Paywall oder Clickbaiting angewiesen. Vielen Dank für Deine Unterstützung!

Mehr erfahren

Jetzt Spenden

41 Ergänzungen

  1. Tolle Untersuchung, danke für die Mühe.

    Die Datenschutzbehörden wissen, dass das alles rechtswidrig ist, wie zum Beispiel dieses Papier aus Baden-Württemberg zeigt: https://www.baden-wuerttemberg.datenschutz.de/faq-zu-cookies-und-tracking-2/

    Was kann man tun?

    Ihr könnt beim Webseitenbetreiber nach Artikel 15 und 20 DSGVO um Auskunft fragen. Alle Cookie-IDs aufzählen und dann müssen diese daraufhin Auskunft geben, auch wenn es ein externer Tracking-Dienst ist.

    Oder: Beschwerde bei der zuständigen Aufsichtsbehörde einreichen. Die muss dann tätig werden.

    Aber besser: Schadensersatz nach Artikel 82 DSGVO einfordern. Jeder Tracker 100 Euro …

  2. Zitat: „Die Datenschutzorganisation noyb jedoch wirft Anbietern vor, die Nutzer:innen müssten sich ihre Daten „zum Wucherpreis“ zurückkaufen.“

    Was für ein Quark.
    Und dann kommt er auch noch von einer „Datenschutzorganisation“.

    Es gibt kein „Zurückkaufen“!
    Wenn man zahlt, wird man noch schlimmer getrackt, als bei Cookie-Einwilligungen,
    schließlich erhalten die Dienstleister dann
    * Vor- und Nachnamen (inkl. Geschlecht),
    * Adresse
    * Kontonummer und
    * falls der Kommentar-Bereich genutzt wird, kann passend dazu
    u.a. auch folgendes ermittelt werden:
    – Politische Meinung
    – Religion
    – Bildungsstand
    – Alter

    Echt schade, dass das nirgendswo aufgegriffen wird, gerade hier auf NP.

  3. Zitat: „Die Datenschutzorganisation noyb jedoch wirft Anbietern vor, die Nutzer:innen müssten sich ihre Daten „zum Wucherpreis“ zurückkaufen.“

    Was für ein Quark.
    Und dann kommt er auch noch von einer „Datenschutzorganisation“.

    Es gibt kein „Zurückkaufen“!
    Wenn man zahlt, wird man noch schlimmer getrackt, als bei Cookie-Einwilligungen,
    schließlich erhalten die Dienstleister dann
    * Vor- und Nachnamen (inkl. Geschlecht),
    * Adresse
    * Kontonummer und
    * falls der Kommentar-Bereich genutzt wird, kann passend dazu
    u.a. auch folgendes ermittelt werden:
    – Politische Meinung
    – Religion
    – Bildungsstand
    – Alter

    Echt schade, dass die „Datenschutzorganisation“ das nicht bemerkt hat.

    Kleine Korrektur:
    Der Fehler das darauf nicht eingegangen wurde,
    liegt mehr bei der Datenschutzorganisation, als auf NP.
    Der Artikel ist gut, man sieht, dass da viel Arbeit drin steckt.

    Das der letzte Absatz es so durchgeschafft hat, lag daran, dass ich unten
    nicht mehr quer gelesen hatte. Sorry deswegen.

    Danke für den Artikel und schönen Abend.

    1. Vermutlich bei „Reich und Schön“ in der Karibik weil ihre Bots das Geld automatisch rein bringen.

      Gab es eigentlich einen Unterschied zwischen „Abmahnanwalt“ und „Ransomware-Gangs“ und welcher war das gleich noch mal? ;-)

  4. Wenn ich das neuste „Spielzeug“ der Einwilligungs-Manager richtig Einordne dann erzeugt das auch nur wieder eine Meta-Ebene unter/über der bestehenden Meta-Ebene. Das Grundproblem das eine Seite mich über Cookies gefälligst nicht an 1000 Andere Firmen verkaufen sollte wenn ich sie besuche wird damit nicht behoben.

    Im Gegenteil, es wird eine weitere Instanz ins Spiel gebracht die sowohl ein Single Point of Failure als auch ein Datentrog für Einwilligungen diverser Seiten sein würde. Und damit wieder ein Spielball diverser Interessen wird. Wenn das von jemandem Betrieben werden muss der nicht selbst im Wettbewerb steht mit anderen…. wer bleibt da als Betreiber dann noch übrig? Irgend eine StartUp Klitsche, der Bundesdatenschutzbeauftragte oder gleich der Geheimdi ähh der Staat?

    Der Punkt ist doch: Ich will NICHT getrackt werden! Wenn ich eine Seite besuche dann soll die meinetwegen meine IP speichern so lange es technisch nötig ist, und auch EIN Session-cookie will ich ihr zugestehen. Alles darüber hinaus betrachte ich als illegale Ausforschung und genau das sollten die (Dritt-)Betreiber dahinter endlich mal durch Hartes Durchgreifen der Behörden eingebleut bekommen. Kurz: ich bin’s leid bei jeder neuen Seite pseudo-fragen mit pseudo-antworten zu goutigen. Da bleibt einem nur noch der o.g. Wunschtraum das irgendwer diesen Sumpf mal trocken legt.

    N.B. Wenn Seiten schon ein „Do Not Track“ des Browser ignorieren (dürfen) wer kontrollierte eigentlich mal ob Cookie-ablehnungen auch wirklich Cookies abgelehnt HABEN?

    1. Das mus man selber kontrollieren.
      Und „Überraschung“ (nicht!): Die Seiten setzen trotzdem Cookies!

      Sie tun das sogar während des ersten Öffnens der Seiten, noch bevor man überhaupt auswählen kann, ob sie dürfen – oder nicht.
      Das ist zwar eindeutig illegal, aber die Datenschützer sind blind oder unwillig gegen dieses kriminelle Verhalten vorzugehen.
      Und wo sie versagen, da breitet sich die Illegalität weiter aus.
      Sind das überhaut Datenschützer?

      1. Tatsächlich muss ich konstatieren, dass die „Datenschützer“ unwillig sind. Ich habe lange mit der Telekom gestritten, weil sie meinen Vertrag fristlos gekündigt- Umstellung von ISDN auf digital- und mir einfach über die „Servicecenter“ einen Vertrag incl. Kauf/ Miete eines neuen Routers untergejubelt hat. Die Staatsanwaltschaften haben die Strafanzeigen einfach „ignoriert“- d. h. nicht bearbeitet-, der zust. Datenschützer hat nach „langem Hin und Her“ – man setzt wohl auf Ermüdungserscheinungen- konstatiert, man könne den „Schuldigen“ beim Servicecenter nicht ausmachen- obschon dort Provisionen fliessen-, man kann sich gar nicht vorstellen, wie dieses regierungseigene Unternehmen geschützt wird- Strafvereitelung im Amt!

        1. Da die Telekom nicht mehr in Staatsbesitz ist und die Datenschutzbehörden unabhängig sind, fürchte ich, dass der Grund komplexer ist als „Strafvereitelung im Amt“ im Regierungsinteresse.

          1. Die Regierung besitzt- auch über die KfW- alle Aktien der Telekom….. damit dürfte klar sein, was Sache ist. So ist es i. Ü. auch mit der Dt. Bahn und weiteren privatisierten Betrieben. Zum Einen wurde die dt- Post damals privatisiert, um den Euro einführen zu können- dazu wurde, wie weithin bekannt ist, durch das Finanzministerium der Immobilienwert „falsch berechnet“, wofür ein als Ron Sommer (korrekter Name Aaron Lebowitsch ) bekannt Gewordener verantwortlich gemacht und mit 12. Mio Abfindung abgewickelt in die Geschichte einging! Mit der Postaktie sicherte sich die Regierung weitere Einnahmen, ähnlich der „künstlich vorangetriebenen Briefmarkensammelwut“- später Telefonkarten, beide heute nahe Null-, denn die Aktie ging im Zuge der damaligen US Inflation und Netzblase baden! Die neu aufgelegte Aktie wurde scheingestreut. Die Privatisierung brachte auch die Möglichkeit, Gewinne zu privatisieren, Verluste zu sozialisieren, d. h. Gewinne fliessen u. A. in Managerboni und Abfindungen, Verluste müssen durch den „Staat“- das Volk- ausgeglichen werden!
            Dass die „Daten“schmutzer unabhängig seien, ist wohl ein Witz…..

  5. Man stelle sich mal vor, es könnten für die Missachtung langjährige Gefängnisstrafen ohne Bewährung verhängt werden. Oder die Datenschützer würden endlich mal anfangen, an jede Geldstrafe hinten 3 Nullen anzuhängen, damit die sie weniger schnell zurück-„verdient“ ist und das Betriebsergebnis beeinträchtigt.

    Methode 2 wäre vermutlich die einfachere.

  6. Notorisch Rhetorisch: Volle Zustimmung zu allem.

    Ein wirksames Mittel gegen das Tracking ist die Beschäftigung mit Linux-Systemen. Es gibt Distributionen, die VPN oder Tor integrieren und nicht persistent sind, d. h. sie speichern nichts (z. B. Tails). Mit diesen Systemen kann das Tracking durchaus verhindert werden. Google und bestimmte Anbieter wie Cloudflare und auch diverse Hoster blockieren zwar VPN/Tor (angeblich mit der Absicht, sich vor Hacking schützen zu wollen, was Unsinn ist), aber es gibt Alternativen wie z. B. startpage.com oder qwant.com oder andere. Das setzt allerdings die Bereitschaft zum Umdenken und Dazulernen voraus. Hoster oder Webseitenbetreiber, die das blockieren, sollten einen als Kunden dann halt nicht gewinnen können.
    Für mehr Informationen dazu beschäftige man sich mit Seiten wie der kuketz-empfehlungsecke oder dem privacy-handbuch oder ähnlichen.

    1. „das cookie problem“ ist doch eine völlig falsche bezeichnung, da wird eine technik diffamiert, weil der begriff so schöne griffig ist.

      was ich doch nicht will ist, dass ich beobachtet, verfolgt oder getrackt werde. das sollte der begriff sein der zur diskussion steht. der sollte auch auf den buttons stehen, zur auswahl bei meiner lieblingsseite stehen dann „ja, ich will beobachtet werden“ und „nein ich will nicht“.

      da ja die cookies nicht die einzige technische möglichkeit sind, mich zu beobachten, zielt diese betrachtung viel zu kurz. aber wie das so ist mit griffigen begriffen, die sind pandemisch..

      und diese wortwahl, „technisch notwendig“ oder „berechtigtes interesse“. das sind so schöne worte, dass sie sogar schon von projekten aufgegriffen werden, die es eigentlich gut meinen. dennoch gut es das nicht.

      apropos gutmeinende projekte. wir wissen ja, dass die zeitungen die ihr untersucht habt geld wollen, das sie mit unseren daten verdienen. wie sieht es aber mit projekten aus? habt ihr da mal geforscht? initiativen, die ihre rundmails von zweifelhaften marketing agenturen verschicken lassen (wie zB mailchimp) weil das so schön einfach ist? das finde ich viel schlimmer, als die zeitung, von der ich weiss, dass die eh mein geld will.

      1. Wenn man grundsätzlich das Setzen von Cookies verhindern könnte (und die Webseiten dennoch – rudimentär – funktionieren, zumindest so, daß man Artikel lesen könnte):
        Welche anderen Möglichkeiten hätten die „Anbieter“, die Nutzer zu tracken (in ihrem Internet(surf)verhalten zu beobachten)?
        Es tut mir leid, aber mir fallen dabei immer wieder die drei Studien von Prof. Leith ein:

        https://www.scss.tcd.ie/doug.leith/apple_google.pdf
        https://www.scss.tcd.ie/Doug.Leith/Android_privacy_report.pdf
        https://www.scss.tcd.ie/doug.leith/privacyofdialerandsmsapps.pdf

        Da geht es, u.a. um Geräte-ID’s, welche ein Tracking ermöglichen können
        (s. dazu auch den Bericht hier: https://netzpolitik.org/2022/fog-data-science-us-polizei-nutzt-gekaufte-daten-von-handy-apps/ ).

        Um einer Frage vorzubeugen:
        Google soll die in der letzten Studie vorgestellten Funktionalitäten deaktiviert haben. Wer gararantiert aber, daß dieses auch zukünftig dabei bleibt?

        Ich habe kein Smartphone, weil ich – auch aus diesen Gründen – das Telemetrie- und Trackingverhalten eines propritären Betriebssystems gar nicht oder nur sehr schwer deaktivieren kann: Es ist mein (digitales) Leben. Ich will mich „verstecken“ dürfen.
        Und genau dadurch bekomme ich mehr und mehr gesellschaftliche Nachteile.

      2. „…cookies nicht die einzige technische möglichkeit sind…“
        „…was ich doch nicht will ist, dass ich beobachtet, verfolgt oder getrackt werde.“

        – Der Gesetzgeber hat den ganzen Instrumentenkasten erlaubt und damit das Recht auf
        Privatsphäre ausser Kraft gesetzt. Ich betrachte es als digitales stalking.

        Als technischer Laie frage ich: warum ist es nicht möglich, wenigstens den browser in einer Art sandbox laufen zu lassen, wo ein entsprechendes Programm an alle einfach nur Unfug sendet?

  7. Ich würde mir z. B. bei meinem Mac (Safari) wünschen, dass es die Einstellung geben würde „Alle Cookies blockieren außer“ Dann kann man dort die 5 Webseiten aussuchen, bei denen man die Cookies zulassen möchte.

  8. Wo ist das Problem? Mit der Erweiterung „Cookie Autodelete“ (CAD) klicke ich bedenkenlos auf „alle zulassen“ oder, wo angeboten, auf „Auswahl erlauben“ oder „nur notwendige“. Sobald ich den Tab schließe, vergisst mein Browser alle Cookies und anderen Müll (kann man einstellen). Beim nächsten Besuch bin ich wieder ein unbekannter Neuling. :-)
    Aber Cookies sind ja nur ein Teil des Problems. Ein anderer Teil sind Tracking-Pixel, wie F.c.book und andere asoziale Netzwerke und Datensammler sie einsetzen. Dagegen hilft „NoScript“ und konsequentes Blockieren der Datenschnorchler. Das geht natürlich nur, wenn man nicht selber Mitglied ist. B-)

    1. Eine Konfiguration wäre auch, beim Schließen alles zu löschen + NoScript + Cookies eher ablehnen, denn wozu annehmen, wenn sowieso gefragt wird?

      Das ist die Frage, wem oder was man mit welcher Variante da zustimmt.

      Das Problem z.B. bei Drittseitencookies betrifft schon die Frage der allgemeinen Zustimmung zum Verhaltenstracking. Man stimmt ja für Drittpartei X „für Werbung, Gefügigmachung und allgemeine geostrategische Zwecke“ o.ä. zu. Wie auch immer konkret, so erhalten die ganzen Akteure, denen man da zugestimmt hat, alles was in deren Cookies eben dann so drinnen steht. Das dürfte für ein gesottenes cookieübergreifendes Tracking reichen. Dazu noch JavaScript und HTML5 u.ä.

      Dann noch Detailfragen, mit welcher Formulierung man was für Tracking zugestimmt haben könnte, obwohl die Formulierung nicht zu explizit ist. (Wer liest die Texte immer ganz? „Alles ablehnen“ ist das Gleiche wie „meine Auswahl“ mit allem was geht abgewählt?)

      1. Pauschal alles Cookies ablehnen, oder beim Schließen alles löschen, ist suboptimal.
        Es GIBT nämlich tatsächlich sinnvolle Anwendungen für Cookies, beispielsweise für Online-Shops. Früher habe ich auch am Ende alles gelöscht und mich dann gewundert, wieso einer meiner Lieferanten immer meinen Warenkorb vergaß. :-)
        Klar kann man Ausnahmen auch mit Bordmitteln von Firefox regeln, aber das ist extrem unbequem. Mit CAD kann ich komfortabel und feinkörnig einstellen, welche Elemente für diese Sitzung (grey) oder permanent (white) aufbewahrt werden sollen; default ist alles auf „sofort vergessen“ eingestellt. So soll es sein! CAD müsste zum Standard-Lieferumfang jedes Browsers gehören. Aber da ist vermutlich Google dagegen (die ja Firefox maßgeblich finanzieren).

        1. „Früher habe ich auch am Ende alles gelöscht und mich dann gewundert, wieso einer meiner Lieferanten immer meinen Warenkorb vergaß. :-)“

          Über Prozessende fortgesetzte Sitzungen gibt hat es für allgemeinen Netzzugriff nicht zu geben. Wenn, dann nutzen Sie ein weiteres Profil für sowas. Warenkörbe sind weg, wenn der Supermarkt geschlossen hat!

          Insofern schon:
          – Skript nur manuell temporär freigeben (Ausnahme bei besonderer Faulheit gegenüber häufiger Nutzung oder übermäßig besonderem Vertrauen), Cookies akzeptieren, aber am Ende alles löschen (außer den Einstellungen). Normale Rechercheconfig heißt auch eher keine Drittparteicookies.

          Ist eine Seite so wichtig, und „zufällig“ funktioniert sie nicht mit NoScript (egal ob freigegeben) und/oder auch nicht ohne Drittparteicookies, muss sie eben mit einem anderen Browser (z.B. Chromium) oder einem anderen Profil geladen werden. Dennoch gilt auch hier: am Ende alles löschen (by default).

          Da sollte man keine Kompromisse für ein paar Randfälle eingehen, und stattdessen eher benannte Profile für „jeder der das hier liest, darf meine Emails haben und meinen Messenger benutzen“ o.ä. anlegen.

          1. Vlt. zu heiß und zu schnell: ohne die Frage der Sicherheit und Vertrauenswürdigkeit jeglichen eingesetzten Plugins, sowie der Tragfähigkeit der Konzepte, anzugehen, war in dem Post von einer feingranularen Variante die Rede.

            ValideKritik im Zweifel allerdings, wenn z.B. einer der immer erlaubten Cookies dann von allerlei Drittseiten verwandt würde, also z.B. bei Zulassen von Amazon (-payments) oder Facebook als fiese und hier vielleicht unpassende Beispiele.

        2. Noch feingranularer ist ok, wenn man dem vertraut. Alternativ: anders konfigurierten Browser bzw. anderes Profil für zu merkende Sachen nutzen.

    2. Wieso überhaupt noch klicken? Die Kombination „Cookie AutoDelete“ und „I don’t care about cookies“ ist klasse.

      Damit man nun nicht bei parallel geöffneten Tabs via third party cookies zusammenhängend getrackt wird, ist dazu natürlich auch noch so etwas wie Request Policy oder uMatrix Pflicht.

      Letzteres halte ich sowieso für das wichtigste Tool überhaupt, leider habe ich noch keinen gleichwertigen Ersatz gefunden, denn uMatrix wird leider nicht mehr weiter entwickelt. Aber es funktioniert noch, und zwar gut (nur halt für manch einen zu kompliziert in der Handhabung, weil es eine gewisse Einarbeitung voraussetzt).

  9. Es fehlt m. E. in der Abhandlung wohl ein „Trick“ von Meta- Facebook!

    Wer gegen eine Sperrung resp. Nichlöschung eines Kommentars vorgehen will, wird nach dem erfolglosen Einspruch auf eine ausser-gericht-liche Seite verwiesen, die keine Möglichkeit des Abwählens von tracking bietet und komplett alle verfügbaren Daten des Einspruchsnutzers zu „undurchsichtigen“ Methoden nutzt!
    Nennt sich „Oversightboard“ …..
    Zitat FB-Meta:
    Wenn du der Meinung bist, dass die Entscheidung von Facebook einer Gruppe oder einem Thema schadet, die/das dir am Herzen liegt, kannst du beim Oversight Board Einspruch einlegen.
    Das Oversight Board gehört nicht zu Facebook. Es handelt sich um eine Gruppe unabhängiger Experten, die darüber urteilen, was auf Facebook erlaubt sein sollte.

    Dass hier „unabhängige Experten“ tätig sein sollen und nicht etwa eine „cookiesammelnde FBGO“- facebookregierungsorganisation- von Fuckerzwerg, ist schwer zu glauben, wenn man gewahr wird, dass ein „umfassendes Tracking“ zur Grundlage der Beschwerde wird!

  10. Ich verwende seit ca. 2 Jahren das Add-on

    „I don’t care about cookies“

    in firefox. Es wählt automatisch die minimal möglichste cookie Einstellung für (fast) alle aufgerufenen Seiten. Funkioniert wunderbar! Leider nur auf dem Computer, nicht auf dem Android Handy. Ich empfehle es fleissig weiter und alle verwenden es begeistert. Ich verstehe ehrlich gesagt nicht, warum es erst 280 K Abrufe bei firefox hat.

    1. Vorsicht, Sie wiegen sich da vielleicht in falscher Sicherheit.

      Wie die Selbstbeschreibung auf der offiziellen Website der Erweiterung erklärt wird auf Seiten, die eine Antwort erfordern, die einfachste Option („depending on what’s easier to do“) gewählt, um die Warnung loszuwerden. Dabei ist die Option „Alle akzeptieren“ explizit mit eingeschlossen. Die Erweiterung dürfte auf vielen Seiten also genau das Gegenteil von dem tun, was Sie von ihr erwarten.

      Wo immer möglich versucht die Erweiterung, den Dialog einfach zu verstecken – eine rein kosmetische Massnahme. Wie sich die Seite danach effektiv verhält, steht in den Sternen, da es sich ja um einen Pfad handelt, der offiziell gar nicht vorgesehen ist. Ich gehe davon aus, dass nicht wenige Seiten auch in diesem Fall den Weg der vollen Cookiedröhnung wählen.

      Da ich eine für mich akzeptable Cookie-Balance browserseitig konfiguriert habe, ist das für mich in Ordnung. Ich erreiche aber einen ähnlichen Effekt ohne zusätzliche Erweiterung, sondern indem ich in meinem ohnehin bereits installierten Werbeblocker (uBlock Origin) zusätzliche Blocklisten für „Annoyances“ aktiviere. Auch damit bleibe ich von den allermeisten Cookie-Dialogen verschont.

      So weit haben es Gesetzgeber und Seitenbetreiber immerhin gebracht: vor vielen Jahren bereits wurde es praktisch unmöglich, das Web ohne Werbeblocker zu benutzen. Inzwischen wird es zunehmend unmöglich, das Web ohne Werbeblocker und Cookiedialogblocker zu benutzen. Da haben wir ja einen tollen Fortschritt erreicht. Aber dass passiert, wenn sich Technologieunkundige ohne Expertenbeizug an Technologiegesetzgebung versuchen.

  11. Ich find’s Grenzwertig und Grenzwertig legal – unmöglich sag ich.

    Schon bei den BAnken fängt diese erschleicherei an wo man jedes mal auf’s neue seine vermeindlich gespeicherte Einwilligung erneut wiederufen muss. Eine Üble Sache/Msche dem die Welt mit ihrer gutmütigkeit nicht Herr wird im Netz.

  12. Ich mach diesen Blödsinn mit den Einwilligungserklärungen schon seit Monaten nicht mehr mit.
    Ich gehe vereinfacht den leichtesten Weg für mich und der heisst „ihr könnt mich alle mal…“

    Dies realisiere ich mit dem (zumindest unter Mozilla Firefox möglich) Browser-Plug-In (Addon) Namens:
    I don’t care about Cookies (Quelle Herkunft: https://www.i-dont-care-about-cookies.eu/)

    Nach der Installation des Browser-Plug-Ins stören die ganzen Einwilligungserklärungen, Cookie Setzereien, Bestätigen hier und da und der – zumindest für mich – ganze Quatsch eben nicht mehr.

    Zum Glück – für mich und sicherlich für andere auch – gibt es so ein Browser-Plug-In.

    Sehr schade jedoch finde ich die Praxis für Android Smartphones, dass Google hier keine Browser Plug-Ins bzw. Addons erlaubt und man dieses besagte Plugin installieren und nutzen könnte.
    Das würde soooo viel vereinfachen und erleichtern auf dem Smartphone mit dem browsen.

  13. Ergänzung zu vorherigen Eintrag:
    Nach kurzer Recherche erfreue ich mich, dass der Entwickler von https://www.i-dont-care-about-cookies.eu/ alle möglichen Browser mit dem super plug in unterstützt, darunter:

    – Chrome Official
    – Yandex Browser
    – Brave Browser
    – Kiwi Browser
    – Mozilla Firefox Official
    – Microsoft Edge
    – Opera Official
    – Opera Vivaldi
    – Pale Moon Browser
    – uBlock Origin & AdBlock & AdBlockPlus (als Filter nachrüstbar, nicht so effektiv wie das Plugin)

  14. Bit-te-1-Bit muss ich absolut zustimmen !
    Ich gehe sogar noch einen Schritt weiter. In meinen Rechner habe ich nun 64GB Arbeitsspeicher eingebaut.
    Linux läuft bei mir nur. Beim Start wird sofort automatisch eine RamDisk eingerichtet. Zusätzlich habe ich 2 virtuelle Maschinen sauber(!) aufgebaut (eine umfangreiche fürs Internet und eine absolut abgespeckte fürs Banking).
    Eine saubere Kopie liegt sicher jeweils auf einer externen Platte. Die jeweils benötigte Version wird mit einem Klick (von der Rechnerfestplatte) in den Arbeitsspeicher (RamDisk) kopiert und dann dort gestartet. Das geschieht jeden morgen. So gesehen sieht keiner, wo ich überall in den letzten Tagen/Jahren war.
    Wenn es ein muß, lösche ich auch tagsüber mal die VM und installiere sie neu (mit 2-4 Klicks).
    In der Internetvariante ist Tor ebenfalls integriert.
    Ich gehe davon aus, so bin ich noch besser geschützt, auch was Viren etc angeht.
    Sieht hier von den Fachleuten einer einen Denkfehler von mir?

    1. ich habe dazu weder die Zeit noch das Wissen. Möchte aber trotzdem nicht auf meinen Rechner verzichten. Ich habe ein Linux Notebook. Das ist schon ziemlich alt. Darauf ist aber kaum was gespeichert, außer ein paar einfachen Spielen und ich gehe damit ins Internet. Linux beschäftigt sich zunehmend mit sich selber. Schaufelt den Speicher zu bis nichts mehr geht, außer abschalten und neu starten. Da ich mich mit den Hintergründen nicht auskenne, und Linux keine wirklich verständliche Hilfe anbietet, werde ich den nun auf absehbare Zeit verschrotten müssen und mir wieder ein von Microsoft überwachtes Gerät zulegen müssen. Linux und Ihre Version damit umzugehen ist für normale Anwender wie mich also keine wirkliche Option und keine Hilfe

  15. Kleines Beispiel aus der Praxis. Der Button „Alle (Cookies) ablehnen“ ergibt beispielsweise bei YouTube insgesamt 7 angenommene Cookies im Browsercache. Genau diese Trickserei sollte doch nicht erlaubt sein?

  16. dann ist diese nervige Abfrage also bald Vergangenheit. Dafür dürfen wir dann aber ein Abo eingehen, dass wir anschließend wieder absagen müssen. Ich halte das nicht für eine wirkliche Verbesserung.
    Warum wird eigentlich die Version mit dem Browser-Plugin nicht favorisiert? Da kann sich das jeder selber auf Dauer einstellen und bei Bedarf ändern. Was spricht dagegen? Statt dessen müssen wir uns wieder auf jeder neuen Seite mit irgendwelchen abstrusen und undurchsichtigen anderen „Abfragen“ herum schlagen. Das ist wieder typisch für unsere „kundenfreundliche“ Politik. Da sitzen wieder tausend Lobbyisten in den Ministerien und flüstern dort den Mitarbeitern ein, was die zu tun haben.
    Es gibt aber noch ein anderes nerviges Problem auf den Seiten. Wenn ich etwas bestelle, dann bekomme ich immer einige Abfragen, die beantwortet werden wollen/müssen. Darunter befindet sich auch meistens eine Abfrage über einen Newsletter, also Werbung. Ich klicke den NIE an. Bewusst nicht. Ich achte da sehr darauf. Trotzdem kommt kurz nach einer Bestellung dieser Newsletter bei mir an. Ich hab mich schon öfter hin gesetzt und geantwortet. Was nicht immer leicht ist, da auf den Newsletter direkt (mit Antwortbutton) nicht geantwortet werden kann. Man muss also erst mal eine E-Mail-Adresse finden. Ich frage also nach, wann und wo ich meine Einwilligung zu diesem Newsletter gegeben habe und bitte darum meinem Wunsch entsprechend, ab sofort zu unterlassen mich damit zu belästigen. Ich bekam schon mal Antwort, in der dann steht, ich hätte ja bestellt und deshalb bekäme ich dann den Newsletter. Man hat mir auch schon öfter mitgeteilt, dass ich den ja wieder abbestellen könne. Meist aber bekomme ich keine Antwort. Aber der Newsletter bleibt dann aus.
    Wäre sehr schön, wenn auch diese Unsitte abgestellt werden könnte. Ich habe aber auch da wenig Hoffnung…

  17. Irgendwie merkt man einfach, daß die Leute, die sich über die noch relativ leicht zu managen Cookies aufregen, noch nichts von den ganzen anderen Trackingmethoden wissen. Ich habe die „I don`t care about cookies“-Erweiterung installiert und lasse alle Cookies beim Beenden oder sofort nach Verlassen der Seite löschen. Für die Seiten, von denen ihr die Daten behalten wollt, kann man z.B. „Vergiss Mein Nicht“ oder andere Cookiemanager-Erweiterungen wo man Cookies schützen kann, verwenden.

    Den gleichen Zweck wie persistente Cookies, können auch Sachen wie „DOM local storage“ oder mit Etag-Header ausgelieferte Daten erfüllen. Dann erzählt ihr jeder Webseite fleißig, von welcher Seite ihr vorher kommt (Referer; den kann man z.B. mit der „Smart Referer“-Erweiterung passend „frisieren“), oder welche Browserversion auf welchem Betriebssystem und welcher Rechnerarchitektur und mit welcher Browser-Menüsprache ihr verwendet (User-Agent-Header; auch den kann man zumindest zum Teil faken/anpassen (mit Firefox, z.B. über User-Agent-Switcher oder Vergleichbares)). Dann gibt es nützliche
    HTML-Attribute wie ping bei Links, wo eine (natürlich trackbare) Anfrage beim klicken auf den Link abgesetzt wird (https://wiki.selfhtml.org/wiki/HTML/Attribute/ping).

    Dann gibt es das inzwischen recht weitverbreitete fortschrittliche Tracking über Hardwaredaten (z.B. Bildschirmauflösungsdaten) oder Systemeigenschaften wie die Liste der installierten Systemschriftarten, da die fortgeschrittenen Benutzer ja zum Teil blockieren, was nur geht.
    Zu diesen Methoden gehören zum Beispiel: Canvas-, WebGL-, Audio Context- und Font-Fingerprinting.
    Für Demonstrationen sei hier mal auf https://browserleaks.com/, https://canvasblocker.kkapsner.de/test/
    und https://coveryourtracks.eff.org/ verwiesen. Für grundlegende Schutzmaßnahmen auf https://www.privacy-handbuch.de/. Leider klafft aber auch mit JShelter und Canvasblocker im Moment noch die Lücke des Fontlisten-Trackings.

    Ob die Verbraucherzentrale wohl jetzt wieder ihre Anwälte in die Spur schickt?
    Jedenfalls lache ich schon seit Jahren über die allgemeine Aufregung wegen der Cookies, immerhin sind die persistenten Flash-Cookies ja inzwischen wenigstens Geschichte.

  18. Alles richtig,
    aber wenn ein Handwerker im Ort ein Flyer, eine Info per Mail oder sonst irgendwelche Werbung loswerden will, braucht er eine Einwilligung(DSGVO).
    Ist das Dach kaputt, die Toilette verstopft, die Heizung streikt, oder eine Solaranlage die aufs Dach gebaut werden soll, braucht man gaaaaanz schnell einen der das richten kann. Bei mir nur noch Leute die schon vor einem Jahr meine Datenschutzvereinbarung unterschrieben haben:

  19. Ich komme mal von einer ganz anderen Seite zum Thema: Als Website-Betreiber hast du kaum eine Möglichkeit, dich nutzerfreundlich zu verhalten. Ich soll neben der eigentlichen Seite auch das Cookie-Banner für einen Kunden auf einer WordPress-Seite einrichten. Dazu nutze ich das Plugin „Real Cookie Banner“. Grundsätzlich super, „Akzeptieren“ und „Ablehnen“ sind beide hervorgehoben, die meisten Cookies findet das Plugin und schafft eine transparente Erklärung. So weit so gut. Die Seite hat aber einen einfachen Rechner, der wohl ein script von cloudflare nutzt, für das es keine integrierte Vorlage gibt. Ich muss also selbst eine erstellen, bekomme es aber nicht hin, dem plugin zu sagen, wofür dieser Service genutzt wird, wie er heißt und wohin er führt. Der Rechner ist zwingend notwendig, mittlerweile bin ich geneigt, irgendein blabla zu „verstecken“, damit ich das Cookie-Banner überhaupt aktivieren kann.
    Natürlich kann ich das Problem auch für viel Geld extern lösen lassen. Aber bei einem Auftragsvolumen unter 1.000 Euro kann ich nicht 30% davon dafür ausgeben.
    Mein Fazit: Auch die Betreiber (insbesondere die kleinen) sind angeschissen, wenn sie eine nutzerfreundliche und DSGVO-konforme Seite einrichten.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.