Kekse und Daten#
Keine Webseite auf der Welt MUSS Cookiebanner anzeigen
Und dann liest man sowas: Bundesrat billigt Gesetz gegen „Cookie-Flut“
Dieser Blog ist und war immer völlig legal ohne Cookie generve. Wie kommt das? Weil es mir völlig egal ist, wer das liest. Und grob vereinfacht: Wenn ich dich nicht ausspionieren will, muss ich dir keine Cookies in deinem Browser speichern. Und brauche auch kein Cookiebanner.
Aber als Gedankenspiel:
Nehmen wir an, ich möchte einen Bereich hier im Blog mit einem Passwort schützen, damit ihn nur bestimmte Personen lesen können. Dann brauche ich doch Cookies, damit ich mir speichern kann, wer da jetzt auf die Webseite zugreift, oder?
Nö. Zugangsdaten abfragen und mitschicken ist eine Standardfunktion vom Browser, die keinen einzigen Cookie bräuchte. Das sogenannte BasicAuth wird nur fast nicht mehr benutzt. Damit ist während dem Abfragen der Webseite jederzeit der verifizierte Benutzername verfügbar.
Ok, aber wenn ich jetzt einen Kommentarbereich möchte, wo jeder kommentieren kann?
Nö. Abgesehen, dass Kommentare haftungstechnisch heikel sind und man die eigentlich(tm) nicht von Fremden veröffentlichen lassen möchte, müssen dazu keine Cookies gesetzt werden.
Aber ich möchte die Leute wiedererkennen, damit ich die Leute, die Blödsinn schreiben sperren kann.
Leuten die Möglichkeit zu geben mit ein paar Klicks ihre Cookies zu löschen und der Sperre zu entgehen klingt nicht nach der besten Idee. Aber ja, dafür müsste man die Cookies genehmigen lassen. Aber siehst du selbst, dass es den Aufwand nicht wert ist.
Ja aber ich will doch wissen, wie meine Webseite benutzt wird, und welche Themen oft angesehen werden.
Ja kein Ding. Der Webserver kann für jeden Zugriff einen Logeintrag schreiben. Damit kann man serverseitig genau raus bekommen wir ist jede Seite aufrufen wird, von welcher Seite zu welcher Seite weitergeklickt wird, von welcher Seite der Benutzer initiatial gekommen ist. Sogar mit weichem Browser der Benutzer unterwegs ist. Denke daran mindestens die IP Adresse zu anonymisierten.
Braucht man keinen Cookie für.
Ja aber dazu gibt es doch Google Analytics?
Du willst einen Dienst von Dritten in Anspruch nehmen, der deine Benutzer maximal ausspioniert, dazu Javascript Programme auf dem Rechner des Benutzers ausführt, schaut wie er die Maus bewegt, wie groß sein Bildschirm ist. Der dem Benutzer dann Cookies unterschiebt um ihn über hunderttausende Websites zu verfolgen und die Daten dann bei sich speichert.
Das wäre ein Fall für den Cookiebanner, um den Benutzer wenigstens vorher zu fragen. Aber WTF ehrlich, mach das halt nicht, wenn du die meisten Daten schon im Log hat. Eigentlich wäre da noch eine Entschuldigung fällig.
Ja ok. Aber ich möchte auf meiner Webseite Werbung anzeigen.
Ja mach. Du kannst jede Werbeanzeige als Bild auf deinen Webserver laden und in deine Webseite einbauen. Braucht man keinen Cookie für.
Ja nee, das lohnt nicht. Da gibt’s doch Firmen für. Da bindet man ein Javascript ein, was dann beim Benutzer ausgeführt wird, und schon fließt das Geld.
OK, du holst eine dritte Partei mit dazu, die Javascript Programme auf dem Rechner des Benutzers ausführt, und ihn über Millionen Webseiten verfolgt. Die ihn maximal ausspioniert, besonders in Bezug auf seine Vorlieben, Produkte und Themen, die ihn interessieren. Die diese Daten dann mit hunderten anderen Parteien teilt. Die anhand der Daten, die sie über den Benutzer sammelt eine Schnell-Auktion macht, bei der dann wiederum andere Parteien bieten dürfen, wer sich von deinem Benutzer den meisten Gewinn verspricht und daher das größte Gebot abgibt, das ein Javascript Programm von ihm ebenfalls beim Benutzer ausgeführt wird, das dem Benutzer Werbung zeigt und ihn ebenfalls für diese Partei später identifizierbar macht.
Stell dir das im echten Leben vor: Jemand möchte dein Buch lesen. Klar bekommt er das umsonst. Es kommt halt erstmal ein Agent zu ihm nach Hause. Läuft einmal durch die Wohnung und öffnet die Schränke. Notiert sich, was der Leser für ein Typ ist. Welche Probleme er haben könnte. Was er da für ein Buch lesen will. Seine Adresse und Telefonnummer. Ruft dann hunderte Leute an, denen er den Leser genau beschreibt. Und einer davon kommt dann ebenfalls vorbei, darf das Buch nach Belieben anpassen, verschandeln und mit Werbung dekorieren.
Im echten Leben wäre das vermutlich kriminell. Und online ist es zu viel verlangt den Benutzer wenigstens zu fragen?
Die Werbefirmen haben die Möglichkeiten das abzulehnen natürlich extra benutzerfeindlich gemacht. Klick einfach auf „Ja ich will“ und alles ist gut. Lies nicht welche Daten wir von dir speichern und an welche 3956 „Partner“ wir deine Daten verkaufen.
Und jetzt ist die Lösung noch eine weitere Partei dazuzuholen, die den Benutzer zweifelsfrei identifiziert und dann eine einmal gegebene Erlaubnis für alle anwendbar macht?
Holy shit. Es gibt ein Do-not-track Flag, das der Benutzer als Opt-Out im Browser setzen kann und das von den Werbetreibenden einfach ignoriert wird und trotzdem nach der Cookie-Erlaubnis gefragt wird. Trotz erfolgtem Opt-Out.
Warum ist DAS nicht illegal. Und warum ist es kein Opt-In?
Stattdessen lassen wir die mit ihrem Bullshit durchkommen.