Weil die ePrivacy-Richtlinie noch immer nicht in nationales Recht umgesetzt wurde, schütze ich mich jetzt selber und lasse seit Wochen in meinen Browsern keine Cookies mehr zu. Das Ergebnis meines Selbstversuchs vorweg: Man kann genauso komfortabel surfen wie sonst auch, nur für ein paar suboptimal umgesetzte Login-Bereiche muss man einmalig Ausnahmen zulassen. Zur Vorgeschichte:
Gestern fand in Brüssel ein „workshop on online tracking protection and browsers“ statt. Die Kommissarin Neelie Kroes sprach dort auch strenge Worte wie „The Commission will use its full powers against Member States that delay“ die Einführung der ePrivacy-Richtlinie. Denn bislang haben erst fünf Mitgliedstaaten überhaupt etwas diesbezüglich unternommen – obwohl doch eigentlich schon seit Ende Mai gelten soll, dass das Setzen von Cookies
„nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.“
Und das, obwohl schon vor zwei Jahren der BVDW erfolglos mahnte:
„Dies führt nach Auffassung des BVDW in sämtlichen Bereichen des Internets zu massiven Beschränkungen von Nutzungsszenarien, aber auch Geschäftsmodellen, angefangen bei der Funktionalität und der Darstellbarkeit von journalistischen Inhalten über den Online-Handel, bis hin zur Online-Werbung als maßgebliche Finanzierungsquelle sowie etablierter Internetfunktionalitäten.“
Oder ebenso drastisch im englischen Sprachraum auf Techcrunch:
„Stupid EU cookie law will hand the advantage to the US, kill our startups stone dead“
Diese Schreckensszenarien erweisen sich im Selbstversuch als realitätsferne Panikmache. Wenn man bspw. in Firefox>Extras>Einstellungen>Datenschutz das voreingestellte Häkchen bei „Cookies akzeptieren“ entfernt, dann passiert: Nichts.
Was ist mit diesen Schreckgespenstern, ohne Cookies könne man nicht mehr surfen??? Quatsch mit Soße!!!
Alle gut programmierten Seiten funktionieren: Sogar der Warenkorb auf otto.de braucht keine Cookies. Auch nicht das Online-Banking auf dkb.de. Alles funzt wie gewohnt. Die wenigen Problemchen gibt es paradoxerweise dort, wo man sich einloggen muss, obwohl doch gerade das ohne Cookies gehen sollte (wie ja bspw. beim DKB-Online-Banking): Dann kann es auch mal kurz nerven, v.a. weil man keine Hilfe bekommt. Twitter bspw. macht einfach gar nix, wenn man keine Cookies zulässt. Das sagt einem Twitter nur leider nicht. Wenn man dann aber in den o.g. Firefox-Einstellungen Twitter unter „Ausnahmen“ zulässt, dann läuft alles wieder. Twitter müsste also nur einmal bitten, als Ausnahme zugelassen zu werden, und alles wäre fein. So ähnlich machen es bspw. comdirect.de und auch Facebook. Leider sagen die aber nur, dass man Cookies aktivieren soll – und sagen einem nicht, dass es reicht, sie als Ausnahme zuzulassen.
Eine Sache war dann aber doch ein bisschen tricky: Wenn man auf fyve.de gehen will, dann nützt es auch nix, fyve.de als Ausnahme zuzulassen. Warum? Weil bei Fyve im Hintergrund alles über arvato-systems.de läuft. Wenn man diese als Ausnahme zulässt, dann läuft wieder alles – aber auf die Idee muss meine Mama erst mal kommen. Also ein schönes Beispiel dafür, dass sich Transparenz lohnen könnte – statt versteckt Drittanbieter einzusetzen.
Auf dem Android-Handy sieht es ganz ähnlich aus. Läuft beim Browsen auch alles ohne Cookies. Was da aber massiv irritiert: Wenn man keine Cookies zulässt, dann werden dennoch Cookies gesetzt, zumindest kann man welche löschen, was ja sehr widersprüchlich ist. Sie werden wohl erst gelöscht, wenn man den Browser schließt. Was man aber fast nicht kann, außer über den separat aufzurufenden Task-Manager. Das bleibt bei Android alles sehr mirakulös, das Gegenteil von nutzerfreundlicher Transparenz. Schade.
Also: Auch ohne Cookies kann man bestens surfen und die digitale Wirtschaft wird ohne Cookies auch nicht sterben. Etwas mehr Realismus würde der Cookie-Debatte gut tun. Und eine zügigere Umsetzung der ePrivacy-Richtlinie in nationales Recht würde der EU und Deutschland wieder einen echten Wettbewerbsvorteil verschaffen: Gelebten Datenschutz und Respekt vor dem informationell selbstbestimmten Bürger – und damit auch Kunden.
Ich habe jetzt wochenlang ohne Cookies gesurft und dabei nur neun Ausnahmen zulassen müssen. Dafür bin ich verschont worden von allen (cookiebasierten) Online-Tracking-Firmen. Ein guter Deal.
Und übrigens: Die Online-Werbung war ohne Cookies auch nicht nerviger als sonst – im Gegenteil: Kein Retargeting-Generve mehr.
vdsetal 
Ja, manche Webseiten kommen ohne Cookies aus, allerdings gibt es sogar Empfehlungen, dies als User und Webseitenbetreiber gerade nicht zu tun. Der Hintergrund ist, beim Einloggen braucht der Server irgendwas, womit er Dich erkennen kann. Wenn also eine einmalige ID nicht als Cookie gespeichert wird, muss sie ja woanders stehen. Beliebt sind GET Variabeln, wo aber das Problem besteht, dass manch naiver User dann die ganze URL weiter geben könnte und/oder dass jemand die Aufrufe mit liest und einfach die URL übernimmt. Webseiten URLs mitzulesen ist wesentlich einfacher als ganze Requests zu verfolgen.
Wenn man es sicher programmiert und sich dieser Risiken bewusst ist, kann man das natürlich verhindern, aber in Zeiten, wo Sony alle 3 Tage gehackt wird, würde ich da nicht allzu sehr drauf vertrauen. Als Webseitenbetreiber sollte man vollständig auf https setzen, weil man dann als Angreifer nicht so leicht an die URL kommt und man muss die Session an den Client und/oder die IP binden. Beides ist mit Mehraufwand verbunden und wie gesagt, als Seitenersteller muss man sich dieser Problematik erstmal bewusst sein.
Allerdings bin ich auch persönlich der Meinung, dass Cookies in Ihrer „Bösartigkeit“ überschätzt werden. Niemand kann das Verhalten von jemanden nachvollziehen, weil er einen Cookie am Tag setzt. Das Verhalten der User ist ein viel größeres Problem, weil sie zu leichtfertig Informationen raus geben. Alternativ gibt es noch die Option, alle Cookies beim Browserstart zu löschen (z. B. per Addon). Dann hat man keine Einschränkungen, aber spätestens nach ein paar Stunden ist man nicht mehr erkennbar. Hilft aber natürlich auch nichts, wenn man wie ich alle paar Tage mal den Browser neu startet. Mit Adblock plus und z. B. der Easylist Privacy kann man da viel gezielter gegen Datenkraken vorgehen.
Ich surfe seit Jahren standardmäßig ohne Cookies und kann deine Erfahrungen nur bestätigen. Mit der Zeit sammeln sich aber die zusetzenden Ausnahmen aber an.
Für Firefox empfehle ich das Plugin Cookie Button, mit dem man Ausnahmen bei Bedarf mit 2 Klicks setzen kann und sich nicht erst durch die Einstellungsdialoge des Firefox klicken muss.
Was heißt „realitätsferne Panikmache“? Es geht hier nicht darum ob eine Seite ohne Cookies läuft sondern darum ob Geschäftsmodelle noch funktionieren. Wenn eine Seite auf ihre User mangels Wiedererkennung nicht gezielt Werbung ausspielen kann, geht der Preis, den sie dafür verlangen kann, mangels Conversion herunter.
Man muss vielmehr hinterfragen wie Effektiv das Verhindern vom Cookie-Setzen im Bezug auf den Schutz der Nutzer-Privatsphäre eigentlich ist. Anonymität ist sicherlich nur eine von vielen Facetten, die dazu nötig sind.
und in anderen laendern sterben menschen weil sie nichts zu essen . . ich nenne das einfach mal wohlstandsproblem und somit nicht interessant
Grüße,
Cookies kann man unter chrome und Firefox mit strg+umschalt+entf Löschen geht relativ locker.
Cookies wurden damals™ eingeführt, weil html/php noch nicht so weit war wie heute, und heute setzt man Cookies auch nur noch ein wenn man besonders faul php/html programmieren will. Es gibt halt andere Mittel und wege an den Nutzer zu kommen bzw. dem User Präzise Werbung zu verkaufen 🙂
Pingback: Kommt das Cookie-Verbot? – FAQ zur deutschen Umsetzung der EU-Cookie-Richtlinie | SCHWENKE & DRAMBURG Rechtsanwälte Berlin
Pingback: Fyve-Login mit Firefox (DE) | Sven Logan's Blog
Pingback: Kommt das Cookie-Verbot? – FAQ zur deutschen Umsetzung der EU-Cookie-Richtlinie | I LAW it