Datenschutz im digitalen Alltag

Damit Privates privat bleibt

Symbolbild "Browser"

Cookie Löschung als Datenschutz Maßnahme obsolet?

Tracking ist im Internet allgegenwärtig (siehe: Internet - Schutz vor Tracking und Anonymität). Wirklich davor geschützt ist man eigentlich nur mit dem Tor Browser aber bisher konnte man mit einigen Maßnahmen seinen digitalen Fußabdruck verringern. Eine dieser Maßnahmen wird seit einiger Zeit mehr und mehr zu einem Problem.

Ein wichtiger Bestandteil einer Anti-Tracking-Konfiguration war bisher immer die Behandlung von Cookies. Diese eigentlich mal technisch sinnvolle Sache ist inzwischen weitgehend pervertiert und dient zur Überwachung der Nutzer. Zwar wird das so genannte Fingerprinting immer wichtiger (siehe: Fingerabdruck des Browsers), aber Cookies bleiben ein zentraler Bestandteil im Tracking-Baukasten.

Deshalb habe ich immer mit Lösungen gearbeitet die Cookies automatisch löschen. Lediglich wenige definierte Ausnahmen durften bleiben. Entweder am Session-Ende oder erkannte Tracking-Cookies per Zeitintervall (z. B. im Safari mit "Cookie": macOS und Datenschutz Teil II: Automatische Cookie-Löschung). Seit den letzten Urteilen werden die Banner mit Cookie-Abfragen jedoch immer penetranter und erfordern beim Session-Start zusätzliche Klicks.

Bei einigen Banner wie z. B. auf ZEIT ONLINE oder SPIEGEL ist das nicht weiter tragisch, da man nur die Option zwischen "Bezahlen" oder "Überwach mich" hat. Andere Seiten bieten hier difizile Einstellungsmöglichkeiten um dem Tracking jenseits des technisch notwendigen Minimums zu entkommen. Das macht aber natürlich nur Sinn, wenn man die Cookies nach dem Session-Ende nicht sofort löscht, weil man ansonsten täglich mehrfach die Konfigurationen vornehmen muss.

Die Frage angesichts des immer weiter um sich greifenden "Einwilligungs-Wahnsinns" ist nun halt, ob die obligatorische Cookie-Löschung am Session-Ende nicht sogar kontraproduktiv sei könnte und man mit einer differenzierten Konfiguration auf den Seiten mit entsprechender Möglichkeit nicht mehr erreicht.

Davon unbenommen sind natürlich andere Maßnahmen wie z.B. ein wirksamer Inhalte-/Werbungsblocker.

Wie seht ihr das?


Bilder:
Einleitungsbild und Beitragsbild von von 200 Degrees via pixabay

"

Ergänzungen zum Artikel

Weitere Informationen können den Nutzungsbedingungen entnommen werden.

Seit einigen Wochen denke ich ebenfalls darüber nach meinen CCleaner entsprechend anzupassen. Dieser hat jahrelang jeden morgen zum Rechner-Start sämtliche Cookies aus meinem Chrome-Browser geworfen. Ich war es einfach leid, täglich Opfer von unkontrollierten Retargeting-Maßnahmen zu werden. Einmal ein Office-Paket gekauft, danach wochenlang mit Werbung für Office-Pakete zugeballert! Auf gefühlt allen Webseiten! Hallo? Was soll der Unsinn?

Dank meiner automatisierten Cookie-Lösch-Wut bin ich mittlerweile mehr mit dem Bestätigen täglich hunderter Cookie-Banner beschäftigt, als mit dem Konsumieren der eigentlich relevanten Inhalte. Und Dank Fingerprinting und ähnlicher Technologien sind Cookie im Grunde jetzt schon überflüssig. Die werden ja nur deshalb noch eingesetzt, weil die Technik nunmal da ist und in jedem noch so kleinem Webdienst werksseitig implementiert ist. Mittlerweile will ja sogar die Plesk-Installation meiner EIGENEN Maschinen eine Cookie-Bestätigung. Das geht mir echt zu weit!

Dein Beitrag hat mich nun dazu animiert, endlich mal die Option "Cookies löschen" zu deaktivieren. Ich werde jetzt brav alle Einstellungen (nur das Nötigste) vornehmen und alle Cookies auf der Platte belassen. Bin jetzt mal gespannt, wie das Leben mit unzähligen Keksen so wird.

libertador
Ich lösche auch so gut wie alle Cookies, aber die vermehrten Abfragen sind mir auch aufgefallen und es ist nervig, wenn Anbieter die datensparsame Version hinter einer Menge Klicks verstecken.

Eine Alternative bzw. Ergänzung zum Löschen von Cookies ist es Drittanbietern Cookies generell zu verbieten oder Cookies zur seitenübergreifenden Verfolgung. Letzteres kann auch über First Party Isolation erreicht werden. Wobei man das auch unabhängig davon einstellen kann und meiner Einschätzung nach sinnvoll ist.

Das hilft natürlich nicht gegen Fingerprinting, aber man selbst hilft nicht noch mit beim Tracking.

Gerrit
Thirdparty-Cookies sollten die meisten Browser inzwischen automatisch ablehnen und First Party Isolation ist im Firefox natürlich ein "muss". Apple bietet bei Safari inzwischen zusätzlich noch seinen proprietären Anti-Tracking-Schutz. Das alles gilt weiter und möchte ich auch nicht infrage stellen.

Wie du selbst schreibst verstecken die Anbieter die datenschutzfreundliche Version meist hinter vielen Klicks und setzten nebenbei böse UI-Tricks ein um den Nutzer zur anbieterseitig gewünschten Option greifen zu lassen. Hier stellt sich für mich nur wirklich die Frage, ob es nicht sinnvoller ist einmalig auf jeder Seite die Arbeit zu investieren, anstelle immer Cookies zu löschen und dann bei jedem Aufruf aus Gründen der Effizienz alles abzunicken.

libertador
Das hängt denke ich davon ab, wie vertrauenswürdig die Quelle ist. Wenn diese die datensparsame Variante ernst nehmen würden, dann würde das mehr Sinn machen.
Bei den meisten Webseiten, die sich durch Werbung finanzieren, habe ich das so meine Zweifel.

Die Frage ist aber was machen die ganzen unwichtigen Cookies, wenn Drittanbieter, Isolation eh nicht erlaubt sind und Cookies regelmäßig gelöscht werden. Dann ist es eigentlich egal, ob man einfach alles durch den Klick vermeintlich zulässt.

Gerrit
Zitat :
Das hängt denke ich davon ab, wie vertrauenswürdig die Quelle ist. Wenn diese die datensparsame Variante ernst nehmen würden, dann würde das mehr Sinn machen.
Bei den meisten Webseiten, die sich durch Werbung finanzieren, habe ich das so meine Zweifel.

Ich rede natürlich nicht von Facebook oder Amazon. Für so ein Gerümpel habe ich gemäß Mehr-Browser-Prinzip sowieso einen eigenen Browser.

Zitat :
Die Frage ist aber was machen die ganzen unwichtigen Cookies, wenn Drittanbieter, Isolation eh nicht erlaubt sind und Cookies regelmäßig gelöscht werden. Dann ist es eigentlich egal, ob man einfach alles durch den Klick vermeintlich zulässt.

Aber dann hat man halt bei jedem Erstbesuch in einer Session wieder die nervige Abfrage...

user
Das Problem habe ich auch, eine Lösung nicht. Würde ich den Seitenbetreibern grundsätzlich trauen, bräuchte es die ganzen antitracking Maßnahmen gar nicht. Ich gebe aber wenig auf die versprechen und lösche lieber selber. Und so beschäftige ich mich ebenfalls mit dem Wegklicken von Cookie Bannern, wohl wissend das Cookies als tracking methode eh ein Auslauf-Modell sind, und man bei anderen tracking Methoden halt gar nicht gefragt wird.

Im Prinzip müssten sich ja auch die Cookie Banner wie unerwünschte Werbung blocken lassen, das wäre für mich die beste Lösung.

Gerrit
Zitat :
Im Prinzip müssten sich ja auch die Cookie Banner wie unerwünschte Werbung blocken lassen, das wäre für mich die beste Lösung.

Das wäre in der Tat die beste Lösung. Leider habe ich noch keine passende Filterliste dafür gefunden.

Anonymous
Gerrit sagte :
Wie du selbst schreibst verstecken die Anbieter die datenschutzfreundliche Version meist hinter vielen Klicks und setzten nebenbei böse UI-Tricks ein

Eben. Und genau so was lässt mich zweifeln, ob es überhaupt irgendwelche Auswirkung hat, was ich da anklicke. Warum sollte ich jemandem trauen, der lauter üble Tricks einsetzt, um mich zum "richtigen" Klick zu bewegen?

Gerrit
Grundsätzlich ein richtiger Punkt. Ich teste gerade ein wenig mit meinen überlicherweise besuchten Webseiten und habe hier allgemein den Eindruck, dass diese durch das EuGH Urteil aufgeschreckt wurden und halbwegs sauber arbeiten. Das war vor einigen Monaten definitiv noch nicht so. Wobei sich im Detail über so manchen "technischen Cookie" trefflich streiten lässt.
Paul
Man kann es auch umgekehrt sehen. Wenn jemand dich mit Tricks dazu bewegen will, selbst die von ihm bevorzugte Variante aufzurufen, zeigt das immerhin, dass er dir sie nicht einfach so vorsetzen will. So jemand wird den Buchstaben des Gesetzes vermutlich nicht einfach ignorieren, auch wenn er seinen Geist nicht teilt. Ein Anbieter hingegen, der einfach lügt und macht, was er will, hätte gar keine UI-Tricks nötig.
In meinem Desktop-Firefox verwende ich die Erweiterung
https://www.i-dont-care-about-cookies.eu/de – so kann ich am
Session-Ende die meisten Cookies automatisch löschen, ohne dass mich die
Einwilligungsbanner jedesmal von neuem nerven. Im Mobilbrowser klicke
ich mich tatsächlich durch die Cookie-Einstellungen.

Franz
Genau die Frage habe ich mir auch vor Kurzem gestellt. Bisher habe ich manuell Cookie-Ausnahmen gepflegt und andere bei Session-Ende löschen lassen.
Ich werde jetzt auch wohl oder übel alle Cookies akzeptieren. Ich habe unter Firefox noch als kleinen Schutz die Add-ons "uBlock Origin" und "Privacy Badger" aktiv.

Ansonsten werde ich es ähnlich wie unter Android handhaben: In regelmäßigen Zeitabständen alle Cookies löschen.

Usr
Ich benutze eigentlich recht erfolgreich die uBlock Listen Easy Cookie List und Fanboys Annoyance List.
Es gibt allerdings hartnäckige Seiten wie z.B. Spiegel.de u.a., die sich restlos verweigern. Ich meide solche Seiten bis jetzt als Lösung. War bisher nichts dabei, womit ich mich weiter quälen müsste. Überhaupt ist meine Erfahrung die, dass die Webseitenbetreiber die Cookiemasche nutzen, um ihre User hinter die paywall zu treiben.

Anonymous
Ich habe mich noch nicht endgültig entschieden, ob ich dem mit einer technischen Lösung oder einem prinzipiellen Ansatz begegnen möchte. Seit Jahren lasse ich beim Beenden der Webrowsersitzung alle Daten löschen. Was es nicht in meine Lesezeichen schafft, ist auch nicht wichtig. Und ich überlege gerade, ob ich mich bei dieser neuen "Entwicklung" nicht drauf einige, dass auch keine Inhalte wichtig sein können, die mir nicht unkompliziert präsentiert werden. Eine Bannereinblendung wie hier auf Gerrits Blog geht halt nicht davon weg, dass man sie hartknäckig ignoriert, stört aber die Zugänglichkeit der Webseite nicht. Auf anderen Webseiten scheint man mir Inhalte aber gar nicht zeigen zu wollen, weswegen ich mir auch nicht sicher bin, ob ich diese Inhalte überhaupt noch sehen möchte. Wegfiltern möchte ich dieses Ärgernis eigentlich nicht, weil dann vergisst man so schnell, wie beschissen der Zustand des Word Wide Webs inzwischen ist ... Zumindest so lange bis ich meine Stadtverwaltung soweit habe, dass man bei denen wieder Rufnummern von Ansprechpartnern suchen kann, ohne sich durch Cookie-Einstellungen klicken zu müssen. Bis dahin ist das ein guter Anlass mein eigenes Konsumverhalten zu filtern und "Inhalte" mal konsequenter zu ignorieren. Den Reiter im Webbrowser zu schließen geht deutlich schneller, als sich durchklicken zu müssen.
user
Gelegentlich halte ich das auch so, aber bei konsequenter Umsetzung bliebe vom Internet nicht viel übrig.
Moin!

Naja, auch bei mir werden alle Cookies und solcherlei Müll direkt beim Beenden des Browsers entsorgt. Und das passiert in aller Regel innerhalb von Minuten, wenn ich den Browser gerade nicht mehr brauche. Insofern mache ich mir auch nicht viele Gedanken um Cookies. Da drück ich eben auf jeder Webseite, die ich besuchen muß, auf akzeptieren, wenn es nicht anders geht. Auf manchen Seiten kann man ja wenigstens noch auf Ablehnen drücken... Aber wie schon vor mir angemerkt wurde, ist das Web mächtig kaputt! Wenn man Seiten aufruft, die mit Cookieblocker oder Ablehnen nicht mehr funktionieren, dann sind sie es schlichtweg nicht wert angesehen zu werden! Punkt!
Ich denke, daß ist eher die Entwicklung, auf die das Web zusteuert. All diese kaputten Seiten werden im Laufe der Zeit immer weniger aufgerufen werden, weil die User eben keinen Bock auf solchen Schwachsinn haben.

Ich habs schon immer gesagt: SEO gehört abgeschafft, bevor es das Web abschafft...

Nächtle!

Brüller: Zitat :
Die Ergänzung konnte nicht verarbeitet werden. Bitte beachte, dass zugelassene Cookies zum Verfassen einer Ergänzung notwendig sind.

Gerrit
Was ist daran der Brüller? Manche Funktionen gehen ohne Cookies halt nicht. Den Hinweis im Cookie-Banner schreib ich ja nicht um irgendjemand zu ärgern oder als Vorwand. Ob man das anders implementieren kann weiß ich nicht, ich bin kein Webentwickler. Im ganzen Tracking-Irrinn geht ein wenig unter, dass Cookies auch sinnvolle Funktionen erfüllen.
Ich versteh nur nicht, wofür man da jetzt einen Cookie braucht. Auch hab ich keine Möglichkeit gefunden, meine Ablehnung rückgängig zu machen.

Zitat :
Im ganzen Tracking-Irrinn geht ein wenig unter, dass Cookies auch sinnvolle Funktionen erfüllen.

Hm, ist mir noch nicht passiert... Also daß ich irgendwo ein Cookie gesetzt hätte...

Anonymous
Und wie speicherst du einen Warenkorb oder Logindaten?

Ich mutmaße mal hier braucht es das Cookie um die DSGVO-Abfrage zu bestätigen. Aber dazu wäre zu analysieren wann und ob wirklich ein Cookie gesetzt wird oder ob das System nur prüft ob es theoretisch könnte.

Zitat :
Und wie speicherst du einen Warenkorb oder Logindaten?

Auf dem Server, vorzugsweise in einer DB.

Hat den unbestechlichen Vorteil, daß schützenswerte Daten genau 1x durch das Internet müssen, vom User zum Server. Dann verbleiben sie auf dem Server und werden intern weiter verarbeitet. Zum Beispiel deine Adresse, wenn du dir eine Pizza bestellst. Oder welches Buch du gerade kaufen möchtest.

Zum Beispiel ginge das über eine ID, die vom Server generiert wird, und dann bei allen Links serverseitig mit angehängt wird. So bleiben die Daten isoliert auf dem Server und werden notfalls mittels Garbage Collector weg gelöscht, wenn eine bestimmte Frist abgelaufen ist. Das ist zwar prinzipiell anfällig für Hijacking, hat sich bei mir in der Praxis aber ganz gut bewährt. Wenn man jetzt noch zusätzliche Maßnahmen ergreift, kann man das auch ganz gut absichern.

Dann gäbe es da noch mehr Möglichkeiten festzustellen, mit wem ich gerade rede. Zum Beispiel gibts doch zumindest beim Apache eine Session-ID (hab ich mich aber noch nicht mit beschäftigt, wie zuverlässig die auch über längere Zeiten funktioniert). Auch über IP und UA-String und dergleichen, könnte man da was machen...

Dem findigen Entwickler stehen da allerhand Möglichkeiten zur Verfügung. (Und da gibts sicher noch einiges mehr, das hier fiel mir nur so spontan dazu ein.) Zum Beispiel auch all die schönen Techniken, die die Tracker auch nutzen... Fingerprinting sei hier mal als Negativbeispiel genannt.

Cookies haben sicher ihre technische Berechtigung, nur hat sich das Internet in den letzten 10-20 Jahren in eine Richtung entwickelt, daß ich mir als Webentwickler überhaupt nicht vorstellen kann, das zu nutzen. Ich würde permanent Gefahr laufen, daß die Seite, aus tausend Gründen, nicht funktioniert, weil irgendwelche Cookies geblockt wurden. Und schon hab *ich* ein Problem als Auftragnehmer... (da kommt dann langsam wieder der "Brüller" ins Spiel... :o)

Jruß

Gerrit
Zitat :
Cookies haben sicher ihre technische Berechtigung, nur hat sich das Internet in den letzten 10-20 Jahren in eine Richtung entwickelt, daß ich mir als Webentwickler überhaupt nicht vorstellen kann, das zu nutzen. Ich würde permanent Gefahr laufen, daß die Seite, aus tausend Gründen, nicht funktioniert, weil irgendwelche Cookies geblockt wurden.

Das ist ein sehr eurozentristisches Weltbild. Entwicklern in Asien oder den USA ist das völlig gleichgültig.

Also beim nochmaligen durchlesen scheint mir, als wäre das falsch verstanden worden. Ich fands halt nur lustig, daß man zwar die Cookies schön einfach ablehnen, dann aber nicht mehr kommentieren kann. War gar nicht böse gemeint!
Gerrit
Aber genau das steht doch im Cookiehinweis:
Diese Seite benötigt Cookies zur technischen Bereitstellung einiger Funktionen [...]
Das schreibe ich ja nicht zum Spaß ;-)

Ich sehe das anders herum. Ich versuche nach Möglichkeit das Angebot gänzlich ohne Cookies aufrecht erhalten. Man kann auf dieser Seite navigieren und alles lesen ohne Cookies zu akzeptieren. Kommentieren ist ja eher eine On-top Funktion.

Ruti
Ich verwende die Kombination "Firefox Multi-Account Container" und "Simple Tab Groups" Mann kann hier verschiedene Container für verschiedene Sachen anlegen und mit Simple Tab Groups dann Webseiten einerseits in eigene Gruppen und anderseits in andere Container werfen. So kann ich dafür sorgen, dass eine Webseite mich auch nur innerhalb eines bestimmten Containers Tracken kann. Dann kann ich auch die Cockie abfragen beantworten und Cockies zulassen.

In erster Linie verwende ich die obie Konfiguration allerdings um Privat, Hobby und Freizeit im Browser strickt zu trennen.

Global sorge ich dann mit "Decentraleyes" noch dafür, dass einige scripte immer direkt aus dem lokalen speicher gezogen werden und nicht erst noch beim server die Version prüfen.
Das Ganze runde ich noch mit "uMatrix" ab. Um die nervigsten Werbeverteiler manuell in die Schranken zu weisen.

addons.mozilla.org/de/firefox/addon/multi-account-containers
addons.mozilla.org/de/firefox/addon/simple-tab-groups/
addons.mozilla.org/de/firefox/addon/decentraleyes/
addons.mozilla.org/de/firefox/addon/umatrix/

5000 Buchstaben übrig


  • 1

Über [Mer]Curius

Immer größere Teile unseres Lebens haben sich in den vergangenen Jahren digitalisiert. Es gibt heute unzählige Dienste und jeder Mensch hinterlässt permanent Spuren. Die Datensätze, die hier entstehen wecken viele Begehrlichkeiten. Es besteht aber auch die Möglichkeit durch gezielte Maßnahmen die eigene Datenspur zu minimieren und Daten effektiv und sicher zu schützen. Damit entgeht man zwar nicht jeder Überwachungsmaßnahme, erlangt aber zumindest teilweise die Kontrolle über die eigenen Daten zurück.

→ Mehr über [Mer]Curius