Die meisten Websites verletzen Cookie-Richtlinien Rund 95 Prozent der Websites verstossen gegen den Datenschutz, und 20 Prozent speichern Cookies sogar gegen den Willen der Nutzer. Eine Browser-Erweiterung soll das Problem beheben.

Rund 95 Prozent der Websites verstossen gegen den Datenschutz, und 20 Prozent speichern Cookies sogar gegen den Willen der Nutzer. Eine Browser-Erweiterung soll das Problem beheben.

 

Websites verfolgen ihre Besucher mit Cookies – in ihrer digitalen Erscheinungsform. (Bild: unsplash.com)

Datenschutz im Internet hat einen Namen – einen eher sperrigen allerdings. Die «Datenschutz-Grundverordnung» der EU oder kurz DSGVO regelt das Sammeln personenbezogener Daten in der virtuellen Welt. Die Schweiz hat die Verordnung bisher nicht übernommen, aber auch hiesige Websites müssen sich nach ihr richten, wenn sie Inhalte jenseits der Landesgrenzen anbieten.

Wie und ob Websites die gesetzlichen Vorgaben befolgen, haben jetzt Forscher der ETH Zürich untersucht. Demnach verletzen vermutlich rund 95 Prozent aller Websites mindestens eine Bestimmung der DSGVO. Nur 5 Prozent der analysierten 30 000 Websites befolgen offenbar die Buchstaben des Gesetzes. «Wir sprechen in unserer Studie von «potenziellen» Verstössen, weil nur ein Gerichtsverfahren ein endgültiges Urteil erlauben würde», sagt Karel Kubicek, Mitautor der Studie und Doktorand in der Gruppe des Computerwissenschafters David Basin. Die Forscher stellen ausserdem eine kostenlose Browser-Erweiterung bereit, die Verstösse gegen die DSGVO vollautomatisch verhindern soll.

Laut der Verordnung und der E-Privacy-Richtlinie der EU dürfen Websites Nutzerdaten nicht ohne deren Zustimmung sammeln. Das wahllose Verfolgen der Internetsurfer über verschiedene Websites hinweg, ist nur dann erlaubt, wenn die Betroffenen präzise und eindeutig über Zweck und Umfang der erhobenen Daten informiert werden und wenn sie ihre explizite Einwilligung gegeben haben.

Hunderte Cookies auf einer Seite

Deshalb bitten Websites ihre Besucher, sogenannte Cookies zu akzeptieren. Diese Dateien spielen die Websites aus und speichern sie auf der Festplatte der Nutzer. Unterscheiden muss man dabei zwischen Cookies, die für das Funktionieren einer Website notwendig sind (weil sie zum Beispiel zahlende Abonnenten identifizieren) und solchen, die von Werbenetzwerken stammen, und dem Tracking der Nutzer dienen. Nur diese, für die Funktion nicht erforderlichen Drittanbieter-Cookies sind zustimmungspflichtig.

Einfach umzusetzen sind die Vorgaben des Gesetzgebers nicht. Denn der Betreiber einer Website weiss oft nicht, welche Cookies die Werbenetzwerke ausspielen und zu welchem Zweck. Bisweilen sind auf einer einzigen Internetsite Hunderte solcher Cookies mit unterschiedlichen Zwecken präsent. Niemand kann da den Überblick wahren und natürlich kann man die Nutzer auch nicht über jede einzelne Cookie-Datei und ihren Zweck informieren.

Aus diesem Grund haben sich in der letzten Jahren Dienstleister etabliert, die im Auftrag der Websitebetreiber den Umgang mit Cookies regeln. Diese Consent Management Platforms (CMP) weisen beim Besuch einer Website auf Cookies hin und bitten die Nutzer um ihre Einwilligung. Um diese Aufgabe zu erfüllen, erfassen die CMP zunächst alle Cookies einer Website und ordnen sie verschiedenen Kategorien zu: einerseits notwendige Cookies und andererseits Analyse- und Werbe-Cookies, die das Verhalten eines Nutzers überwachen und die daher ohne Einwilligung nicht genutzt werden dürfen.

Das klingt in der Theorie gut, scheitert in der Praxis aber an den Geschäftsinteressen der Websitebetreiber. Deren Werbeeinnahmen steigen, wenn viele Besucher der Nutzung von Cookies zustimmen. Von einer transparenten Information kann jedenfalls nur in selten Fällen die Rede sein. Auf vielen Websites haben Besucher nur die Wahl, die Nutzung von Cookies entweder pauschal zu akzeptieren oder die Site gar nicht zu nutzen.

Oft sind die Hinweise zudem irreführend gestaltet: ein grün eingefärbter «Akzeptieren»-Button steht dann zum Beispiel neben einem grauen Button mit der Aufschrift «Einstellungen speichern». Welche Einstellungen man hier bestätigt und wie man sie eventuell ändern kann, bleibt dabei im Dunkeln und erfordert zusätzliche Recherche. Hier nutzen Websitebetreiber und Werbeindustrie die Nachlässigkeit der Internetnutzer, die die meisten Hinweise unbesehen wegklicken.

Für viele Browser

Dass die Forscher der ETH auf 95 Prozent aller Websites potenzielle Verstösse feststellten, ist daher kein Zufall. «Fast 70 Prozent der Websites speichern Tracking-Cookies, noch bevor ein Surfer seine Einwilligung gegeben hat», sagt Karel Kubicek. Und mehr als 21 Prozent erstellen zustimmungspflichtige Cookies sogar dann noch, wenn der Nutzer sie explizit abgelehnt hat, sagt der Computerwissenschafter.

Solche Verstösse gegen die DSVGO sind so häufig, dass sie von den Behörden nicht verfolgt werden können. Abhilfe aber könnte die Browsererweiterung «CookieBlock» bringen, die von den ETH-Forschern für die Browser Chrome, Firefox, Edge und Opera entwickelt wurde und die kostenlos installiert werden kann. Für den Browser Safari von Apple gibt es die Erweiterung nicht, weil Apple keine entsprechende Programmiermöglichkeit zur Verfügung stellt.

CookieBlock beruht auf einem Verfahren der künstlichen Intelligenz. Der Algorithmus analysiert Cookies und ordnet sie einer von vier Kategorien zu. Je nach den gewählten Einstellungen löscht CookieBlock anschliessend jene Cookies, die zu einer unerwünschten Kategorie zählen, zum Beispiel Werbe- und Analyse-Cookies. Und dabei spielt es keine Rolle, wie eine Website Cookie-Hinweise gestaltet, ob sie ihren Nutzern überhaupt eine Auswahlmöglichkeit bietet und ihren allfälligen Widerspruch berücksichtigt oder ignoriert.

Kubicek und seine Kollegen habe die Browsererweiterung auf 100 Websites getestet. «90 Prozent der Analyse- und Tracking-Cookies wurden dabei erfolgreich entfernt», sagt Kubicek. Acht Websites arbeiteten allerdings nicht mehr einwandfrei, und auf weiteren sieben funktionierten Benutzerkonten nicht mehr. Solche Internetdomains lassen sich durch einen einfachen Klick von einer Analyse durch CookieBlock ausschliessen.

Andreas Hirstein, «NZZ am Sonntag»

Das könnte Sie auch interessieren: