Vielleicht haben Sie mittlerweile auch einen Reflex wie wir entwickelt: Jedes Mal, wenn Sie eine neue Webseite öffnen, wandert Ihr Mauszeiger ganz automatisch in die Mitte, um das Wegdrücken des unter einer tiefen Hassliebe leidenden Cookie-Banners vorzubereiten. Umso verwunderter waren Sie vielleicht, als Sie auf unsere Webseite stießen. Wo ist denn nun eigentlich unser Cookie-Banner? Die Antwort ist keine Fehlfunktion Ihres Browsers oder ein unterbewusstes und vergessenes Wegdrücken des Banners: Wir haben keinen Cookie-Banner. Aber wie ist das möglich? Ein Exkurs in die Entwicklung des Datenschutzes im Internet und weshalb Abmahnanwälte bei uns wenig Chance haben (und wie diesen auch bei Ihrer Webseite die Lust vergehen kann).
Cookies: Wieso, weshalb, warum
Mit Auftreten des Phänomens "Web 2.0" wurde gefühlt auf wöchentlicher Basis eine neue Methode entwickelt, Webseiten-Besucher möglichst effektiv in ihrem Surfverhalten zu tracken. Das reicht von der Erfassen der IP-Adresse über skurrile Methoden, Nutzer über Browsereigenschaften wie die Bildschirmauflösung zu "fingerprinten" bis eben zum Speichern einer kleinen Datenmenge auf dem Computer des Nutzers: dem Cookie. Über die Jahre ist die Verwendung solcher Trackingmaßnahmen jedoch ausgeufert und (zumindest in der Europäischen Union) schlussendlich, zurecht, in einem harten, gesetzlichen Vorgehen gegen diese geendet: Der europäischen Datenschutzgrundverordnung (DSGVO) und dem deutschen Bundesdatenschutzgesetz (BDSG). Auch wenn das Effektivwerden dieser gesetzlichen Änderungen einen langen Vorlauf hatte, fühlte es sich dann am 25. Mai 2018 plötzlich doch so an, als wäre über Nacht die Sintflut über das Internet hereingebrochen.
Mit der DSGVO und der plötzlichen Verwunderung darüber, dass personenbezogene Daten einem rechtlichen Schutz unterliegen, mussten neue, datenschutzfreundliche Methoden her, um Analyse zu betreiben. Dachte der eine oder andere vielleicht zumindest. Die Realität sah nämlich ganz anders aus: Rechtliche Grauzonen wie das (inzwischen gekippte) "US-EU Privacy Shield" oder eben die Cookie-Banner entstanden, um die invasiven Tracking-Methoden weiterhin aufrecht zu erhalten.
Tracking auf datensparsam
Auch vor Inkrafttreten der DSGVO haben wir auf unserer Webseite bereits auf die Verwendung von Tools verzichtet, die bekanntermaßen eher sorglos mit Daten von Nutzern umgingen. Dazu gehörten insbesondere Google Analytics, welches mit neuer Rechtsprechung inzwischen tatsächlich auch in der Praxis immer mehr Boden in der EU verliert. Wie aber bekommen wir es hin, so ganz ohne Cookies und damit Cookie-Banner auszukommen?
Den Status Quo analysieren
Wenn keine Cookies oder andere invasive Tracking-Mechanismen verwendet werden, benötigt man keinen Banner. So weit, so selbstverständlich. Dies betrifft übrigens nur technisch nicht unbedingt notwendige Cookies. Technisch zwingend notwending sind jedoch ohnehin nur die wenigsten Cookies (darunter zählen z.B. Cookies, welche den Inhalt eines Warenkorbs speichern). Die Reichweite von Cookies ist jedoch vielen nicht so genau bewusst: So gut wie jedes Drittanbieter-Tool, welches Sie auf Ihrer Webseite einbinden, speichert Cookies auf dem Rechner des Nutzers und/oder funkt nachhause. Oft handelt es sich hierbei sogar um US-Unternehmen, womit die Übertragung der Daten insbesondere nach dem Ungültigwerden des "Privacy Shields" umso problematischer ist. Das muss jedoch nicht sein: Es gibt genügend datenschutzfreundliche Alternativen für so gut wie jedes Problem.
Der erste Schritt muss hierbei jedoch sein, den aktuellen Status bzw. die aktuell durch die eigene Webseite gespeicherten Cookies zu analysieren. Hierzu können Sie entweder browsereigene Funktionalitäten (den "Web-Inspektor") nutzen oder aber auf Tools wie PrivacyScore zurückgreifen. Notieren Sie sich sämtliche Cookies und Verbindungen zu Drittanbietern und analysieren bzw. recherchieren Sie, woher diese stammen.
Datensparsame Alternativen
Nachdem Sie wissen, wohin Ihre Webseite überall nachhause telefoniert und welche Daten auf dem Rechner des Nutzers alle gespeichert werden (und v.a. wieso), können Sie diese Drittanbieter durch andere Anbieter ersetzen, welche sich dem Schutz personenbezogener Daten zugeschworen haben. Eines vorab: Der große Nachteil (oder Vorteil?) hierbei ist allerdings, dass viele dieser Tools kostenpflichtig sind. Wo kein Geld mit Daten Ihrer Nutzer verdient werden kann, muss nunmal anders Geld verdient werden. Viele dieser Tools sind jedoch open-source und können zum Teil kostenfrei auf eigenen Servern gehostet werden (was nochmal eine ganze Ecke datenschutzfreundlicher ist!), was jedoch ein technisches Verständnis oder immerhin eine gute IT-Abteilung (ebenfalls sinnvollerweise mit technischem Verständnis) erfordert.
Nachfolgend listen wir Ihnen einige der Tools und Methoden auf, welche wir nutzen, um so datensparsam wie möglich zu agieren und gänzlich auf lästige Cookie-Banner verzichten zu können.
Google Analytics
Machen wir uns nichts vor: Der Elefant im Raum ist immer noch Google Analytics. Viel zu gewöhnt sind wir an dieses mächtige Werkzeug bereits. Leider ist es unter allen Tools, die man auf seine Webseite so einbinden kann, auch jenes, welches am sorglosesten mit den Daten der Nutzer umgeht. Verschiedenste Rechtsurteile haben inzwischen auch dafür gesorgt, dass der Einsatz von Google Analytics in der EU in der Praxis unmöglich ist.
Eine datenschutzfreundliche Alternative, welche wir verwenden, ist das Tool Simple Analytics der niederländischen, gleichnamigen Firma. Simple Analytics verzichtet gänzlich auf das Setzen von Cookies. Beim Öffnen der Webseite wird ein Skript von Simple Analytics abgerufen (von europäischen Servern), welches die Aufgabe übernimmt, den Nutzer während seines Website-Besuchs zu tracken. Dabei wird jedoch insbesondere auch auf das Tracken der IP-Adresse oder anderen personenbezogenen Daten verzichtet. Das Tracking läuft gänzlich über den HTTP-Referrer. Um nicht gänzlich in technische Details zu verschwinden, können Sie bei Interesse hier mehr erfahren.
Eine weitere Alternative ist unter anderem Matomo, welches auch auf eigenen Servern gehostet werden kann.
Google Maps
Google Maps war lange Zeit die einzige Verbindung zu einem Drittserver, die auf unserer Webseite erfolgte. Leider gibt es hier noch immer keine datenschutzfreundliche, aber zugleich einfach zu implementierende Alternative. Auf unserer alten Webseite verwendeten wir daher die OpenStreetMap. Das Problem? Grundsätzlich kommt diese zwar ohne das Setzen von Cookies aus, der Abruf der Kartendaten erfolgt jedoch trotzdem von OpenStreetMap-Servern, denen Fastly CDN (ein Content Delivery Network), welches auf amerikanischen Servern betrieben wird, vorgeschaltet ist. Auch ist die Datenschutzerklärung von OpenStreetMap selbst nicht rechtskonform. Die Verwendung der OpenStreetMap im Auslieferungszustand ist datenschutzrechtlich insofern nicht rechtens.
Daher haben wir uns hier mit einem kleinen Trick beholfen, welchen wir auch für andere Drittanbieterdienste verwenden: Wir haben einen sogenannten HTTP Proxy zwischen die Verbindung von Ihrem Browser und den OpenStreetMap-Servern geschaltet. Bei Abruf der Karte fragt Ihr Browser die Kartendaten also nicht direkt bei OpenStreetMap an, sondern auf unserem Server. Unser Server leitet die Anfrage dann an OpenStreetMap weiter. OpenStreetMap kann daher nur den Zugriff über die IP-Adresse unseres Servers sehen. Ihre IP-Adresse bleibt verborgen.
Zwar kann OpenStreetMap grundsätzlich auch datenschutzkonform mittels dem eigenen Hosten eines so genannten "Tile Servers" betrieben werden. Die Installation und Wartung eines solchen Servers ist jedoch so unverschämt kompliziert, dass sich das für die meisten Anwender nicht lohnen dürfte.
Hier bleibt insofern in Zukunft zu hoffen, dass sich der Markt hierhingehend noch etwas öffnet und einfach zu verwendende, "out of the box" datenschutzkonforme Optionen hinzukommen.
Zoom & Co.
Zoom, Microsoft Teams, Google Meet... na, kräuseln sich bei Ihnen auch schon die Nackenhaare? Viele dieser Videokonferenz-Tools werden von US-Unternehmen betrieben und sind insofern datenschutzrechtlich nicht unbedingt die besten Optionen. Dabei gibt es, ganz anders als bei Kartendiensten, zahlreiche datenschutzfreundliche Alternativen auf dem Markt. Eine beliebte Option ist unter anderem Jitsi Meet, da diese vollständig open-source ist und auf eigener Hardware bereitgestellt werden kann. Mittels ein paar kleinen, zusätzlichen Konfigurationen wie dem Deaktivieren der Gravatar-Einbindung werden damit keinerlei Verbindungen zu Drittservern mehr hergestellt. Selbst im Auslieferungszustand erfüllt Jitsi jedoch bereits die geltenden Datenschutzvorschriften. Wer lieber auf eine Cloud-Lösung setzt, könnte an der europäischen Videokonferenzsoftware Whereby gefallen finden.
Google Fonts
Zugegebenermaßen vielleicht etwas am Thema vorbei, da keine Cookies per se gespeichert werden, aber hinsichtlich der immer noch weiten Verbreitung mindestens genauso wichtig: Google Fonts. Grundsätzlich ist die Verwendung der hübschen, von Google zur Verfügung gestellten Schriftarten auch datenschutzrechtlich kein Problem. Wir verwenden mit "Inter" immerhin auch eine (welche Ihnen gerade das Lesen dieses Textes ermöglicht!). Das Problem, welches auf vielen Webseiten weiterhin besteht und in den letzten Wochen zu einer regelrechten Abmahnwelle geführt hat, ist die Einbindung der Fonts per Link-Tag zu den Servern von Google.
Statt dessen müssen die Fonts zwingend lokal eingebunden werden, das heißt, auf dem selben Server gehostet werden wie der Rest Ihrer Webseite. Die Einbindung ist nicht allzu kompliziert und wird durch nützliche Tools wie den "Google Web Fonts Helper" noch weiter vereinfacht.