Immer wieder die lästigen Cookie-Banner. Die Browsererweiterung der ETH erkennt, kategorisiert und filtert Cookies automatisch. (Quelle: hiz)

 

In grossen Bannern und quer über den Bildschirm fragen uns Websites, ob wir der Nutzung von Cookies zustimmen. Cookies sind kleine Dateien, die im Webbrowser angelegt werden und die einen Nutzer für eine Website identifizierbar macht, ohne auf personenbezogene Daten wie eine E-Mail-Adresse angewiesen zu sein. Dadurch können beispielsweise persönliche Einstellungen oder Anmeldedaten gespeichert werden oder die Nutzungszeit- und Dauer ermittelt werden.

 

Cookies können jedoch auch Daten über das Verhalten der Nutzer sammeln und machen so personalisierte Werbung möglich. Deshalb haben Gesetzgeber die Verwendung von Cookies reguliert. Die Datenschutz-Grundverordnung der Europäischen Union (DSGVO) besagt, dass Website-Betreiber ohne die Einwilligung der Nutzer:innen keine Cookies mehr setzen dürfen, die Daten über das Nutzungsverhalten sammeln.

 

Scheinkontrolle durch Cookie-Banner

Cookie-Banner holen diese Einwilligung für die Website-Betreiber ein und sollen so sicherstellen, dass Nutzer frei wählen können, ob und welche Cookies sie zulassen wollen.

 

Die Praxis der Cookie-Banner ist jedoch weit davon entfernt: Mehrere Studien haben gezeigt, dass Cookie-Banner den Nutzern nur scheinbar eine Kontrolle über ihre Daten geben. Sei es, indem sie die Nutzer mit gestalterischen Mitteln dazu bringen, alle Cookies zu akzeptieren, oder Cookies und ihre Funktionen unvollständig oder gar nicht deklarieren.

 

Kontrolle für die Nutzer

ETH-Forscher schlagen deshalb eine Lösung vor, bei der sich die Nutzer nicht auf die Angaben der Website-Betreiber verlassen müssen. Dino Bollinger, Karel Kubíček und Carlos Cotrini aus der Gruppe von ETH-Professor David Basin haben eine Browser-Erweiterung entwickelt, die Cookies automatisiert kategorisieren und entfernen kann. Ihre Studie präsentieren die Wissenschaftler bei einer Security-Konferenz im August.

 

Das Hilfsprogramm mit dem Namen Cookieblock verwendet maschinelles Lernen (ML), um Cookies den Datenschutzkategorien «Notwendig», «Funktional», «Analytisch» und «Werbung» zuzuordnen. Mit der Browser-Erweiterung sollen Nutzer nur einmalig angeben müssen, welchen Cookies sie zustimmen, danach übernimmt das Programm. Es entfernt dann alle anderen Cookies unabhängig von den Cookie-Bannern. Diese erscheinen zwar immer noch, werden durch die Browser-Erweiterung aber obsolet. Um Cookie-Banner ganz auszublenden, existieren Browser-Erweiterungen von anderen Anbietern.

 

Cookieblock ist für die Browser Chrome, Firefox, Edge und Opera erhältlich. In Tests zeigte sich, dass mit der Erweiterung mehr als 90 Prozent der Cookies entfernt werden, die Daten über Nutzer sammeln. Bei 85 Prozent der Websites geschah dies ohne Einfluss auf die Funktionen der Websites, bei 8 Prozent stellten die Autoren kleine Fehler bei «nicht wesentlichen Website-​Funktionen» fest, und bei 7 Prozent der Websites störte die Erweiterung die Nutzung der Websites, etwa indem Logins verloren gingen. In solchen Fällen können einzelne Websites aber vom Prozess ausgenommen werden.

 

Datenschutzmängel weit verbreitet

Im Rahmen der Studie haben die Forschenden mehr als 30'000 Websites mit Cookie-Bannern darauf geprüft, ob die Banner der Europäischen Datenschutzverordnung gerecht werden. Konkret haben sie analysiert, ob die gesetzten Cookies über die Banner vollständig und korrekt deklariert werden und ob nur Cookies mit Zustimmung aktiviert wurden.

 

Das Resultat: Bei fast 95 Prozent der Websites fanden sie mindestens ein Problem, das sie als potenzieller Verstoß gegen die Datenschutz-Grundverordnung sehen. Mehr als 20 Prozent der Websites verwendeten Cookies, die der Nutzer ausdrücklich abgelehnt hatte, und 70 Prozent der Websites aktivieren bereits Cookies, bevor der Nutzer überhaupt mit dem Banner interagierte. «Das zeigt, wie wichtig es ist, dass die Nutzer die Kontrolle haben», sagt Karel Kubíček.

 

Originalveröffentlichung:

Bollinger D, Kubicek K, Cotrini C, Basin D: Automating Cookie Consent and GDPR Violation Detectioncall_made, 31st USENIX Security Symposium, August 2022, (Preprint).

https://karelkubicek.github.io/post/cookieblock