1 Punkte von GN⁺ 2024-03-19 | 1 Kommentare | Auf WhatsApp teilen

Darüber, dass es kein Gesetz für Cookie-Banner gibt

  • Paul Graham dachte, die EU habe Cookie-Banner verpflichtend gemacht, tatsächlich gibt es jedoch kein Gesetz zu Cookie-Bannern.
  • Die EU vertritt die Auffassung, dass für Tracking, Profiling und den Verkauf personenbezogener Daten eine Einwilligung erforderlich ist.
  • Unternehmen können Cookie-Banner vermeiden, indem sie entweder gar nicht tracken oder den Do Not Track-Header von Nutzerinnen und Nutzern respektieren, die kein Tracking wollen.

Alternative Methoden für die Cookie-Einwilligung

  • Browser könnten, ähnlich wie beim SSL-Symbol, ein Tracking-Symbol anbieten und Informationen bereitstellen, über die Nutzerinnen und Nutzer per Klick einwilligen können.
  • Eine Website könnte oben ein kleines Banner zur Cookie-Einwilligung anzeigen oder unten auf der Seite einen kleinen Button platzieren, um eine Einwilligung zu „Unterstützung durch Tracking“ einzuholen.

Warum Unternehmen Cookie-Banner verwenden

  • Unternehmen wissen, dass Nutzerinnen und Nutzer kein Tracking wollen, möchten aber trotzdem tracken.
  • Deshalb zwingen sie ihnen Cookie-Banner in halber Seitengröße auf, in der Hoffnung auf Zustimmung, und verdecken Inhalte, sodass die Nutzung der Website behindert wird.
  • Sie verwenden „Dark UI Patterns“, die Nutzerinnen und Nutzer ermüden oder verwirren sollen, damit sie zustimmen.

Was Cookie-Banner tatsächlich sind

  • Die EU hat Cookie-Banner nicht vorgeschrieben, aber Unternehmen machen den Menschen das Leben schwer.
  • Nachdem Unternehmen Nutzerinnen und Nutzer nicht länger heimlich missbrauchen können, haben sie sich stattdessen für eine Methode entschieden, die einfach nur nervt.

Meinung zum Datenschutz

  • EU-Regulierung ist nicht immer gut, aber Datenschutz ist wichtig, und der Autor hat schon vor 30 Jahren für PGP gekämpft und wird weiter dafür kämpfen.

Meinung von GN⁺

  • Cookie-Banner können die User Experience beeinträchtigen und die Barrierefreiheit von Websites verschlechtern.
  • Der Schutz der Datenprivatsphäre von Nutzerinnen und Nutzern ist wichtig, aber der gewählte Ansatz sollte benutzerfreundlich sein.
  • Webentwickler sollten nach besseren Wegen suchen, Einwilligungen einzuholen; das kann zur Weiterentwicklung von Webstandards beitragen.
  • Statt Cookie-Bannern sollte über ein Website-Design nachgedacht werden, das die Privatsphäre der Nutzerinnen und Nutzer respektiert.
  • Technisch kann die Umsetzung von Mechanismen wie der Beachtung des Do Not Track-Headers für Entwicklerinnen und Entwickler eine neue Herausforderung sein und dabei helfen, das Vertrauen der Nutzerinnen und Nutzer zu gewinnen.

1 Kommentare

 
GN⁺ 2024-03-19
Meinungen auf Hacker News
  • Man stelle sich einen Markt vor, in dem Unternehmen ihren Kunden heimlich jede Menge versteckte Gebühren aufschlagen und die Nutzer das später merken und sich darüber ärgern.
    Wenn das Gesetz dann geändert wird zu „Gebühren dürfen nicht erhoben werden, wenn sie nicht vorher offengelegt wurden“, ist es so, als würden Unternehmen mit vielen Gebühren die Gebühren unverändert lassen und die Nutzer auf jeder einzelnen Seite der Speisekarte auf die nervigste Art dazu bringen, die Gebühren zu lesen.
    Gleichzeitig propagieren sie, das Problem seien weder überhöhte Gebühren noch der Umstand, dass sie sie früher versteckt haben und sie wegen des Gesetzes nun offenlegen müssen, sondern das Gesetz, das sie zwingt, rechtzeitig darauf hinzuweisen.
    Bei Cookie-Bannern ist es im Kern genauso, und unter denen, die jetzt das Cookie-Gesetz beschimpfen, mischen sich Leute, die wegen ihrer Interessenlage absichtlich falschliegen, mit Leuten, die falschliegen, weil sie die Position, die sie verteidigen, wirklich nicht verstehen.

    • Zustimmung. Ich weiß nicht, wie viel Unternehmenspropaganda die Leute konsumiert haben müssen, damit sie schlechtes Verhalten von Unternehmen und böswillige Compliance vollständig den Gesetzgebern anlasten.
      Es zeigt auch, in welchem Zustand die Beziehung zwischen Unternehmen und Verbrauchern ist, wenn die erste Reaktion auf so ein schlechtes Verhalten lautet: „Du hast sie doch dazu gebracht!“
      Am Ende wird es so behandelt, als wären alle schuld außer den schlechten Akteuren selbst.
    • Die Schwäche dieser Analogie ist, dass normale Verbraucher sich in der Regel für versteckte Gebühren interessieren, sie vorher wissen wollen und sich, wenn sie davon gewusst hätten, vielleicht anders entschieden hätten. Für Cookies interessieren sich normale Verbraucher dagegen nicht.
      Eine treffendere Analogie wäre, wenn man in ein Restaurant kommt, ein Blatt mit Allergieinformationen zu allen Speisen bekommt und erst Platz nehmen darf, nachdem man gesagt hat: „Ich stimme zu, dass diese Zutaten im Essen enthalten sind.“
      Ich stimme zu, dass Restaurants diese Informationen nicht verbergen sollten und dass eine Minderheit sie haben möchte, aber ob man allen diesen unbequemen Schritt aufzwingen sollte, ist eine andere Frage. Die bisherige Praxis, Allergieinformationen auf Anfrage bereitzustellen, hat auch gut funktioniert.
      Informationen, die allen wichtig sind und sie schockieren könnten, sollten Unternehmen mitteilen, aber es gibt vieles, das nur eine Minderheit interessiert. Warum bei Cookies aufhören? Wenn die Serverinfrastruktur einer Website aus ausländischer Produktion stammt: Popup. Wenn die CO₂-Emissionen des Betreibers über dem Durchschnitt liegen: Popup. Wenn das Essen im Foodcourt der Firmenzentrale nicht koscher ist, könnte man ebenfalls ein Popup vorschreiben.
      Die Gruppe, der Cookies sehr wichtig sind, ist ungefähr so groß wie die Gruppe, der Binärgrößen oder JavaScript-Ausführung wichtig sind. Sollte auch JavaScript-Ausführung ein Pflicht-Popup auslösen? Sollte eine Website, die größer als 10 MB ist, zuerst auf einer leichten Seite Zustimmung einholen müssen? Die Frage ist, wie man festlegt, welches Verhalten eine Popup-Warnung verdient.
    • Dieses Beispiel ist nicht gut. Solche Probleme löst normalerweise der Markt.
      Der Grund, warum der Markt das Problem der Cookie-Banner nicht löst und dieses Gesetz schlecht ist, ist, dass es den Nutzern im Grunde egal ist und sie nur genervt sind.
      In California gibt es ein Gesetz, nach dem Unternehmen darauf hinweisen müssen, wenn sich in einer Betriebsstätte Chemikalien befinden, die Krebs verursachen können. Die Absicht ist gut, aber der Grenzwert liegt unterhalb dessen, was realistisch prüfbar ist, sodass fast jede Immobilie ein Schild mit „Hier können Chemikalien vorhanden sein“ aufhängt.
      Die Warnung ist nutzlos und nur lästig; das liegt an Marktkräften, anders gesagt: Das Gesetz hat dieses Verhalten ausgelöst.
    • Ganz streng genommen scheint das nicht zu stimmen. Cookies an sich sind nicht das Problem. Das Problem ist, wie Cookies verwendet werden.
      Darauf hinweisen zu müssen, dass man Cookies für Sessions verwendet, ist ungefähr so, als müsste man darauf hinweisen, dass man mit einer Gabel isst.
      Das Problem ist, dass manche Leute mit dieser Gabel Menschen stechen, weshalb jetzt alle vorher sagen müssen, wie sie ihre Gabel benutzen werden. Dabei müsste man einfach nur das Zustechen verbieten.
    • Nach dieser Analogie würden am Ende auch Unternehmen, die gar keine versteckten Gebühren erheben, vorsichtshalber Banner einblenden.
      Außerdem bin ich weder EU-Bürger noch besuche ich EU-basierte Websites, und trotzdem werde ich ständig mit Cookie-Bannern konfrontiert.
  • Dass KingOfCoders/amazingcto sagt, „es gibt kein Cookie-Banner-Gesetz, man soll einfach nicht tracken“, ist technisch gesehen richtig, aber Paul Graham meinte nicht den Gesetzestext selbst.
    Seine Beschwerde sollte man aus spieltheoretischer Perspektive verstehen, also als Gesetz der unbeabsichtigten Folgen, das betrachtet, wie Unternehmen tatsächlich auf das Gesetz reagieren.
    Der Blogbeitrag konzentrierte sich auf die guten Absichten des Gesetzes, PGs Tweet auf die tatsächlichen Ergebnisse.

    • Gilt diese Logik nicht für beide Seiten? Wenn man die EU-Regulierung aus spieltheoretischer Perspektive betrachtet, ist sie auch eine unbeabsichtigte Folge aggressiver Datensammlung durch Unternehmen.
      Ich verstehe nicht recht, warum nur die EU kritisiert wird und nicht die Unternehmen.
    • Der Blog behandelt es ganz klar aus der Perspektive der tatsächlichen Ergebnisse. Das wird mehrfach wiederholt: Unternehmen müssen einfach nicht tracken.
      Das tatsächliche Ergebnis ist, dass Unternehmen weiter tracken wollen und Nutzer mit feindseligen Patterns und böswilliger Compliance in die Ecke drängen, um „Zustimmung“ zu erzwingen.
      Paul Graham liegt weiterhin falsch.
    • Da ich Second-Order Thinking und unbeabsichtigte Folgen mag, stimme ich diesem Teil zu. Wie müsste man dann „Trackt Menschen nicht ohne Zustimmung“ so gestalten, dass es keine unbeabsichtigten Folgen gibt?
      Der Punkt, den der Artikel machen wollte, ist, dass Unternehmen das absichtlich so machen, um gegen den Willen der Nutzer „Zustimmung“ zu bekommen, und deshalb auf einer hauchdünnen Linie wandeln: das Gesetz verletzen, ohne es formal zu verletzen.
    • Dass schlechte Akteure auch vor dem Gesetz weiterhin schlecht handeln werden, wissen alle. Das ist keine besonders große Erkenntnis.
      Tatsächlich hat PGs Tweet wenig mit Spieltheorie zu tun und ist eher First-World-Quengelei darüber, dass man Cookie-Banner anklicken muss. Die tatsächlichen Folgen komplexer Regulierung und Gesetzgebung zu bewerten, geht über den Rahmen eines einzelnen Tweets hinaus.
      Graham sollte vielleicht erst einmal festlegen, welche Behauptung er überhaupt aufstellen will: Will er einem bestimmten EU-Vertreter widersprechen, der mit guter Regulierung prahlt? Oder meint er, die EU hätte gar nicht die Dreistigkeit besitzen sollen, überhaupt Regulierung zu versuchen?
    • Wenn man eine miserable Website klar erkennen und auf Zurück klicken kann, halte ich das für ein gutes Ergebnis.
  • „Gut zu regulieren“ umfasst auch die Fähigkeit, mögliche Folgen einer Regulierung vorherzusehen.
    Wenn man eine Regelung schafft wie: „Unternehmen müssen ihre Produkte jetzt kostenlos abgeben, dürfen ihren Kunden aber die Nase wie eine Hupe drücken“, dann werden viele Menschen Nasenschmerzen bekommen.
    Hier ist es ähnlich. Fast alle Websites verdienen Geld mit Werbung oder protokollieren zumindest Nutzeraktivitäten zur Optimierung der Website, und das wird sich nicht ändern. Die dumme EU-Regulierung bereitet den Kunden also einfach etwas mehr Schmerz.

    • „Fast alle Websites verdienen Geld mit Werbung“ erfordert kein persönliches Tracking.
      Auch „Nutzeraktivitäten zur Optimierung der Website protokollieren“ erfordert kein persönliches Tracking.
    • Der Punkt ist gut rübergekommen, und ich stimme zu, dass es eine bedauerliche Folge der Regulierung ist. Die Analogie war auch witzig.
      Aber nicht jede Website braucht ein Cookie-Banner. Ist GitHub nicht eine ziemlich komplexe und auf Nutzer optimierte Website? https://github.blog/2020-12-17-no-cookie-for-you/
    • Die EU-Regulierung verhindert nicht das Anzeigen von Werbung. Genau genommen zielt sie auf Tracking ab.
      Kein Tracking > kein Banner > alle sind glücklicher > notwendige Werbung kann man nach Belieben anzeigen.
    • Die Verwirrung scheint zwischen Werbung und Tracking zu entstehen. Bei den Bannern geht es nicht um Werbung, sondern um Tracking.
    • Nutzeraktivitäten zur Optimierung einer Website zu protokollieren ist auch möglich, ohne meine personenbezogenen Daten zu verfolgen.
      In dem Moment, in dem ein Unternehmen mich tracken muss, tut es mehr als nur „die Website optimieren“. Es nutzt meine Daten, um mir etwas zu verkaufen, oder verkauft meine Daten an Dritte.
      Ich finde es gut, dass dafür eine Erlaubnis nötig ist.
  • Das ist nicht nur ein Cookie-Gesetz, sondern auch ein wichtiges Anti-Malware-Gesetz der EU.
    Der Grundsatz lautet: Wenn irgendeine von Dritten kontrollierte Software über das Internet Informationen auf meinen Computer oder mein Telefon schreibt oder von dort liest, braucht es zuvor eine informierte Einwilligung auf Grundlage ausreichender Erklärung.
    Die Ausnahmen sind auf enge Funktionen beschränkt, etwa Speichern/Lesen, das zur Erbringung des vom Nutzer angeforderten Dienstes nötig ist, oder Load Balancing. Das gilt nicht nur für Browser-Cookies, sondern auch für Webcam, Mikrofon und den Inhalt des Documents-Ordners.
    Der Grundsatz selbst wirkt vernünftig, aber die EU steckt bei Reformen fest, die zusätzliche Ausnahmen etwa für Sicherheitsprüfungen/notwendige Updates oder datenschutzfreundliche Nutzungsmetriken schaffen würden. Auch die Regulierungsbehörden drücken faktisch bis zu einem gewissen Grad ein Auge zu, daher kann man kaum sagen, die EU reguliere gut.
    Die Gesellschaft schafft es im Großen und Ganzen nicht, jene Teile des ursprünglichen, jahrzehntealten Gesetzes zu beheben, die als Bugs oder Übermaß gelten.

    • Wenn der Grundsatz lautet: „Von Dritten kontrollierte Software darf ohne vorherige Einwilligung keine Informationen auf Computern/Telefonen schreiben oder lesen“, dann liegt die Verantwortung für die Umsetzung bei den Browser-Anbietern.
    • Gab es Versuche, daraus einen Browser-Standard zu machen? Ich habe gesucht, aber nichts gefunden.
    • Was ist mit dem „ursprünglichen, jahrzehntealten Gesetz“ gemeint? Die GDPR ist acht Jahre alt.
  • Das Interessante an Gesetzgebung ist, dass man auch für die unbeabsichtigten Folgen von Gesetzen verantwortlich ist.

    • In diesem Fall zeigt es nur, dass die meisten Unternehmen mehr Daten sammeln, als sie brauchen.
      Für Daten, die minimal nötig sind, damit ein Dienst funktioniert, braucht es kein Banner. Ohne sie funktioniert die Seite nicht, also gibt es auch keinen Raum für Einwilligung.
    • Anders gesagt: Gesetzgebung, die eine bestimmte Handlung verbietet, entsteht fast immer, weil irgendjemand genau diese Handlung ausführen will.
      Gesetzgebung ist in der Regel ein Kampf von Interessen, und idealerweise versucht der Gesetzgeber, das allgemeine öffentliche Interesse zu schützen, wenn es mit engen Partikularinteressen kollidiert.
      Wenn die Seite mit den engen Interessen eine mächtige Gruppe ist, kommt es zwangsläufig zum Kampf. Und wenn sie eine Möglichkeit hat, die Regulierung aufdringlicher und nerviger erscheinen zu lassen als den Schaden, den sie eigentlich verhindern sollte, wird sie das nutzen, um die öffentliche Meinung auf ihre Seite zu ziehen.
      Gesetzgeber sollten solche Kämpfe also vorhersehen und können teilweise für deren Form verantwortlich sein, aber nicht vollständig. Je stärker private Interessengruppen sind, desto eher werden sie Wege finden, sich gegen Regulierung zu stemmen.
      In dieser Sache schaden sich Websites, die Banner anzeigen, auch selbst. Denn Wettbewerber bekommen einen Anreiz, ohne Banner eine bessere Erfahrung zu bieten. Mit anderen Worten: Die Regulierung kann es in einer Wettbewerbssituation wertvoll machen, kein Banner anzuzeigen; man wird sehen, wie es ausgeht.
    • Man kann sich nicht aus der Verantwortung stehlen, indem man sagt: „Das Gesetz hat uns gezwungen, aggressiv gegenüber Nutzern zu sein.“
      Cookies zu verwenden und Menschen damit zu verärgern, ist eine bewusste Entscheidung.
    • PGs ursprünglicher Tweet scheint anzunehmen, dass Cookie-Banner a) schlecht sind, b) der EU anzulasten sind und c) eine unbeabsichtigte Folge sind, die die EU nicht vorhergesehen hat und daher ihre Inkompetenz zeigt.
      Es ist schwer zu sagen, was Gesetzgeber vorhergesehen oder beabsichtigt haben, aber ich denke, Cookie-Banner sind tatsächlich a) gut und b) die Schuld von Unternehmen, die sich keine bessere Behandlung der Nutzer vorstellen können.
      Ich halte sie für gut, weil sie bei Nutzern von Software, die es nicht vermeiden kann oder nicht richtig umgesetzt werden will, psychologische Unannehmlichkeit erzeugen. Ich hoffe, dass Nutzer mit der Zeit Websites mit Cookie-Bannern ähnlich wahrnehmen wie Pop-up-Werbung: irgendwie dubios und gewissenlos.
    • Alles vorherzusehen ist unmöglich, ebenso das Ausmaß von böswilliger Compliance.
      Letztlich denke ich, dass dieses Gesetz und künftige Wiederholungen sowie Ergänzungen besser sind als gar keines. Das Ausmaß des Missbrauchs von Daten der Menschen ist einfach zu absurd.
  • pg scheint von Werbebannern zu sprechen, und falls ja, hat er recht. Die EU hat unser Web-Erlebnis ruiniert und dabei mobilen Apps, die noch schlimmeres Tracking betreiben, Vorteile verschafft.
    Das größere Problem ist, dass dieses Gesetz nichts behoben, das ohnehin nur noch kleine EU-Online-Werbegeschäft zerstört und sich auf das Falsche konzentriert hat.
    Die europäischen Bürger haben dieses Gesetz ursprünglich nicht verlangt, und es gab größere Probleme. Es wurde von einer bestimmten deutschen Interessengruppe vorangetrieben, die den meisten EU-Bürgern gleichgültig ist.
    Werbe-Tracking war für die große Mehrheit der EU-Bürger kein Anliegen, und sie wurden zu diesem Gesetz auch nicht gefragt. Dagegen sind Internet- und Social-Media-Sucht für die meisten Bürger ein reales Problem.
    Die EU hat zu viel Energie und politisches Kapital auf dieses sinnlose Cookie-Banner-Problem verwendet, wodurch weniger Kapazität blieb, das Suchtproblem zu lösen.
    Überhastete Gesetzgebung führt immer zu so etwas, und das Schlimmste ist, dass für solche Fehlentscheidungen niemand Verantwortung übernimmt. Die Menschen, die die Gesetzgebung inspiriert haben, stehen nicht zur Wahl, und die kommenden Europawahlen sind kein Votum über EU-Politik, sondern ein Stellvertreterkampf der Innenpolitik.
    Selbst wenn man solche politischen Fehlanreize mehrfach aufzeigt, gibt es keinen Mechanismus, sie zu ändern, bis wirklich etwas Ernstes passiert und es zu spät ist.

  • Als persönliche Anekdote: Ich war einmal damit beauftragt, auf der Website eines Unternehmens ein Cookie-Banner hinzuzufügen. Ich hatte die Einführung eines Banners über Jahre erfolgreich abgewehrt, aber der neue Eigentümer wollte in der Marketingabteilung etwas Neues ausprobieren und verwies darauf, dass die Anwälte gesagt hätten, man brauche die Zustimmung der Nutzer.
    Mir wurde gesagt, ich solle nicht viel Zeit darauf verwenden, sondern das Standardprodukt OneTrust nutzen und auch nichts anpassen.
    Als ich sagte, dass der Standardtext des Banners sehr beängstigend klinge und andeute, wir täten vieles, was wir tatsächlich gar nicht tun, hieß es, die Anwälte von OneTrust hätten das sicher geprüft; wenn wir es änderten, sei das rechtliche Risiko groß, also solle es so bleiben.
    Das Produkt von OneTrust ist ein Universalprodukt, das selbst die schmutzigsten, von Ad-Tech verseuchten Medienseiten compliant machen muss, und ich argumentierte, dass wir keine solche Seite seien – ohne Erfolg.
    Anbieter wie OneTrust und Berater in diesem Bereich haben starke Anreize, das Risiko von Non-Compliance stark aufzublähen. Aus Sicht eines Nicht-Experten scheint das rechtliche Risiko für gutgläubige Akteure tatsächlich ziemlich gering zu sein. Wenn Behörden Non-Compliance feststellen, geben sie in der Regel Gelegenheit zur Nachbesserung, und vielleicht bekommt man höchstens eine leichte Verwarnung. Die beängstigenden Bußgelder, die als Prozentsatz des weltweiten Umsatzes berechnet werden, werden nicht auf ehrliche Fehler angewandt.
    Außerdem profitieren die Betreiber, die auf invasives Tracking angewiesen sind und solche Banner tatsächlich brauchen, davon, wenn alle anderen fälschlicherweise glauben, sie müssten ebenfalls ihre User Experience mit Bannern ruinieren. Denn so wirkt das, was sie tun, normal und akzeptabel.

  • Ein gutes Beispiel. Auch Hacker News brauchte kein Cookie-Banner, und der verlinkte Artikel auch nicht.

    • In dem Artikel gibt es daneben sogar Buchwerbung.
  • Ich mag diese Denkweise nicht, bei der der Staat mit scheinbar guten Absichten Regulierung schafft, dabei Schlupflöcher lässt, das Leben aller umständlicher macht und die Leute das dann mit „Unternehmen könnten es ja einfach nicht tun“ verteidigen.
    Genau weil sie es ursprünglich nicht unterlassen haben, brauchte es doch das Gesetz; nach dem Gesetz zu sagen, sie sollten von selbst damit aufhören, ist doch etwas seltsam.
    Wenn das Cookie-Gesetz richtig umgesetzt worden wäre, hätte eine einzige Browser-Einstellung, die respektiert werden muss, gereicht. Das wäre für Nutzer völlig transparent gewesen und im Grunde ein Gewinn.
    Stattdessen sehen wir dank unfähiger Beamter auf fast jeder Website für immer Cookie-Banner, und sie sind nicht einmal standardisiert, sodass die schlimmsten Seiten, etwa Websites, auf denen Medienhäuser Artikel veröffentlichen, noch undurchschaubarere Banner bauen können.

    • Das Gesetz selbst ist eigentlich gar nicht so schlecht; die Gerichte waren nur sehr langsam.
      Dark-UI-Patterns sind tatsächlich illegal, und inzwischen haben auch Gerichte das so entschieden. Diese Erkenntnis muss sich nur noch bei den Unternehmen verbreiten, die Cookie-Banner bauen.
    • Das Gesetz verlangt nicht, dass Websites Cookie-Banner anzeigen.
      Browser haben bereits eine „Do Not Track“-Einstellung. Wenn eine Website sich dafür entscheidet, diese Einstellung zu respektieren, kann sie ganz ohne Cookie-Banner auf Tracking verzichten. Die meisten tun das aber nicht.
    • Das Gesetz verlangt keine bestimmte Implementierung. Gesetze werden nicht so geschrieben, dass sie eine bestimmte Implementierung verlangen, und sollten auch nicht so geschrieben werden.
      Stattdessen ist das Gesetz technologieneutral formuliert. So neutral, dass es nicht einmal „Cookie-Gesetz“ heißt. Sein Name ist ePrivacy Directive, und „cookie“ kommt nur fünfmal als Beispiel vor.
      Siehe: https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=celex%3A...
    • Browser-Einstellungen für Tracking-Cookies gab es seit 2002: https://www.w3.org/P3P/
      Sie wurden tatsächlich implementiert, als Internet Explorer über 90 % Marktanteil hatte.
      Daraufhin schickte Google absichtlich falsche P3P-Header, um die Nutzerpräferenzen im IE zu umgehen.
      Als Safari eine Heuristik hinzufügte, um Drittanbieter-Cookies von Google abzulehnen, fand Google ebenfalls einen technischen Trick, um sie zu umgehen, und wurde dafür mit einer Geldbuße belegt.
      Nachdem IE und P3P vollständig gestorben waren, versuchten Browser, den DNT-Header anzubieten – die minimale Einstellung, die für die Ad-Tech-Branche am einfachsten umzusetzen gewesen wäre. Die Ad-Tech-Branche ignorierte sie vollständig.
      Es gibt Unternehmen mit Billionen-Dollar-Wert, die auf Tracking angewiesen sind, und sie werden alles tun, was möglich ist, um Technologien zu untergraben, die ihrem Geschäft schaden, und Gesetze zu verhindern.
    • Eine Browser-Einstellung wäre zu 100 % in Ordnung gewesen. Aber der Grund, warum es nicht dazu kam, ist, dass zu viele Menschen Ablehnen gewählt hätten. Das ist der Kern dieses Artikels.
  • Wenn gilt: „Unternehmen können Cookie-Banner leicht vermeiden. Sie müssen einfach nicht tracken“, dann hätte die EU genau das zum Gesetz machen sollen.
    Und wir hätten es das Trackt-einfach-nicht-Gesetz genannt.
    Ich finde es erstaunlich, wenn Leute die EU mit Formulierungen wie „Es gibt kein Cookie-Banner-Gesetz“ verteidigen. Doch, es gibt ein Gesetz. Genau dieses Gesetz bringt Menschen dazu zu denken: „Warum sollten wir unnötig ein Risiko eingehen?“, und dann solchen Müll wie Cookie-Banner einzubauen.
    Ein Gesetz ist nicht bloß eine Ansammlung von Wörtern auf Papier, sondern ein System, das Verhalten verändert, indem es Handlungen mit Belohnungen oder Strafen belegt.

    • Wenn man das Gesetz richtig versteht, versteht man auch, dass kein Cookie-Banner nötig ist, wenn man Nutzer nicht trackt.
      Aber es ist einfacher, gar nicht erst zu versuchen, es zu verstehen, und auf Nummer sicher zu gehen. Trotzdem sollte man nicht dem Gesetz die Schuld dafür geben, wenn man ohne Recherche den sicheren Weg wählt.
      Die meisten sind Nachahmer: Wenn große Websites Cookie-Banner einbauen, glauben sie, sie müssten das auch tun. Danach geben sie dem Gesetz die Schuld.
      Wenn man kein Nachahmer ist und sein eigenes Geschäft versteht, gibt es keinen Grund, dem Gesetz die Schuld dafür zu geben, dass man unnötige Dinge tut.
      Natürlich sind Gesetze manchmal kompliziert zu verstehen. Das gilt für die meisten Gesetze, und dafür gibt es Anwälte. Aber im Tech-Bereich wirken auch Anwälte oft wie Nachahmer. Deshalb ist es immer gut, selbst zu denken und nicht alles zu glauben, was andere sagen. Wenn man selbst recherchiert und nachliest, ist es auch nicht so schwierig.
    • Ganz und gar nicht. Weil die Leute nicht bereit sind, auf Nutzer-Tracking zu verzichten, und erst jetzt erkannt haben, dass es illegal sein kann, wenn sie es falsch machen, denken sie: „Warum sollten wir unnötig ein Risiko eingehen?“, und klammern sich an schlechte Dark Patterns, um ihre eigene Verantwortung zu kaschieren.
      Mein Unternehmen hat Kunden online nicht getrackt und hatte auch kein Banner. Ende.
    • Das Gesetz bestraft nicht einzelne Bürger, sondern Unternehmen.
      Wenn Anwälte überreagieren oder ein Unternehmen nicht zwischen notwendigem und nicht notwendigem Tracking unterscheiden kann, dann sind vielleicht sie die Inkompetenten.