Spätestens seit der Einführung der Datenschutz-Grundverordnung sind sie allgegenwärtig- die Cookie-Messages. Oben, unten, manchmal nehmen sie auf Smartphones den gesamten Bildschirm ein. Sie sind eine Barriere geworden, hier erfahrt ihr, warum.
Bin ich da, bin ich weg?
Als Blinder kann man Cookie-Mitteilungen gut ignorieren, wenn sie sich unten am Bildschirm befinden oder man sie zumindest schnell überspringen kann. Auf dem Smartphone funktioniert das nicht so einfach, denn wie gesagt nehmen sie dort häufig viel Platz weg, so dass eine komfortable Nutzung der Website mit ihnen teils nicht möglich ist.
Nun kann es passieren, dass man sie wegklickt – also akzeptiert oder verwirft, sie aber für den Screenreader sichtbar bleiben. Das kann bedeuten, dass die Seite nicht nutzbar ist, der Screenreader bleibt quasi in der Cookie-Message hängen und kommt an den Inhalt nicht heran.
Die Cookie-Message als Overlay
Das nervigste Phänomen überhaupt sind Cookie-Messages als modaler Dialog. Der Hintergrund wird ausgegraut, die Cookie-Message poppt auf und muss aktiv geschlossen werden, um den Inhalt zu nutzen. Hier können die üblichen Probleme schlecht programmierter Dialoge für Screenreader entstehen: Entweder bekommt der Nutzer gar nicht mit, dass eine Aktion von ihm erwartet wird und die Seite ist für ihn nicht nutzbar, weil alle anklickbaren Elemente gesperrt sind. Oder er sieht die Meldung, kann sie aber nicht akzeptieren, weil die bedienelemente nicht per tastatur bedienbar sind. Abgesehen davon sind manche dieser Cookie-Messages wirklich lang geworden, als ob man einen Roman lesen wollte, bevor man die Website nutzt.
Für Tastaturnutzer ergibt sich das Problem, dass sie einen Klick ausführen müssen, um an den Inhalt zu kommen. Für Leute, die Probleme haben, die Maus zu bedienen oder mit starker Vergrößerung arbeiten, kann das durchaus schwierig werden. Nervig ist es in jedem Fall. Reine Tastatur-Nutzer kommen oft gar nicht an die Cookie-Message heran.
Angst-Störungen und mangelnde Erfahrung mit Web-Technologien
Ein weiteres Problem kann sich für Internet-Unerfahrene und Personen mit Angststörungen ergeben. Die Internet-Unerfahrenen wissen vielleicht gar nicht, was Cookies sind, was passiert, wenn sie akzeptieren und welche Daten tatsächlich gesammelt werden und was mit diesen Daten passiert? Datenschutzerklärung ist gut und schön, aber nicht jeder hat eine Jura-Professorin mit erfahrung im Internetrecht neben sich auf der Couch sitzen.
Und selbst wenn: Vertraue ich den Versicherungen des anbieters, dass die Daten zu den genannten Zwecken verarbeitet und angemessen anonymisiert werden? Als jemand mit einer Angststörung könnte man daran zweifeln. Cookie-Messages sind ein zusätzlicher Frustfaktor.
Und sehen diese Dinger nicht so ähnlich aus wie diese Werbebanner, die eine Zeitlang en vogue waren? Sie haben gewonnen, klicken Sie in den nächsten 10 Sekunden hier, um Ihr iPhone XX einzusacken. Woher soll man als durchschnittlicher Internet-Nutzer wissen, dass es sich nicht um einen Hacking- oder Betrugs-Versuch handelt?
Cookie-Mitteilungen müssen zugänglich sein
Die einfachste Lösung wäre, die Cookie-Mitteilungen für Blinde unsichtbar zu machen, technisch wäre das kein großes Problem.
Rechtlich allerdings schon: Ähnlich wie die Informationen im Impressum müssen Cookie-Mitteilungen für Blinde zugänglich sein, das gilt sowohl im Sinne der DSGVO als auch des Telemedien-Gesetzes.
Mir stellte sich beim Schreiben die Frage, ob es reicht, dass sie Theoretisch für Screenreader nutzbar sind. Befinden sie sich aus der Perspektive des Screenreaders am Ende der Webseite, wird der Blinde sie wahrscheinlich nicht wahrnehmen – wer scrollt schon bis dort hin durch? Meiner einschätzung reicht es tatsächlich aus, wenn die Cookie-Mitteilung praktisch für den Blinden wahrnehmbar wäre, sie also für ihn barrierefrei ist. Ansonsten müsste sie sich aus der Perspektive des Screenreaders immer am Anfang der Seite befinden. Findet er sie nicht, gibt es immerhin noch die Datenschutz-Informationen des Webseiten-Betreibers, dort sollte er auf jeden Fall alle Infos sowie die Optionen finden.
Lösungen
Generell fordert die DSGVO, möglichst wenig daten zu erheben. Die erste Frage wäre also, ob Cookies in vielen Fällen nicht überflüssig sind, also gar nicht erst eine entsprechende Nachricht angezeigt werden muss. Webseiten, die vor allem der Information dienen, benötigen meines Erachtens keine Informationssammler wie Session-Cookies, Tracker oder Web Analytics, auch wenn Analytiker das verständlicherweise anders sehen. Die gute alte Webstatistik tut es auch.
Ein weiterer Weg wäre, die automatische Akzeptanz von Cookies durch das Weiternutzen der Website. Wenn ich also scrolle, ein element anklicke oder eine anderweitige Aktion ausführe, könnte die Cookie-Mitteilung automatisch ausgeblendet werden. Es müsste aber sicher gestellt sein, dass der Nutzer die Cookie-Message zumindest unbewusst wahrgenommen hat und die Chance hatte, der Sammlung von Daten zu widersprechen.
Ich wundere mich, dass das W3C keinen Cookie-Veraltungs-Standard veröffentlicht hat, wenn ich mir ansehe, wie viele Dokumente die Organisation so anbietet. Falls meinen Lesern was dazu bekannt ist, freue ich mich auf hinweise.
Wünschenswert wäre eine automatische Verarbeitung der Cookie-Meldungen per Browser. Dazu wird ein einheitliches Protokoll, also eine maschinenlesbare Form benötigt. Wer eine Do-Not-Track-Anforderung im Browser aktiviert hat, sollte Tracking-Cookies gar nicht erst explizit ablehnen müssen. Andere Cookies sollten entweder für die aktuelle Session oder für einen bestimmten Zeitraum akzeptiert werde. Wie gesagt, alles über Einstellungen und Mitteilungen des Browsers.
Ein paar Datenschutz-Tipps für Blinde
Dieser Abschnitt ist nur für Blinde interessant. Es gibt ein paar Tipps zum Thema Cookies und Datenschutz.
Früher habe ich standardmäßig die Erweiterung NoScript für den Firefox verwendet. Leider ist sie nicht mehr mit Screenreadern nutzbar, man kann einzelne Skripte nicht mehr ohne Weiteres freigeben, wodurch einige Seiten-Inhalte nicht mehr funktionieren. Außerdem funktionieren viele Medienseiten und kommerzielle Seiten nicht mehr, die den Skriptblocker als Werbeblocker interpretieren, was er in gewisser Weise auch ist. Ich habe das mit Profilen gelöst, dazu weiter unten mehr.
Ein Teil des Cookie-Managements lässt sich browser-seitig einstellen: Alle Browser bieten eine Do-Not-Track-Anforderung, Cookies können generell akzeptiert, abgelehnt oder für eine bestimmte Zeit akzeptiert werden. Es ist natürlich generell sinnvoll, die Datenschutz-Einstellungen des Browsers anzuschauen. Cookies generell browser-seitig zu blockieren ist hingegen oft nicht sinnvoll, weil vor allem interaktive Seiten wie Shopping-Seiten oder Webformulare dann nicht mehr funktionieren werden. Viele Medien-Seiten sperren die Inhalte, weil sie von einem Werbeblocker ausgehen. Meiner Erfahrung nach funktioniert auch die ReCaptcha-Lösung nicht mehr, wenn Cookies standardmäßig blockiert werden.
Ich habe mir im Desktop-Firefox mehrere Profile mit unterschiedlichen Konfigurationen für unterschiedliche Zwecke angelegt. Eine fürs normale Surfen, eine für Medienseiten und interaktive Anwendungen und eine für Testzwecke mit der Standardkonfiguration von Firefox.
Um Profile anzulegen geht folgendermaßen unter Windows vor:
Drückt Windows-Taste + R für den Ausführen-Dialog von Windows. Gebt dann firefox -p ein. Es wird der Profilmanager aufgerufen.
Drückt Tab, bis ihr bei Profil erstellen seid, vergebt einen Namen für das Profil.
Wenn ihr bei jedem Start von Firefox auswählen wollt, welches Profil gestartet wird, nehmt das Häkchen bei „Gewähltes Profil bei Start ohne Nachfragen verwenden“ weg.
Ansonsten könnt ihr den Profilmanager wie oben beschrieben mit firefox -p im ausführen Dialog starten. Übrigens können mehrere Profile von Firefox auch parallel gestartet werden, auch dazu einfach firefox -p über Ausführen verwenden, wenn Firefox bereits läuft. Das kann aber schnell unübersichtlich werden, weil an den einzelnen Fenstern nicht erkennbar ist, in welchem Profil sie laufen.
Habt ihr ein Profil eingerichtet, könnt ihr wie gewohnt eure Konfigurationen und Erweiterungen vornehmen, sie bleiben wie auch die Cookies im jeweiligen Profil
Einen einfachen Datenschutz gewährt auch der anonyme Modus, der sowohl in Desktop- als auch auf Smartphone-Browsern verfügbar ist. In diesem Modus werden Daten nur so lange gespeichert, wie das Fenster oder der Tab offen ist. Im Firefox wird er mit STRG + Umschalt + P aktiviert.
Um Cookie- und andere nervige Meldungen loszuwerden reicht oft auch der Lesemodus. Dieser wird im Firefox auf dem Desktop mit F9 aktiviert und verlassen. Auch die mobilen Browser bieten so eine Funktion, die zumeist oben rechts aktiviert werden kann. Im Lesemodus wird nur der Text-Inhalt der Webseite angezeigt.
Eine andere Möglichkeit ist, unterschiedliche Browser zu verwenden. Edge, Chrome und Opera funktionieren auch mit Screenreader ganz gut.
Datenschutz – Gut gemeint – schlecht umgesetzt
Neben dem Internet-Banking ist die DSGVO ein weiteres Beispiel dafür, wie etwas, was gut gemeint war schlecht umgesetzt wurde. Einerseits neigen die EU und der deutsche Gesetzgeber dazu, jeden Einzelfall regeln zu wollen. Andererseits gehen sie nicht weit genug mit ihren Regelungen.
Die EU hätte festlegen können, dass die Cookie-Messages auf eine einheitliche Weise untergebracht und ausgeblendet werden können. Leider ist das Accessibility Mainstreaming bei der EU nicht angekommen und es gibt wenig Hoffnung darauf, dass sich das Ändert.
Wie der Datenschutz die Barrierefreiheit einschränkt
Dass der Website Betreiber den cookiebanner einblenden muss ist grundsätzlich falsch, zumal da ohnehin wieder getrickst wird. Oft genug funktioniert das Nein gar nicht oder nur sehr umständlich. War gerade auf einer Website mit dem Tablet wobei die ganze hp durch das Banner blockiert war.
Tatsächlich muss das Zulassen einheitlich über den Browser erfolgen …
Da bieten sich metatags an und man benötigt dann kein Script.