Cookies automatisch filtern und blockieren
Cookie-Banner geben den Nutzer:innen nur scheinbar Kontrolle über ihre Daten. Deshalb haben ETH-Forschende eine Lösung entwickelt, die nicht notwendige Cookies mit maschinellem Lernen erkennt und automatisch blockiert – in Form einer Browser-Erweiterung.
In grossen Bannern und quer über den Bildschirm fragen uns Websites, ob wir der Nutzung von Cookies zustimmen. Cookies sind kleine Dateien, die im Webbrowser angelegt werden und die eine:n Nutzer:in für eine Website identifizierbar macht, ohne auf personenbezogene Daten wie eine E-Mail-Adresse angewiesen zu sein. Dadurch können beispielsweise persönliche Einstellungen oder Anmeldedaten gespeichert werden oder die Nutzungszeit- und Dauer ermittelt werden.
Cookies können jedoch auch Daten über das Verhalten der Nutzer:in sammeln und machen so personalisierte Werbung möglich. Deshalb haben Gesetzgeber die Verwendung von Cookies reguliert. Die Datenschutz-Grundverordnung der Europäischen Union (DSGVO) besagt, dass Website-Betreiber:innen ohne die Einwilligung der Nutzer:innen keine Cookies mehr setzen dürfen, die Daten über das Nutzungsverhalten sammeln.
Scheinkontrolle durch Cookie-Banner
Cookie-Banner holen diese Einwilligung für die Website-Betreiber:innen ein und sollen so sicherstellen, dass Nutzer:innen frei wählen können, ob und welche Cookies sie zulassen wollen.
Die Praxis der Cookie-Banner ist jedoch weit davon entfernt: Mehrere Studien haben gezeigt, dass Cookie-Banner den Nutzer:innen nur scheinbar eine Kontrolle über ihre Daten geben. Sei es, indem sie die Nutzer:innen mit gestalterischen Mitteln dazu bringen, alle Cookies zu akzeptieren, oder Cookies und ihre Funktionen unvollständig oder gar nicht deklarieren.
Kontrolle für die Nutzer:innen
ETH-Forscher schlagen deshalb eine Lösung vor, bei der sich die Nutzer:innen nicht auf die Angaben der Website-Betreiber:innen verlassen müssen. Dino Bollinger, Karel Kubíček und Carlos Cotrini aus der Gruppe von ETH-Professor David Basin haben eine Browser-Erweiterung entwickelt, die Cookies automatisiert kategorisieren und entfernen kann. Ihre Studie präsentieren die Wissenschaftler an einer renommierten Security-Konferenz im August.
Das Hilfsprogramm mit dem Namen Cookieblock verwendet maschinelles Lernen (ML), um Cookies den Datenschutzkategorien «Notwendig», «Funktional», «Analytisch» und «Werbung» zuzuordnen. Mit der Browser-Erweiterung sollen Nutzer nur einmalig angeben müssen, welchen Cookies sie zustimmen, danach übernimmt das Programm. Es entfernt dann alle anderen Cookies unabhängig von den Cookie-Bannern. Diese erscheinen zwar immer noch, werden durch die Browser-Erweiterung aber obsolet. Um Cookie-Banner ganz auszublenden, existieren Browser-Erweiterungen von anderen Anbietern.
Cookieblock ist für die Browser Chrome, Firefox, Edge und Opera erhältlich. In Tests zeigte sich, dass mit der Erweiterung mehr als 90 Prozent der Cookies entfernt werden, die Daten über Nutzer sammeln. Bei 85 Prozent der Websites geschah dies ohne Einfluss auf die Funktionen der Websites, bei 8 Prozent stellten die Autoren kleine Fehler bei «nicht wesentlichen Website-Funktionen» fest, und bei 7 Prozent der Websites störte die Erweiterung die Nutzung der Websites, etwa indem Logins verloren gingen. In solchen Fällen können einzelne Websites aber vom Prozess ausgenommen werden.
Datenschutzmängel weit verbreitet
Im Rahmen der Studie haben die Forschenden mehr als 30'000 Websites mit Cookie-Bannern darauf geprüft, ob die Banner der Europäischen Datenschutzverordnung gerecht werden. Konkret haben sie analysiert, ob die gesetzten Cookies über die Banner vollständig und korrekt deklariert werden und ob nur Cookies mit Zustimmung aktiviert wurden.
Das Resultat: Bei fast 95 Prozent der Websites fanden sie mindestens ein Problem, das sie als potenzieller Verstoss gegen die Datenschutz-Grundverordnung sehen. Mehr als 20 Prozent der Websites verwendeten Cookies, die der Nutzer ausdrücklich abgelehnt hatte, und 70 Prozent der Websites aktivieren bereits Cookies, bevor der Nutzer überhaupt mit dem Banner interagierte. «Das zeigt, wie wichtig es ist, dass die Nutzer die Kontrolle haben», sagt Karel Kubíček.
Literaturhinweis
Bollinger D, Kubicek K, Cotrini C, Basin D: externe Seite Automating Cookie Consent and GDPR Violation Detection, 31st USENIX Security Symposium, August 2022, (Preprint).