Cookie-​Banner geben den Nutzerinnen nur scheinbar Kontrolle über ihre Daten. Deshalb haben ETH-​Forschende eine Lösung in Form einer Browser-​Erweiterung entwickelt, die nicht notwendige Cookies mit maschinellem Lernen erkennt und automatisch blockiert. In grossen Bannern und quer über den Bildschirm fragen uns Websites, ob wir der Nutzung von Cookies zustimmen. Cookies sind kleine Dateien, die im Webbrowser angelegt werden und die einen Nutzer für eine Website identifizierbar macht, ohne auf personenbezogene Daten wie eine E-​Mail-Adresse angewiesen zu sein. Dadurch können beispielsweise persönliche Einstellungen oder Anmeldedaten gespeichert werden oder die Nutzungszeit-​ und Dauer ermittelt werden.

Cookies können jedoch auch Daten über das Verhalten der Nutzer und Nutzerinnen sammeln und machen so personalisierte Werbung möglich. Deshalb haben Gesetzgeber die Verwendung von Cookies reguliert. Die Datenschutz-​Grundverordnung der Europäischen Union (DSGVO) besagt, dass Website-​Betreiber ohne die Einwilligung der User keine Cookies mehr setzen dürfen, die Daten über das Nutzungsverhalten sammeln.

Cookie-​Banner holen diese Einwilligung für die Website-​Betreiber ein und sollen so sicherstellen, dass Besucher frei wählen können, ob und welche Cookies sie zulassen wollen.

Die Praxis der Cookie-​Banner ist jedoch weit davon entfernt: Mehrere Studien haben gezeigt, dass Cookie-​Banner nur scheinbar eine Kontrolle über die Daten geben. Sei es, indem sie die Nutzer und Nutzerinnen mit gestalterischen Mitteln dazu bringen, alle Cookies zu akzeptieren, oder Cookies und ihre Funktionen unvollständig oder gar nicht deklarieren.

ETH-​Forscher schlagen deshalb eine Lösung vor, bei der sich die Surfer nicht auf die Angaben der Website verlassen müssen. Dino Bollinger, Karel Kubíček und Carlos Cotrini aus der Gruppe von ETH-​Professor David Basin haben eine Browser-​Erweiterung entwickelt, die Cookies automatisiert kategorisieren und entfernen kann. Ihre Studie präsentieren die Wissenschaftler an einer renommierten Security-​Konferenz im August.

Das Hilfsprogramm mit dem Namen "Cookieblock" verwendet maschinelles Lernen (ML), um Cookies den Datenschutzkategorien "Notwendig", "Funktional", "Analytisch" und "Werbung" zuzuordnen. Mit der Browser-​Erweiterung sollen Nutzer nur einmalig angeben müssen, welchen Cookies sie zustimmen, danach übernimmt das Programm. Es entfernt dann alle anderen Cookies, unabhängig von den Cookie-​Bannern. Diese erscheinen zwar immer noch, werden durch die Browser-​Erweiterung aber obsolet. Um Cookie-​Banner ganz auszublenden, existieren Browser-​Erweiterungen von anderen Anbietern.

Cookieblock ist für die Browser Chrome, Firefox, Edge und Opera erhältlich. In Tests zeigte sich, dass mit der Erweiterung mehr als 90% der Cookies entfernt werden, die Daten über Nutzer sammeln. Bei 85% der Websites geschah dies ohne Einfluss auf die Funktionen der Websites, bei 8% stellten die Autoren kleine Fehler bei "nicht wesentlichen Website-​Funktionen" fest, und bei 7% der Websites störte die Erweiterung die Nutzung der Websites, etwa indem Logins verloren gingen. In solchen Fällen können einzelne Websites aber vom Prozess ausgenommen werden.

Im Rahmen der Studie haben die Forschenden mehr als 30'000 Websites mit Cookie-​Bannern darauf geprüft, ob die Banner der Europäischen Datenschutzverordnung gerecht werden. Konkret haben sie analysiert, ob die gesetzten Cookies über die Banner vollständig und korrekt deklariert werden und ob nur Cookies mit Zustimmung aktiviert wurden.

Das Resultat: Bei fast 95% der Websites fanden sie mindestens ein Problem, das sie als potenzieller Verstoss gegen die Datenschutz-​Grundverordnung sehen. Mehr als 20% der Websites verwendeten Cookies, die der Nutzer ausdrücklich abgelehnt hatte, und 70% der Websites aktivieren bereits Cookies, bevor der Nutzer überhaupt mit dem Banner interagierte. "Das zeigt, wie wichtig es ist, dass die Nutzer die Kontrolle haben", sagt Karel Kubícek.

Weitere Informationen findet man in diesem Forschungspapier (PDF) und auf der Github-Seite von Karel Kubícek.