Cookies und die Verschlüsselung HTTPS sind zwei Themen im großen Bereich Datenschutz, die in den letzten Jahren immer wieder in einschlägigen Schlagzeilen erschienen. In den vergangenen Monaten hat auch Google Aussagen zu ihnen getätigt:
- Nutzer von AdSense und DoubleClick müssen Cookie-Hinweise mit aktiver Zustimmung einbauen.
- Seiten mit Eingabefeldern oder Formularen zur Erfassung von Nutzerdaten, die nicht auf HTTPS laufen werden in Googles Browser Chrome ab Oktober mit einer Sicherheitswarnung angezeigt.
Interessant ist: Diese Meldungen kommen nicht aus dem Nichts, sondern bauen auf seit Jahren andauernde Entwicklungen auf: Sowohl die rechtliche Lage um Cookies in der EU mit der deutschen Sonderrolle, als auch das Fördern von HTTPS sind schon einige Zeit Gegenstand von Diskussionen und Überlegungen.
Cookies und der Datenschutz
Was genau ist die Cookie-Richtlinien und was sind Cookie-Hinweise?
“Cookie-Richtlinie” bezeichnet die Rahmenverordnung, meist speziell nach EU-Recht. “Cookie-Hinweis” ist ihre Umsetzung auf Webseiten, speziell in etwas freierer deutscher Auslegung.
Seit 2009 gibt es die “EU-Cookie-Richtlinie”, deren Vorgaben von den Mitgliedsstaaten in nationale Gesetze umgesetzt werden sollen. In der offiziell E-Privacy-Richtlinie 2009/136/EG genannten Ausarbeitung wird festgesetzt, dass Nutzer vor dem Laden von Cookies zustimmen muss, die den Nutzer tracken und eine gezielte Werbeansprache über Seitengrenzen hinweg ermöglichen.
Dieses Vorgehen, bei dem eine explizite Zustimmung abgewartet werden muss, wird auch Opt-In genannt. In der Praxis soll das mit einem Banner oder Slide-In gelöst sein, auf dem man beim Erstaufruf der Seite der Cookie-Nutzung zustimmen oder sie ablehnen kann.
Die Lage in Deutschland
Cookie-Hinweise bei Erstbesuchen sind inzwischen auch auf deutschen Seiten weit verbreitet. Sie weisen auf die Verwendung von Cookies auf einer Seite hin und bieten die Möglichkeit sich näher zu informieren. An sich sind sie speziell in Deutschland bisher keine Pflicht und kommen daher ohne den genannten Opt-In aus. Denn für Deutschland gilt: Das bereits bestehende Telemediengesetz (§ 15 Abs. 3 TMG) wurde als ausreichende Umsetzung der Richtlinie akzeptiert. Obwohl darin kein Opt-In gefordert wird, sondern der Hinweis auf einen nachträglichen Widerspruch, ein Opt-Out, genügt.
Genau: Die Cookies können in Deutschland momentan unabhängig von der Reaktion des Nutzers auf den Cookie-Hinweis schon indem Moment geladen werden, in dem er die Seite lädt. Das ist natürlich gut für Werbetreibende, da sich die Möglichkeit zum Opt-Out unaufgeregt in den Datenschutzerklärung im Impressum oder einer Datenschutz Unterseite verpacken lässt. Dort muss man die verwendeten Cookies mit Speicherdauer und Herkunft, sowie mögliche Fremdanbieter-Cookies erläutern. Damit ist in Deutschland grundsätzlich das Nötige getan, Hinweise in Slidern sind dann ein Bonus mit denen man auf Nummer sicher geht.
Die meisten Banner und Slide-Ins in Deutschland werden vorausschauend auf diese Art gestaltet. Sie weisen auf die Verwendung von Cookies hin und leiten bei Interesse zu den entsprechenden Bestimmungen und Opt-Out-Hinweisen weiter. In der Praxis nutzt das zwar kaum ein Nutzer, sie werden aber an das Konzept gewöhnt, so dass eine Anpassung an sich ändernde Vorgaben einfacher möglich ist.
Ist das Einhalten der Cookie-Richtlinien für das Ranking relevant?
Die Umsetzung von EU-Recht ist für die Platzierung in den Suchergebnissen von Google nicht relevant. Sie bietet aber rechtliche Risiken.
Dieses Thema ist sehr EU-spezifisch und momentan noch im Fluss. Die nationalen Umsetzungen der Richtlinie sind wie so oft nicht einheitlich. Schon deshalb ist es sehr unwahrscheinlich, dass Google oder andere Suchmaschinen es in ihre Algorithmen aufnehmen. Entsprechend hat man auch noch nichts von Auswirkungen auf das Ranking von Seiten bemerkt. Auf diesem Feld ist man sicher, auch wenn die weiteren Entwicklungen von Seiten der Gesetzgeber unabhängig davon interessant sind.
Also brauche ich mir keine Gedanken über Richtlinie und Hinweis für Cookies zu machen?
Ja und nein. Momentan reicht eine entsprechende Datenschutzerklärung auf einer einfach erreichbaren Seite aus. Manche Google-Produkte haben eigenen Ansprüche und die Situation wird sich in absehbarer Zeit wieder ändern. Besser ist es jetzt schon vorbereitet zu sein.
Mit Blick auf den europäischen Markt und seine Entwicklungen hat Google die EU-Richtlinien für seine Programme AdSense und DoubleClick eingebunden. Damit ist ein Cookie Richtlinien mit Opt-In für Nutzer dieser Produkte auch in Deutschland bereits nötig.
Momentan befinden sich die EU-Datenschutz-Grundverordnung (DSGVO) und die EU-E-Privacy-Verordnung, die die gleichnamige Richtlinie ersetzen soll, im Abstimmungsprozess der EU. Beide sollen zum 25. Mai 2018 wirksam verabschiedet werden. Es lohnt sich also das Thema im Blick zu behalten, auch wenn es momentan noch nicht akut ist.
Wir raten zur Vorsorge. Ein Cookie Richtlinien Banner ist keine große Sache, aber es reduziert schon heute rechtliche Risiken. Außerdem führt es die Nutzer an dieses wichtige Thema heran, so dass kommende Verschärfungen keine so große Hemmschwelle mehr darstellen.
Worauf kann man sich für die Zukunft einstellen?
Noch lässt sich wenig Verbindliches sagen, allerdings sind auch die Zwischenschritte hin zu neuen Verordnungen schon interessant.
Wichtig ist das Wort “Verordnung”. Im Gegensatz zur Richtlinie soll die EU-E-Privacy-Verordnung zum 25. Mai 2015 direkt geltendes Recht werden. Bleibt es dabei, braucht keine nationale Gesetzgebung mehr zwischengeschaltet werden: Weniger nationale Schlupflöcher, schnellere Gültigkeit.
Da aber für die EU-E-Privacy-Verordnung bisher nur der Entwurf und die Stellungnahmen dazu vorliegen, ist wahrscheinlich, dass sich die Umsetzung noch hinzieht. Übergangsfristen sind absehbar. Es ist schwer zu sagen was aus dem Entwurf im politischen Abstimmungsprozess wird. Änderungen sind unvermeidlich.
Wer sich näher für den möglichen zukünftigen Umgang mit Cookies interessiert, der sollte trotzdem schon jetzt einen Blick in den Entwurf werfen. Die Absätze (19) bis (24) sprechen eher gegen “Richtlinien -Balken” und für eine verbindliche Lösung auf Browser-Ebene. Allerdings ist absehbar, dass die Datenschutz-Grundverordnung freie, spezifische und informierte Zustimmung fordern wird. Wie die Spannung zwischen Browser-Einstellung und einzelner Cookie-Zustimmung ausfallen wird, ist noch offen.
Das Anlegen anonymer Nutzerprofile soll ohne ausdrückliche Einwilligung des Nutzers verboten werden. Das kann unabhängig vom Cookie Richtlinien ein harter Schlag für das Online Tracking sein.
Der Europäische Datenschutzbeauftragte hat in seiner Stellungnahme unter Anderem die Komplexität der Regelung kritisiert. Den Entwurfstext in englischer Sprache und die wichtigsten Materialien findest Du bei Computer und Recht zusammengestellt.
HTTPS und das Ranking
Was ist HTTPS?
HTTPS ist ein Verbindungsprotokoll für verschlüsselte Internetverbindungen. Für sie benötigt der Seitenanbieter ein Zertifikat.
Die Abkürzung HTTPS steht für HyperText Transfer Protocol Secure, ein Übertragungsprotokoll für die Kommunikation zwischen dem Browser eines Internetnutzers und dem Server einer Internetseite. Im Unterschied zum bisher allgemein üblichen HTTP wird diese Kommunikation mit einem Zertifikat begonnen, die der Server als Ausweis der Vertrauenswürdigkeit sendet. Danach sendet der Browser einen Schlüssel, um die weitere Kommunikation verschlüsselt ablaufen zu lassen. Meist wird für die Verschlüsselung SSL verwendet.
In Browsern werden entsprechende Verbindungen auch grafisch gekennzeichnet. Das Symbol ist meist ein geschlossenes Vorhängeschloss.
Durch diese Verschlüsselung und das Zertifikat wird das Auslesen von Eingabedaten und Phishing verhindert. Entsprechende Zertifikate können allerdings für Seitenbetreiber abhängig von Domain und Traffic merklich Kosten verursachen. Bisher ist HTTPS im Bereich Mail, Social Media, Banking und Shopping der Standard.
Wie beeinflusst die Wahl von HTTP oder HTTPS mein Ranking?
Definitiv. Google bevorzugt Seiten, die gesicherte Verbindungen ermöglichen, auch wenn die Gewichtung wie immer nicht ganz klar ist. Die Warneinblendungen von Chrome bei ungesicherten Formularen sind ein eigener Faktor.
Google arbeitet schon seit Längerem an mehr Sicherheit im Web. Zu diesem Zweck werden gezielt verschlüsselte Verbindungen gefördert und es wurde sogar der Ansatz “HTTPS überall” aufgebracht. Dass HTTPS schon seit 2014 offiziell ein Rankingfaktor ist, ist deshalb wenig überraschend. Ende 2015 gab Google außerdem bekannt, dass bei zwei Varianten einer Seite HTTPS bevorzugt indexiert wird.
Wir wissen nicht welches konkrete Gewicht HTTPS aktuell als Ranking-Signal hat. 2014 wurde es mit 1% gewichtet. Grundsätzlich spielen die verschiedenen Faktoren aber merklich zusammen.
Bei Chrome wird nun nicht nur neben der Adressleiste eine Warnung angezeigt, wenn der Nutzer auf eine ungesicherte Seite mit Formularfeldern geht, seit Oktober erscheint diese Warnung auch bei Nutzung des Inkognito-Modus und in schweren Fällen direkt an den Formular-Feldern.
Das zeigt, dass Google seine Agenda zum sicheren Web immer noch verfolgt. Außerdem steht zu erwarten, dass diese Warnung auch in anderen Browsern übernommen wird.
Es kann gut sein, dass das Nutzer dazu bringt unverschlüsselte Formulare und vielleicht sogar generelle unverschlüsselte Verbindungen zu meiden. Das würde die Nutzersignale, vor allem die Bounce Rate beeinflusst und so die Relevanz von HTTPS im Ranking indirekt weiter verstärkt.
Wie wird die zukünftige Rolle von HTTPS sein?
Das Bedürfnis nach sicheren Web-Umgebungen und Googles Unterstützung werden HTTPS zum Standard professioneller Seiten machen. Hier gehen Verbraucherschutz und Konzerninteressen ausnahmsweise Hand in Hand.
HTTPS ist sicherer, schafft Vertrauen beim Kunden und benötigt keine spezielle Software. Der Mehraufwand nach einer Umstellung beschränkt sich auf die Mehrkosten für das Zertifikat und durch die Verschlüsselung leicht erhöhte Antwortzeit des Servers. Sowohl aus Sicht potentieller Nutzer als auch aus Sicht von Google gibt es keinen Grund, der gegen eine generelle Verwendung von HTTPS im ganzen Web spricht. Über kurz oder lang geht der Trend sicher hin zu sichereren Protokollen für alle professionellen Seiten.
Es kann gut sein, dass Google in der Zukunft dazu übergeht ungesicherte Seiten im Ranking aktiv abzuwerten. Das geschieht sicher nicht über Nacht und die oben genannten Einflüsse, die sichere Verbindungen im Ranking stärken, werden den Effekt verwischen. Die Möglichkeit besteht aber.
Vielleicht viel wichtiger ist eine andere Vermutung: Für die Gesamtheit der Webseiten gibt es derzeit kein einheitliches Gütesiegel, das grundsätzlich seriöse, professionelle Seiten kennzeichnet. HTTPS mit der Prüf- und Kostenschwelle seines Zertifikats könnte von Nutzern auf mittlere Sicht als solches wahrgenommen werden. Tatsächlich liegt diese Schwelle sehr niedrig und sichere Verbindung und seriöse Seite haben keine direkte Korrelation. Trotzdem wäre es fahrlässig eine solche Entwicklung zu verpassen, wenn bereit andere Vorteile für die Umstellung auf HTTPS sprechen.
Unser Fazit
Auch im schnelllebigen Umfeld des Internets können sich Entwicklungen und Pläne über Jahre stringent hinziehen. Und auch dort haben Gesetzgebungsverfahren Einfluss, die einerseits über Jahre quälend langsam erscheinen, dann aber überraschend schnell Anwendung finden müssen. Sowohl im Fall von Cookie Richtlinien, als auch von HTTPS ist es an der Zeit tätig zu werden, falls man noch keine Maßnahmen ergriffen hat. Die weiteren Entwicklungen könnten sonst zu tatsächlichen Verlusten im Ranking oder sogar rechtlichen Problemen führen.
Die Richtung beider Entwicklungen konnten wir in den letzten Jahren bereits gut verfolgen. Mit ein wenig Hilfe kann jeder seine Seite in doppelter Hinsicht sicherer machen und bereit für die zukünftigen Herausforderungen des Datenschutzes im Internet.