Websites können unlöschbare Cookies setzen, wenn sie aus einer Social-Media-App aufgerufen werden. Der Grund ist eine Technologie, die vielen BenutzerInnen völlig unbekannt ist.
Auf Twitter, LinkedIn und anderen sozialen Medien besteht ein Großteil der geposteten Nachrichten nicht aus Text, Bild oder Video, sondern aus geteilten Links zu externen Websites. Das sehen die Plattformen gar nicht gerne, denn das führt BenutzerInnen weg von deren Angebot.
Zum Glück gibt es auf Smartphones (auf denen ohnehin die Nutzung größer ist als auf Desktops) einen Trick, der von fast allen Social Media-Apps verwendet wird:
Der Klick auf einen externen Link öffnet keine neue App (den regulären Web-Browser des Smartphones - auf iOs also den Safari, auf Android Chrome), sondern einen sogenannten Webview. Dabei handelt es sich um ein Browser-Fenster, das in die App integriert ist. Die darunterliegende Technologie kommt zwar immer noch von Safari oder Chrome, aber der Webview hat eine Reihe von Vorteilen für die Social-Media-Plattform und Konsequenzen für die BenutzerInnen.
1️⃣ Man verlässt die App nicht
Wenn die externe Website in einer neuen App geöffnet wird, dann besteht eine reelle Gefahr, dass der Klick zurück zum sozialen Netzwerk unterbleibt. Mit dem Webview kann das nicht passieren, denn die Website wirkt dann eher wie ein Teilbereich der App, wie man im folgenden Screenshot am Beispiel von LinkedIn sieht. Der Bereich des Webviews ist rot markiert:
2️⃣ Die App kontrolliert den Webview
Wie der Internet-Unternehmer Felix Krause demonstriert hat, injizieren einige Apps Javascript-Code in den Webview. Dadurch besteht die Möglichkeit, zusätzliches Tracking hinzuzufügen oder gar die Tastatureingaben der Benutzerinnen abzugreifen.
Cookies können nicht gelöscht werden
Ein Nebeneffekt der Nutzung von Webviews ist von den App-Betreibern vermutlich weder beabsichtigt noch hätten sie viel davon: Cookies können aus Webviews nicht durch Löschen entfernt werden.
Der Verlauf und die gespeicherten Daten der Browser-App können leicht gelöscht werden - das ist bspw. nützlich, wenn man, so wie ich, aus Bequemlichkeit jedes Cookie-Banner mit “Alles akzeptieren” schließt. Unter iOs gibt es eine entsprechende Option unter “Einstellungen / Safari”, Android bietet eine vergleichbare Funktion an.
Für Cookies im Webview ist das aber nicht der Fall. Sie können es gerne ausprobieren, wir haben eine Testseite dafür vorbereitet: Wenn Sie die folgende URL im Smartphone öffnen und neu laden, dann zeigt sie an, wann sie zuerst besucht wurde:
https://decareto.com/de/do-i-know-you/
Wenn Sie den Verlauf und die Websitedaten wie oben beschrieben löschen und die Seite neu aufrufen, dann ändert sich auch das Datum des (vermeintlich) ersten Besuchs.
Das funktioniert nicht mehr, wenn Sie die Seite aus einer Social-Media-App heraus öffnen. Ich habe sie in diesem LinkedIn-Post verlinkt:
https://www.linkedin.com/posts/eckhard-schneider_do-i-know-you-activity-7082709250749132802-zBHS
Damit Sie den Effekt sehen, müssen Sie die Apps von LinkedIn bzw. Twitter auf Ihrem Smartphone installiert haben, und nach Klick auf diese Links sollte sich die jeweilige App mit dem Post öffnen.
Wenn Sie die App schließen und die beiden Post noch einmal aufrufen und den Link zur Testseite folgen, dann ändert sich das angezeigte Datum nicht. Löschen des Verlaufs im Browser ändert das nicht, wann immer Sie über die Social Media App zu dieser Seite navigieren, wird das Cookie erkannt und das Datum des ersten Besuchs angezeigt.
Fazit: Obacht beim Akzeptieren von Cookies
Innerhalb von Social Media Apps lohnt es sich, beim Aufrufen von Websites im Cookie-Banner alle Cookies abzulehnen, denn wenn sie eimal gesetzt sind können sie nicht mehr gelöscht werden.