Cookies, Konsens und Co.

Cookies

Immer mehr Websites stellen im Zusammehang mit Cookies auf neue Banner um. Doch wie genau eine datenschutzkonforme, kundenfreundliche Lösung aussehen soll, wird noch ausverhandelt.

Wann immer man dieser Tage eine Website zum ersten Mal aufsucht, poppt unvermeidbar ein Fenster auf. Ganz oben steht: „Dürfen wie Sie um Ihre Zustimmung bitten?“ oder „Wir wollen Ihnen das optimale Nutzererlebnis bieten!“ – darunter oder daneben ein Button zum „Akzeptieren“ und mehrere kleingeschriebene Hinweise, wie User ihre Datenrechte in Anspruch nehmen können. Wer der Weitergabe seiner Daten widersprechen will, muss sich oft durch ein verwirrendes Labyrinth aus Buttons, versteckten Optionen und Links klicken, um wirklich alle Datenverwendungen zu finden. Klickt man den Dialog einfach weg, muss man in der Regel damit leben, dass die Website Dutzende oder gar über 100 Cookies setzt. Wer Cookies hingegen per Browser-Einstellung pauschal verweigert, bekommt die Zustimmungs-Dialoge wieder und wieder angezeigt.

Es gibt insbesondere zwei Gründe für diese neue Banner-Flut. Zum einen hat der Bundesgerichtshof im Mai den deutschen Sonderweg beendet, der deutschen Website-Betreibern erlaubt hatte, Cookies entgegen der europäischen E-Privacy-Richtlinie ungefragt auf den Geräten der Nutzer zu speichern. Zum zweiten hat sich die Werbebranche nach den neuen Datenschutzgesetzen in Europa und Kalifornien auf einen neuen Standard geeinigt, wie man sichergehen kann, dass die Datenverwendung weiterhin den Gesetzen entspricht. Das „Transparency & Consent Framework“ liegt mittlerweile in Version 2.0 vor und ist breit angenommen worden – nicht zuletzt weil Google das Framework unterstützt. Folge: Wer heute versucht, ohne ein solches Cookie-Banner auszukommen, wird von den meisten Werbenetzwerken abgelehnt.

Worum geht es konkret? Cookies sind eigentlich eine fast 30 Jahre alte Webtechnik, die es ermöglicht, Voreinstellungen im Browser abzuspeichern. Der Server sendet einen kurzen Text-String an den Browser, der dort als Cookie abgespeichert wird. Besucht man die gleiche Website wieder, erkundigt sich der Webserver nach den gesetzten Cookies und bekommt den Text-String zurückgeschickt.

Dieser Textstring kann etwa aus einer Postleitzahl bestehen, so dass man auf der Website eines Wetterdienstes immer die Vorhersage für den eigenen Wohnort angezeigt bekommt. Der Textstring kann aber auch eine eindeutige Kennung enthalten, so dass man sich nicht bei jedem Besuch neu einloggen muss. Dank Cookies ist der Warenkorb im Online-Shop auch am nächsten Tag noch gefüllt, mit Cookies lassen sich Sprach-Präferenzen für Websites abspeichern oder einmal gesuchte Inhalte mit wenigen Klicks wiederfinden.

Cookies sind aber auch eine zentrale Technik hinter der personalisierten Werbung. Wer zum Beispiel eine Website aufruft, bekommt nicht nur die Cookies eines Verlages geschickt, sondern in der Regel auch die Cookies vieler Anzeigennetzwerke, die damit die Aktivitäten der Nutzer quer durch das Netz verfolgen. Mit den zusammengestellten Nutzerprofilen können den Nutzern zielgerichtete Angebote präsentiert werden. Beim Retargeting bekommen etwa Nutzer Werbung für Waren angezeigt, die sie sich vorher in einem Onlineshop angesehen, aber nicht gekauft haben. Um fast jede Werbung zielgerichtet ausspielen zu können, sammelt die Werbeindustrie umfassende Profile, die vom Alter über den Wohnort und Einkommen bis zu Interessen und Hobbys alle werberelevanten Informationen in einem Profil abspeichern.

Neben den Werbe-Cookies gibt es aber auch eine Reihe von Cookies, die Nutzer nicht durch das Web verfolgen. Beispielsweise versuchen Statistik-Skripte anhand von Cookies, die Besuchsstatistik zu konsolidieren. So behalten Betreiber die Übersicht darüber, wie viele Nutzer tatsächlich auf der Website unterwegs sind und welchen Weg sie nehmen. Ein anderes Beispiel für trackingfreie Cookies sind die der VG Wort, die auf vielen Verlagswebsites ausgespielt werden, um die Zuteilung der jährlichen Tantiemen an Autoren zu ermöglichen, dabei aber keine angebotsübergreifenden Nutzerprofile anlegen.

In den Cookie-Bannern geht es aber nicht nur um Cookies, sondern um viele Arten der Datenverarbeitung. Beispielsweise wollen Werbetreibende verhindern, dass ihre Werbung neben ungeeigneten Inhalten auftaucht – also fragen spezialisierte „Brand Safety“-Anbieter ab, neben welchem Artikel eine Werbung auftaucht. Werden solche Skripte verweigert, wollen viele Anzeigenkunden nicht inserieren. In Cookies wird auch festgehalten, wie oft eine bestimmte Werbung ausgespielt wird – schließlich wollen Werbekunden nicht zu viel für ein und den selben Nutzer ausgeben. Wer als Website-Betreiber auf den Echtzeitmarktplätzen der Programmatischen Werbung lohnende Preise erzielen will, muss viele Daten liefern.

Wer eine Website betreibt und mit Werbung Geld verdienen will, hat somit ein klares Ziel: Nutzer sollen so häufig wie nur möglich ihre Zustimmung zur Datenverarbeitung geben. Lehnen die Nutzer ab, ist in der Regel ein rapider Einnahmeverlust kaum vermeidbar: Auch wenn es den Websites immer noch möglich ist, bestimmte Werbung ohne Tracking an die Nutzer auszuliefern, werden diese Banner deutlich schlechter bezahlt. Und selbst zu reduzierten Preisen liefert die datenhungrige Werbeindustrie meist nicht genug Werbung – lehnen die Nutzer alle Cookies ab, bleiben in der Regel viele Werbeplätze leer.

Das Ergebnis sieht entsprechend aus: Zwar gibt es viele Betreiber, die ihr Möglichstes tun, den Nutzern eine informierte Wahl zu ermöglichen. Doch viele Cookie-Banner wirken, als ob sie den Nutzer gezielt verwirren sollen. So sind die Buttons zur Zustimmung farblich hervorgehoben, die Optionen zur Ablehnung jedoch betont schlicht gehalten und missverständlich beschriftet.

In den neu veröffentlichen Hinweisen warnt die niedersächsischen Datenaufsichtsbehörde vor solchen Praktiken. Beim „Nudging“ werde geradezu versucht, die Nutzer zur Zustimmung zu schubsen. Wo genau die Grenzen liegen, versuchen die Datenschützer herauszuarbeiten. „Fest steht, dass einem erlaubten Nudging Grenzen gesetzt sind und verhaltensmanipulierende Ausgestaltungen zu einer Unwirksamkeit der Einwilligung führen können“, heißt es in den Empfehlungen aus Hannover. In keinem Fall solle man sich auf die Voreinstellungen bei den im Markt angebotenen Consent-Tools verlassen, die die Cookie-Abwicklung für die Seiten-Betreiber übernehmen. Auch eine sogenannte Cookie-Wall, bei der Nutzer von Inhalten ausgesperrt werden, wenn sie Cookies nicht zustimmen sollten, sei nicht mit der Datenschutz-Grundverordnung zu vereinbaren. Derzeit untersuchen Datenschutzbehörden aus ganz Deutschland die Praxis der Cookie-Banner. Wie man Software im Allgemeinen auf DSGVO Komformität testen kann, haben wir bereits in diesem Beitrag besprochen.

Umfang der Datenverarbeitung muss klar werden

Auch in ihrer Komplexität reduzierte Cookiebanner, wo den Nutzern eine Auswahl gegeben wird, ob sie nur „notwendigen“ oder „essenziellen“ Datenweitergaben zustimmen wollen, sind nicht per se zulässig. Hier verwenden viele Betreiber einen Trick: In der Voreinstellung wird nur ein Haken angezeigt, die Optionen für Marketing- oder Statistik-Cookies sind nicht angewählt. Wer jedoch den farblich hervorgehobenen Button an der Stelle klickt, wo man üblicherweise den „OK“-Button erwartet, stimmt dann doch jeder Datenverarbeitung zu.

In einem aktuellen Urteil entschied das Landgericht Rostock, dass solche Cookie-Banner unzulässig sind: „Zwar hat der Verbraucher die Möglichkeit, sich die Details anzeigen zu lassen und einzelne Cookies abzuwählen. Tatsächlich wird der Verbraucher jedoch regelmäßig den Aufwand eines solchen Vorgehens scheuen und deshalb den Button ohne vorherige Information über die Details betätigen“, heißt es in der Urteilsbegründung. Sprich: Statt dem Nutzer eine schnelle Ausflucht zu bieten, muss ein Website-Betreiber nach Auffassung der Richter darüber aufklären, welche Daten zu welchen Zwecken benutzt werden sollen.

Ein großer Streitpunkt: Wann übertrumpft das „berechtigte Interesse“ der Website-Betreiber und der Werbeindustrie die Zustimmungspflicht der Nutzer? Denn die Datenschutz-Grundverordnung verlangt ausdrücklich nicht für jede Datenverarbeitung eine explizite Zustimmung. Wenn eine Datenverarbeitung etwa offensichtlicher Teil einer Vertragsausführung ist, ist eine zusätzliche Zustimmung unnötig. Hier scheiden sich die Geister: So nehmen insbesondere Verlage die Haltung ein, dass das Bereitstellen eines Nachrichten- oder Informationsangebots ursächlich mit der Werbefinanzierung verknüpft ist. Datenschützer wollen dies so jedoch nicht stehen lassen. „Einige Verantwortliche nahmen sehr pauschal ein eigenes berechtigtes Interesse an, ohne auf die Interessen und Rechte der betroffenen Personen einzugehen“, heißt es in einem ersten Prüfungsbericht der Landesbeauftragten für den Datenschutz Niedersachsen.

Der Unterschied zwischen berechtigtem Interesse und zustimmungspflichtiger Datenverarbeitung ist der Unterschied zwischen Opt-In und Opt-Out. In einem Fall dürfen Daten nur verarbeitet werden, wenn die Nutzer ausdrücklich zustimmen. Im anderen Fall müssen sie auf Eigeninitiative widersprechen, um eine Datenweitergabe zu verhindern. Da viele Nutzer den Weg nehmen, der am wenigsten Klick- und Lesearbeit verursacht, sind die Ergebnisse hoch verschieden. Lässt man den Nutzern eine völlig freie Wahl, ob sie persönliche Daten zu Werbezwecken übertragen wollen, lehnen die meisten ab.

Im üblichen TCF-2.0-Banner wird die Zustimmung als automatisch widerrufen markiert, wenn ein Nutzer auf „Einstellungen“ klickt. Wer dann jedoch diese Auswahl bestätigt, übersieht oft einen zweiten Kartenreiter, indem aufgezählt wird, welche Daten auch ohne explizite Zustimmung weitergegeben werden. Wird die Hintertür des „berechtigten Interesses“ geschlossen, befürchtet etwa die Affiliate Marketing-Branche einen Umsatzrückgang von bis zu 40 Prozent, weil viele fällige Provisionszahlungen nicht den Werbeanzeigen zugeordnet werden könnten.

Inzwischen kündigt sich ein zweites Adblocker-Wettrüsten an. Während Browser-Hersteller wie Apple und Mozilla viele Cookies in der Voreinstellung ablehnen oder vorzeitig löschen, steuern viele Betreiber entgegen. So richten insbesondere Verlage immer mehr Paywalls ein, bei denen sich die Nutzer zumindest einloggen oder gar bezahlen müssen, um weiterhin die bisher kostenfreien Inhalte zu lesen. Es gibt auch erste Browser-Plugins wie „Ninja Cookie“, die das Ablehnen von Cookies automatisieren.

Zwar gibt es seit Jahren Bestrebungen trackingfreie oder zumindest trackingarme Werbung zu etablieren – doch schlüsselfertige Lösungen für eine breite Masse von Angeboten gibt es noch nicht. In den bestehenden Strukturen schrecken viele Publisher vor Alleingängen zurück. Alle Augen richten sich etwa auf Google. Der weltgrößte Werbekonzern will bis 2020 alle Third Party-Cookies im eigenen Browser deaktivieren und an die Stelle ein völlig neu konzipiertes Werbesystem setzen. Eine Grund-Idee: Statt die persönlichen Daten bei Werbenetzwerken und Datendienstleistern zu speichern, soll künftig das Targeting vom Browser erledigt werden. Ein anderer Ansatz: Werbung soll weniger auf den persönlichen Profilen der Endnutzer und mehr auf den Inhalten im Browser basieren. So könnte Buzzfeed-Lesern die neuste koreanische Pop-Sensation, dem FAZ-Publikum eher ein Oberklasse-Auto angepriesen werden.

Bis es höchstrichterliche Urteile gibt, ist die Situation weitgehend ungeklärt. Sanktionen der deutschen Aufsichtsbehörden für unzulässige Cookiebanner sind bisher nicht bekannt. Auch im europäischen Verbund gibt es noch keine einheitliche Linie: Eine britische Untersuchung der Werbepraktiken ist im Vorfeld des Brexit im Sande verlaufen. In Belgien läuft hingegen ein Verfahren, das die Grundfesten des TCF insgesamt in Frage stellen könnte.

Wie sich die Gesetzgeber verhalten, ist ebenfalls weitgehend unklar. So ist Deutschland ein weiteres Mal daran gescheitert, eine E-Privacy-Verordnung auf den Weg zu bringen, die die veralteten Vorschriften zu Cookies auf eine praxisnähere Grundlage stellt. Stattdessen arbeitet die Regierung an einer nationalen Regelung im Rahmen eines neuen Telekommunikations-Telemedien-Datenschutz-Gesetzes. Das könnten aber schon bald wieder überholt sein: Im Europäischen Parlament wird derzeit diskutiert, im Rahmen des Digital Services Act die personalisierte Werbung grundsätzlich zu verbieten oder radikal einzuschränken. Auch in den USA scheinen die Gesetzgeber inzwischen gewillt, sich dem Problem des Datenschutzes und der Werbepraktiken auf Bundesebene zu widmen. Solange jedoch keiner der Akteure die Online-Werbeindustrie zwingt ihr Geschäftmodell radikal umzustellen, heißt es weiterhin an jeder Ecke: „Dürfen wir um ihre Zustimmung bitten?“

Teile dieses Beitrages wurden erstmals veröffentlicht auf Heise Online, heise online ist eine seit 1996 bestehende Nachrichten-Website des Heise-Zeitschriften-Verlags.

Aktuelles