Cookies, Konsens und Co – "Dürfen wir um ihre Zustimmung bitten?"
Immer mehr Websites stellen auf neue Cookie-Banner um. Doch wie genau eine datenschutzkonforme, kundenfreundliche Lösung aussehen soll, wird noch ausverhandelt.
(Bild: Datenschutz-Stockfoto/Shutterstock.com)
Wann immer man dieser Tage eine Website zum ersten Mal aufsucht, poppt unvermeidbar ein Fenster auf. Ganz oben steht: "Dürfen wie Sie um Ihre Zustimmung bitten?" oder "Wir wollen Ihnen das optimale Nutzererlebnis bieten!" – darunter oder daneben ein Button zum "Akzeptieren" und mehrere kleingeschriebene Hinweise, wie User ihre Datenrechte in Anspruch nehmen können. Wer der Weitergabe seiner Daten widersprechen will, muss sich oft durch ein verwirrendes Labyrinth aus Buttons, versteckten Optionen und Links klicken, um wirklich alle Datenverwendungen zu finden. Klickt man den Dialog einfach weg, muss man in der Regel damit leben, dass die Website Dutzende oder gar über 100 Cookies setzt. Wer Cookies hingegen per Browser-Einstellung pauschal verweigert, bekommt die Zustimmungs-Dialoge wieder und wieder angezeigt.
Es gibt insbesondere zwei Gründe für diese neue Banner-Flut. Zum einen hat der Bundesgerichtshof im Mai den deutschen Sonderweg beendet, der deutschen Website-Betreibern erlaubt hatte, Cookies entgegen der europäischen E-Privacy-Richtlinie ungefragt auf den Geräten der Nutzer zu speichern. Zum zweiten hat sich die Werbebranche nach den neuen Datenschutzgesetzen in Europa und Kalifornien auf einen neuen Standard geeinigt, wie man sichergehen kann, dass die Datenverwendung weiterhin den Gesetzen entspricht. Das "Transparency & Consent Framework" liegt mittlerweile in Version 2.0 vor und ist breit angenommen worden – nicht zuletzt weil Google das Framework unterstützt. Folge: Wer heute versucht, ohne ein solches Cookie-Banner auszukommen, wird von den meisten Werbenetzwerken abgelehnt.
Keine Zustimmung, keine Kekse?
Worum geht es konkret? Cookies sind eigentlich eine fast 30 Jahre alte Webtechnik, die es ermöglicht, Voreinstellungen im Browser abzuspeichern. Der Server sendet einen kurzen Text-String an den Browser, der dort als Cookie abgespeichert wird. Besucht man die gleiche Website wieder, erkundigt sich der Webserver nach den gesetzten Cookies und bekommt den Text-String zurückgeschickt.
Dieser Textstring kann etwa aus einer Postleitzahl bestehen, so dass man auf der Website eines Wetterdienstes immer die Vorhersage für den eigenen Wohnort angezeigt bekommt. Der Textstring kann aber auch eine eindeutige Kennung enthalten, so dass man sich nicht bei jedem Besuch neu einloggen muss. Dank Cookies ist der Warenkorb im Online-Shop auch am nächsten Tag noch gefüllt, mit Cookies lassen sich Sprach-Präferenzen für Websites abspeichern oder einmal gesuchte Inhalte mit wenigen Klicks wiederfinden.
Cookies sind aber auch eine zentrale Technik hinter der personalisierten Werbung. Wer zum Beispiel eine Website aufruft, bekommt nicht nur die Cookies eines Verlages geschickt, sondern in der Regel auch die Cookies vieler Anzeigennetzwerke, die damit die Aktivitäten der Nutzer quer durch das Netz verfolgen. Mit den zusammengestellten Nutzerprofilen können den Nutzern zielgerichtete Angebote präsentiert werden. Beim Retargeting bekommen etwa Nutzer Werbung für Waren angezeigt, die sie sich vorher in einem Onlineshop angesehen, aber nicht gekauft haben. Um fast jede Werbung zielgerichtet ausspielen zu können, sammelt die Werbeindustrie umfassende Profile, die vom Alter über den Wohnort und Einkommen bis zu Interessen und Hobbys alle werberelevanten Informationen in einem Profil abspeichern.
Tracker und Nicht-Tracker
Neben den Werbe-Cookies gibt es aber auch eine Reihe von Cookies, die Nutzer nicht durch das Web verfolgen. Beispielsweise versuchen Statistik-Skripte anhand von Cookies, die Besuchsstatistik zu konsolidieren. So behalten Betreiber die Übersicht darüber, wie viele Nutzer tatsächlich auf der Website unterwegs sind und welchen Weg sie nehmen. Ein anderes Beispiel für trackingfreie Cookies sind die der VG Wort, die auf vielen Verlagswebsites ausgespielt werden, um die Zuteilung der jährlichen Tantiemen an Autoren zu ermöglichen, dabei aber keine angebotsübergreifenden Nutzerprofile anlegen.
In den Cookie-Bannern geht es aber nicht nur um Cookies, sondern um viele Arten der Datenverarbeitung. Beispielsweise wollen Werbetreibende verhindern, dass ihre Werbung neben ungeeigneten Inhalten auftaucht – also fragen spezialisierte "Brand Safety"-Anbieter ab, neben welchem Artikel eine Werbung auftaucht. Werden solche Skripte verweigert, wollen viele Anzeigenkunden nicht inserieren. In Cookies wird auch festgehalten, wie oft eine bestimmte Werbung ausgespielt wird – schließlich wollen Werbekunden nicht zu viel für ein und den selben Nutzer ausgeben. Wer als Website-Betreiber auf den Echtzeitmarktplätzen der Programmatischen Werbung lohnende Preise erzielen will, muss viele Daten liefern.
Wer eine Website betreibt und mit Werbung Geld verdienen will, hat somit ein klares Ziel: Nutzer sollen so häufig wie nur möglich ihre Zustimmung zur Datenverarbeitung geben. Lehnen die Nutzer ab, ist in der Regel ein rapider Einnahmeverlust kaum vermeidbar: Auch wenn es den Websites immer noch möglich ist, bestimmte Werbung ohne Tracking an die Nutzer auszuliefern, werden diese Banner deutlich schlechter bezahlt. Und selbst zu reduzierten Preisen liefert die datenhungrige Werbeindustrie meist nicht genug Werbung – lehnen die Nutzer alle Cookies ab, bleiben in der Regel viele Werbeplätze leer.
Zur Zustimmung geschubst
Das Ergebnis sieht entsprechend aus: Zwar gibt es viele Betreiber, die ihr Möglichstes tun, den Nutzern eine informierte Wahl zu ermöglichen. Doch viele Cookie-Banner wirken, als ob sie den Nutzer gezielt verwirren sollen. So sind die Buttons zur Zustimmung farblich hervorgehoben, die Optionen zur Ablehnung jedoch betont schlicht gehalten und missverständlich beschriftet.
In den neu veröffentlichen Hinweisen warnt die niedersächsischen Datenaufsichtsbehörde vor solchen Praktiken. Beim "Nudging" werde geradezu versucht, die Nutzer zur Zustimmung zu schubsen. Wo genau die Grenzen liegen, versuchen die Datenschützer herauszuarbeiten. "Fest steht, dass einem erlaubten Nudging Grenzen gesetzt sind und verhaltensmanipulierende Ausgestaltungen zu einer Unwirksamkeit der Einwilligung führen können", heißt es in den Empfehlungen aus Hannover. In keinem Fall solle man sich auf die Voreinstellungen bei den im Markt angebotenen Consent-Tools verlassen, die die Cookie-Abwicklung für die Seiten-Betreiber übernehmen. Auch eine sogenannte Cookie-Wall, bei der Nutzer von Inhalten ausgesperrt werden, wenn sie Cookies nicht zustimmen sollten, sei nicht mit der Datenschutz-Grundverordnung zu vereinbaren. Derzeit untersuchen Datenschutzbehörden aus ganz Deutschland die Praxis der Cookie-Banner.
