Der Kampf um die Cookies: Teil 1 – Einblick in die Tracking-Industrie
Sieben Jahre Rechtsstreit fanden im Mai 2020 ein Ende, als der Bundesgerichtshof ein richtungsweisendes Urteil verkündete: Im Streit zwischen dem VZBV, dem Verbraucherzentrale Bundesverband, und einem Glücksspielanbieter stellten die Richter fest, dass das bisherige deutsche Recht eigentlich nicht anwendbar sei.
Ein Paragraph des Telemediengesetzes, der Telemedien-Anbietern erlaubt hatte, pseudonymisierte Nutzerdaten zu Werbezwecken auch ohne direkte Einwilligung zu verwenden, wurde damit faktisch verworfen.
Die Auswirkungen des Urteils lassen sich heute an vielen Stellen betrachten. Wo es viele Verlage bisher bei wenig auffallenden oder gar automatisch verschwindenden Cookie-Bannern belassen hatten, werden heute deutlich größere und komplexere Cookie-Popups eingeblendet, mit denen die Endnutzer ihr Okay zur weitreichenden Verwendung von Daten geben sollen.
Ein anderer Trend hat schon länger eingesetzt, wird durch das Urteil aber nochmal verstärkt: Viele Medien haben sogenannte Paywalls eingeführt. Wo Leser bisher kostenfreien Zugang zu allen Informationen gehabt haben, gibt es nun Exklusiv-Inhalte für zahlende Abonnenten.
Cookies sind kleine Dateien, die von Internetseiten eingesetzt werden, um die Nutzer der Webseite zu identifizieren und Informationen für zukünftige Besuche zu speichern, etwa eingegebene Suchbegriffe oder angesehene Produkte.
Es gibt auch sogenannte „Third Party Cookies“. Das sind Cookies, die nicht von der Website selbst stammen, auf der man gerade surft, sondern von Drittparteien.
Ursprünglich war diese Webtechnik dazu gedacht, dass eine Webseite einige Informationen im Browser des Nutzers abspeichern kann. Etwa eine Kundenkennung, damit die Waren, die Kunden am Abend in ihren Warenkorb gelegt haben, am nächsten Morgen immer noch auf sie warteten.
Cookies erfassen Interessenprofile, um Werbung zu personalisieren
In den letzten zehn Jahren haben Cookies eine besondere Bedeutung beim Werbe-Tracking bekommen: Fast alle kommerziellen Websites verteilen Cookies von dutzenden Werbenetzwerken.
Sie dienen dazu, ausgiebige Interessenprofile von Nutzern zu erstellen und sie bei jeder Aktivität online – und mittlerweile auch offline – zu verfolgen.
Google allein platziert seine Tracking-Technik in über zwei Millionen Websites und Apps, so dass der Konzern sich ein ziemlich genaues Abbild der Aktivitäten der meisten Nutzer machen kann.
Maßgeschneiderte Werbung in Echtzeit
Ökonomische Grundlage dafür ist das „Programmatische Advertising“: Statt Werbebanner direkt auf einer bestimmten Webseite zu buchen, wird Online-Werbung heute fast ausschließlich über riesige Werbemarktplätze verteilt.
Hierbei dominieren die Echtzeit-Marktplätze: Wenn ein Nutzer eine Webseite lädt, werden seine in Cookies abgespeicherten Kennungen an die Werbenetzwerke geschickt, damit diese die Werbeplätze noch während des Ladens der Webseite versteigern können.
Diese Werbung ist hochpersonalisiert: So kann einem Auto-Fan interessengerichtete Werbung eingeblendet werden, selbst wenn er nur den Wetterbericht abrufen will. Oder: Wer aus Deutschland eine US-Website wie etwa CNN oder die New York Times aufsucht, bekommt deutsche Werbung eingeblendet.
Vom Browser bis zum Plakat
Die Erfassung des Nutzerverhaltens erreicht dabei immer neue Bereiche. So versuchen Werbedienstleister über den Abgleich von Cookies und Kunden-Accounts zum Beispiel immer mehr und präzisere Daten zu den Kundenprofilen hinzuzufügen.
Der Chef des Werbespezialisten Clear Channels, William Eccleshare, erklärt zum Europa-Start seines Unternehmens sogar: „Wir können in deine Sehgewohnheiten an dem Abend einblicken, an dem du an einer Werbung für eine Netflix-Show vorbeigekommen bist.“
Möglich wird dies auch, weil mittlerweile sogar Smart-TVs Cookies ausspielen, um die Sehgewohnheiten der Nutzer genau zu erfassen und personalisierte Werbung auszuspielen. Zudem erfassen viele Apps die Bewegungsprofile der Nutzer und schicken sie ebenfalls an Werbenetzwerke.
Google erfasst in den USA sogar die Zahlungsdaten eines Kreditkartenanbieters, um systematisch zu erfassen, ob Nutzer, die eine bestimmte Werbung gesehen haben, die beworbene Ware schließlich auch kaufen.
Wo endet der anonyme Nutzer? Und wo beginnen Cookie-Geschäftsmodelle?
Der Industrie-Konsens ist: Pseudonymisierte Daten haben kein großes Missbrauchspotenzial, da mit einer Cookie-Kennung nicht der Name von Personen verbunden werden kann und es ohnehin keinen Markt für illegal erworbene Daten gebe.
Diese These wird jedoch auf viele Weisen auf die Probe gestellt: Zum einen ist es geradezu unmöglich, solche riesige Mengen von Nutzerdaten über so viele verschiedene Unternehmen zu verteilen, ohne dass die Wiederidentifizierung notwendig wäre.
Zum anderen haben sich schon Geschäftsmodelle herausgebildet, die diese Möglichkeit explizit nutzen. So enthüllte etwa das US-Magazin Vice, dass sich US-Strafverfolgungsbehörden mittlerweile Fahndungsdaten von Daten-Brokern kaufen, die über die Werbeschnittstellen von Apps ausgiebige Interessen- und Bewegungsprofile erstellen.
Andere Daten-Broker kombinieren die Werbedaten aus unterschiedlichen Quellen und können so mitunter Kaufhistorie mit Namen und E-Mail-Adressen verbinden.
Politische Gemengelage auf EU-Ebene
Mittlerweile hat sich eine Milliarden-Industrie auf der Cookie-Technik aufgebaut. Diese Umsätze sind jedoch gefährdet. Ursache ist auch ein gesetzgeberisches Schachmatt: Denn das Urteil des Bundesgerichtshofs fußte auf einer Entscheidung des Europäischen Gerichtshofs, der sich wiederum auf die Europäische E-Privacy-Verordnung von 2002 bezieht.
Demnach müssen Nutzer erst um Erlaubnis gefragt werden, bevor Daten auf ihren Rechnern gespeichert werden. Diese Vorschrift hatte die Bundesregierung bisher jedoch nie umgesetzt.
Eigentlich hätte parallel zur Datenschutz-Grundverordnung im Jahr 2018 auch eine aktualisierte Version der E-Privacy-Regeln effektiv in Kraft treten sollen – diesmal sogar in Form einer Verordnung, die unmittelbar in allen EU-Mitgliedsstaaten gilt. Doch die Regierungen sind sich seit Jahren uneinig, wie diese Verordnung aussehen soll.
Während insbesondere Deutschland eine industriefreundlichere Version durchsetzen will, die langfristig auch das ungefragte Targeting erlauben würden, wollen andere Regierungen die Privatsphäre der Nutzer durchsetzen, indem die ihnen erlauben, sich über Browser-Einstellungen komplett von allem Targeting abzumelden und den Anbietern verbietet, Nutzer ohne eine solche Einwilligung zu diskriminieren. Ob und wann es tatsächlich zu einer Einigung kommt, ist derzeit unklar.
Gesetzesreform nach Jahren
Doch das gesetzgeberische Patt kann nach dem Richterspruch des Bundesgerichtshofs nicht weitergehen. So hat die Bundesregierung endlich angekündigt, die E-Privacy-Richtlinie nach fast 20 Jahren umzusetzen.
Dies soll im Zuge einer kompletten Novellierung des Telemediengesetzes geschehen: Das geplante Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG) soll endlich die europäischen Vorschriften umsetzen.
Ein erstes Leak zeigt aber einen Unterschied: Die Bundesregierung möchte, dass Nutzer ihre Einwilligung auch dann erklären können, indem sie im Browser oder mit einer anderen Anwendung ihre Einwilligung pauschal erteilt haben. In dem Fall könnten die Websites auf Cookie-Banner verzichten.
Die Schwierigkeit für die Industrie ist: Wie soll man die Nutzer davon überzeugen, ihre Daten pauschal für Werbung freizugeben? Erste Untersuchungen zeigen sehr unterschiedliche Zustimmungsraten zwischen über 90 und unter einem Prozent.
Der Unterschied liegt in der Ausgestaltung. „Die Ergebnisse deuten darauf hin, dass je rechtskonformer ich agiere, desto größer wird in der Regel die Ablehnung des Nutzers sein“, erklärt etwa Thomas Duhr, Vizepräsident der Bundesverbands Digitale Wirtschaft gegenüber iRights.info.
Das bedeutet: Anbieter werden motiviert, die Endnutzer zur Zustimmung zu drängen oder gar Techniken einzusetzen, die Nutzer gezielt täuschen sollen. Die Befürchtung ist, dass sonst die großen US-Konzerne Google, Amazon, Facebook und Apple noch mehr des Werbegeschäfts übernehmen können, da diese in der Regel deutlich weniger Schwierigkeiten haben, weitgehende Nutzereinwilligungen zur Datenverarbeitung zu erhalten.
Kontrolle vs. Bequemlichkeit
Denn sie können den Nutzern meist einen direkten Vorteil bieten: Wer etwa Google Zugriff auf Bewegungsdaten gibt, bekommt eine hochwertige Navigationslösung kostenlos, wer sein Adressbuch für Facebook öffnet, kann auf die am meisten verbreiteten Messenger-Dienste zugreifen.
Mit dem Inkrafttreten des Branchenstandards TCF 2.0 hat sich bei vielen Website-Betreibern eine noch komplexere Vorgehensweise durchgesetzt: So sehen Nutzer bei vielen Seiten einen Cookie-Dialog mit einer Vorauswahl, die nahelegt, dass die Datenerfassung zu Werbezwecken deaktiviert ist – eine Möglichkeit, diese Auswahl tatsächlich zu bestätigen gibt es aber nicht.
Wer diese Auswahl bestätigen will, wird jedoch zu einem Button mit der Aufschrift „Alle akzeptieren“ geleitet. Damit wird jegliche Datenweitergabe erlaubt: So haben viele Verlage entschieden, dass die Datenverarbeitung zu Werbezwecken bis auf wenige Ausnahmen keine explizite Zustimmung der Nutzer benötigt – sondern unter das „Berechtigte Interesse“ fallen. Das Argument: Wenn die Nutzer kostenfreie Informationen lesen wollen, haben sie auch Interesse daran, die Finanzierung der Website sicherzustellen.
Diese Interpretation widerspricht allerdings den Maßgaben der Aufsichtsbehörden, die bereits 2019 eine 21 Seiten lange Handreichung für Anbieter von Telemedien herausgegeben haben. Tatsächliche Regulierungsentscheidungen oder gar eine gerichtliche Überprüfung derselben gibt es aber noch nicht.
So haben mehrere Landesbehörden für Datenschutz erst im August 2020 damit begonnen, einen Fragebogen an Medienunternehmen zu verschicken, der die Praxis des Werbetrackings erstmals genau analysieren soll.
Fazit
Cookies sind heute integrale Bestandteile der allermeisten Webseiten: Sie erhöhen den Komfort für die Besucher, werden oft aber auch als Tracking-Elemente eingesetzt, ohne dass Verbraucher genau wissen oder einschätzen können, was mit ihren Daten passiert und an welche Stellen diese weitergegegeben werden.
Viele Pop-up-Dialoge sind so gestaltet, dass der DSGVO-Hinweis schnell weggeklickt werden kann – dabei ist es empfehlenswert, sich als Besucher einen Moment lang Zeit zu nehmen, um zu überprüfen, welchen Unternehmen man seine Daten womöglich preisgibt. Im zweiten Teil seiner Cookie-Serie erläutert Torsten Kleinz, wie die großen US-Tech-Konzerne um Cookies kämpfen und welche Alternativen sich zukünftig anbieten können.
12 Kommentare
1 Ray am 17. September, 2020 um 18:01
Wenn das die schöne neue Welt der Digitalisierung ist von dem unsere Politik ständig schwärmt und träumt muß ich für mich feststellen das können die für sich behalten. Dann lieber wieder zurück zum guten alten Analog.
2 Martin am 18. September, 2020 um 15:05
Ich finde es gut, dass man als User inzwischen entscheiden kann, welche Cookies man akzeptiert und welche nicht. Dabei finde ich die Gestaltung der Cookie-Meldung, wie im Fazit geschrieben, mehr als nervig. Teilweise sogar so dreist erstellt, dass mir suggeriert wird, ich könne die gewünschten Cookies selektieren/deselektieren, nur um dann versehentlich auf den rotgrünblaupink leuchtenden Button “Alle akzeptieren” zu klicken, während “Auswahl selektieren” in irgendeinem Sub-Menü versteckt ist.
Ich empfehle jedem, die Browsererweiterungen “I don’t care about cookies” um die Meldungen zu entfernen und den Browser so einzustellen, dass Cookies bei jedem schließen komplett gelöscht werden.
3 anonymus 13 am 18. September, 2020 um 16:15
…Artikel find ich prima !
4 Bernd am 18. September, 2020 um 21:36
Ok, Danke, endlich kann ich das einordnen, was sich da in den letzten Wochen beginnend, abspielt. Versuche stets auch das berechtigte Interesse zu deaktivieren und nur die “Essentials” zuzulassen.
Frage: Beim selbstgemachten Webauftritt z. B. eines Vereins, ggf. mit Joomla oder so, muss das jetzt nicht auch mit diesen Abfragen betrieben werden, oder?
5 Willi am 18. September, 2020 um 22:06
der Artikel ist Klasse und bringt Licht ins Dunkel der Cockie-Nervtöterei.
Die Dreistigkeit mit der Google und diverse andere Marktteilnehmer die Zustimmung zu Cockies durchsetzen wollen ist eine grobe Mißachtung der Rechtslage. Man muß sich durch einen mehr als 20 seitigen Sermon durcharbeiten, um am Ende festzustellen, daß ein opt-out unmöglich ist, weil es eine entsprechende Auswahlmöglichkeit einfach nicht gibt. Bei den namentlich genannten hundert “Trittbrettfahrern” ist bei 2/3 ein opt-out ebenfalls nicht möglich, weil deren Website nicht erreichbar ist.
6 Pat am 19. September, 2020 um 09:48
Ich bin enttäuscht. Mir wird vorgegaukelt, ich hätte ein Wahlrecht, was das Zulassen der Cookies und der damit verbundenen Datenspeicherung des riesigen Netzwerkes der Firmen angeht. Weit gefehlt. Entweder ich lasse alle, wenn auch unabsichtlich oder gar keine zu. Wenn ich allerdings ablehne, ist die jeweilige Website nicht mehr erreichbar. Was soll das? Und will ich eigentlich auf mich zugeschneiderte Werbung haben? Nein … Ich will auch mal über meinen Tellerrand hinausschauen und mich über andere Dinge informieren.
7 Elo am 19. September, 2020 um 10:09
Seit ein paar Tagen wird nur noch belästigt, Cockies zuzulassen, ansonsen ist die Seite gesperrt, egal auf welcher Seite und über welchen Browser. Das kotzt mich an. Das ist Erpressung und unseriös. Wie kann man sich dagegen wehren und trotzdem weiter im Internet tätig sein. Viellicht hat jemand einen heißen Tipp, den auch ich mit 77 Jahren verstehe. Danke!
8 Hubert am 19. September, 2020 um 11:22
ich habe Google mittlerweile komplett von meinem Rechner verbannt – Little Snitch macht’s möglich. Mir ist aber auch klar, dass mir diese Welt der Smartphones incl. ihrer Apps zunehmend fremder wird. Diese Diskrepanz wirkt für mich zunehmend befremdlich, beeinträchtigt aber meinen Lebensstil nicht, da ich schon frühzeitig damit begonnen habe, darauf zu achten, von diesen neuen Techniken nicht abhängig zu werden. Eine handvoll Cookies darf auf meinem Rechner bleiben, der Rest wird regelmäßig gekillt – es sind ohnehin nicht mehr viele.
9 Svenson am 19. September, 2020 um 14:46
Als Programmierer kann ich sagen, wenn gewollt geht es auch ohne Cookies. Keine Schwindelei. Und als Schmankerl für alle Anbieter von Cookies: Natürlich ist es Möglich personalisierte Werbung an anonymisierte user zeilgerichtet auszuspielen ;)
10 Slavko am 19. September, 2020 um 21:43
@Martin,
das wurde gut beschrieben. Und vielen Dank für die hilfreiche Information zu der Browsererweiterungen “I don’t care about cookies”.
Top!
11 rene am 23. September, 2020 um 10:20
Guter Artikel.
Früher gabs das nicht. Man hat einfach die Cookies in der Browsereinstellung abgelehnt und fertig. Wieso geht das heute nicht mehr?
12 Ria Hinken am 16. Oktober, 2020 um 17:37
Sehr gut und detailliert beschrieben.
Ehe man zum eigentlichen Grund des Besuches einer Website kommt, muss man jetzt ständig die Einstellungen genau ansehen. Ich habe neulich mal mehr Zeit auf das Ausstellen von Cookies verbraucht als zum Lesen des Beitrages auf der Seite, die ich besucht habe. Viele Ältere (#GenerationLochkarte) klicken häufig auf “alle akzeptieren”, weil sie nicht wissen, worum es geht. Das sind jene Menschen, die durch Corona im Hauruck-Verfahren Online gegangen sind. Ob das der Werbebranche allerdings hilft, bezweifle ich.
Was sagen Sie dazu?