Datenschützer wollen Cookie-Banner prüfen

Werden Nutzer korrekt über Werbetracking informiert? Deutsche Aufsichtsbehörden wollen nun insbesondere die Websites von Medien untersuchen.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 110 Beiträge
Von
  • Torsten Kleinz

Sie sind mittlerweile weit verbreitet: Wann immer Nutzer eine kommerzielle Website zum ersten Mal besuchen, poppt ein Cookie-Dialog auf: Hier sollen man bestätigen, dass man mit dem Tracking und der Weitergabe von Nutzerinformationen insbesondere zu Werbezwecken einverstanden ist. Doch allzu oft greifen Betreiber hierbei zu Tricks, um die Nutzer zur Datenfreigabe zu drängen.

Dies wollen sich die Datenschützer nicht länger bieten lassen. Sie hatten bereits im vergangenen Jahr eine Orientierungshilfe veröffentlicht, wonach eine "informierte, freiwillige, aktive und vorherige Einwilligung" vorliegen muss, bevor Tracking-Cookies gesetzt werden.

heise online daily Newsletter

Keine News verpassen! Mit unserem täglichen Newsletter erhalten Sie jeden Morgen alle Nachrichten von heise online der vergangenen 24 Stunden.

Bisher hatten die Aufsichtsbehörden diese Rechtsauffassung jedoch nicht durchgesetzt. Denn eigentlich gibt das deutsche Telemediengesetz Diensteanbietern ausdrücklich das Recht, pseudonymisierte Nutzerprofile zu Werbezwecken zu erstellen, solange die Nutzer nicht ausdrücklich widersprechen. Die deutsche Regelung war aber ein grober Verstoß gegen die europäische ePrivacy-Richtlinie wie der Bundesgerichtshof Ende Mai entschieden hat. Die Bundesregierung arbeitet derzeit an einem völlig neuen Gesetz, das diesen Missstand beheben soll.

Um den Ist-Zustand zu erfassen, wollen die Landes-Datenschutzbeauftragten unabhängig voneinander zunächst die Medienhäuser in ihrem Zuständigkeitsbereich prüfen. "Journalistische Angebote genießen ein besonderes, gleichzeitig auch fragiles Vertrauen vonseiten der Bevölkerung, indem sie zur freien Meinungsbildung beitragen", erklärt der baden-württembergische Datenschutzbeauftragte Stefan Brink. "Dieses Vertrauensverhältnis sollte sich auch im verantwortungsvollen Umgang der Medien mit Nutzerdaten widerspiegeln“, ergänzt der Behördenchef.

Einen "OK"-Knopf sucht man bei diesem Cookie-Dialog vergebens.

Für viele Medienhäuser kommt die Prüfung zu ungelegener Zeit. Denn grade haben viele Anbieter branchenübergreifend auf eine neue Version des GDPR Transparency and Consent Frameworks (TCF 2.0) umgestellt, das insbesondere die Programmatische Werbung auch im Blick auf die Datenschutz-Grundverordnung (DSGVO) auf ein abgesichertes Fundament stellen soll. Vereinfacht formuliert legt das Framework fest, wie die vielen Marktteilnehmer in dem undurchschaubaren Markt der personalisierten Werbung auf verbindliche Weise kommunizieren können, dass Nutzer-Daten tatsächlich zum Targeting weiterverwendet werden dürfen.

Ein Grund für die Neufassung: Im vergangenen Jahr hatte die britischen Datenschutzaufsichtsbehörde festgestellt, dass die bisherige Datenpraxis auf keinen Fall mit den Gesetzen in Einklang zu bringen sei. Nach zähen Verhandlungen hatte sich auch Google bereit erklärt, dem neuen Framework beizutreten. Ob die Neufassung die Mängel behebt, ist aber unklar: Die ICO hat weitere Untersuchungen bis auf weiteres ausgesetzt.

Ziel des TCF 2.0 ist es, im Backend sicherzustellen, dass über den IAB Transparency & Consent String (TC String) ein rechtssicherer Konsens vorliegt. Das Problem daran: Die neuen Konsens-Formulare wurden für den Endnutzer noch undurchschaubarer als bisher. So soll er zwischen zehn verschiedenen Verwendungszwecken unterscheiden, um genau festzulegen, was mit den eigenen Daten passieren darf oder nicht. Eine solche Klickorgie schreckt wohl die meisten Nutzer ab, sodass sie von selbst auf "Alles Akzeptieren" klicken.

Wer alle sichtbaren Schalter auf "Aus" stellt, widerspricht aber keinesfalls dem Tracking allgemein. Neu hinzugekommen ist oft eine zusätzliche Einstellungs-Seite für "Berechtigtes Interesse". Sprich: Hier sind die Seitenbetreiber der Auffassung, dass die Werbefinanzierung so elementar für den Zweck einer Website ist, dass sie keine explizite Zustimmung der Nutzer brauchen. Falls ein Nutzer die Zustimmung zur Profilerstellung verweigert, dient diese Einstellungsrubrik sozusagen als Backup, um das bestehende Geschäftsmodell keineswegs ändern zu müssen.

Um ganz auf Nummer Sicher zu gehen, setzen manche Anbieter noch auf sogenannte "Dark Patterns". So wird dem Nutzer gerne eine Vorauswahl präsentiert, wo nur die "essenziellen" Cookies aktiviert sind, die für die Funktion einer Website unerlässlich sind und keine Datenweitergabe beinhalten. Wer dies bestätigen will, sucht einen OK-Knopf jedoch vergebens – lediglich ein "Alle Akzeptieren"-Button wird angeboten. Andere Anbieter gehen den umgekehrten weg und blenden allenfalls für kurze Zeit einen Cookie-Banner ein.

Datenschützer bezweifeln, ob so überhaupt eine informierte Zustimmung erteilt werden kann. Zudem gibt es Beschwerden, die offene programmatische Werbemarktplätze verbieten wollen, weil Bieter hier persönliche Daten abschöpfen können.

Die baden-württembergische Behörde erklärt, dass man zunächst auf ausgewählte Medienhäuser mit besonders reichweitenstarken Online-Präsenzen zugehen wolle. Dennoch sollten sich Anbieter nicht auf den Langmut der Datenschützer verlassen, warnt Rechtsanwalt Simon Assion im Gespräch mit heise online: "Die Initiative der Datenschutzbehörden zeigt: Jetzt wird es ernst." Zudem seien die Behörden durchaus bereit, die Konfrontation zu suchen. "Der Landesdatenschutzbeauftragte von Baden-Württemberg hat in der Vergangenheit schon einige empfindlich hohe Bußgelder verhängt. Das sollten die potenziell betroffenen Unternehmen berücksichtigen", erklärt Assion.

(jk)