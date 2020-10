Mit einer Art reduziertem Do Not Track-Standard will eine neue Industrie-Allianz den Verbrauchern eine Möglichkeit geben, sich dem globalen Handel mit persönlichen Informationen zu entziehen. Die um die New York Times und Washington Post gebildete Gruppe "Global Privacy Control" hat dazu Spezifikationen vorgestellt, die Website-Betreiber und Browser-Hersteller in ihre Produkte integrieren sollen. Auch die Browser-Hersteller Mozilla und Brave sind dabei.

Allianzen im Werbe-Kampf

Die neue Initiative ist Teil des Kampfes über die Zukunft der Online-Werbung, der durch den Ausstieg Googles aus den Third-Party-Cookies angeheizt worden ist. Während sich die Adtech-Industrie und Werbekunden bemühen, den Status Quo soweit wie möglich zu erhalten, sehen Publisher die Gelegenheit, ihre Abhängigkeit von großen Werbenetzwerken zu reduzieren und eigene Werbeprogramme aufzusetzen.

heise online daily Newsletter Keine News verpassen! Mit unserem täglichen Newsletter erhalten Sie jeden Morgen alle Nachrichten von heise online der vergangenen 24 Stunden. Newsletter jetzt abonnieren

Die Initiative bezieht sich in erster Linie auf den California Consumer Privacy Act (CCPA), der es ausdrücklich vorsieht, dass Nutzer ihre persönlichen Daten mit einem "Do not sell"-Vermerk versehen können. Hiermit wäre das Tracking zu Werbezwecken zwar immer noch generell möglich – die Weitergabe der Profilinformationen soll jedoch untersagt sein. Global Privacy Control will sich um offizielle Anerkennung durch die kalifornischen Behörden bemühen, so dass Firmen aus dem Silicon Valley gewzungen wären, dieses Signal zu respektieren.

Standard für USA und Europa

Auch unter der europäischen Datenschutz-Grundverordnung (DSGVO) soll das neue GPC-Signal als verbindliche Erklärung der Verbraucher gelten. Allerdings ist hier die gesetzliche Regelung noch in der Schwebe. Zwar sieht die DSGVO entsprechende Verbraucher-Erklärungen vor. Doch welche konkrete Form diese Absichtserkärung annehmen kann, ist hier nicht geregelt. Die seit drei Jahren überfällige ePrivacy-Verordnung könnte hier Klarheit schaffen. In den jüngsten Entwürfen unter deutscher Ratspräsidentschaft sind ausdrücklich "Personal Information Management Services" vorgesehen. Allerdings denkt die Bundesregierung hier offenbar mehr an Login-Allianzen wie NetID oder Verimi, die der Wirtschaft weiterhin das siloartige Sammeln von Millionen Nutzerprofilen erlauben würden.

Nun gilt es, den Standard zu verbreiten und auszutesten. Wer den neuen Standard ausprobieren will, kann sich von verschiedenen Anbietern wie der privatsphäre-orientierten Suchmaschine DuckDuckGo oder der amerikanischen Bürgerrechtsorganisation EFF ein Plug-In installieren. Neben der New York Times und der Washington Post wollen auch die Financial Times und Automattic mit den Plattformen Wordpress und Tublr das neue Signal respektieren.

Konflikte um Standards

Der erste Versuch, einen "Do Not Track2-Standard zu etablieren war gescheitert, nachdem sich Publisher und Werbeindustrie schlicht weigerten, das von Browsern gesendete Signal zu respektieren. Der Verzicht auf den Datenhandel hätte die Publisher einen Großteil ihrer Werbeeinnahmen gekostet, da sich die Werbebuchungen in den vergangenen zehn Jahren fast komplett auf datengetriebene Kanäle verlagert hatten.

Mit den neuen Privatsphäre-Gesetzen im Rücken versucht sich die Global Privacy Control mit einem neuen Kompromiss zwischen Nutzer-Interessen und Werbefinanzierung: So hat die Washington Post unter der Ägide von Amazon-Gründer Jeff Bezos das System Zeus entwickelt, mit dem im Redaktionssystem selbst Nutzerprofile erzeugt werden, die zur Inhalte- und Werbeausspielung genutzt werden können. Auch die New York Times und mittlerweile auch deutsche Verlage wollen auf diesen Zug aufspringen. Der Haken: Auch wenn die Verlage mit einer großen Nutzerbasis frei von Fake-News und Bots werben können, tendieren große Werbekunden derzeit noch zu noch größeren Netzwerken und bestehen auf der Implementation eigener Tracking-Technik, um die genaue Abrechnung der Werbekosten zu garantieren.

Standards und Macht

Mit dem GPC-Signal könnte diesem Geschäftsmodell ein Hindernis in den Weg gelegt werden, so dass auch kleinere Marktteilnehmer eine Chance haben, ihre eigenen Lösungen zu vermarkten. Der Konflikt wird nun bald in den Standardisierungsgremien ausgetragen. Die New York Times ist etwa vor einigen Wochen dem W3C beigetreten, um eine Mitsprache zu haben, welche Technik den Third-Party-Cookie ablösen soll. Im Webstandardisierungsgremium wird derzeit über Googles Vorschlag Turtledove diskutiert, bei dem die Nutzerprofile im Browser gelagert werden sollen. Ein dritter Ansatz, das Projekt Rearc des Werbeverbandes IAB, setzt hingegen auf einen neuen Identifier, der es weiterhin ermöglichen soll, Nutzerprofile über Firmen- und Landesgrenzen hinaus abzugleichen.

Neben den technischen Debatten um Standards geht es auch um die schiere Macht im Netz. Apple konnte seine eigenen Privatsphäre-Standards weitgehend ohne Rücksichtnahme auf andere Interessen durchsetzen – und bekommt dafür nun Gegenwind von der Konkurrenz und staatlichen Regulatoren.

(jk)