In der neuen Folge „On The Record“ spreche ich mit Maximilian von Grafenstein. Er ist Jurist, Historiker, Professor für „Digitale Selbstbestimmung“ an der Universität der Künste in Berlin und Teil des Einstein Center for Digital Future. Zusammen mit einem Team hat er in jahrelanger Forschung ein Tool entwickelt, von dem er sagt, dass es die Cookie-Krise lösen kann.
Denn hinter den nervigen Bannern auf Online-Websites steht ein Grundproblem der Datenschutzgrundverordnung: Das Instrument der informierten Einwilligung soll Nutzer:innen eigentlich informationelle Selbstbestimmung ermöglichen, doch es ist zur Farce verkommen. Die Browser-Erweiterung „Consenter“ soll das ändern. Sie ist ein sogenannter Einwilligungsdienst, der Nutzer:innen zu ihrem Recht verhelfen soll. Einfach, übersichtlich und gut informiert sollen Menschen damit entscheiden können, wem sie im Netz für welche Zwecke ihre Einwilligung geben – und wem nicht.
Ich bin skeptisch, dass das funktionieren kann. Aber ich bin auch neugierig, dass da jemand die Datenschutzgrundverordnung ernst nimmt und dabei auch noch verspricht, dass davon nicht nur Nutzer:innen, sondern auch Unternehmen profitieren würden. Im Podcast stellt Maximilian von Grafenstein „Consenter“ vor, wir diskutieren aber auch über Grundfragen der Datenschutzpolitik.
Übrigens: Das „Consenter“-Team sucht Website-Betreiber:innen – idealerweise mit einer größeren Nutzerschaft – die sich an einem Beta-Test des Tools beteiligen. Interessierte können sich per E-Mail an Maximilian von Gafenstein wenden: max.grafenstein@law-innovation.tech
In dieser Folge: Ingo Dachwitz und Maximilian von Grafenstein
Produktion: Serafin Dinges.
Titelmusik: Trummerschlunk.
Hier ist die MP3 zum Download. Wie gewohnt gibt es den Podcast auch im offenen ogg-Format. Ein maschinell erstelltes Transkript gibt es im txt-Format.
Bei unserem Podcast „Off/On“ wechseln sich zwei Formate ab: Bei „Off The Record“ führen wir euch in den Maschinenraum von netzpolitik.org und erzählen Hintergründe zu unserer Arbeit. Bei „On The Record“ interviewen wir Menschen, die unsere digitale Gesellschaft prägen.
Unseren Podcast könnt ihr auf vielen Wegen hören. Der einfachste: in dem Player hier auf der Seite auf Play drücken. Ihr findet uns aber ebenso bei Apple Podcasts, Spotify und Deezer oder mit dem Podcatcher eures Vertrauens, die URL lautet dann netzpolitik.org/podcast.
Wie immer freuen wir uns über Kritik, Lob und Ideen, entweder hier in den Kommentaren oder per Mail an podcast@netzpolitik.org.
Links und Infos
- Projektwebsite des Einwilligungsdienstes „Consenter“
- Regeln der Datenschutzgrundverordnung zur Einwilligung
- Studie „How effectively do consent notices inform users about the risks to their fundamental rights?“ von Paul Grassl, Nina Gerber und Maximilian Grafenstein
- Die Databroker Files von netzpolitik.org und Bayerischem Rundfunk
- Recherchen zu Abzocke bei Einwilligungen im Handy-Shop und in der Sparkasse
- Recherche zu manipulativem Design bei Cookie-Bannern
- Die Geschichte der gescheiterten e-Privacy-Verordnung
- Die Geschichte des gescheiterten Do-Not-Track-Standards
- Das TDDDG: Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten
- Die Einwilligungsverwaltungsverordnung des Bundesministeriums für Verkehr und Digitales
- Infoseite der Bundesdatenschutzbeauftragten zur Akkreditierung von Diensten zur Einwilligungsverwaltung
- Guidelines für eine nutzerfreundliche Cookie-Banner-Gestaltung der Bundesregierung
- Vorgaben der französischen Datenschutzbehörde CNIL zur Gestaltung von Cookie-Bannern
- Die Cookie-Pledge-Initiative der EU
- Belgisches Verfahren zum TCF-Tracking
- Artikel über Druck auf den Datenschutz in Deutschland und der EU
- Augmented-Reality-App „Mauerschau“
Dazu finde ich die Webseite NOYB punkt EU sehr interessant. Die kämpfen dafür dass dieses „PAY-OR-OKAY“ Cookie Modell endlich nicht mehr benutzt werden darf.
Hey hiccups1980, danke für deinen Kommentar. Consenter baut übrigens auf ADPC auf, ein Prototyp, den NOYB vor wenigen Jahren mit der Uni Wien für Deonstrationszwecke entwickelt hat.
Das Pay-or-Okay-Modell finde ich sehr komplex. Auf der einen Seite kann ich verstehen, dass Medienanbieter Geld verdienen wollen, um die Medienproduktion zu refinanzieren. So war es ja in der guten alten Offline-Welt auch: Da hat man 2 DM am Kiosk für die Zeitung gezahlt und beim Aufschlagen der Zeitung hat man dann halt auch noch den Anzeigenteil gesehen. Das Problem in unserer digitalen Welt ist aber natürlich, dass der Bezahlteil weggefallen ist und der Werbeteil unter technisch-organisatorischen Bedingungen eines „Überwachungskapitalismus“ stattfindet. Diese Entwicklung ist natürlich katastrophal.
Worauf ich damit hinaus will: Wenn es möglich wäre, die Daten für Werbung auf datenschutzfreundliche Weise zu verarbeiten, dann wäre das Pay-or-Okay-Modell deutlich weniger problematisch.
Gut, ich kann mir jetzt aus Grunden den Podcast nicht so schnell anhören. Aber zu dem Cookie-Problem stellt sich mit die Frage, warum ich den Teufel mit dem Beelzebub austreiben soll. Ich will da gar nichts unterstellen, doch ein weiteres Tool ist eine weitere Abhängigkeit.
Warum nicht die Regel, dass Cookies abschalten Nein bedeutet. Das Problem, wo dieses Nein zu speichern sei ist das Problem der Anbieter und nicht meins. Die EU könnte lange das lange festgelegt haben statt Nutzer zu nerven. Die Browseranbieter hätten lange etwa bei der Installation danach fragen können statt die Möglichkeiten eingeschränkt hinter den Einstellungen zu verstecken. Wo ist hier also die unheilige Allianz?
Aber ich will nicht meckern. Für mich ist das ein Feature. Seiten, die ohne Cookies nicht gehen, die wollen was von mir, was ich nicht will. By By und Plonk. So easy. Eigentlich möchte ich mir diese Möglichkeit nicht nehmen lassen. Die funktioniert immer.
Bei all den Ansätzen müssen aber die Websites weltweit mitmachen und ich muss den Anbietern vertrauen, dass die sich auch daran halten. Das ist also eher ein Absichtswunsch als wirkliche Kontrolle. Also ein do Not Track 2.0.
Hi Basti, Einwilligungsverwaltungsdienste wie Consenter haben in der Tat zunächst die gleiche Herausforderung wie Do-Not-Track: Wie kann man sicherstellen, dass sich Webseitenbetreiber an die Vorgaben der Endnutzer halten?
Wir sehen drei Wege und insofern gehen wir über Do-Not-Track hinaus:
1. Der gesetzliche Weg: Der Gesetzgeber hat mit § 26 TDDDG eigentlich eine Vorschrift geschaffen, nach der Webseitenbetreiber die Signale von Einwilligungsverwaltungsdiensten berücksichtigen müssen. Leider hat das damalige Verkehrs-/Digitalministerium auf Druck der Wirtschaftslobby weiche Knie bekommen und in der Ausführungsverordnung, die für die Anwendung von § 26 TDDDG nötig ist, geregelt, dass es für Webseitenbetreiber doch freiwillig ist. Mit dem neuen Omnibus-Gesetz der EU, on dessen Rahmen wahrscheinlich auch die ePrivacy-Richtlinie aktualisiert wird, könnte das Ganze jetzt aber doch noch EU-weit und verbindlich geregelt werden. Ein Entwurf hierzu wird im Dezember diesen Jahres erwartet.
2. Der technische Weg: Wenn der Gesetzgeber die Webseitenbetreiber nicht zwingt, die Signale zu berücksichtigen, dann besteht immerhin die Möglichkeit, dass Einwilligungsverwaltungsdienste alle Cookie Banner technisch wegblocken, die ihre Signale nicht berücksichtigen. Das Resultat für Webseitenbetreiber wäre, dass sie gar keine Einwilligung mehr bekommen. Für Webseitenbetreiber ist es dann sinnvoller, die Signale doch zu berücksichtigen – vorausgesetzt die Einwilligungsrate ist größer 0 (sonst wäre es für den Webseitenbetreiber egal). Das führt uns zum dritten Weg.
3. Der organisatorische Weg: Man versucht die Webseitenbetreiber zu überzeugen, dass es für sie und uns alle langfristig besser ist, die Signale zu berücksichtigen. Die Vorteile sind, dass wir das Vertrauen der Endnutzer wieder aufbauen, das aktuell total zerstört ist. Den Weg gehen wir aktuell.
Ist das nicht im Grunde das gleiche, was die Aarhus Universitet mit Consent-O-Matic schon gemacht hat ( https://consentomatic.au.dk ) ?
Kleiner Unterschied: Dort werden deutlich mehr Browser (auch mobile) unterstützt.
Wenn das jetzt jede Uni in jedem EU-Land macht…
Wenn ich das richtig sehe, ermöglicht Consenter granularere Einstellungen. Ein Unterschied ist zudem die angestrebte Akkreditierung als offizieller Einwilligungsverwaltungsdienst.
„offizieller Einwilligungsverwaltungsdienst“ – d.h. zentrale Anlaufstelle für Klagen? Epic win!
Hello MS, Consenter funktioniert in der Tat sehr ähnlich, wird wie Ingo schon sagt aber als Einwilligungsverwaltungsdienst gem. § 26 TDDDG von der Bundesdatenschutzbeauftragten (hoffentlich) anerkannt. Damit bildet er einen ersten Anwendungsfall für eine gesetzlich unterstützte Lösung des Problems intransparenter Einwilligungsbanner und Einwilligungsmüdigkeit.
Für uns ist eines der wichtigsten Unterscheidungsmerkmale, dass wir versuchen mit Methoden des Legal Designs informierte Entscheidungen zu ermöglichen. Es geht uns also nicht darum, dass Endnutzer die Einwilligungsanfragen möglichst einfach verweigern (oder wie es viele CMPs tun, möglichst einfach bejahen) können. In unseren Forschungsprojekten haben wir herausgefunden, wie das gehen kann. Das ist ja auch das eigentliche gesetzliche Ziel.
Wenn sich stattdessen herausstellen sollte, dass informierte Entscheidungen in diesem Bereich unmöglich sind, dann ist die Idee einer „informierten Einwilligung“ definitiv eine Farce und es sollte als Rechtsinstrument aufgegeben werden. Viele denken das ja auch heute schon. Unsere Studienlage zeigt aber deutliche Hinweise darauf, dass man informierendere Einwilligungsprozesse tatsächlich gestalten kann. Das versuchen wir gerade soweit auszureizen wie möglich.
Den Forschungsdemonstrator wird es übrigens auch für andere Browser und auch für Mobilgeräte geben.
Ich habe mich darüber geärgert, dass im Gespräch mehrfach angedeutet oder sogar explizit gesagt wurde, dass die Einbindung von Drittanbieter-Diensten wie z.B. Landkarten grundsätzlich einwilligungspflichtig sei und dass das etwas anderes sei, als Statistik- oder Marketing-Cookies. Das Kosten-Nutzen-Verhältnis sei da aber positiv, weil die Funktionen Zeit sparen etc. Das geht nach meiner Erfahrung völlig am Thema vorbei. Es ist nicht notwendig, einwilligungspflichtig Nutzerdaten zu sammeln, um eine Landkarte oder ein Video anzuzeigen, denn Cookies, die für die Funktionsfähigkeit der Website notwendig sind, sind gar nicht einwilligungspflichtig. Wenn ich z.B. Karten von Mapbox oder Videos von einem Peertube-Server einbinde, benötige ich dafür keine Einwilligung. Bei den Cookies für Google Maps, YouTube und Co handelt sich nicht um eine eigene Cookie-Kategorie, sondern auch um Werbe- und Statistik-Cookies, nur halt eben von Drittanbietern. So kann YouTube mich z.B. über mehrere Websites tracken, die ich besuche, um mehr über mich zu lernen und passgenauere Werbung für mich auszuspielen. Es so darzustellen, als gäbe es eine Kategorie einwilligungspflichtiger Cookies für Drittanbieter-Funktionen (sowohl in eurem Beitrag als auch in dem Einwilligungstool selbst) verschleiert, wofür diese Daten tatsächlich erhoben und genutzt werden.
Wir binden auf netzpolitik.org gelegentlich YouTube-Videos (z.B. weil es sie auf keiner anderen Plattform gibt) oder Statistiken mit DataWrapper ein, bei denen notwendigerweise die IP-Adresse an die Anbieter übermittelt wird. Wenn du nicht verstehen kannst oder willst, dass das ein anderer Zweck ist als das Sammeln und Weitergeben umfangreicher Daten für Werbezwecke, dann kann ich dir leider auch nicht helfen. (Die Erstellung von Statistiken ist nochmal anders gelagerter Zweck, das geht mit manchen Anbietern übrigens auch lokal)
Richtig ist, dass es beim häufigen Datenabfluss an einen bestimmten Anbieter wie beispielsweise Google ein kumuliertes Risko gibt. Ich frage Max von Grafenstein mal, ob sie das irgendwie abbilden können.
Hi Michael, danke für deinen Kommentar. Genau das möchten wir transparent machen: Es gibt Dienstanbieter, die mit solchen Diensten auch eigene Werbezwecke verfolgen. Bei den Google-Diensten gehen wir zum Beispiel aktuell davon aus. In einem solchen Fall machen wir das den Webseitenbetreibern transparent und weisen sie darauf hin, dass sie bei der Einbindung eines solchen Dienstes auch die Einwilligung für Werbung einholen müssen.
Es gibt aber auch Dienstanbieter, die die Daten nicht für eigene Werbezwecke verarbeiten und unter diesen wiederum verschiedene Dienste mit einem unterschiedlich hohen Datenschutzniveau. Je nach Ausgestaltung braucht man dann sogar gar keine Einwilligung mehr. Auch darauf wiesen wir dan entsprechend hin.
Es geht uns also darum, nicht nur Transparenz für die Endnutzer zu erhöhen, sondern auch für die Webseitenbetreiber. Webseitenbetreiber sind in der Regel ziemlich überfordert, herauszufinden, welcher Dienst, den sie bei sich einbinden möchte, die Daten mit welchem Datenschutzniveau verarbeitet. Indem wir den Webseitenbetreibern in möglichst verständlicher Weise zeigen, welche Dienste was machen, versuchen wir solchen Diensten zu helfen, die versuchen es in Hinsicht auf den Datenschutz besser machen als andere.
Das wird interessant, wenn im November der Vorschlag der EU-Kommission zur „digitalen Vereinfachung“ kommt, wo anscheinend auch die Cookie-Banner angegangen werden. Das Europäische Parlament hat schon 2017 dazu eine starke Position abgestimmt.
Aber in Minute 5:00: Die DSGVO kam von Jan Philipp Albrecht und Viviane Reding, nicht von Neelie Kroes. Letztere war damals ein Gegenpol zum Datenschutz in der EU-Kommission.