Cookie-Banner machen uns die Entscheidung für Privatsphäre im Netz so unbequem wie möglich. Zwar ermöglichen sie es, dass wir zumindest einen Teil der durch Tracking verursachten Privatsphäre-Einschränkungen ablehnen können. Aber durch ihre Gestaltung wird das Surfen im Internet zum Hürdenlauf. Vor fast jeder Website steht ein Cookie-Banner, mit dem mensch sich beschäftigen muss. Manchmal gibt es gleich auf der ersten Seite die Möglichkeit, nicht notwendige Cookies abzulehnen, manchmal muss man sich erst weiterklicken und -scrollen, um diese Option zu finden.
Laut einer Stellungnahme des Verbraucherzentrale Bundesverbands (vzbv) „entscheiden sich viele Anbieter dafür, Banner einzusetzen, die möglichst eine große Zahl von Verbraucher:innen zu einer Einwilligung bewegen sollen. Diese Banner sind oft irreführend gestaltet, verhindern das Weitersurfen auf der Webseite und informieren die Nutzer:innen nur unzureichend über den Zugriff auf ihre Endgeräte und die darauf folgende Datenverarbeitung.“
Eine Verordnung, die die Bundesregierung unter Federführung des Digitalministeriums von Volker Wissing (FDP) gestern beschlossen hat, soll die Einwilligung in – oder Ablehnung von – Cookies nun vereinfachen.
„Anerkannte Dienste zur Einwilligungsverwaltung sollen eine anwenderfreundliche Alternative zu der Vielzahl zu treffender Einzelentscheidungen für Endnutzer schaffen“, so das Vorwort der geplanten Einwilligungsverwaltungsverordnung (EinwV). Sie soll einen entsprechenden Ansatz aus dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) von 2021 ausgestalten. Vorangegangen war eine jahrelange Debatte. Nun müssen noch Bundestag und Bundesrat zustimmen.
„Nein“ heißt: später nochmal fragen
Nach der Verordnung soll die freie Wirtschaft Dienste zur Einwilligungsverwaltung, zum Beispiel Browser-Plug-ins, entwickeln, die sich die Cookie-Präferenzen zu den verschiedenen Diensten, wie zum Beispiel Websites, merken und dem Anbieter bei Bedarf mitteilen. Die Einstellungen sollen nachvollziehbar sein, die Benutzeroberfläche muss transparent und verständlich ausgestaltet sein und der jeweilige Dienst frei gewählt werden dürfen. Die zu entwickelnden Dienste sollen von der Bundesdatenschutzbeauftragten geprüft und zugelassen werden.
Das größte Problem der Verordnung: Anbieter müssten die in der Einwilligungsverwaltung festgelegten Präferenzen nicht akzeptieren. Sie dürfen jederzeit erneut fragen, ob man nicht doch lieber alle Cookies zulassen will. Einfach ausgedrückt: Das erhoffte Werkzeug gegen lästige Cookie-Banner soll letztlich doch so gestaltet werden, dass es weiterhin lästige Nachfragen gibt. Nein heißt nicht „Nein“, sondern „später nochmal fragen“. Laut vzbv nimmt das Verbraucher:innen „den Anreiz, Einwilligungsverwaltungsdienste zu nutzen.“
Der vzbv fordert: „In der Verordnung muss daher geregelt werden, dass Anbieter digitaler Dienste den Entscheidungen der Nutzer:innen Folge leisten müssen.“ Erteilen Nutzer*innen eine erfragte Einwilligung nicht, „sollten Anbieter digitaler Dienste für einen bestimmten Zeitraum (beispielsweise von sechs Monaten) von weiteren Abfragen absehen müssen.“
Unklar, wer so einen Dienst entwickeln würde
Offen bleibt, wer ein Interesse daran haben sollte, einen solchen Dienst zu entwickeln. Körperschaften, die ein wirtschaftliches Eigeninteresse an Nutzer*innendaten haben – oder mit solchen verbandelt sind, dürfen nicht mitmachen. Es gibt laut Verordnung zwar die Möglichkeit, den Dienst Verbraucher*innen und Website-Anbietern entgeltlich zur Verfügung zu stellen, aber solange Cookie-Abfragen damit nicht effektiv abgewehrt werden, dürfte die Zahlungsbereitschaft bei den Verbraucher*innen mäßig sein.
Die Diensteanbieter hingegen haben vermutlich überhaupt kein Interesse daran, ein Tool zu fördern, mit dem sich die Ablehnung von Cookies vereinfachen lässt.
Die Werbeindustrie verwendet Cookies unter anderem zur Erstellung von Nutzerprofilen. Damit „kann der Webserver unter anderem den Endnutzer wiedererkennen, benutzerspezifische Einstellungen wiederherstellen, Reichweitenmessungen vornehmen, Aktivitäten nachverfolgen (sog. „Tracking“) oder individuelle Werbung einblenden“, so das Vorwort der Verordnung.
Wenn Websites kein „Nein“ akzeptieren
Der vzbv hält zudem bereits die derzeitige Handhabung der Einwilligungen per Cookie-Banner schon für unzureichend. Er schreibt in seiner Stellungnahme: „Insbesondere ist die Reichweite von Einwilligungen im Kontext der Online-Werbung meist völlig unklar und zwar nicht nur mit Blick auf die komplexe Infrastruktur und die beteiligten datenverarbeitenden Stellen, sondern auch hinsichtlich des gewaltigen und kontextübergreifenden Umfangs der Nutzerprofile.“
Erschwerend kommt hinzu: Längst gibt es Seiten, die ein „Nein“ zum Tracking schlicht nicht akzeptieren: Etwa Angebote mit sogenannten Pur-Abo-Modellen, bei denen ein Besuch der Website nur gegen Bezahlung oder nach vollumfänglicher Einwilligung in alle Cookies möglich ist.
Der aktuelle Vorstoß reiht sich ein in eine Palette ähnlicher Versuche, die letztlich wenig gegen die Cookie-Banner-Flut ausrichten konnten – etwa die „Do Not Track“-Einstellung im Browser.
Längst gibt es auch deutlich weiter reichende Forderungen, etwa ein grundsätzliches Verbot von Werbetracking und Profilbildung. Genau das forderten jüngst unter anderem der vzbv und das Bundesministerium für Verbraucherschutz im Zuge unserer Recherchen zu den Databroker Files.
Werbetracking – bitte massiv ausweiten. Im Grunde alles Tracking. Bischen Session, ok. Aber dieselben Daten und schlimmere werden höchstvermutlich für „anti fraud“ u.ä. erhoben. Die TOS haben sowas inzwischen gerne mit dabei, wobei das noch nebulöser bleibt, als die langen Cookie-Datentauschlisten, die es z.T. zum Durchgucken gibt. Und irgendwo wo man irgendwas mit irgendwas bezahlen kann – klar muss man da gegen Betrug vorgehen, und die ganzen bösen Hacker usw. Daher: nachhaltig kann nur ein dauerhafter Kahlschlag sein!
Einwilligungsverwaltung: Do not Track or nothing. „Zeige deinen Personalausweis, um nicht getrackt zu werden.“ – weg damit, konzeptionell bitte.
> Erschwerend kommt hinzu: Längst gibt es Seiten, die ein „Nein“ zum Tracking schlicht nicht akzeptieren: Etwa Angebote mit sogenannten Pur-Abo-Modellen, bei denen ein Besuch der Website nur gegen Bezahlung oder nach vollumfänglicher Einwilligung in alle Cookies möglich ist.
Dagegen hilft es gerne, wenn man guckt, ob jemand den Artikel bereits bei archive.today archiviert hat.
PS: Der erste Anon klingt naiv und unterwürfig, der zweite Anon klingt wie jemand, der seinen Kopf nicht als Regenschutz für den Hals verwendet.
Den Nutzer auf die Nerven gehen nennt man Nagging:
Nagging, in interpersonal communication, is repetitious behaviour in the form of pestering, hectoring, harassing, or otherwise continuously urging an individual to complete previously discussed requests or act on advice.
Eine bereits getroffene Entscheidung immer wieder neu zu verlangen ist das Gegenteil von respektvoll, eine Missachtung des Willens.
Wird dieses immer wieder nochmal nachfragen von einer KI gesteuert, kann man messen, wann der User unter dieser Folter zusammenbricht und schließlich einwilligt. Selektiert man dann Menschen, die sich schnell breitschlagen lassen, so öffnet das das Tor für weitere Marketing-Attacken.
> Wird dieses immer wieder nochmal nachfragen von einer KI gesteuert, kann man messen, wann der User unter dieser Folter zusammenbricht und schließlich einwilligt. Selektiert man dann …
Ich fürchte, das ist Teil des neoliberalen Plans (FDP).
Zitat: „Anerkannte Dienste zur Einwilligungsverwaltung sollen eine anwenderfreundliche Alternative …“
Was sind anerkannte Dienste? Die Inlandsgeheimdienste? Zentrale Sammelstelle für Nutzerprofile? Für weitere Verwendung vorgesehen?
Sollte es Dienste geben, die zentral sehr private Daten der Nutzer:innen speichern und/oder speichern könn/t/en, also besuchte Webseiten, Zeiten, Frequenz, besuchte Seiten und Verweildauern, genutzte Webservices, genutzte VPN und Proxies, genutzte Tor Services UND Nutzer:innen dazu verleitet werden die Services zu nutzen … dann wird es sehr schnell Interessenträger geben, die diese Daten, moralisch betrachtet, nutzen „müssen“.
Keiner dieser zentralen Services wird auf Dauer vor illegalem Abfluss gefeit sein. Dafür dürfte das Nutzungsinteresse an der Masse verfügbarer Daten zu hoch liegen.
Die Lösung wäre einfach. Persistente Tracking Cookies werden verboten. überschreitet.
Zum x-ten Mal:
Kann mir bitte irgendjemand erklären, was der Unfug mit den Bannern soll?
Jetzt auch noch eine zentralisierte Stelle obendrauf!
Man kann Cookies doch schon immer _im Browser_ blockieren (und zwar viel einfacher als auf den verschlungenen Einwilligungsdialogen).
Webseiten können dann mit dem einzigen „technisch notwendigen“ Cookie sehen, dass es nicht gesetzt werden kann. Fertig.
Es kann doch nicht sein, dass das außer mir niemand sieht!?
Oder gibt es das heute nur noch beim Firefox?
> Man kann Cookies doch schon immer _im Browser_ blockieren
Ja, das wissen aber die Nutzer nicht – und damals auch nicht die politischen Entscheidungsträger. drum das ganze Theater.
Den Cookie-Bannern kann heutzutage ja auch jeder mit einer entsprechenden Extension oder einer uBlock Origin Filterliste begegnen. Dann sieht man die auch nie wieder. … aber auch hier: Das wissen die Nutzer nicht.
Es ist aber auch ein Dilemma.
Wenn man nicht immer wieder gefragt werden soll (so verstehe ich die Forderung des vzbv), dann würde die Webseite zB einen langlebigen Cookie auf dem PC ablegen müssen und der Nutzer daran immer wiedererkannt werden. Ob man eine Wiedererkennung über lange Zeiträume mag?
Auch wenn es so gelöst ist, dass wenn man beim Einwilligungsdienst eingeloggt sein muss, damit keine erneute Abfrage kommt, würde eine Verkettung erlauben.
Ob die Wiedererkennung dann nicht zu „anonymer“ Messung führt, weiß man nicht (serverseitig).
Hier wäre natürlich ein Browser-Standard (vgl. Do-Not-Track, aber verbindlich und ohne Fußangeln; ggf lokal, on-device) schön, aber die Browserhersteller sind gerade nicht unabhängig (Google Chrome bzw. jährliche Riesen-Zahlungen Google an Firefox und Apple). Vorgaben der W3C reichen nicht. Vielleicht hätte man das (anstelle teilweise seltsamer Regelungen im DSA) in europäischer Gesetzgebung regeln sollen.
https://github.com/OhMyGuus/I-Still-Dont-Care-About-Cookies