My 2,718281828459045235 Cents - Die Cookie-Banner-Farce...

…oder Die Geburt der Consent-Management-Plattform-Management-Extension

Ich hab mich ja nun schon oft genug über den Sinn und Unsinn von Cookie Bannern ausgelassen - hier und hier aber auch hier. Was nicht heißt, dass ich ein Problem mit Datenschutz habe oder Tracking generell befürworte. Ich habe auch kein Problem damit, dass Publisher Werbung nutzen, um Ihre Angebot zu finanzieren. Aber irgendwie ist das ganze System ein wenig aus dem Ruder gelaufen.

Aus meiner Sicht haben Cookie Banner weder die Transparenz erhöht, noch den Datenschutz verbessert. Der einzige Effekt: Rund um Cookie Banner hat sich ein neues einträgliches Geschäftsmodell etabliert: das der Consent Management Plattformen (CMPs). Toll! Problem nur: Die meisten Menschen dürften kaum verstehen, was diese Cookie Banner in ihrer transparenten Art und Weise eigentlich sagen wollen und die anderen meisten Menschen klicken sowieso ungelesen auf Ablehnen. Oder Akzeptieren. Hauptsache weg. Dafür gibt es mit jedem Website-Aufruf noch einen Server-Call und noch ein Framework, das eingebunden und gepflegt werden will.

Und was passiert nun im Jahr 8 nach der DSGVO?

Die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider erkennt den ersten (kommen da noch mehr?) Dienst gegen die Cookie-Banner-Flut an (heise.de). Das Tool der Berliner Firma Law & Innovation Technology ([X] Vertrauen erweckt [ ] Vertrauen nicht erweckt) mit dem Namen Consenter kann die persönliche Einwilligung für verschiedene Webseiten automatisch verwalten. Ein Expertenteam der Universität der Künste, des Einsteins-Center und des Alexander-von-Humboldt-Instituts für Internet und Gesellschaft waren an der Entwicklung beteiligt. Also ein Tool um Consent-Banner automatisch “wegzuklicken”.

Aber warum?

“Cookie-Banner führen eher zu Verwirrung als zu mehr Transparenz” ~Specht-Riemenschneider

No shit, Sherlock! Alles finden die raus, alles!

Aber warte, es wird noch besser! Ende Oktober 2024 hat der Bundestag der “Einwilligungsverwaltungsverordnung” zugestimmt. Diese ist im April 2025 in Kraft getreten. Im Prinzip erlaubt die Verordnung den Einsatz einer “zentralen” Consent-Verwaltung, also wie bei Consenter, über Webseiten hinweg. Problem: Die Webseiten-BetreiberIn muss sich gar nicht daran halten.

Und woher kommen diese genialen Eingaben auf einmal? Naja, Eine Studie hat etwas gezeigt. Mal wieder:

56 Prozent der deutschen Internet-NutzerInnen wissen gar nicht was Cookies sind. Die Frage der Studie war sinngemäß: “Können Sie jemand anderem ganz genau erklären, was Cookies sind und wofür sie eingesetzt werden?”. Ich behaupte, dass der Begriff “Cookies” seit 7 Jahre mehr oder weinger fester Bestandteil des öffentlichen Diskures ist, auch außerhalb meiner sehr speziellen Blase. Längst berichten sicher auch Tagessschau oder Welt-der-Wunder über Cookies. Bei “Frag Fred”, einer Bildungsreihe des SRF für Kinder, werden Cookies sogar den jüngsten erklärt. Das ist spitze.

Nur: bei den Cookie-Bannern geht es nicht vorrangig um Cookies. Es geht um Cross-Device Tracking, Retargeting, Performance Marketing, Real Time Bidding, Data Management Plattformen, Demand Side Plattformen, Ad-Netzwerke, Geo-Targeting, Fingerprinting und so weiter. Und jetzt stellt die Frage doch noch einmal anders. Wie viele Menschen können erklären, wie Cross-Device-Tracking mit Hilfe von Fingerprinting funktioniert? Denn genau um diese komplexen Fälle geht es in den “Cookie Bannern” - soviel zur Transparenz. Cookies per se sind nicht schlecht. Sie speichern deinen Warenkorb, deine Spracheinstellungen, deinen Login-Status. Und seit ITP und ETP funktioniert (Cross-Domain)-Tracking mit Cookies sowieso nur noch eher so meh. Cookies sind also das simpelste Übel. Und das simpelste Übel können 56% der Menschen nicht erklären.

In 2009 wurde ein HTTP-Header mit dem Namen “Do Not Track” (DNT) vorgestellt. Alle großen Browser haben diese Funktion irgendwann mal eingebaut. Firefox machte den Anfang, irgendwann folgten Opera, Chrome, Safari und Edge. Sogar im Internet Explorer (RIP)! Ist DNT aktiviert, darf die NutzerIn nicht getrackt werden. Eigentlich ganz simpel. Auch aus juristischer Sicht: Experten waren sich einig, dass Webseiten, die dieses Signal ignorieren, gegen Art. 5 Abs. 3 ePrivacy-Richtlinie und § 15 Abs. 3 TMG verstoßen.

Es gab also bereits den Versuch, die Einwilligung zentral zu steuern - per einfachem Schalter im Browser. Mit Brave gibt es seit 2015 einen Browser, der zwar etwas weiter geht und auch Werbung blockiert, aber im Prinzip genau die gleiche Idee verfolgt: Der NutzerIn mehr Kontrolle zu geben. Auch ich habe mal darüber phantasiert, ob man nicht eine Art Protokoll einrichten könnte, welches dem Nutzer ermöglicht, zentral zu steuern, welche Daten verwendet werden dürfen - inklusive eines Bonus-Systems. Man könnte das ganze sogar auf einer Blockchain manipulationssicher abbilden, dann bekommen die fast vergessenen Hype-Sales-Leute von 2019 auch noch was zu tun (er hat Blockchain gesagt - zückt die Brieftaschen!111einself!!1).

Was stattdessen passiert: Erst entsteht ein Gesetz, das Webseiten-BetreiberInnen dazu verpflichtet, ein aufwendiges und mitunter teures oft überspezifisches Consent Management System zu implementieren, welches NutzerInnen weder Transparenz noch echte Kontrolle bringt. Geschäftsmodell “Consent-Mangement-Plattform”. Und ein paar Jahre später schafft man Gesetze, die die Folge genau dieses Geschäftsmodells, die Flut der Cookie Banner, eindämmen sollen. Die Geburt des “Consent-Mangement-Plattform-Management-Extension”.

Übrigens, schönes Detail am Rande, das ist Specht-Riemenschneiders Position zum Datenschutz:

“Datensicherheit, Datenschutz, Datenhandel und Datenzugang [seien] nicht als Maximalforderungen zu realisieren, sondern zusammenzudenken, auszutarieren und nicht eines dem anderen unterzuordnen”.

Ich will diese Einstellung nicht kategorisch negativ bewerten, im Gegenteil. Das klingt nach einer realistischen Beurteilung der Lage. Aus meiner Sicht haben die ganzen Kapriolen rund um den Datenschutz vor allem europäischen Unternehmen das Leben schwer gemacht. Zwar mussten auch GAFA (Google, Apple, Facebook, Amazon) sich an die DSGVO halten, aber der Lock-In-Effekt bzw. FOMO (Fear Of Missing Out) haben dafür gesorgt, dass Otto Normalnutzerin hier weniger von Einwilligungszweifeln geplagt sein dürften. Mal sehen, ob Specht-Riemenschneider’s Vision Realitäts-kompatibel implementiert werden kann.

Meanwhile bei “den Daten-Händlern”: Die Databroker-Files (netzpolitik.org):

Exakte Ortungen, verräterische Bewegungsmuster: Die Handy-Standortdaten von Millionen Menschen in der EU stehen zum Verkauf. Angeblich nur zu Werbezwecken erhoben, lassen sich die Daten auch für Spionage nutzen. Der europäische Datenschutz versagt, selbst EU-Spitzenpersonal in Brüssel ist betroffen. Die EU-Kommission sagt: „Wir sind besorgt.“

Zum Glück gibt es die Cookie-Banner!