Newsletter-Pop-ups, Autoplay-Videos und Push-Nachrichten: Im Jahre 2021 ist der Besuch einer neuen Webseite oftmals eine wahre Pein. Als wäre all das noch nicht schlimm genug, müssen sich die Internetnutzer aber noch mit einem anderen Phänomen herumschlagen, das ursprünglich aus durchaus lauterer Absicht entstanden ist – sich aber zu einer der schlimmsten Nervigkeiten im modernen Web entwickelt hat: Cookie-Banner.

Unbedacht auf einen Link zu klicken führt heutzutage schnell mal dazu, dass man mit einem den ganzen Bildschirm – oder auf so manchen Smartphones auch mehr – einnehmenden Warndialog konfrontiert wird. Darin enthalten ist meist ein langer Text, mit dem die Zustimmung zur Weitergabe der eigenen Daten an eine Vielzahl von Werbedienstleistern und Datenhändlern abgefragt wird.

Gut gemeint ...

Zurückzuführen ist diese Situation auf jene Cookie-Regeln, die Mitte 2018 als Teil der Datenschutzgrundverordnung in Kraft getreten sind. Fast drei Jahre später kann man es kaum anders sagen: Dieser Ansatz ist auf ganzer Linie gescheitert. Was einst mit der Intention entstand, den Nutzern die Entscheidungsgewalt über ihre Privatsphäre im Netz zu geben, erweist sich in den Praxis als nervige Zusatzhürde ohne realen Nutzen. Wie so oft gilt auch hier: Das Gegenteil von gut ist gut gemeint.

So begrüßenswert Transparenz generell ist: Allein schon die Zahl jener Tracker, die auf vielen Seiten ausgewiesen werden, macht es selbst Experten unmöglich, zu durchschauen, was nun wirklich mit ihren Daten passiert. Reguläre User sind damit ohnehin komplett überfordert, was die Wahlfreiheit zu einer bloß theoretischen macht.

Das liegt auch an einem anderen Punkt: Oftmals bleibt ohnehin nur die Zustimmung, wenn man eine bestimmte Seite lesen will. Informierte Zustimmung – um die es laut den Erfindern dieser Regelung eigentlich gehen soll – sieht jedenfalls anders aus. Dass viele Seiten sich nicht einmal an die rechtlichen Vorgaben halten und Cookies ohnehin schon vor der Zustimmung setzen, passt dann noch perfekt in dieses Bild. Und dass manche Anbieter dann lieber europäische User gleich ganz sperren, ebenso.

Antilösung

Insofern ist die Cookie-Richtlinie geradezu ein Paradebeispiel dafür, wie Privacy-Regeln nicht aussehen sollten. Sie ist eine Antilösung. Schiebt sie doch die Verantwortung auf die Nutzer ab, anstatt sie zu schützen, wie es eigentlich die Aufgabe wäre. Eine Kritik, die natürlich nicht ganz neu ist – schon parallel zum Inkrafttreten der DSGVO hatten Datenschützer vor negativen Effekten gewarnt. Über die Jahre haben sich aber sämtliche sanft gehegten Hoffnungen zerschlagen, dass der Zwang zu solchen Warndialogen dazu führen könnte, dass Webseiten weniger "Third Party Cookies" und andere Tracker setzen. Stattdessen wurde den Nutzern erfolgreich antrainiert, einfach allem zuzustimmen. Man könnte also durchaus behaupten, dass die Cookie-Banner sogar negative Auswirkungen haben.

Insofern haben aktuelle Entwicklungen im Browsermarkt erheblich mehr zum realen Schutz der Privatsphäre beigetragen als die im Vorfeld lange diskutierte EU-Vorschrift. Tracker-Blocker machen es den diversen Datensammelfirmen erheblich schwerer, Profile über einzelne Nutzer anzulegen.

Doch auch hier sollte man die Erwartungen nicht allzu groß werden lassen, eine perfekte Lösung ist das nämlich nicht. Während die meisten Hersteller noch über Cookies diskutieren, haben viele Werbenetzwerke längst ganz andere Wege gefunden, einzelne User zu verfolgen. Vom Ablegen eindeutiger Informationen im "Local Storage" bis zu schwer blockierbaren Tricks wie der Abfrage der exakten Fähigkeiten eines einzelnen Browsers und des darunter liegenden Systems reicht die Palette. Im Endeffekt läuft dies also auf einen längeren Wettlauf zwischen den beiden Seiten hinaus.

Es brauchte ein Lösung, bloß welche?

Das bedeutet wiederum, dass eine effektive Bekämpfung des regen Datenhandels im Internet sehr wohl auch auf politischer Ebene gelöst werden muss. Eine naheliegende Idee wäre dabei ein schlichtes Verbot solcher Tracker und der Datenweitergabe an Drittanbieter.

Das scheint allerdings politisch kaum durchsetzbar, immerhin stehen dem die Interessen verschiedenster wichtiger Lobbygruppen entgegen. Gerade kleinere Werbenetzwerke sehen ein Tracker-Verbot als existenzbedrohend an, weil damit der Vorteil von Facebook, Google und Co – die aus eigenen Quellen ohnehin schon sehr viel über die Nutzer wissen – noch größer würde. Umgekehrt wäre eine Entfernung der Cookie-Banner natürlich auch keine Lösung, da dies das Problem nur wieder verschleiern würde.

Aktives Vertreiben

Der Wiener Datenschutzaktivist Wolfie Christl von Cracked Labs sieht angesichts dieses Spannungsfeld die realistischste Lösung für diese verfahrene Situation denn auch an andere Stelle: Die Regeln müssten so verschärft werden, dass ein Großteil der Nutzer entsprechende Anfragen ablehnt. Dann würden die Anbieter schnell auf das seitenübergreifende Tracking von Usern verzichten, ist er im Gespräch mit dem STANDARD überzeugt.

Dass das nicht bloß reine Theorie ist, untermauert Christl mit einem aktuellen Beispiel: Seit kurzem zwingt Apple App-Anbieter dazu, dass sie sich für Tracking ein explizites Opt-in der User holen müssen – und verwendet dabei auch eine recht eindeutige, für viele wohl abschreckende Sprache. Das führt nun dazu, dass Google angekündigt hat, künftig bei den eigenen Apps nicht mehr nach der Werbe-ID von iPhones und iPads zu fragen. Der Grund: Man gehe ohnehin davon aus, dass die meisten User eine solche Abfrage ablehnen würden.

Bitte warten

Ob es dazu kommen wird – und vor allem wann – ist allerdings erneut eine offene Frage. Immerhin hätte schon die E-Privacy-Verordnung weitere Verschärfungen in Sachen Cookies mit sich bringen sollen. Wann – und in welcher Form – diese dann beschlossen wird, ist aber derzeit vollständig unklar. Das Thema taucht zwar mit schöner Regelmäßigkeit auf der Agenda der jeweils aktuellen EU-Präsidentschaft auf, aber selbst Experten dürften im Wust der unterschiedlichen Ankündigungen und Entwürfe mittlerweile den Überblick verloren haben. (Andreas Proschofsky, 31.1.2021)