Cookies, ja oder nein – so leicht sollte es gehen. Mit einfachen Wahlmöglichkeiten, anhand derer Nutzerinnen und Nutzer rasch die Kontrolle über ihre Privatsphäre erlangen können: So müssten Webseiten eigentlich aufgebaut sein. Die Realität ist allerdings auch nach mehreren Jahren der Datenschutzgrundverordnung (DSGVO) eine andere. Stattdessen setzen Unternehmen auf sogenannte "Consent Optimisation" – also das Webdesign so nutzerunfreundlich wie möglich zu gestalten, um User so zur Zustimmung zu locken.

Automatisch zustimmen oder ablehnen

Eigentlich erlaubt die DSGVO diese Ablehnung mittels automatisierter technischer Mittel. Einen weiteren Schritt soll die E-Privacy-Verordnung liefern, die seit 2017 auf EU-Ebene verhandelt wird und sich nunmehr im Trilog zwischen Rat, Kommission und Parlament befindet. Sie soll das Pendant zur DSGVO liefern und die Datenverarbeitung im Netz weiter regulieren. Diskutiert wird, ob automatisierte Tools, die die Zustimmung vorab im Browser regeln, verpflichtend sein sollen. Die Datenschutz-NGO Noyb veröffentlicht nun als Anreiz die technische Spezifikation für ein automatisiertes Signal, mit dem Browser Webseiten im Hintergrund die Datenschutzeinstellungen von Nutzerinnen und Nutzern in Bezug auf Drittanbieter-Cookies mitteilen. Ein Prototyp in Form eines Browser-Plugins kann zudem auf der Webseite des Projekts heruntergeladen werden.

"Advanced Data Protection Control" (ADPC) wurde gemeinsam mit der Wirschaftsuniversität Wien entwickelt. Derartige Systeme gibt es etwa mit "Do not Track" oder "Global Privacy Control" bereits länger, wie der Jurist Max Schrems einräumt. Allerdings bräuchte es für die EU ein differenzierteres System, das nicht nur ein reines Opt-out ermöglicht. So soll es mit ADPC möglich sein, spezifischen Verarbeitungszwecken oder bestimmten Webseiten zuzustimmen. "Für Europa brauchen wir mehr als nur ein 'Opt-out', damit es in unseren Rechtsrahmen passt", so der Jurist. "Daher nennen wir den Prototyp auch 'Advanced' Data Protection'."

Kommunikation mit dem Browser

Konkret könnten Webseiten künftig maschinenlesbar ihre Datenschutzanfragen senden. Systeme wie ADPC reagieren dann automatisiert, ähnlich wie bei der Aktivierung der Kamera oder des Mikrofons im Browser könnten User dann entscheiden, ihre Einstellungen zu teilen. Im Browser selbst können sie ihre Präferenzen vorab einstellen, diese sind dann also einheitlich.

Gleichzeitig können bestimmte Inhalte anhand von Freigabelisten von den Einstellungen befreit werden, etwa qualitätsjournalistische Angebote sowie Kunst und Kultur. Ob sich aber ein derartiges System durchsetzt, sei eine politische Frage: So wird der Einsatz derartiger Systeme bei der E-Privacy-Verordnung vorgeschlagen, jedoch ist noch nicht fix, ob sie verpflichtend werden sollen oder nicht. Hier wird noch hitzig diskutiert. "Die Industrie will ein 'Opt-out'-Signal", erklärt Schrems dem STANDARD, "das dann wieder mit Einwilligungen in Cookie-Bannern überstimmt werden kann." Das sei allerdings "völlig sinnlos". "Wir brauchen ein Signal, das Cookie-Banner ersetzt. Dafür muss man aber die gesetzlichen Voraussetzungen schaffen." In Kalifornien könne eine staatliche Stelle bereits ein solches Signal verbindlich machen. "Was Kalifornien schon hat, sollte die EU auch können", so der Datenschützer.

Verordnung in der Schwebe

Neben dem Umgang mit Cookies regelt die E-Privacy-Regulierung auch etwa die Kommunikation zwischen Maschinen. So sollen bei der Datenübermittlung künftig ähnliche Vorgaben gelten, wie wenn menschliche User direkt an einer Verarbeitung beteiligt sind, eine explizite Zustimmung wäre also notwendig, wenn beispielsweise ein Sprachassistent Standortdaten weiterverarbeiten möchte.

E-Privacy will zudem die Datensicherheit stärken, etwa durch verpflichtende Ende-zu-Ende-Verschlüsselung – wobei es hier unterschiedliche Positionen innerhalb der EU-Gremien gibt (dazu hier mehr). Einen genauen Zeitrahmen für die Verordnung gibt es nicht. Eigentlich hätte sie parallel zur DSGVO umgesetzt werden sollen. Allerdings wurde sie vor allem durch Lobbying von Industrievertretern in Brüssel nach hinten verlagert. Frühestens wird sie wohl 2023 in Kraft treten. (Muzayen Al-Youssef, 14.6.2021)