Der Autor
Torsten Kleinz ist freier Journalist aus Köln und schreibt mit Vorliebe darüber, was die Welt und das Internet zusammenhält – vom Tracking-Cookie bis zum E-Sport, von der Wikipedia bis zur Algorithmen-Ethik.
Die deutsche Verlagsbranche hat sich Jahre auf einer schlampigen Gesetzgebung ausgeruht: Auch ohne konkrete Einwilligung der Nutzer hat sie die Werbebranche Daten sammeln und auswerten lassen. Nun macht ein Gerichtsurteil dem ein Ende.
Die Entscheidung des Bundesgerichtshofs war lange erwartet worden. Seit 2013 hatte der Verbraucherzentrale Bundesverband gegen einen Glücksspielanbieter prozessiert. Der hatte attraktive Gewinne ausgelobt, im Hintergrund aber in großem Stil mit Adressen und Werbeeinwilligungen gehandelt. Fast sieben Jahre und einen Umweg über den Europäischen Gerichtshof später entschieden die Karlsruher Richter schließlich ganz im Sinne der Verbraucherschützer: Der Gewinnspielanbieter hatte nicht hinreichend klargemacht, welche Daten er von den Kunden erhebt – und dass sie danach mit einer Vielzahl von Werbeanrufen zu rechnen haben.
Die so genannte Cookie-Einwilligung-II-Entscheidung vom 28. Mai 2020 bereitet der Verlagsbranche großes Kopfzerbrechen. Denn die Richter haben sich nicht nur darauf beschränkt, das Gewinnspiel von 2013 für unzulässig zu erklären. Sie legten nach Jahren juristischer Unklarheit auch fest, welche Voraussetzungen Anbieter erfüllen müssen, um Cookies auf den Rechnern der Nutzer zu speichern. Mehr noch: Die Richter erklärten im Vorbeigehen einen deutschen Sonderweg im Datenschutz für irrelevant. Auf dem Spiel stehen die Umsätze aus der Online-Werbung.
Worum geht es? Fangen wir mit der technischen Seite an. Cookies sind kleine Textdateien, die an die Browser der Nutzer geschickt werden, wenn sie auf eine Webseite zugreifen. Der einfachste Anwendungsfall: Dank Cookies vergisst ein Webshop nicht, welche Artikel man in den virtuellen Warenkorb gelegt hat. Besucht man den Onlineshop am nächsten Tag nochmal, sind sie noch da. Auch andere Einstellungen wie Sprache oder Schriftgröße können in Form eines Cookies gespeichert werden.
Cookies wurden in den letzten 20 Jahren aber zunehmend wichtig für die Werbebranche – dank eines technischen Kniffs. Die sogenannten Third Party Cookies werden nicht mehr direkt von der aufgesuchten Webseite verschickt, sondern zum Beispiel von Servern, die Werbung ausspielen oder auf denen andere Inhalte liegen, wie etwa der Like-Button von Facebook. Mit diesen Third Party Cookies können also Google, Facebook, Amazon und Dutzende anderer Werbeanbieter ebenfalls Daten auf den Rechnern und Smartphones der Leser ablegen und sie quer über das Netz verfolgen. Nach und nach entstehen komplette Bewegungsprofile im Netz, bei denen haarklein verzeichnet wird, wer welchen Dienst genutzt hat, was der Nutzer gelesen hat.
Aus diesen Daten generieren die Werbekonzerne dann ein komplettes Interessenprofil, das ein Ziel hat: Werbung soll möglichst personalisiert ausgespielt werden: der Autofan bekommt Werbung für den neusten SUV, Katzenbesitzer bekommen Futter- und Staubsaugerwerbung und 17-Jährige werden über die neuste K-Pop-Sensation informiert. Wer sehen will, welche Schlüsse die Werbenetzwerke aus dem eigenen Surfverhalten ziehen, kann dies beispielsweise in den Accounteinstellungen von Google oder Facebook nachgucken.
So weit, so einfach. Doch in den letzten zehn Jahren hat sich das Geschäft mit der Personalisierung verselbständigt. Immer neue Anbieter tummeln sich in der „Adtech“-Branche, um ständig neue Methoden des Nutzertrackings einzuführen. Werbenetzwerke spielen nicht einfach Kampagnen nach den zuvor erfassten Vorlieben aus. Stattdessen wird die Werbung individuell für jeden Nutzer neu zusammengestellt. Noch während wir eine Webseite laden, werden im Hintergrund in Millisekunden die Werbeplätze versteigert.
Einerseits ist das eine technische Meisterleistung, bei der viele Rechenzentren weltweit zusammenspielen und dennoch ein bis zwei Sekunden später eine Website auf unserem Screen erscheint. Andererseits ist es auch ein dystopischer Albtraum, in dem jede kleinste Interaktion in kommerziell verwertbare Infoschnipsel aufgespalten wird und wir an jeder Ecke des Internets zum Kauf von Produkten manipuliert werden sollen.
Torsten Kleinz ist freier Journalist aus Köln und schreibt mit Vorliebe darüber, was die Welt und das Internet zusammenhält – vom Tracking-Cookie bis zum E-Sport, von der Wikipedia bis zur Algorithmen-Ethik.
Diese „Programmatische Werbung“ ist – glaubt man den Versprechen der Branche – eigentlich im Interesse aller Parteien. Die Werbewirtschaft verspricht, dass sie anhand der reichlich vorhandenen Daten Werbung besser und damit teurer verkaufen kann. Die Verlage haben durch die Echtzeit-Marktplätze einen scheinbar unerschöpflichen Markt an Interessenten, die ständig auf der Suche nach hochwertigen Inhalten sind, neben denen ihre Werbung erscheinen kann. Die Werbetreibenden können durch die allumfassende Datenwirtschaft immer genauer die Effektivität ihrer Kampagnen messen. Und die Nutzer müssen sich nicht – oder zumindest weniger – mit irrelevanter Werbung herumschlagen.
Auch wenn jeder dieser Punkte zum Teil wahr ist – wahr ist auch das Gegenteil. So herrscht bis heute eine große Unzufriedenheit der Werbetreibenden mit den Daten, die die Branche bereitstellt. Und die Anbieter der hochwertigen Werbeumfelder – sprich: die Verlage – müssen feststellen, dass sie kaum von dem florierenden Geschäft profitieren.
Zum einen bleibt im Schnitt ein Drittel der Umsätze bei den Zwischenhändlern, Plattformanbietern und Adtech-Dienstleistern hängen, wie kürzlich die britischen Wettbewerbsbehörden festgestellt haben. Zum anderen stehen sie unter enormen Konkurrenzdruck. Denn dank der fortgeschrittenen Profilings sind Werbetreibende zum Beispiel nicht auf Medien der FAZ angewiesen, wenn sie FAZ-Leser erreichen wollen. Stattdessen können sie ihre Werbung deutlich billiger auf anderen Webseiten ausspielen, etwa in einem Forum, in einem Handyspiel oder direkt bei einer Handelsplattform wie Amazon.
Immer größere Teile der Werbung werden über programmatische Werbemarktplätze ausgespielt. So wird grade ein neuer Millionenmarkt mit programmatischer Podcast-Werbung aufgebaut – auch die Werbung auf Smart-Fernsehern und Außenwerbe-Displays wird inzwischen über programmatische Marktplätze gehandelt.
Website-Betreiber, die an dem Milliardengeschäft teilnehmen wollen, müssen Nutzerdaten als Eintrittskarte einbringen. Hierbei haben die Verlage lange Zeit mitgespielt. Welche Ausmaße die Datensammelei inzwischen angenommen hat, wird sichtbar, wenn man zum Beispiel die „Seiteninformationen“ im Browser Chrome ansieht.
Ruft man etwa die Startseite von bild.de auf, werden 156 Cookies von über 50 Domains gesetzt – darunter Google, Facebook, die Oracle-Tochter Bluekai, Rubikon Project und Outbrain. Bei Focus.de sind es gar 167 Cookies von Anbietern wie Google, Bluekai, Yieldlab, Outbrain. Bei FAZ.Net sind es 149 Cookies von Anbietern wie Google, Facebook, Criteo, Yieldlab und Taboola. Die Zusammensetzung ist von Anbieter zu Anbieter leicht anders, die Zahl der Cookies variiert auch von Mal zu Mal – aber die Überschneidungen zeigen: Mit jedem Abruf trägt man als Nutzer zur globalen Datensammelei bei.
Gefördert wurde das Geschäftsmodell durch die deutsche Gesetzeslage. So steht im Paragraph 15 des Telemediengesetzes (TMG) explizit:
„Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht.“
Laienhaft formuliert: Die Werbedatenerfassung ist legal, sofern die Verlage nicht Namen und andere identifizierende Informationen direkt an die Kooperationspartner aus der Werbebranche schicken.
Wie wenig das Versprechen hält, dass es sich nur um pseudonymisierte Daten handele, zeigt ein Datenleck beim Anbieter Bluekai, das von „Techcrunch“ veröffentlicht wurde. Durch das Zusammenfügen verschiedener Datenbanken konnte der Anbieter nicht nur anonymisierte Interessenprofile schaffen, sondern speicherte auch Adressen und Kaufhistorie von einzelnen Nutzern zusammen ab.
Wie hemmungslos Verlage am grassierenden Datenhandel teilnehmen, demonstriert etwa Bild.de. Wer die Website zum ersten Mal aufsucht, bekommt am unteren Bildschirmrand eine Cookie-Warnung eingeblendet, mit der der Nutzer die Datenweitergabe pauschal abnicken kann. Wer widersprechen will, wird auf die Datenschutzerklärung verwiesen.
Doch eine zentrale Möglichkeit zum Widerspruch gibt es hier keineswegs. Stattdessen verweist der Verlag in dem 56-seitigen Dokument auf über 20 Opt-out-Links, mit denen sich der Nutzer separat von jedem einzelnen Fremdanbieter abmelden soll. Übermäßige Sorgfalt ließen die Juristen von Axel Springer dabei aber nicht erkennen: So führte bis vor Kurzem ausgerechnet der Link zum konzerneigenen Werbevermarkter Media Impact ins Leere. Übrigens: Auch wenn der Nutzer nicht auf OK klickt, nimmt Bild.de einfach an, dass eine Zustimmung erteilt wurde und hält dies auch noch in einem Cookie fest. Bei Angeboten anderer Verlage ist das alles ähnlich.
Dass das deutsche Telemediengesetz, das solche Praktiken erlaubt, im Widerspruch zu der Europäischen E-Privacy-Richtlinie von 2002 steht, ist lange bekannt – 2019 hielten es die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder in einer Orientierungshilfe für Anbieter von Telemedien ausdrücklich fest. Doch niemand wollte den für die Verlage allzu bequemen Status Quo ändern. Dies hat der Bundesgerichtshof nun getan: Er wischte den Widerspruch des deutschen Gesetzgebers beiseite und entschied:
„§ 15 Abs. 3 Satz 1 TMG ist mit Blick auf Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG dahin richtlinienkonform auszulegen, dass der Diensteanbieter Cookies zur Erstellung von Nutzungsprofilen für Zwecke der Werbung oder Marktforschung nur mit Einwilligung des Nutzers einsetzen darf.“
Sprich: Es reicht nicht mehr abzuwarten, ob eine Nutzerin oder ein Nutzer sich selbst kümmert, und bis dahin einfach Cookies zu setzen – die Nutzer müssen ausdrücklich informiert werden, welcher Datenverarbeitung sie konkret zustimmen und sie müssen auch eine Gelegenheit bekommen, dieses Widerspruchsrecht auszuüben. Automatisch verschwindende Cookie-Banner wie bei Bild.de oder FAZ.net dürften also bald der Vergangenheit angehören.
Gute Nachricht für die Verlage: Auch wenn die alte Rechtsinterpretation nun endgültig obsolet ist, haben es weder Bundesregierung, noch die EU-Kommission allzu eilig, einen gesetzmäßigen Zustand herzustellen. So arbeitet die Bundesregierung an einem neuen Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG), das die Richtersprüche aus Luxemburg und Karlsruhe berücksichtigen soll. Noch ist der Entwurf aber nicht veröffentlicht. Auch haben die Datenschutzbehörden bisher keine systematische Untersuchung der Praxis durchgeführt und keine Bußgelder verhängt.
Warum das Problem jedoch nicht weiter ignoriert werden kann und wie es nun weitergeht, lesen Sie in Teil 2 und 3:
Die Cookie-Apokalypse (2):
Tricksen, täuschen oder umdenken: Geht Online-Werbung ohne Datentauschrausch?
Die Cookie-Apokalypse (3):
Die Cookie-Tricks der deutschen Verlage
Wer eine der extremsten Formen dieser Art sehen möchte, dem empfehle ich mit einem Browser – im folgenden Chromium – ohne Werbeblocker einen beliebigen Artikel der Stuttgarter Nachrichten auf deren Webseite zu öffnen, F12 zu drücken, dann öffnen sich die EntwicklerInnentools, und im Tab „Netzwerk“ unten links auf die Anzahl der Anfragen zu achten.
Ich hab mir einfach mal einen Artikel geschnappt, deshalb können die gemessenen Werte einzelner anderer Artikel natürlich davon abweichen.
Ohne Werbeblocker (Fall 1) werden für einen einzigen Artikel etwa 1200 Anfragen (! etwa 17MB Daten gingen über die Leitung und die Seite lädt 2,5 Minuten bis zum Ende) verschickt. Mit Werbeblocker (Fall 2, uBlock Origin in einem Chromium-Browser) sind es 164 Anfragen.
Im ersten Fall wurden mehrere Hundert Cookies angelegt (in den Developer-Tools: Application -> Storage -> Cookies) und im Fall ohne Werbeblocker 4.
Ich habe das mal stichprobenartig bei einigen Artikeln von manchen Zeitungen gemacht, die folgenden Werte sind aber nicht gemittelt und nicht repräsentativ, geben aber eine Tendenz ab und vermitteln ein Gefühl für das Thema. Mit relativ wenigen Mitteln und einem einheitlich definierten Testverfahren ließe sich dazu einfach eine präzise und repräsentative Erhebung durchführen.
Schema: Anzahl der Anfragen/Verbindungen, Zeit bis die Seite vollständig geladen ist (nicht aufgebaut!), übermittelte Daten, Anzahl der Cookies
Stuttgarter Nachrichten:
Fall 1: 1200 Verbindungen, 150 Sekunden, 17 MB, 100-500 Cookies
Fall 2: 164 Verbindungen, 3 Sekunden, 2,4 MB, 4 Cookies
Süddeutsche Zeitung:
Fall 1: 325 Verbindungen, 20 Sekunden, 7,2 MB, 80-110 Cookies
Fall 2: 37 Verbindungen, 2 Sekunden, 1,2 MB, 2 Cookies
Taz:
Fall 1: 450 Verbindungen, 30 Sekunden, 11,5 MB, etwa 100 Cookies
Fall 2: 94 Verbindungen, 5,2 Sekunden, 5,7 MB, 7 Cookies
FAZ:
Fall 1: 450 Verbindungen, 22 Sekunden, 15,2 MB, 100-150 Cookies
Fall 2: 343 Verbindungen, 15 Sekunden, 8,2 MB, ~16 Cookies
Spiegel:
Fall 1: 430 Verbindungen, 20,6 Sekunden, 13,4 MB, ~50 Cookies (auffällig: etwa 100 Verbindungen pro Minute auf der Seite kommen dazu)
Fall 2: 117 Verbindungen, 3,6 Sekunden, 2,6 MB, ~ 20 Cookies
Bild:
Fall 1: 186 Verbindungen, 28 Sekunden, 7,2 MB, <50 Cookies
Fall 2: 70 Verbindungen, 2,6 Sekunden, 3,7 MB, 4 Cookies
Meine Thesen:
– Pragmatisch: Werbeblocker verschnellern das Internet
– Pragmatisch-Ethisch: Es ist ein Akt des Klimaschutzes und im Sinne der Ressourcenschonung, einen Werbeblocker zu verwenden
– Werbeblocker sind ein praktischer Selbstschutz vor der Schnüffel- und Datensammelindustrie
– Die Vertrauenswürdigkeit einer journalistischen Webseite (oder sogar einer Zeitung) steigt nicht mit der Anzahl der externen (dubiosen) (Werbe-)Dienstleistern und Datensammeldiensten. Stichwort: Der (meist) selbsternannte und angeblich unabhängige "Qualitätsjournalismus", der aber regelmäßig vor den Marketingabteilungen und den BWLern in die Knie geht.
– Etwas überspitzt: Es hat eine gewisse Komik und Ironie, wenn sich JournalistInnen – besonders die der Stuttgarter Nachrichten – über die Stasi lustig machen.
Tolle Artikel-Serie und wirklich wichtig.
Aus privacy und technischer Sicht ist das erschreckend und gibt für die Verlage kein gutes Bild ab.
Mich stören diese Cookie Hinweise auch schon seit Jahren. Ich fände es gut, wenn sich alle Anbieter auf ein „Format“ von Cookie-Hinweis einigen könnten und es z. B. ein Browser-Addon gäbe in dem Ich einstellen kann dass Ich generell alle Cookies akzeptiere. So müsste ich nicht bei jeder neunen Webseite einzeln zustimmen.