- Die Cookie-Apokalypse (1):
Wie Medien zu Datensammlern wurden – und warum sich das endlich ändern könnte - Die Cookie-Apokalypse (2):
Tricksen, täuschen oder umdenken: Geht Online-Werbung ohne Datentauschrausch?
Die Cookie-Tricks der deutschen Verlage
„Es gibt eine Theorie, die besagt, wenn jemals irgendwer genau herausfindet, wozu das Universum da ist und warum es da ist, dann verschwindet es auf der Stelle und wird durch noch etwas Bizarreres und Unbegreiflicheres ersetzt. Es gibt eine andere Theorie, nach der das schon passiert ist.“
Dieses Zitat von Douglas Adams kam mir in der vergangenen Woche in den Sinn, als ich mir die neuen Cookie-Banner ansah, die bei vielen Verlagen online gegangen sind.
In zwei Teilen hatten wir beschrieben, wie der deutsche Gesetzgeber ein Sonderrecht für hiesige Verleger geschaffen hatte, um die Daten ihrer Leser für Werbezwecke zu nutzen – und wie dieses Sonderrecht nun in sich zusammenfällt.
Seither ist schon wieder einiges passiert. So haben mehrere Landes-Datenschutzbehörden mit einer koordinierten Überprüfung der Cookie-Praktiken deutscher Verlage begonnen. Und die Werbewirtschaft hat die neue Version des „Transparency and Consent Frameworks“ (TCF v2.0) adaptiert. Mit dem technischen und organisatorischen Standard soll das System personalisierter Werbung zumindest auf dem Papier wasserdicht gemacht werden. In der langen Wertschöpfungskette soll jeder Adtech-Dienstleister, jeder Werbetreibdende und jede Agentur absolut sicher sein können, welche Nutzerdaten sie verwenden können und welche nicht.
Wo bitte ist der „OK“-Knopf?
Doch wenn man die Praxis betrachtet, kommen Zweifel. Nehmen wir zum Beispiel diesen Cookie-Dialog, der nun bei zahlreichen Angeboten der Ippen-Gruppe auftaucht – etwa bei der „Frankfurter Rundschau“ und dem „Münchner Merkur“, der „tz“ und der „Hessisch/Niedersächsischen Allgemeinen“ (HNA).
Wie mittlerweile üblich, sehen wir auf hna.de einen Dialog, der zunächst vorgibt, die datenschutzfreundlichsten Einstellungen vorausgewählt zu haben. Nur der Schalter „Notwendig“ ist aktiviert. Alle anderen Schalter von der personalisierten Werbung bis zur genauen Standortabfrage sind deaktiviert. Alles prima also, eine vorbildliche Datenschutzhaltung, die im krassen Kontrast zu Datenkonzernen wie Google oder Facebook steht. Denkt man.
Trick Nummer 1: Leider mussten sich die Nutzer:innen schon daran gewöhnen, dass sie in solchen Cookie-Dialogen dazu verleitet werden sollen, Daten freizugeben, selbst wenn sie das nicht wollen: Wo man eigentlich einen „OK“-Button erwartet, steht in Wahrheit ein Knopf mit der Aufschrift „Alle Akzeptieren“. Sprich: Leser:innen, die wie üblich den lästigen Dialog schnell loswerden wollen und die vermeintliche Voreinstellung akzeptabel finden, geben in Wahrheit jede Datenverwendung frei.
Nicht im Interesse der Nutzer
Solche Tricks nennen sich übrigens „dark patterns“, sozusagen die dunkle Seite des Nutzerdesigns. Statt Zusammenhänge möglichst klar zu machen, geht es hier darum, die Nutzer:innen zu einer Entscheidung zu bewegen, die nicht wirklich in ihrem Interesse ist.
Wer die oft sehr klein gesetzten Texte genau liest, erfährt: Wenn erst auf „Alle akzeptieren“ geklickt wurde, dürfen der Verlag und seine „Partner“ so ziemlich alles mit den Daten ihrer Leser:innen machen. Etwa das Handy mit dem Desktop-Rechner abgleichen, die genauen Standortdaten erfassen, detaillierte Nutzerprofile anlegen, die alle Interessen und Kaufprofile vereinigt. Sogar das „Browser-Fingerprinting“ wäre erlaubt: Hierbei wird versucht, Nutzer:innen aufgrund von technischen Daten wie den auf dem Computer installierten Schriftarten, der IP-Adresse oder der Bildschirmauflösung wiederzuerkennen, wenn sie gar nicht erkannt werden wollen und zum Beispiel den Privatsphäre-Modus ihres Browsers benutzen. Schließlich haben sie ja ihre Zustimmung erteilt.
Dieser Cookie-Banner geht aber deutlich über die bisher üblichen Tricks hinaus. Denn normalerweise ist in solchen Cookie-Dialogen noch ein Button platziert, der es den Nutzer:innen ermöglicht, die angezeigte Voreinstellung tatsächlich zu akzeptieren und die Datenweitergabe auf ein erträgliches Maß zu reduzieren. Nicht jedoch hier. Einen „OK“-Button, mit dem man die vermeintlichen Voreinstellungen und damit – zumindest dem Anschein nach – nur die notwendigsten Cookies akzeptieren würde, gibt es erst gar nicht. Stattdessen gibt es einen Knopf, der zu den „Einstellungen“ führt.
519 Partner warten auf Daten
Wer meint, dass man hier einfach den Tracking-Cookies widersprechen kann, sieht sich auch hier getäuscht. Denn statt der übersichtlichen Auswahl von der erste Seite wird man nun hier mit einer langen Liste von zwölf verschiedenen „Verarbeitungszwecken“ konfrontiert. Aber – oh Wunder – schon wieder sind alle Schalter deaktiviert. Will der Verlag also gar keine Daten verwenden? Wozu einen so aufwendigen Cookie-Banner entwerfen, wenn man keine Cookies setzen will?
Ein Blick auf den Kartenreiter „Partner“ belehrt eines Besseren. Im Cookie-Dialog auf hna.de sind sage und schreibe 519 Partner aufgelistet, denen der Verlag auf irgendeine Weise Daten zukommen lassen will.
Manche davon sind relativ unproblematisch – wie etwa das VG-Wort-Cookie, das zur Zuteilung der Einnahmen der Verwertungsgesellschaft für Autoren gedacht ist und keine Datenprofile anlegt.
Andere Anbieter sind hingegen für ihre extensive Datensammlung bekannt: Google steht genau so auf der Liste wie Oracle, Criteo oder The Rubicon Project. Wer an dieser Stelle in seinem Browser auf die Seiteneigenschaften klickt, wird feststellen, dass einige dieser Anbieter bereits ihre Cookies gesetzt haben, noch bevor eine Zustimmung erteilt wurde. Was ist da los? Alle Schalter waren doch deaktiviert?
Ablehnung nur mit Klickorgien
Wer glaubte, mit dem Klick auf „Einstellungen“ verhindert zu haben, dass die eigenen Daten Richtung Google geschickt werden, sieht sich getäuscht. Aufklärung schaffte erst der Kartenreiter „Berechtigtes Interesse“. Sie haben ihn noch nicht entdeckt? Nun, hier oben ist er:
Wieder eine neue Liste, diesmal mit neun „Zwecken“. Diesmal jedoch sind alle Schalter aktiviert.
Darunter fallen eher harmlose Kategorien wie „Inhalte-Leistung messen“, mit der es dem Verlag ermöglicht wird, Leservorlieben zu registrieren, ihr Angebot zu verbessern oder den Lesern gar Lesevorschläge zu unterbreiten. Aber auch die Kategorie „Ein personalisiertes Anzeigen-Profil erstellen“, ist hier aktiviert, die es nicht weniger als 41 „Partnern“ ermöglicht, ausgiebige Datenprofile über Leser:innen anzulegen. Der Punkt „Marktforschung einsetzen, um Erkenntnisse über Zielgruppen zu gewinnen“, der den Partnern sogar erlaubt das Nutzer-Profil mit „Offline-Daten“ zusammenzuführen, führt gar 77 Partner auf. Nur wer diese Kategorien manuell deaktiviert, kann einer Verwertung der eigenen Daten im weltweiten Werbekasino widersprechen.
Aber auch das nur zum Teil: Denn selbst wenn man alle Schalter auf Aus stellt, bleiben immer noch Dutzende Cookies übrig. Ein weiterer Blick in die Liste offenbart, dass hier noch weitere Kategorien aufgeführt sind, denen der Nutzer schlichtweg nicht widersprechen kann. Das sind zum einen die Datenverarbeitungen, die der Sicherheit dienen, Betrug verhindern oder gar Fehler beheben dürfen. Und die Datenerhebungen um „Anzeigen oder Inhalte technisch bereitzustellen“. Es folgt eine Liste von 295 Unternehmen.
Immerhin: Wenn man jeden Schalter auf jeder Seite des Cookie-Dialogs deaktiviert hat, sollen diese Partner keine Bewegungsprofile anlegen dürfen, keine Interessenprofile anlegen und die Daten nicht mit anderen Offline-Daten abgleichen. Zumindest so lange bis die Nutzer:innen die nächste Website besuchen, wo sie denselben „Partnern“ in einem anderen Cookie-Dialog (aus Versehen) all das erlauben könnten.
Behörden wollen Cookie-Praxis der Verlage untersuchen
Der Cookie-Dialog erscheint als Antithese zu der 24-seitigen Handreichung der Datenschutzbehörden für die Anbieter von Telemedien (PDF), der die Freiwilligkeit und die Informiertheit der Nutzer:innen betont und „berechtigtes Interesse“ nur unter engen Voraussetzungen als Freibrief zur Datenverarbeitung akzeptiert.
Wir hätten gerne den Verlag zu Wort kommen lassen, wie er diese Cookie-Policy rechtfertigt, mehrere Anfragen blieben jedoch unbeantwortet.
Stattdessen muss er sich nun den Fragen mehrerer Aufsichtsbehörden stellen, die mit einer kollektiven Untersuchung der Cookie-Praxis großer Medienhäuser begonnen haben.
Runterbrechen lässt sich die Gesetzeslage auf diese Fragen: Können die Nutzer:innen tatsächlich davon ausgehen, dass ihre Daten an über 500 „Partner“ weitergegeben werden? Und konnten sie ahnen, dass diesen Partnern mitunter das Recht gegeben wird, die Daten mit Supermarktkäufen abzugleichen, einen Browser-Fingerabdruck zu nehmen und Bewegungsprofile zu erstellen?
Falls dies nicht der Fall ist, ist diese Zustimmung nämlich nichts wert.
So hat der Bundesgerichtshof Ende Mai geurteilt:
„Weiß der Verbraucher mangels Kenntnisnahme vom Inhalt der Liste und ohne Ausübung des Wahlrechts nicht, die Produkte oder Dienstleistungen welcher Unternehmer die Einwilligung erfasst, liegt keine Einwilligung für den konkreten Fall vor.“
Eine andere Frage ist: Entspricht es wirklich dem „berechtigten Interesse“ des Verlages, so viele Daten auch ungefragt weiterzugeben? Auch hier sieht es für die Interpretation der Verlage nicht gut aus. „Cookies zu Werbezwecken oder Profilbildung erfordern immer eine wirksame Einwilligung. Dies hat der BGH kürzlich nochmal klargestellt“, erklärt etwa ein Sprecher des Bundesdatenschutzbeauftragten auf Anfrage von Übermedien.
Trotzdem haben viele Verlage den oben vorgestellten Cookie-Dialog mit leichten Variationen übernommen, etwa die „FAZ“, die „Süddeutsche Zeitung“, „Meedia“ oder „Chip.de“.
!slideshow_deploy!Unterschiede gibt es etwa dabei, wie unverständlich die Texte formuliert sind, wie viele Seiten der „Datenschutzoptionen“ gar keine Optionen enthalten oder wie oft man klicken muss, um selbst einfachste Sachverhalte nachzulesen.
Die Gespräche, die viele Datenschutzbehörden nun mit den reichweitenstärksten Medien beginnen wollen, dürften daher für die Verlage mitunter schmerzhaft werden.
Der Autor
Torsten Kleinz ist freier Journalist aus Köln und schreibt mit Vorliebe darüber, was die Welt und das Internet zusammenhält – vom Tracking-Cookie bis zum E-Sport, von der Wikipedia bis zur Algorithmen-Ethik.
Tippfehler? Solche Tricks nennen sich übrigens „dark pattens“
Danke für den Hinweis! Haben wir korrigiert. – JK
Da hat jemand einen Tag zuvor TerraX geschaut. LG
Ich frage mich inzwischen immer, ob ich da wirklich seriösen Journalismus bekomme, wenn man mich mit solchen Dialogen auf skrupellose Art zu verarschen versucht?
@Martin
Die Individuen, die fürs eine und die, die fürs andere zuständig sind, sind ziemlich sicher nicht dieselben. In vielen Fällen dürften sie sogar kaum etwas miteinander zu tun haben.
Ich habe mich inzwischen an den Trick gewöhnt und klicke immer auf den unauffälligeren Knopf. Denke, das geht irgendwann allen so. Spätestens dann wird die Branche die Knopffarbe wechseln und „Allem zustimmen“ unauffällig machen – das merkt dann aber keiner mehr, weil sich das Klickverhalten automatisiert hat, und wir alle sind geliefert… ;-)
Die erwischen sowieso nur die Dummen mit diesen erbärmlichen Tricks.
Jeder/r mit normale technischen Verstand im Netz benutzt einen gescheiten Adblocker wie uBlock, damit bekommt man diese Bauernfängerei schon mal gar nicht erst zu Gesicht.
Und ansonsten lässt per via Plugin per default genau *null* Cookies zu und fügt dann Ausnahmen für genau die eine original Domain hinzu.
Man kann 99% aller Seiten so gefahrlos besuchen, und der Rest der nicht geht will einen halt offenbar nicht als Kunden haben und soll sehen wo er ohne BesucherInnen bleibt.
Und was pseudokritische Berichte in deutschen Publikationen über die böse Sammelwut von F-Buch, TikTok und $hastenichtgesehenBigDataKonzern wert sind lässt sich an der Anzahl der geblockten Fremddomains (nicht selten jene Kritisierten selbst) ablesen. Im Normalfall genau nichts. Das sind nur Schlangenölverkäufer die vor dem Schlangenöl der anderen warnen. Lächerlich.
@6:
Was mich generell bei Leuten mit ein wenig technischem Sachverstand/Halbwissen und bei Mitarbeitern von IT Abteilungen stört: Ihre unglaubliche Arroganz gegenüber denen, von den sie glauben, dass sie den technischen Sachverhalt wissen müssen bzw. nicht wissen. Was darauf folgt ist eine herablassende Art, diese Leute zu korrigieren, im besten Fall gepaart mit Schlagworten, mit denen die Hilfesuchenden nichts anfangen können und die nur der Selbstvergewisserung dienen, dass man zu den wissenden gehört, im schlechtesten Fall mit Anhäufung von Herrschaftswissen.
Fakt ist, dass nicht alle da draußen 100% fit sind und selbst die Experten, die sich in einer Situation überlegen glauben, eben nur in dieser Situation überlegen sind – sobald es um ein anderes datenbasiertes Thema geht, sind sie aufgeschmissen. Daher braucht es klare Richtlinien, gesetzliche Vorgaben, sowie die Überwachung deren Umsetzung. Und damit das auch in den Köpfen aller ankommt, ist eine öffentliche Diskussion darüber notwendig. Und Öffentlichkeit erzielt man über Presseartikel wie diesen. Womit wir wieder beim Ursprung wären: Einen solchen Artikel als „pseudokritisch“ abzustempelt, verhindert ebendiese Diskussion und ist ein „weiter so wie bis jetzt“, denn „ich bin ja nicht blöd, ich weiß mich, wie ich mich schütze“.
Vielen Dank für diesen großartigen Artikel!
Anscheinend ist da vielen Firmen echt nichts zu blöd oder unverschämt, um ihr veraltetes (illegales) Geschäftsmodell noch ein paar Monate in die Zukunft zu retten … Auch nicht sehr vertrauensbildend, was die Seriosität der Berichterstattung betrifft. (Auch wenn da Peter Sievert/4 wohl recht haben dürfte.)
@ Alex/7: Große Zustimmung, diese arrogante Selbstbeweihräucherung lässt sich ja kaum aushalten. Noch dazu, wo ihm der Artikel selbst in einem zentralen Punkt widerspricht: Cookies abzulehnen reicht eben oft nicht mehr aus, seit es Browser Fingerprinting gibt.
Siehe dazu z. B.: https://panopticlick.eff.org/
Hab heute wieder viel gelernt und in meinen beiden aktuell benutzten Browsern mal alle Cookies gelöscht. Vielleicht hilft es ja. Davon mal abgesehen migriere ich gerade sowieso meine Daten von Chrome zu Vivaldi, was auch den Vorteil mit sich gebracht hat, dass ich meinen Bild.de Shortcut nicht migriert habe. Bin seit circa zwei Wochen auf Bild Diät und mir fehlt…nichts. Eigentlich auch ganz nett, mal weniger Weltende-„Journalismus“ zu lesen.
Stattdessen ein Online Zugang für die NYTimes abonniert für 2$ im Monat. Tatsächlich überlege ich noch bzgl. Süddeutsche, Tagesspiegel und/oder Spiegel, leider musste ich feststellen, dass die hier erwähnte Cookie Politik der Süddeutschen grausam ist und dass mir der Spiegel ein Pur Abo für 5€ andrehen will und das dann ohne neue Inhalte für Spiegel+. Da wirds dann richtig teuer hinten raus. Und was ich so als freien Inhalt bei Spiegel.de sehe ist mir nicht 5€ im Pur Abo wert. Allerdings finde ich die Idee dahinter schon ganz nett, da muss man aber noch anders locken als nur Tracker zu entfernen…angeblich.
Es hat leider auch bei mir ein paar Websites lang gedauert, bis ich die neue Cookie-Verladerei durchschaut und nicht mehr unterbewußt und blitzschnell auf den schönsten Button geklickt habe. Einiges habe ich dann mühsam manuell rückgeändert. Tatsächlich wird bei dieser neuesten Cookie-Genehmigungs-Generation deutlich mehr erlaubt werden als zuvor, weil das Gewohnheitstier Mensch wie früher bei den freundlicherweise schon vorher mit „ja“ belegten Buttons vorbeihastet.
@5 naja, es ist ja jetzt schon gang und gäbe, dass der (erste) unauffällige Knopf auch schon nicht mehr zum Happy End führt. Es ist ein Labyrinth aus eingeklappten Menüs, Einstellungsseiten, offensichtlichen und versteckten Knöpfen, das sich alle paar Wochen ändert. Dem Nutzer wird eine Sysiphusarbeit überlassen aus der er sich mit dem Verkauf aller Informationen freikaufen kann. Es ist absurd.
@6 Aha. Was ist hier das Argument? Technisch versierte Menschen wissen, wie Cookies (momentan, Blocker vs Tracker ist ein bisschen wie Hacker vs Security) vermieden werden könnten, also… Sollte man gar nicht drüber sprechen?
(An dieser Stelle frage ich mich nebenbei auch, wie ihr Standpunkt zur Finanzierung kostenfreier Online Dienste ist, da ihre Lösung des Datenproblems eine Werbefinanzierung ausschließen würde)
Das Internet für einen großen Anteil der Nutzer zu einem Ort des allumfassenden Datendiebstahls werden zu lassen, weil sie nicht in diese Gruppe fallen ist bescheuert. Nur weil sie wissen, wo es kugelsichere Westen gibt ist das noch kein Grund das Schuswaffenproblem nicht zu diskutieren.
Inzwischen schließe ich derart absichtlich in die Irre führende Seiten sofort wieder. Meine Zeit ist mir zu wertvoll, als dass ich mich mit den abgefeimten Methoden solcher Seitenbetreiber herumschlagen will. wer mir vermittelt, dass er mich verarschen will, hat jegliches Vertrauen verspielt.
Es sind ja nicht nur die Verlage. Auch der Onlinehandel versucht alle möglichen Tricks, um eine „Zustimmung“ zur Nutzung von technisch nicht notwendigen Cookies zu erlangen. Es ist letztlich der Preis für kostenlosen Content. Wenn man die Cookie-Zustimmung als Anbieter mit offenem Visier betreibt, d. h. transparent, gibt es kaum Zustimmung. Warum auch?
Ich kann die Anbieter verstehen.
Moin.
Der Artikel ist gut und wichtig, wie auch die beiden davor zu diesem Thema. Aber ehrlich gesagt ärgere ich mich auch bei Übermedien ein bisschen über den Cookie-Umgang.
Ja, es gibt direkt unterscheidbar „OK(?)“ und „Einstellungen(?)“. Bin ich dann in den Einstellungen (eigentlich der Datenschutz-Seite) muss ich bis nach ganz unten scrollen, um den Link für das Deaktivieren von Google Analytics zu drücken. Von dort komme ich nicht direkt wieder dort hin, wo ich eigentlich die Seite betreten habe. Das ist nicht komfortabel und ärgert mich jedes Mal.
Auch die Weitergabe an Adobe TypeKit stört mich. Könnt Ihr nicht die Schriftart vom eigenen Server ausliefern?
Laut Eurer Datenschutz-Seite sind es dann nur noch Übermedien, Steady und VG Wort, die ihre Cookies setzen. Das wäre für mich ok und lässt sich auch bei Euch gar nicht ändern. Wie wäre es, statt der Weiterleitung auf die im Vergleich lange Datenschutz-Seite, das Popup zu ändern und für die bis zu 5 Adressaten Schieberegler und einen Speichern-Knopf zu setzen?
Gruß, Simpel
NoScript, feddich.
NoScript, fertig.
…oder war das jetzt zu herablassend?
War gerade bei Skoda.de .
Ausgerechnet ein reines Wirtschaftsunternehmen hatte die sinnvolle Option „nur die zwingend notwendigen“ sofort auszuwählen.