Die Cookie-Tricks der deutschen Verlage

„Es gibt eine Theorie, die besagt, wenn jemals irgendwer genau herausfindet, wozu das Universum da ist und warum es da ist, dann verschwindet es auf der Stelle und wird durch noch etwas Bizarreres und Unbegreiflicheres ersetzt. Es gibt eine andere Theorie, nach der das schon passiert ist.“

Dieses Zitat von Douglas Adams kam mir in der vergangenen Woche in den Sinn, als ich mir die neuen Cookie-Banner ansah, die bei vielen Verlagen online gegangen sind.

In zwei Teilen hatten wir beschrieben, wie der deutsche Gesetzgeber ein Sonderrecht für hiesige Verleger geschaffen hatte, um die Daten ihrer Leser für Werbezwecke zu nutzen – und wie dieses Sonderrecht nun in sich zusammenfällt.

Seither ist schon wieder einiges passiert. So haben mehrere Landes-Datenschutzbehörden mit einer koordinierten Überprüfung der Cookie-Praktiken deutscher Verlage begonnen. Und die Werbewirtschaft hat die neue Version des „Transparency and Consent Frameworks“ (TCF v2.0) adaptiert. Mit dem technischen und organisatorischen Standard soll das System personalisierter Werbung zumindest auf dem Papier wasserdicht gemacht werden. In der langen Wertschöpfungskette soll jeder Adtech-Dienstleister, jeder Werbetreibdende und jede Agentur absolut sicher sein können, welche Nutzerdaten sie verwenden können und welche nicht.

Wo bitte ist der „OK“-Knopf?

Doch wenn man die Praxis betrachtet, kommen Zweifel. Nehmen wir zum Beispiel diesen Cookie-Dialog, der nun bei zahlreichen Angeboten der Ippen-Gruppe auftaucht – etwa bei der „Frankfurter Rundschau“ und dem „Münchner Merkur“, der „tz“ und der „Hessisch/Niedersächsischen Allgemeinen“ (HNA).

Der Cookie-Dialog bei hna.de
Screenshot: hna.de

Wie mittlerweile üblich, sehen wir auf hna.de einen Dialog, der zunächst vorgibt, die datenschutzfreundlichsten Einstellungen vorausgewählt zu haben. Nur der Schalter „Notwendig“ ist aktiviert. Alle anderen Schalter von der personalisierten Werbung bis zur genauen Standortabfrage sind deaktiviert. Alles prima also, eine vorbildliche Datenschutzhaltung, die im krassen Kontrast zu Datenkonzernen wie Google oder Facebook steht. Denkt man.

Trick Nummer 1: Leider mussten sich die Nutzer:innen schon daran gewöhnen, dass sie in solchen Cookie-Dialogen dazu verleitet werden sollen, Daten freizugeben, selbst wenn sie das nicht wollen: Wo man eigentlich einen „OK“-Button erwartet, steht in Wahrheit ein Knopf mit der Aufschrift „Alle Akzeptieren“. Sprich: Leser:innen, die wie üblich den lästigen Dialog schnell loswerden wollen und die vermeintliche Voreinstellung akzeptabel finden, geben in Wahrheit jede Datenverwendung frei.

Nicht im Interesse der Nutzer

Solche Tricks nen…

17 Kommentare

  1. Tippfehler? Solche Tricks nennen sich übrigens „dark pattens“

    Danke für den Hinweis! Haben wir korrigiert. – JK

  2. Ich frage mich inzwischen immer, ob ich da wirklich seriösen Journalismus bekomme, wenn man mich mit solchen Dialogen auf skrupellose Art zu verarschen versucht?

  3. @Martin
    Die Individuen, die fürs eine und die, die fürs andere zuständig sind, sind ziemlich sicher nicht dieselben. In vielen Fällen dürften sie sogar kaum etwas miteinander zu tun haben.

  4. Ich habe mich inzwischen an den Trick gewöhnt und klicke immer auf den unauffälligeren Knopf. Denke, das geht irgendwann allen so. Spätestens dann wird die Branche die Knopffarbe wechseln und „Allem zustimmen“ unauffällig machen – das merkt dann aber keiner mehr, weil sich das Klickverhalten automatisiert hat, und wir alle sind geliefert… ;-)

  5. Die erwischen sowieso nur die Dummen mit diesen erbärmlichen Tricks.
    Jeder/r mit normale technischen Verstand im Netz benutzt einen gescheiten Adblocker wie uBlock, damit bekommt man diese Bauernfängerei schon mal gar nicht erst zu Gesicht.
    Und ansonsten lässt per via Plugin per default genau *null* Cookies zu und fügt dann Ausnahmen für genau die eine original Domain hinzu.
    Man kann 99% aller Seiten so gefahrlos besuchen, und der Rest der nicht geht will einen halt offenbar nicht als Kunden haben und soll sehen wo er ohne BesucherInnen bleibt.
    Und was pseudokritische Berichte in deutschen Publikationen über die böse Sammelwut von F-Buch, TikTok und $hastenichtgesehenBigDataKonzern wert sind lässt sich an der Anzahl der geblockten Fremddomains (nicht selten jene Kritisierten selbst) ablesen. Im Normalfall genau nichts. Das sind nur Schlangenölverkäufer die vor dem Schlangenöl der anderen warnen. Lächerlich.

  6. @6:
    Was mich generell bei Leuten mit ein wenig technischem Sachverstand/Halbwissen und bei Mitarbeitern von IT Abteilungen stört: Ihre unglaubliche Arroganz gegenüber denen, von den sie glauben, dass sie den technischen Sachverhalt wissen müssen bzw. nicht wissen. Was darauf folgt ist eine herablassende Art, diese Leute zu korrigieren, im besten Fall gepaart mit Schlagworten, mit denen die Hilfesuchenden nichts anfangen können und die nur der Selbstvergewisserung dienen, dass man zu den wissenden gehört, im schlechtesten Fall mit Anhäufung von Herrschaftswissen.

    Fakt ist, dass nicht alle da draußen 100% fit sind und selbst die Experten, die sich in einer Situation überlegen glauben, eben nur in dieser Situation überlegen sind – sobald es um ein anderes datenbasiertes Thema geht, sind sie aufgeschmissen. Daher braucht es klare Richtlinien, gesetzliche Vorgaben, sowie die Überwachung deren Umsetzung. Und damit das auch in den Köpfen aller ankommt, ist eine öffentliche Diskussion darüber notwendig. Und Öffentlichkeit erzielt man über Presseartikel wie diesen. Womit wir wieder beim Ursprung wären: Einen solchen Artikel als „pseudokritisch“ abzustempelt, verhindert ebendiese Diskussion und ist ein „weiter so wie bis jetzt“, denn „ich bin ja nicht blöd, ich weiß mich, wie ich mich schütze“.

  7. Vielen Dank für diesen großartigen Artikel!
    Anscheinend ist da vielen Firmen echt nichts zu blöd oder unverschämt, um ihr veraltetes (illegales) Geschäftsmodell noch ein paar Monate in die Zukunft zu retten … Auch nicht sehr vertrauensbildend, was die Seriosität der Berichterstattung betrifft. (Auch wenn da Peter Sievert/4 wohl recht haben dürfte.)

    @ Alex/7: Große Zustimmung, diese arrogante Selbstbeweihräucherung lässt sich ja kaum aushalten. Noch dazu, wo ihm der Artikel selbst in einem zentralen Punkt widerspricht: Cookies abzulehnen reicht eben oft nicht mehr aus, seit es Browser Fingerprinting gibt.
    Siehe dazu z. B.: https://panopticlick.eff.org/

  8. Hab heute wieder viel gelernt und in meinen beiden aktuell benutzten Browsern mal alle Cookies gelöscht. Vielleicht hilft es ja. Davon mal abgesehen migriere ich gerade sowieso meine Daten von Chrome zu Vivaldi, was auch den Vorteil mit sich gebracht hat, dass ich meinen Bild.de Shortcut nicht migriert habe. Bin seit circa zwei Wochen auf Bild Diät und mir fehlt…nichts. Eigentlich auch ganz nett, mal weniger Weltende-„Journalismus“ zu lesen.
    Stattdessen ein Online Zugang für die NYTimes abonniert für 2$ im Monat. Tatsächlich überlege ich noch bzgl. Süddeutsche, Tagesspiegel und/oder Spiegel, leider musste ich feststellen, dass die hier erwähnte Cookie Politik der Süddeutschen grausam ist und dass mir der Spiegel ein Pur Abo für 5€ andrehen will und das dann ohne neue Inhalte für Spiegel+. Da wirds dann richtig teuer hinten raus. Und was ich so als freien Inhalt bei Spiegel.de sehe ist mir nicht 5€ im Pur Abo wert. Allerdings finde ich die Idee dahinter schon ganz nett, da muss man aber noch anders locken als nur Tracker zu entfernen…angeblich.

  9. Es hat leider auch bei mir ein paar Websites lang gedauert, bis ich die neue Cookie-Verladerei durchschaut und nicht mehr unterbewußt und blitzschnell auf den schönsten Button geklickt habe. Einiges habe ich dann mühsam manuell rückgeändert. Tatsächlich wird bei dieser neuesten Cookie-Genehmigungs-Generation deutlich mehr erlaubt werden als zuvor, weil das Gewohnheitstier Mensch wie früher bei den freundlicherweise schon vorher mit „ja“ belegten Buttons vorbeihastet.

  10. @5 naja, es ist ja jetzt schon gang und gäbe, dass der (erste) unauffällige Knopf auch schon nicht mehr zum Happy End führt. Es ist ein Labyrinth aus eingeklappten Menüs, Einstellungsseiten, offensichtlichen und versteckten Knöpfen, das sich alle paar Wochen ändert. Dem Nutzer wird eine Sysiphusarbeit überlassen aus der er sich mit dem Verkauf aller Informationen freikaufen kann. Es ist absurd.

    @6 Aha. Was ist hier das Argument? Technisch versierte Menschen wissen, wie Cookies (momentan, Blocker vs Tracker ist ein bisschen wie Hacker vs Security) vermieden werden könnten, also… Sollte man gar nicht drüber sprechen?
    (An dieser Stelle frage ich mich nebenbei auch, wie ihr Standpunkt zur Finanzierung kostenfreier Online Dienste ist, da ihre Lösung des Datenproblems eine Werbefinanzierung ausschließen würde)
    Das Internet für einen großen Anteil der Nutzer zu einem Ort des allumfassenden Datendiebstahls werden zu lassen, weil sie nicht in diese Gruppe fallen ist bescheuert. Nur weil sie wissen, wo es kugelsichere Westen gibt ist das noch kein Grund das Schuswaffenproblem nicht zu diskutieren.

  11. Inzwischen schließe ich derart absichtlich in die Irre führende Seiten sofort wieder. Meine Zeit ist mir zu wertvoll, als dass ich mich mit den abgefeimten Methoden solcher Seitenbetreiber herumschlagen will. wer mir vermittelt, dass er mich verarschen will, hat jegliches Vertrauen verspielt.

  12. Es sind ja nicht nur die Verlage. Auch der Onlinehandel versucht alle möglichen Tricks, um eine „Zustimmung“ zur Nutzung von technisch nicht notwendigen Cookies zu erlangen. Es ist letztlich der Preis für kostenlosen Content. Wenn man die Cookie-Zustimmung als Anbieter mit offenem Visier betreibt, d. h. transparent, gibt es kaum Zustimmung. Warum auch?
    Ich kann die Anbieter verstehen.

  13. Moin.

    Der Artikel ist gut und wichtig, wie auch die beiden davor zu diesem Thema. Aber ehrlich gesagt ärgere ich mich auch bei Übermedien ein bisschen über den Cookie-Umgang.

    Ja, es gibt direkt unterscheidbar „OK(?)“ und „Einstellungen(?)“. Bin ich dann in den Einstellungen (eigentlich der Datenschutz-Seite) muss ich bis nach ganz unten scrollen, um den Link für das Deaktivieren von Google Analytics zu drücken. Von dort komme ich nicht direkt wieder dort hin, wo ich eigentlich die Seite betreten habe. Das ist nicht komfortabel und ärgert mich jedes Mal.

    Auch die Weitergabe an Adobe TypeKit stört mich. Könnt Ihr nicht die Schriftart vom eigenen Server ausliefern?

    Laut Eurer Datenschutz-Seite sind es dann nur noch Übermedien, Steady und VG Wort, die ihre Cookies setzen. Das wäre für mich ok und lässt sich auch bei Euch gar nicht ändern. Wie wäre es, statt der Weiterleitung auf die im Vergleich lange Datenschutz-Seite, das Popup zu ändern und für die bis zu 5 Adressaten Schieberegler und einen Speichern-Knopf zu setzen?

    Gruß, Simpel

  14. War gerade bei Skoda.de .
    Ausgerechnet ein reines Wirtschaftsunternehmen hatte die sinnvolle Option „nur die zwingend notwendigen“ sofort auszuwählen.

Einen Kommentar schreiben

Mit dem Absenden stimmen Sie zu, dass Ihre Angaben gemäß unseren Datenschutzhinweisen gespeichert werden. Ihre E-Mail-Adresse wird nicht veröffentlicht.