E-mail senden E-Mail Adresse kopieren
2021-05-28
Annabelle Theobald

Alles nur Theater –­ warum Cookie-Banner abgeschafft gehören

Die CISPA-Forscher:innen Lea Gröber und Matthias Fassl plädieren in ihrem alt.chi-Paper „Stop the Consent Theater“ für neue Wege beim Datenschutz auf Webseiten.

Beim Surfen im Netz ploppen Nutzer:innen ständig sogenannte Cookie-Banner entgegen, die ihnen unverständliche Auswahlmöglichkeiten wie etwa „Informationen auf einem Gerät speichern und/oder abrufen“, „Anzeigen-Leistung messen“, „Ein personalisiertes Anzeigen-Profil erstellen“ bieten. Überfordert von der schieren Masse an Optionen, Schieberegler hin- und herzubewegen, klicken viele Nutzer:innen einfach auf den erlösenden „Alles erlauben“-Button. Ursprünglich dazu gedacht, die vielzitierte informelle Selbstbestimmung zu ermöglichen, gelten die Banner daher Vielen inzwischen eher als Fluch denn Segen. In ihrem Paper „Stop the Consent Theater“, das sie auf der renommierten IT-Konferenz CHI vorgestellt haben, haben Lea Gröber und Matthias Fassl die Praxis der angeblich informierten Zustimmung zu Cookies durch die Nutzer:innen intensiv beleuchtet und kommen zu dem Schluss: Es müssen andere Lösungen für mehr Datenschutz her.

Wie konnte mit den Cookie-Bannern nur alles so sehr aus dem Ruder laufen? Das ist eine der Fragen, die sich Fassl und Gröber mit Blick auf das ausgeklügelte und teils perfide System rund um das „Erbeuten“ der Zustimmung zu Cookies auf Webseiten gestellt haben. Die Antwort ist so vorhersehbar wie banal und lautet: Wegen Geld. Wofür sich Nutzer:innen interessieren, wo ihr Blick hängenbleibt, was sie kaufen, wen sie lieben – solche und ähnliche Daten sind in den vergangenen zwei Jahrzehnten zum Gold des Webs geworden und die Goldgräberstimmung im Daten-Eldorado hat noch kein Ende gefunden.

Der Grundstein für den heutigen Überwachungskapitalismus sei nach dem Platzen der Dotcom-Blase im Jahr 2000 gelegt worden, erklären Fassl und Gröber. In den 1990er Jahren gab es enorm viel Gründungen in der Digitalwirtschaft. Die Start-Ups der sogenannten „New Economy“ strebten damals an die Börse, um mehr Kapital einzusammeln und so schnell wachsen zu können. Die Gewinnerwartungen waren groß, die Kurse stiegen rasant – und fielen ab März 2000 kontinuierlich, weil absehbar wurde, dass die allzu hohen Erwartungen von den meisten Internet-Unternehmen nicht erfüllt werden konnten. Viele gingen pleite. Wer sich halten konnte, geriet unter Druck höhere Einnahmen zu generieren. Google erkannte als erstes, dass es über bis dahin ungenutzte Potentiale in Form von Verhaltensdaten seiner Nutzer verfügte. Auf Google folgten weitere Unternehmen und heute überbieten sich Werbetreibende beim Sammeln und Anhäufen solcher Daten, um sie für immer genauer auf die Menschen zugeschnittene Werbung fruchtbar zu machen.

Ein Instrument, an Daten heranzukommen, sind Cookies. Diese generell als etwas Schlechtes anzusehen, ist aber zu kurz gegriffen. Denn zu ihren Kernaufgaben gehört es auch sicherzustellen, dass Nutzer:innen sich möglichst problemlos und bequem im Web bewegen können. So sorgen Cookies etwa dafür, dass Nutzer:innen beim Online-Shopping nicht jedes Mal angeben müssen, wer gerade einkauft. Zudem können sie durch deren Einsatz auch heute noch sehen, was sie vor drei Tagen in ihren virtuellen Warenkorb gelegt haben. Cookies sind kleine Datenpakete, die beim Aufrufen einer Webseite von dieser an den Browser der Nutzer:innen gesendet und dort abgelegt werden. Beim nächsten Besuch schickt der Browser die Datei an die Webseite zurück, die so die Nutzer:innen wiedererkennt.

Besonders beliebt bei Werbetreibenden sind allerdings nicht solche funktionellen Cookies, sondern sogenannte Tracking-Cookies. Mit ihnen – und anderen Techniken jenseits des Cookie-Universums – lassen sich die Aktivitäten von Nutzer:innen quer durchs Web verfolgen und so immer genauere Profile von ihnen erstellen.  Seit 2016 schriebt die DSGVO EU-weit vor, dass Nutzer:innen die Möglichkeit haben müssen, diese Praxis zu unterbinden und selbst zu entscheiden, welche Cookies gesetzt werden dürfen und welche nicht. Seither schmücken die bereits beschriebenen Banner das Web und haben ironischerweise statt zu mehr Privatsphäre zu führen einen ganz neuen Wirtschaftszweig rund um die Daten eröffnet. Sogenannte Consent-Managment-Plattformen zeigen seither Seitenbetreiber:innen, wie sie ihre Cookie-Banner optimieren können. Im Klartext heißt das: Wie sie Nutzer:innen dazu bewegen können, allem zuzustimmen.

Wie Fassl und Gröber anhand verschiedener Studien zeigen, gelingt das unter anderem mit möglichst vielen, möglichst unübersichtlichen Kategorien und Auswahlmöglichkeiten. „Die sind zum Teil auch ganz unsinnig“, erklärt Gröber. „Denn oft lassen die Banner auch eine Auswahl bei Cookies zu, die für die Funktion der Seite dringend benötigt werden. Dabei will ja niemand Einbußen bei der Funktion haben.“ Oft werde auch mit doppelten Verneinungen gearbeitet oder Nutzer:innen durch die Größe und Farbe des Buttons dazu verleitet, am Ende allem zuzustimmen.

Eine informierte Entscheidung zu treffen, werde Nutzer:innen durch solche und ähnliche Tricks schlicht unmöglich gemacht, erklärt Gröber. Doch damit nicht genug. Ebenfalls bekannt ist, dass Nutzer:innen sich manchmal ganz umsonst den Kopf zerbrechen, wofür sie ihre Erlaubnis geben, denn von einigen Seitenbetreiber:innen werden sie sowieseo nur auf dem sprichwörtlichen Papier gefragt.  So konnten andere Forscher:innen nachweisen, dass ein Großteil der europäischen Webseiten Tracking-Cookies schon installieren, bevor Nutzer:innen die Gelegenheit haben, ihrem Einsatz zu widersprechen. „Ein Cookie-Banner auf der Seite zu haben ist die eine Sache, die entsprechenden Auswahlmöglichkeiten auch technisch zu implementieren, eine andere“, sagt Gröber. Und irgendwer müsste beides ständig kontrollieren – ein immenser Aufwand und bislang allem Anschein nach nicht der Fall.  

 „Es ist deshalb Zeit, dass wir umdenken und das Problem nicht weiter bei den Nutzer:innen abladen“, sagt Gröber. Dazu sei es wichtig, dass sich die IT-Community künftig die richtigen Fragen stelle und einen Perspektivwechsel vornehme. „Statt zu versuchen, den Nutzer:innen die Abwahl von Cookies zu erleichtern, sollten wir vielleicht lieber darüber nachdenken, wie Webseitenbetreiber ihre Inhalte auf andere Art monetarisieren könnten.“ Das wäre ein erster Schritt in Richtung besserer Datenschutz. Dass das nicht so einfach ist, ist den beiden Forscher:innen klar. Das Geschäft ist lukrativ und viele Nutzer:innen sind sich noch immer nicht bewusst, welchen Preis sie für kostenlose Inhalte und personalisierte Werbung zahlen. „Dass es hier ein Problem gibt, muss noch stärker kommuniziert werden.“