Verschärfter Streit über Browser-Cookies

Viele Angebote im Internet sind auf Werbung angewiesen. Über Cookies, kleine Datenpakete, die auf den Rechnern der Nutzer platziert werden, können diese von Werbern im Netz verfolgt werden. Doch dafür gelten nach einer EU-weiten Neuregelung nun verschärfte Bedingungen. Werbeindustrie und Datenschützer ringen jetzt um eine Lösung.

Im Dezember ist das Telekomreformpaket der EU in Kraft getreten. Es sieht in der Datenschutzrichtlinie für elektronische Kommunikation verschärfte Regelungen zu Cookies vor, die Internet-Anbietern die gezielte Schaltung von Anzeigen ermöglichen. Möglich ist das, weil Cookies Nutzerinformationen auswerten und die Informationen an die Werbetreibenden zurückmelden. Die kleinen Informanten speichern, welche Webseiten wir anklicken - und sie wissen, an welchem Ort wir uns ins Internet eingewählt haben. Diese Cookies werden von Websites an den Rechner des Nutzers geschickt und dort abgelegt - manchmal nur für die Dauer des Website-Besuchs, manchmal aber auch auf unbestimmte Zeit.

Cookies dürfen künftig aber nur dann eingesetzt werden, wenn der Nutzer darüber umfassend informiert wird und seine Einwilligung erteilt hat. Zuvor galt die Regelung, dass der Nutzer vom Anbieter nur informiert werden muss und die Verwendung von Cookies verweigern kann.

• Google über personalisierte Werbung

• Yahoos Interest Manager

• Artikel-29-Datenschutzgruppe

• Google über Re-Targeting

• Tricks mit Flash-Cookies

Information der Nutzer

Derzeit zeigt beispielsweise die Internet-Suche nach einem Auto nicht nur Portale für Gebrauchtwagen in den Suchergebnissen an, sondern daneben auch Anzeigen für Angebote am Wohnort des Nutzers. Der Suchmaschinenkonzern Google beispielsweise bietet wie sein Konkurrent Yahoo Anzeigenkunden diese Form von Werbung an. Die Anzeigen werden neben den Suchergebnissen angezeigt. Nutzer können jedoch über eine Browser-Erweiterung solche Cookie-basierten Mechanismen deaktivieren.

Spätestens im Mai 2011 sollen die neuen EU-Regeln in Kraft treten. Auf europäischer Ebene verhandelt daher die Artikel-29-Arbeitsgruppe zum Datenschutz mit verschiedenen Unternehmen aus der Werbe- und Internet-Industrie über eine pragmatische Umsetzung des "Cookie-Gesetzes". Die Datenschützer kritisieren, dass viele Nutzer nicht darüber informiert werden, wie diese Form der gezielten Anzeigenschaltung, auch als "Re-Targeting" bekannt, überhaupt zustande kommt.

Cookie-Management

Cookies dienen nicht nur zu Werbezwecken, sondern beispielsweise auch dazu, Einstellungen von Web-Anwendungen auf dem Rechner des Nutzers zu speichern. Moderne Web-Browser ermöglichen es dem Nutzer daher, in den Datenschutzeinstellungen sehr genau zu definieren, welche Cookies von welchen Websites er akzeptieren möchte. In Firefox ist es beispielsweise möglich, Cookies generell abzulehnen, dabei aber für bestimmte Websites, denen man vertraut, Ausnahmen zu definieren.

E-Commerce im Hintergrund

Die Werbeindustrie möchte hingegen so wenig wie möglich am Status quo ändern. Produktherstellern und Händlern ermöglicht nämlich diese Form von Werbung kundenspezifische Angebote. Hat ein Kunde beispielsweise ein Produkt angesehen, aber nicht gekauft, könnte der Hersteller ihm beim nächsten Besuch einen Preisnachlass anbieten.

Datenschützer kritisieren dieses Re-Targeting, da der Nutzer hierfür im Moment nicht sein ausdrückliches Einverständnis erteilen kann, wie es europäische Datenschutzstandards verlangen. Ein Grundproblem liegt bei den Internet-Browsern: Sie akzeptieren derzeit in ihrer Standardeinstellung alle Cookies automatisch. Damit verletzen aber nicht nur die Werbeanbieter, sondern auch die Browser-Hersteller EU-Recht.

Lösung im Browser

Eine Lösung könnte nun laut dem schleswig-holsteinischen Landesdatenschützer Thilo Weichert darauf hinauslaufen, dass Browser in einer neuen Grundeinstellung Cookies ablehnen. Nutzer müssen dann bewusst jeden Vorgang bestätigen. Gleichwohl hält er das für "zweischneidig": "Die Einwilligung bei Cookies ist wunderschön. Weil sie aber so weit verbreitet sind, werden damit auch die Standards für das Setzen von Einwilligungen gesenkt. Das lässt sich schnell wieder auf andere Bereiche übertragen." Es sei außerdem sehr schwer, "mit einer sauberen Oberfläche dem Nutzer zu erklären, was passiert und in was er einwilligt und was passiert, wenn er nicht einwilligt." Grundsätzlich hält er jedoch eine Änderung der Browser-Grundeinstellung für die richtige Herangehensweise. Diese dürfe aber nicht auf andere Bereiche übertragen werden.

Die Werbeindustrie hingegen argumentiert damit, dass Browser-Einstellungen grundsätzlich in der Lage seien, die Bedingungen der Richtlinien und Gesetze zu erfüllen. Einige meinen sogar, dass damit auch "Flash-Cookies", die über Flash-Anwendungen gesetzt werden können, und Ähnliches abgedeckt sei - obwohl es dafür bisher keine standardisierten Browser-Funktionen gibt. Flash-Cookies werden aber auch von der Datenschutzrichtlinie erfasst, wie überhaupt alle Methoden zur Speicherung von Nutzerinformationen. Die Betreiber von Sozialen Netzwerken wie etwa Facebook werden sich daher auch mit den Vorgaben noch befassen müssen.

Problem Flash

Eine Browser-Lösung wird vermutlich nur einer von mehreren Ansätzen sein. Denn mit Flash-Cookies kann auch der Inhalt bereits gelöschter Cookies wiederhergestellt werden. Eine andere Lösung könnte darin bestehen, dass der Nutzer über Symbole informiert wird, die per Link auf weiterführende Informationen verweisen. Die Werbeindustrie wird nicht darum herkommen, hierfür innovative Lösungen zu entwickeln.

Wie Datenschützer und Werbeindustrie sich geeinigt haben, soll Ende April feststehen. Dann will die Artikel-29-Gruppe ein Positionspapier vorstellen.

(Christiane Schulzki-Haddouti)