Datenschutz im Internet : Gute Kekse, böse Kekse

Mit den Cookies ist es wie in "With or without you" von U2: Aus Datenschutzgründen will man sie eigentlich nicht, aber ohne die Datenschnipsel, die Webseiten im Browser hinterlassen, ist das Surfen auch kein Vergnügen. Die Debatte um ein Cookie-Verbot kommt deshalb nicht in Schwung.

Für jeden etwas dabei, aber nicht alles nach dem Geschmack der Nutzer: "Cookies" sind eines der wichtigsten Instrumente der Internet-Werbewirtschaft.
Für jeden etwas dabei, aber nicht alles nach dem Geschmack der Nutzer: "Cookies" sind eines der wichtigsten Instrumente der...Foto: Fotolia

Sie suchten doch braune Wanderschuhe? Oder vielleicht einen passenden Rucksack? Eine praktische Regenjacke? Man könnte es das Zalando-Gefühl nennen. Kaum hat man in einem Online-Shop gestöbert, schon scheint das ganze Internet aus persönlichen Werbebannern zu bestehen. Und zufällig zeigen sie immer genau die Produkte, für die man sich kurz vorher interessiert hatte.

Re-Targeting heißt das im Fachjargon der Werbebranche, gemeint ist, dass dem potentiellen Kunden immer wieder das vermeintliche Objekt seiner Begierde unter die Nase gehalten wird. Das funktioniert, indem Shops und Suchmaschinen Cookies im Browser des Nutzers hinterlassen, also kleine Datenkrümel, anhand derer der Kunde später wiedererkannt werden kann. Dass die Werbewirtschaft mit diesen Krümeln nicht knauserig ist, zeigen Programme wie Ghostery.com, die jeden Cookie-Annäherungsversuch für den Nutzer sichtbar machen. Das Ergebnis ist beeindruckend: Schon nach einer Stunde normalem Alltags-Surfen – ein paar Newsseiten, verschiedene Buchhändler, Suchmaschinen, Shops, Blogs – hätte sich der Browser dutzende neuer Cookies eingefangen, wenn Ghostery sie nicht geblockt hätte. Etliche davon gehören zu Facebook und Google, andere zu Marketingfirmen wie Webtrekk oder Nugg Ad.

Die Forderungen in Amerika und Deutschland gehen unterschiedlich weit

„Für die Nutzer ist es fast unmöglich“, sagt Dan Auerbach von der Electronic Frontier Foundation (EFF), „überhaupt noch zu durchschauen, welche Cookies wofür benötigt werden.“ Zwar lassen sich die permanenten Cookies im Browser mit wenigen Klicks löschen, aber was genau sie wem bereits mitgeteilt haben oder welche Super-Cookies im Hintergrund trotzdem weiter die Wege des Nutzers durchs Netz protokollieren, bleibt völlig undurchsichtig. Der EFF fordert deshalb, dass Browser die Privatsphäre besser schützen sollten, zum Beispiel durch den „Do Not Track“-Modus, der Webseiten mittteilt, dass der Nutzer nicht verfolgt werden möchte.

Den deutschen Datenschützern geht das nicht weit genug. Ihnen sind alle Cookies, die nicht lediglich dem reibungslosen Funktionieren einer Website dienen, ein Dorn im Auge. Die Unternehmen hätten sich längst angewöhnt, die Nutzer mit ausgefeilten Methoden systematisch auszuspionieren. „Das Ergebnis sind Nutzerprofile, die zur gezielten Ansprache dienen oder lukrativ an Dritte verkauft werden“, stellte der Verbraucherzentrale Bundesverband kürzlich noch einmal klar. Der Verband drängt deshalb darauf, dass die seit 2009 bestehende Datenschutzrichtlinie der Europäischen Union endlich in Deutschland umgesetzt wird. Dass die Bundesregierung das mit Hinweis auf den strengen deutschen Datenschutz bislang ablehnt, empfindet die Verbandsreferentin Michaela Zinke nicht als hinreichendes Argument: „Die EU Richtlinie sagt ganz klar, dass es eine Einwilligung geben muss, bevor ein Cookie zur Profilbildung gesetzt werden darf.“

Genau hier beginnt die Haarspalterei. Wer sagt überhaupt, dass die durch Cookies übermittelten Informationen „personengebundene Daten“ seien, argumentiert die Werbewirtschaft. Alexander Gösswein, Managing Director bei der Re-Targeting-Agentur Criteo, betont, dass seine Firma trotz personalisierter Anzeigenbanner „keinerlei Rückschlüsse auf die Person hinter einem bestimmten Browser“ ziehen könne. „Wir sind stets“, so Gösswein, „ein Vorreiter in Sachen Transparenz und Datenschutz gewesen.“ Dass nicht staatliche Regularien, sondern transparente Praktiken die Lösung sind, betonen auch andere in der Branche. „Unsere Analysemethoden gehen mit dem deutschen Datenschutz konform“, sagt Alexander Schreiber, Produktmanager bei Mindlab, einer Software-Firma aus Stuttgart, die sich auf Webanalyse spezialisiert hat.

Dass es dennoch großflächige Grauzonen gibt, bestreiten auch die Werbefachleute nicht. Nugg Ad-Geschäftsführer Stephan Noller, der bei der Europäischen Union in Brüssel die Interessen der Internetwirtschaft vertritt, hält das Cookie grundsätzlich für ein „spannendes Instrument“, die im Verborgenen agierenden Super-Cookies oder Flash-Cookies dagegen seien inakzeptabel. „Deshalb hat sich der Dachverband der europäischen Internetindustrie IAB davon auch klar distanziert.“ Trotzdem, räumt er ein, gäbe es die Problematik der unerlaubten Datenverknüpfung und einer möglichen Profilbildung. „Die gemeinsame Aufgabe von Politik, Datenschützern und Industrie“, meint Noller, „wird darin bestehen, die Grenzen dessen, was erlaubt ist, sehr genau zu beschreiben.“ Und die Gesetze müssten dann für alle gelten, für europäische Unternehmen genauso wie für amerikanische.

Auch in den USA ist die Tracking-Debatte mittlerweile in der Öffentlichkeit angekommen. Erst vor einigen Wochen hat Google Schlagzeilen gemacht, weil es das Drittanbieter-Cookie-Verbot von Apple im Safari-Browser zu umgehen versuchte. „Es gibt immensen Druck im Markt, immer mehr Daten über die Kunden zu sammeln“, sagt Dan Auerbach. Dabei geht es nicht allein um Cookies. Der EFF hat vor einiger Zeit schon darauf hingewiesen, dass die Wiedererkennung eines einzelnen Browsers auch anhand eines „Browser-Fingerabdrucks“ möglich ist, allein aus den zahlreichen Infoschnipseln, die das Surfprogramm bei jedem Seitenaufruf mitliefert. „Es ist schwer zu sagen, was genau welche Werbenetzwerke tatsächlich auswerten, aber die technischen Möglichkeiten gibt es auf jeden Fall.“

"Alle funktionierenden Geschäftsmodelle im Netz haben mit Werbung zu tun."

Das Internet sei ein datengetriebenes Medium, sagt Lobbyist Noller, „und alle funktionierenden Geschäftsmodelle haben mit Werbung zu tun.“ Der Manager Gösswein ergänzt: „Für werbetreibende Unternehmen ist es dabei natürlich wichtig zu wissen, dass sie ihre Zielgruppe mit ihrer Botschaft auch erreichen können.“ Nur unter diesen Umständen seien sie bereit, weiterhin so hohe Summen in Online-Werbung zu investieren. „Dem Nutzer muss klar sein, dass er mit Daten zahlt“, sagt auch Verbraucherschützerin Zinke. „Aber ich möchte entscheiden können, ob ich den Preis, den ich zahlen soll, noch angemessen finde.“

In dieser Legislaturperiode sei vermutlich nicht mehr mit einem Cookie-Gesetz zu rechnen, meint Zinke. Vorerst bleibt dem Verbraucher damit nur der Selbstschutz. Möglichkeiten gibt es, man kann Browsereinstellungen ändern oder Löschprogramme wie "Better Privacy" installieren. Die TU Berlin hat außerdem eine „Cookie-Suchmaschine“ aufgesetzt, dort kann man die Adresse einer Website eingeben und sich anzeigen lassen, wie viele Cookies diese Seite setzen will. Der Test mit Tagesspiegel.de ergibt: Zehn Erstanbieter- und neun Drittanbieter-Cookies. Unsere Seite setzt unter anderem Cookies, wenn Nutzer sich einloggen, etwa um Kommentare schreiben zu können. Außerdem gibt es eine Reihe von Cookies für Analyse-Werkzeuge. Uns interessiert, woher unsere Leser kommen (etwa von Google News oder von Facebook) und welche Texte am häufigsten gelesen werden. Manche Cookies helfen auch denen, die auf der Seite werben. Sie verhindern etwa, dass ein Nutzer die gleiche Werbung zweimal angezeigt bekommt. Die Cookies für die Verknüpfung zu den sozialen Netzwerken Facebook, Google Plus und Twitter müssen aber bewusst aktiviert werden.