Medien: Gute Kekse, böse Kekse

Sie suchten doch braune Wanderschuhe? Oder vielleicht einen passenden Rucksack? Kaum hat man in einem Online-Shop gestöbert, schon scheint das ganze Internet aus persönlichen Werbebannern zu bestehen. Und zufällig zeigen sie immer genau die Produkte, für die man sich kurz vorher interessiert hatte.

Re-Targeting heißt das im Fachjargon der Werbebranche, gemeint ist, dass dem potenziellen Kunden immer wieder das vermeintliche Objekt seiner Begierde unter die Nase gehalten wird. Das funktioniert, indem Shops und Suchmaschinen Cookies im Browser des Nutzers hinterlassen, also kleine Datenkrümel, anhand derer der Kunde später wiedererkannt werden kann. Dass die Werbewirtschaft mit diesen Krümeln nicht knauserig ist, zeigen Programme wie Ghostery.com, die jeden Cookie-Annäherungsversuch für den Nutzer sichtbar machen. Das Ergebnis ist beeindruckend: Schon nach einer Stunde normalem Alltags-Surfen – ein paar Newsseiten, verschiedene Buchhändler, Suchmaschinen, Shops, Blogs – hätte sich der Browser Dutzende neuer Cookies eingefangen, wenn Ghostery sie nicht geblockt hätte. Etliche davon gehören zu Facebook und Google, andere zu Marketingfirmen wie Webtrekk oder Nugg Ad.

„Für die Nutzer ist es fast unmöglich“, sagt Dan Auerbach von der Electronic Frontier Foundation (EFF), „überhaupt noch zu durchschauen, welche Cookies wofür benötigt werden.“ Zwar lassen sich permanente Cookies im Browser löschen, aber was genau sie wem mitgeteilt haben oder welche Super-Cookies im Hintergrund weiter die Wege des Nutzers protokollieren, bleibt undurchsichtig. Der EFF fordert, dass Browser die Privatsphäre besser schützen sollten, zum Beispiel durch den „Do Not Track“-Modus, der Webseiten mitteilt, dass der Nutzer nicht verfolgt werden möchte.

Den deutschen Datenschützern geht das nicht weit genug. Ihnen sind alle Cookies, die nicht nur dem reibungslosen Funktionieren einer Website dienen, ein Dorn im Auge. Die Unternehmen hätten sich längst angewöhnt, die Nutzer mit ausgefeilten Methoden systematisch auszuspionieren. „Das Ergebnis sind Nutzerprofile, die zur gezielten Ansprache dienen oder lukrativ an Dritte verkauft werden“, stellte der Verbraucherzentrale-Bundesverband kürzlich noch einmal klar. Der Verband drängt deshalb darauf, dass die seit 2009 bestehende Datenschutzrichtlinie der Europäischen Union endlich in Deutschland umgesetzt wird. Dass die Bundesregierung das mit Hinweis auf den strengen deutschen Datenschutz bislang ablehnt, empfindet die Verbandsreferentin Michaela Zinke nicht als hinreichendes Argument: „Die EU-Richtlinie sagt ganz klar, dass es eine Einwilligung geben muss, bevor ein Cookie zur Profilbildung gesetzt werden darf.“

Genau hier beginnt die Haarspalterei. Wer sagt überhaupt, dass die durch Cookies übermittelten Informationen „personengebundene Daten“ seien, argumentiert die Werbewirtschaft. Alexander Gösswein, Managing Director bei der Re-Targeting-Agentur Criteo, betont, dass seine Firma trotz personalisierter Anzeigenbanner „keinerlei Rückschlüsse auf die Person hinter einem bestimmten Browser“ ziehen könne. „Wir sind stets“, so Gösswein, „ein Vorreiter in Sachen Transparenz und Datenschutz gewesen.“ Dass nicht staatliche Regularien, sondern transparente Praktiken die Lösung sind, betonen auch andere in der Branche. „Unsere Analysemethoden gehen mit dem deutschen Datenschutz konform“, sagt Alexander Schreiber, Produktmanager bei Mindlab, einer Software-Firma aus Stuttgart, die sich auf Webanalyse spezialisiert hat.

Dass es dennoch großflächige Grauzonen gibt, bestreiten auch die Werbefachleute nicht. Nugg-Ad-Geschäftsführer Stephan Noller, der bei der Europäischen Union in Brüssel die Interessen der Internetwirtschaft vertritt, hält das Cookie grundsätzlich für ein „spannendes Instrument“, die im Verborgenen agierenden Super-Cookies oder Flash-Cookies dagegen seien inakzeptabel. „Deshalb hat sich der Dachverband der europäischen Internetindustrie IAB davon auch klar distanziert.“ Trotzdem, räumt er ein, gäbe es die Problematik der Profilbildung. „Die gemeinsame Aufgabe von Politik, Datenschützern und Industrie wird darin bestehen, die Grenzen dessen, was erlaubt ist, sehr genau zu beschreiben.“ Und die Gesetze müssten dann für alle gelten, für europäische Unternehmen genauso wie für amerikanische.

Auch in den USA ist die Tracking-Debatte mittlerweile angekommen. Erst vor einigen Wochen hat Google Schlagzeilen gemacht, weil es das Drittanbieter-Cookie-Verbot von Apple im Safari-Browser zu umgehen versuchte. „Es gibt immensen Druck im Markt, immer mehr Daten über die Kunden zu sammeln“, sagt Dan Auerbach. Dabei geht es nicht allein um Cookies. Der EFF hat vor einiger Zeit schon darauf hingewiesen, dass die Wiedererkennung eines einzelnen Browsers auch anhand eines „Browser-Fingerabdrucks“ möglich ist, aus den vielen Infoschnipseln, die das Surfprogramm bei jedem Seitenaufruf mitliefert. „Es ist schwer zu sagen, was genau welche Werbenetzwerke tatsächlich auswerten, aber die technischen Möglichkeiten gibt es auf jeden Fall.“

Das Internet sei ein datengetriebenes Medium, sagt Lobbyist Noller, „und alle funktionierenden Geschäftsmodelle haben mit Werbung zu tun.“ Der Manager Gösswein ergänzt: „Für werbetreibende Unternehmen ist es dabei natürlich wichtig zu wissen, dass sie ihre Zielgruppe mit ihrer Botschaft auch erreichen können.“ Nur unter diesen Umständen seien sie bereit, weiterhin so hohe Summen in Online-Werbung zu investieren. „Dem Nutzer muss klar sein, dass er mit Daten zahlt“, sagt auch Verbraucherschützerin Zinke. „Aber ich möchte entscheiden können, ob ich den Preis, den ich zahlen soll, noch angemessen finde.“

In dieser Legislaturperiode sei nicht mehr mit einem Cookie-Gesetz zu rechnen, meint Zinke. Vorerst bleibt dem Verbraucher nur der Selbstschutz. Man kann Browsereinstellungen ändern oder Löschprogramme installieren. Die TU Berlin hat eine „Cookie-Suchmaschine“ aufgesetzt, dort kann man die Adresse einer Website eingeben und sich anzeigen lassen, wie viele Cookies diese Seite setzen will. Der Test mit Tagesspiegel.de ergibt: Zehn Erstanbieter-Cookies und neun Drittanbieter-Cookies. Tagesspiegel.de setzt unter anderem Cookies, wenn Nutzer sich einloggen. Außerdem interessiert die Redaktion, woher die Leser kommen (etwa von Google News) und welche Texte am häufigsten gelesen werden. Manche Cookies verhindern, dass ein Nutzer Werbung zweimal angezeigt bekommt. Die Cookies der sozialen Netzwerke müssen bewusst aktiviert werden.