Wer im Internet einen Webshop, eine Onlinezeitung oder ein soziales Netzwerk zum ersten Mal besucht, wird mit grosser Wahrscheinlichkeit informiert, dass diese Seite Cookies verwendet und wird aufgefordert, dem zuzustimmen. Den Hinweis ist man mit einem Klick los. Viele fragen sich: Was soll das Theater?
Das Geschäft mit unseren Daten
Cookies dienen dazu, unser Verhalten im Internet zu verfolgen: Welche Webseiten besuchen wir – und wie lange? Welche Artikel lesen wir, welche Produkte interessieren uns? Um den Handel mit solchen Tracking-Informationen hat sich global eine lukrative Industrie entwickelt.
Damit sie unser Verhalten verfolgen können, weisen Anbieter wie Google oder Facebook dem Browser eine Identifikationsnummer zu und speichern diese in einem Cookie. Obwohl dabei keine personenbezogenen Daten festgehalten werden, könnten die Anbieter theoretisch mit ihrer Datensammlung rekonstruieren, wer hinter einer anonymen ID steckt. Die europäische Datenschutzgrundverordnung (DSGV) verlangt deshalb, dass Nutzer der Anwendung von Cookies zuerst zustimmen müssen.
Das Geschäft mit DSGV
Um diesen Einwilligungsprozess hat sich wiederum eine Software-Industrie gebildet, sogenannte «Consent Management Provider» (CMP). Der Betreiber einer Webseite überlässt es dem CMP, ob und wie eine Cookie-Warnung anzeigt wird. Die Software des CMPs entscheidet aufgrund des Aufenthaltsortes, welches Recht für eine Nutzerin gilt (etwa europäisches oder kalifornisches) und passt den Dialog an, der die Zustimmung erfragt.
Wissenschaftler aus den USA, Grossbritannien und Dänemark haben nun in einer Studie gezeigt, dass das Vorgehen der Anbieter in den meisten Fällen nicht mit geltendem EU-Recht vereinbar ist:
- Der Nutzer hat keine Wahl, er kann nur zustimmen oder das Dialogfenster wegklicken, was ebenfalls als Einverständnis gewertet wird.
- Auch blosses Scrollen wird als Zustimmung gewertet.
- Formulare sind bereits im Sinne des Anbieters ausgefüllt.
David gegen Goliath
Die Datenschutzgrundverordnung regelt den Umgang mit personenbezogenen Daten in allen Ländern der EU einheitlich und ist seit dem 25. Mai 2018 in Kraft. Die Durchsetzung des Rechts ist Sache der einzelnen Staaten. Wer gegen das Gesetz verstösst, muss mit harten Strafen rechnen – auf dem Papier.
Ein Grund für die lasche Handhabung: Die zuständigen Behörden verfügen oft nicht über die nötigen Mittel. Luxemburg zum Beispiel wäre zuständig für Amazon, weil der amerikanische Online-Riese dort die europäische Niederlassung betreibt. Die Behörde verfügte im letzten Jahr über ein Budget von 5.7 Millionen Euro – ein Betrag, den Amazon in 10 Minuten umsetzt, wie die New York Times berichtete .
In Irland sieht es nicht besser aus, denn die Insel wäre gleich für fünf IT-Giganten zuständig: Facebook, Google, Apple, Twitter und LinkedIn. Die Behörde ist chronisch überlastet. Datenschützer hegen gar den Verdacht, dass dahinter Absicht steckt: Länder mit weniger starkem Datenschutz seien attraktiv für IT-Konzerne, das werde zu einem Standortvorteil.
Der oberste Datenschützer Deutschlands, Ulrich Kelber, fordert deshalb ein zentrales Vorgehen. Die einzelnen Staaten sollen ihre Kräfte bündeln und gemeinsam gegen Verstösse vorgehen.