Cookie-Blocker technisch möglich – aber auf Datenschutz achten

Cookies: Vor 50 Jahren verbunden mit einem liebenswerten blauen Monster. Heute negativ konnotiert durch Cookie-Banner, die Webseiten vorgeschaltet sind. Nahezu jede setzt auf die Technik, um die Nutzung für Besucherinnen und Besucher der Seiten unter anderem sicherer zu machen, beispielsweise beim Online-Banking. Manche Website aber will einfach nur mehr erfahren als notwendig.

Auf jeder Website den Cookiehinweis zu bearbeiten ist mühsam, insbesondere dann, wenn man jeder Website die gleichen Dinge erlaubt – oder eben untersagt. Warum gibt es keine Lösung, beispielsweise ein Add-On im Browser, der die eigenen Präferenzen speichert und jeder besuchten Website mitteilt? „Das soll kommen“, erklärt Tobias Mielke, Datenschutz-Experte bei TÜVIT. Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) sieht einen solchen „Dienst zur Einwilligungsverwaltung“ ausdrücklich vor, PIMS ist die Fachabkürzung: Personal Information Management Services. Mit PIMS können die Nutzer:innen ihre Cookie-Einstellungen z.B. zentral im eigenen Rechner oder in Online Speichersystemen verwalten. Ein Problem jedoch ist: Was, wenn derartige PIMS selbst Cookies nutzen, Nutzerverhalten ausspionieren und diese Daten weitergeben? „Aus unserer Sicht sollten PIMS bestenfalls in einem Treuhandmodell von unabhängigen Dritten wie den TÜV-Verbänden erstellt werden“, so Mielke. Eine weitere Frage: Werden Websites derartige Einstellungen eines Add-ons wirklich übernehmen also akzeptieren?

Ein solches PIMS würde den meisten besuchten Webseiten die eigenen Präferenzen übermitteln, und diese Präferenzen müssten beachtet werden. Eine Ausnahme gilt für Telemedienanbieter, die sich ganz oder teilweise durch Werbung finanzieren, also etwas für Newsportale. Diese sollen Nutzer:innen auf kostenpflichtige aber werbe- und cookiefreie Alternativen verweisen dürfen.

Betreiber von Internetseiten haben natürlich kein besonders ausgeprägtes Interesse daran, dass Cookies per se blockiert werden. Sie erlauben es, das Nutzerverhalten zu analysieren. Also festzustellen, welche Inhalte wie häufig angeklickt wurden und wie lange Nutzende auf dieser Seite verharren, von welchen Seiten man kommt, wohin man entschwindet, welche Werbung man sich angesehen und nach welchen Begriffen man gesucht hat. Zu wissen, wie gut die eigene Website funktioniert, ist für Marketing- und Vertriebs-Abteilungen sehr wichtig.

Auf der anderen Seite steht der User, der beim Surfen im Internet persönliche Daten preisgibt. Wer das nicht will, muss Cookies ablehnen: „Mit meiner Ablehnung will ich unerwünschte Werbung vermeiden, mein Surfverhalten nicht ausspionieren lassen und auch nicht mit meinen Konten der sozialen Netzwerke verbinden lassen“, so Mielke.

Kann man sicher sein, dass die Einstellungen auf den Websites dann übernommen werden? Tobias Mielke: „Betreiber von Webseiten dürfen keine Cookies ausspielen und keine personenbezogenen Daten speichern, wenn dies explizit nicht gewünscht ist.“ Das gilt sowohl für jeden einzelnen Cookie-Banner als auch für ein PIMS. Wer der Website hingegen alles erlaubt, gibt ihr einen Freibrief dafür, das eigene Surfverhalten auszuspionieren und personalisierte Werbung auszuspielen. Es gibt außerdem keine Sicherheit dafür, dass nicht vielleicht irgendwo auf der Welt Daten gesammelt, zusammengeführt, ausgewertet und weiterverkauft werden.

 „Eine PIMS-Lösung ist technisch jedenfalls umsetzbar, sowohl was die Speicherung eigener Präferenzen angeht als auch das Speichern und Verarbeiten von Daten“, so Mielke. „Jedoch muss klar sein, dass eine derartige Anwendung wirklich datenschutzrechtlich sauber und sicher arbeitet. Die Anbieter eines entsprechenden Dienstes müssen sich laut Entwurf der Einwilligungsverwaltungs-Verordnung-EinwVO vom Bundesdatenschutzbeauftragten anerkennen lassen und dabei unter anderem ihre Unabhängigkeit belegen. Außerdem sollen sie demnach ein Sicherheitskonzept sowie geeignete technische und organisatorische Maßnahmen des Dienstes vorweisen können.