Die Einholung von Einwilligungen im Internet: eine allgemeine Lüge

Mit der DSGVO sollen Nutzer besser informiert und vor allgemeinem Tracking geschützt werden. Nur: Ohne Sanktionen kämpfen Nutzer gegen aufdringliche und irreführende Cookie-Banner. Hier ein Überblick über verschiedene schlechte Praktiken.

Das Surfen auf einer Website als Einwilligung werten

Das ist eine 2013 von der CNIL eingeführte Lücke, die damals in ihrer Entscheidung festhielt: „Die Fortsetzung der Navigation gilt als Zustimmung zum Setzen von Cookies auf dem Endgerät“.

Mit der DSGVO lässt sich diese Lücke kaum noch rechtfertigen, und die CNIL muss sich bewegen. Nachdem sie im Juli 2019 neue Leitlinien veröffentlicht und eine Konsultationsphase mit den Fachleuten eröffnet hatte, hat sie nun einen Empfehlungsentwurf zu den praktischen Modalitäten der Einholung von Einwilligungen vorgestellt, der bis zum 25. Februar zur öffentlichen Konsultation steht. Darin heißt es insbesondere: „Die bloße Fortsetzung der Navigation auf einer Website kann nicht mehr als gültige Willensäußerung zur Einwilligung in das Setzen von Cookies angesehen werden; diese muss künftig aus einer eindeutigen positiven Handlung des Nutzers hervorgehen.“

Sobald die endgültige Empfehlung feststeht, lässt sie den Akteuren noch 6 Monate, um sich anzupassen, bevor Kontrollen beginnen.

Außerdem könnte man glauben, dass „Navigation“ auf einer Website bedeutet, die Seite zu wechseln. Dem ist nicht so: Schon simples Scrollen auf der Seite lässt das Cookie-Banner verschwinden und löst Ihre „Akzeptanz des Trackings“ aus.

Unten die Banner der Websites Lemonde.fr und Lefigaro.fr, die beide diese Technik verwenden. Beachten Sie: Um abzulehnen, müssen Sie zuerst „Cookies einstellen“ oder „Konfigurieren“ aufrufen, was für Nutzer aufwendig ist.

Einwilligungsbanner Lemonde

Einwilligungsbanner Lefigaro

Cookies setzen, noch bevor eine Einwilligung vorliegt

Wenn Sie den vorherigen Absatz aufmerksam gelesen haben, könnten Sie glauben, dass man seit 2013 auf einer Website „navigieren“ muss, damit diese Cookies setzen darf (Hinweis: Nicht alle Cookies sind betroffen, Cookies bestimmter Analytics-Tools sind ausgenommen). Außerdem erinnert die CNIL daran, dass sie diese Pflicht weiterhin kontrolliert: „Diese Anpassungsphase hindert die CNIL nicht daran, die Einhaltung der anderen Pflichten, die nicht geändert wurden, vollständig zu kontrollieren und gegebenenfalls Korrekturmaßnahmen zum Schutz der Privatsphäre der Nutzer zu ergreifen. Insbesondere müssen Betreiber respektieren, dass die Einwilligung vor dem Setzen von Trackern einzuholen ist.“

Wie sieht es in der Realität aus? Surfen wir auf Lefigaro.fr, um die Diskrepanz zu verstehen.

Deaktivieren Sie Ihren Adblocker
Löschen Sie die Cookies in Chrome (Einstellungen > Erweiterte Einstellungen > Browserdaten löschen), damit Sie von Ihrem Google-Konto abgemeldet sind
Öffnen Sie die Chrome-Konsole (⌘+Option+J auf dem Mac, Ctrl, Shift und J auf dem PC) oder starten Sie Charles
Gehen Sie dann auf lefigaro.fr
Surfen Sie nicht auf lefigaro.fr, sondern schauen Sie sich die verschiedenen an Dritte gesendeten Anfragen an: ein Dschungel

lefigaro_ohne_einwilligung

Auf dem Screenshot (Software Charles) sieht man, dass AppNexus, von Le Figaro als Adserver und SSP eingesetzt (inzwischen nach der Übernahme durch AT&T Xandr), ein Cookie mit eindeutiger Kennung uuid2 setzt (Domain: adnxs.com). Wenn man etwas tiefer gräbt, sieht man weitere Drittanbieter-Cookies, etwa:

Doubleclick: gehört zu Google, dort findet man seine Werbevermarktung und Werbetools für Publisher und Werbetreibende
Scorecardresearch: gehört zu Comscore, einem Unternehmen für Werbeanalyse
Estat: die Reichweitenmessung von Médiamétrie
Taboola: die Links zu reißerischen Überschriften am Ende von Artikeln, das im vergangenen Jahr mit seinem Konkurrenten Outbrain fusionierte
StickyAds: französische Video-SSP, vom amerikanischen Comcast gekauft

Wenn die CNIL Websites tatsächlich kontrollieren würde, hätte sie Lefigaro.fr bereits sanktioniert (und viele andere Websites, die die geltende Gesetzgebung nicht einhalten).

Annahme und Ablehnung von Cookies nicht gleichwertig anbieten

Das ist eine im Web weit verbreitete schlechte Praxis, wie die Studie „Do Cookie Banners Respect my Choice? Measuring Legal Compliance of Banners from IAB Europe's Transparency and Consent Framework“ von Célestin Matte, Nataliia Bielova und Cristiana Santos, Forschern am INRIA, zeigt; sie ist auf dieser hervorragenden Website und in diesem Twitter-Thread veranschaulicht:

Tweet_Nataliia_Bielova

Dieses rechtswidrige Verhalten beobachteten die Forscher auf 236 Websites (von 1426 Websites, die ein Cookie-Banner mit dem Siegel des IAB, des Verbands der Werbeakteure, enthalten).

Eine weitere Studie „Dark Patterns after the GDPR: Scraping Consent Pop-ups and Demonstrating their Influence“, durchgeführt auf 10.000 englischen Websites und kürzlich veröffentlicht von Midas Nouwens, Michael Veale und David Karger, zeigt, dass das Design dieser Cookie-Banner erheblichen Einfluss auf die Entscheidung hat, einzuwilligen oder nicht. Wie zu erwarten: Je schwieriger die Ablehnung, desto häufiger stimmen Nutzer zu, wie Midas Nouwens in diesem Tweet erklärt:

Tweet_Midas_Nouwens

Einer der Kernpunkte der Studie: 93,1 % der Interaktionen beschränken sich auf die erste Seite. Mehrere Schritte zu durchlaufen, um Tracking abzulehnen, ist für die große Mehrheit der Nutzer also zu lang und zu komplex.

Veranschaulichen wir das mit lemonde.fr, erneut ein Negativbeispiel. Löschen Sie Ihre Cookies in Chrome und gehen Sie auf lemonde.fr. Vorausgesetzt, Sie scrollen nicht und wechseln nicht die Seite (was als Cookie-Akzeptanz gelten würde), müssen Sie zunächst auf „Cookies einstellen“ klicken (ein Button, der weniger hervorgehoben ist als „Akzeptieren“).

bandeau_consentement_Lemonde.fr

Um das Setzen der verschiedenen Cookie-Kategorien zu vermeiden, müssen Sie anschließend die 4 Kategorien abwählen, bei denen Sie eine Wahl haben, und schließlich auf „Einstellungen bestätigen“ klicken. Insgesamt 6 Klicks gegen einen einzigen, um Cookies zu akzeptieren: Es ist wenig überraschend, dass die Cookie-Akzeptanzrate hoch ist!

Lemonde_Cookies_ablehnen

Diese CMPs (Consent Management Platforms, also Plattformen zur Einholung von Einwilligungen) sind laut Midas Nouwens nicht sehr zahlreich: 5 Unternehmen decken 58 % des englischen Marktes ab. Für den Gesetzgeber könnte es also effizienter sein, diesen Unternehmen zu verbieten, Publishern rechtswidrige Konfigurationen anzubieten. Als Nutzer können Sie die Erweiterung Consent-o-Matic für Firefox oder Chrome installieren, die diese Formulare automatisch ausfüllt.

Die Entscheidung des Nutzers missachten, wenn er nicht einwilligt

Um die Studie „Do Cookie Banners Respect my Choice? Measuring Legal Compliance of Banners from IAB Europe's Transparency and Consent Framework“ bekannt zu machen, nahmen Célestin Matte, Nataliia Bielova und Cristiana Santos in diesem Tweet das Beispiel von Radio France, das keine Möglichkeit bot, die Einwilligung abzulehnen:

Tweet_Nataliia_Bielova_Radio_France

Bemerkenswert ist, dass Radio France die CMP (Consent Management Platform, also das Tool, das für die Einholung der Einwilligung und ihre korrekte Weitergabe an die verschiedenen Akteure der Werbekette zuständig ist) von Axel Springer nutzt, einem riesigen deutschen Pressekonzern, der meint, dass zielgerichtete Werbung unter „berechtigtes Interesse“ fällt und er daher keine Einwilligung der Nutzer einholen muss.

Seitdem wurde die CMP von Radio France aktualisiert; Nutzer können sich also die Mühe machen, verschiedene Cookie-Kategorien abzulehnen, aber diese Entscheidungen scheinen nicht korrekt gespeichert zu werden... Sehen wir uns die Cookies an, die gesetzt werden, noch bevor das Cookie-Banner der Website franceinter.fr konfiguriert wird.

France_Inter_vor_Einwilligung

Wir haben hier dasselbe Problem wie auf lefigaro.fr: zahlreiche Werbedritte werden aufgerufen, noch bevor der Nutzer eingewilligt hat. Im Detail sind zwei von Googles Werbelösungen gestartete Iframes für den Datenabfluss an die verschiedenen Werbedritten verantwortlich: tpc.googlesyndication.com und pagead2.googlesyndication.com. Es handelt sich um Iframes, die vom Publisher-Adserver und der SSP von Google ausgelöst werden, deren Kunde France Inter ist: Google Ad Manager (früher Teil von Doubleclick).

Wenn man nun entscheidet, alles zu deaktivieren (Tracking abzulehnen), sieht man dank der Chrome-Erweiterung Cookie Glasses des Forscherteams, dass die Einwilligung trotzdem allen Dritten erteilt wird, auch wenn sie für keine Cookie-Kategorie spezifisch erteilt wurde.

France Inter negative Einwilligung

Und wenn man anschließend auf verschiedenen Seiten von franceinter.fr surft, scheint die Ablehnung nichts geändert zu haben: Man wird weiterhin von zahlreichen Dritten getrackt (bei meinem Test: Doubleclick, Quantcast, BidSwitch, OpenX, MediaMath).

France Inter negative Einwilligung

Das Werbeökosystem hat mit der Einwilligung mehrere Probleme:

Werbeakteure sollten keine Cookies mit einer Werbekennung setzen können, wenn sie keine Einwilligung des Nutzers erhalten haben. Allerdings orientieren sie sich noch stark an Googles Strategie: Bei fehlender Einwilligung keine personalisierte Werbung ausspielen, aber den Nutzer weiter quer durchs Web tracken, kontextuelle Werbung ausspielen und die Performance dieser Werbung messen. Genauer gesagt: Meines Wissens funktioniert kein Werbetool „ohne das Setzen von Cookies mit Nutzerkennungen“.
Im Unterschied zu anderen von Publishern eingesetzten Tools (Analytics, soziale Netzwerke, E-Commerce...) rufen sich Werbetools gegenseitig auf. So wird ein Publisher (France Inter), der den Adserver und die SSP Google Ad Manager nutzt (direkte Beziehung), auf seiner Website Werbung von zahlreichen Drittakteuren ausspielen, zu denen er keine direkte Beziehung hat (ob im RTB oder übrigens auch im Direktverkauf). Um ihre Werbung auszuliefern, nutzen diese Dritten eine DSP (Einkaufsplattform), einen Adserver (Auslieferungs- und Messtool), ein Tool zur Sichtbarkeitsmessung (wird die Werbung auf dem Bildschirm angezeigt oder ist sie verdeckt?), ein Tool zur Fraud-Messung (wer sitzt hinter dem Bildschirm, ein echter Nutzer oder ein Bot?) usw. Das erklärt die endlosen Listen von Akteuren, die eine Einwilligung verlangen, und den Kontrollmangel der Publisher, die Werbung ausspielen.
Zusätzlicher Ärger: France Inter nutzt Googles Adserver und SSP, Tools, die die Einwilligungskette weiterhin nicht an Werbedritte weitergeben, weil Google noch nicht Teil des „IAB Transparency and Consent Framework“ ist. Dieses Protokoll wurde vom TechLab des IAB entwickelt, dem Verband der Werbeakteure, der technische Standards setzt, um DSGVO-Konformität herzustellen (nach mehreren Verschiebungen plant Google, die Version 2 des Frameworks Ende des ersten Quartals zu übernehmen).

Können Publisher die DSGVO einhalten?

Ja, aber wenn sie zum Überleben auf Werbung angewiesen sind, ist die Einhaltung des Gesetzes mit Zwängen verbunden:

Annahme und Ablehnung von Cookies gleichwertig anzubieten, führt zu einer hohen Ablehnungsquote.
Außerdem blockiert die vom IAB zur DSGVO-Konformität eingeführte „Lösung“, das Transparency and Consent Framework (TCF), aufgrund ihrer Architektur weder Cookies noch Aufrufe von Drittanbieter-Tags; sie erlaubt Publishern nicht zu kontrollieren, was auf ihren Websites passiert. Lesen Sie dazu „Mécanismes et (r)écueil du consentement“ von Benjamin Poilvé, Ingenieur im technologischen Expertisedienst der CNIL.
Wenn Nutzer Cookies ablehnen und das Werbeökosystem überhaupt nicht auf eine Welt ohne Cookies vorbereitet ist, wäre die saubere Lösung, keine Werbung auszuliefern (der „Tag Manager“ des Kunden, das Tool, das über die Aktivierung von Tags entscheidet, müsste dann die Werbe-Tags deaktivieren).

Das Werbeökosystem wird sich jedoch wohl zwangsweise anpassen müssen, denn nach Safari, Firefox und Brave dürfte Chrome bald keine Drittanbieter-Cookies mehr zulassen (innerhalb von zwei Jahren laut seiner Ankündigung).