bedeckt München 31°

Cookies:Was klicke ich da überhaupt?

BGH verkündet Urteil zur Einwilligung in Cookies

Cookies speichern beim Surfen Daten auf der Festplatte des Nutzers.

(Foto: Bernd Weissbrod/dpa)

Seit Mai sind die nervigen Cookie-Kästchen vor vielen Webseiten noch sperriger. Was man vor dem Klick auf "OK" wissen sollte.

Von Matthias Eberl

Die Webseite öffnet sich, aber bevor man sie richtig lesen kann, legt sich ein Kästchen über den Inhalt. Das Kästchen fragt, ob man "Cookies" akzeptieren möchte. Genervt klickt man auf "OK" oder "Zustimmen". Denn Cookies, jene kleinen Textinformationen, die eine Webseite auf dem Rechner des Besuchers speichert, sind im Internet schließlich normal, denkt man . Aber eigentlich geht es in den Fragekästchen um viel mehr als um Cookies. Und es gibt auch einen Grund, warum diese Kästchen gerade jetzt überall auftauchen.

Der Text in einem Cookie kann vieles enthalten. Am häufigsten wird darin eine pseudonyme ID gespeichert, also eine lange Zeichenfolge, die von der Webseite oder Drittanbietern für einen Nutzer generiert wurde, um ihn eindeutig wiederzuerkennen. Ein Cookie mit ID kann verschiedene Zwecke haben, etwa dass der Besucher dauerhaft auf einer Webseite eingeloggt bleibt oder sein virtueller Warenkorb gefüllt bleibt. Aber mit IDs in Cookies kann die Werbeindustrie auch das Onlineverhalten eines Nutzers dauerhaft aufzeichnen und in einem Profil speichern. Auf dem Smartphone geht das noch einfacher, da es eine eindeutige Werbe-ID hat, die jede App abfragen kann.

Diese Informationssammlung kann dann für personalisierte Werbung verwendet werden. Deren einfachste Form ist das Re-Targeting: Wer sich eine neue Kamera in einem Online-Shop angesehen hat, wird auch auf anderen Seiten genau an dieses Produkt erinnert. Aber Profile werden auch andersherum genutzt: Kunden, die etwas bestimmtes gekauft haben, werden von Werbung für diese Produktkategorie ausgeschlossen, um Streuverluste zu vermeiden. Profile werden ausgetauscht: Jemand interessiert sich für Babykleidung, also ist er auch für einen Hersteller von Babyspielzeug interessant. Unternehmen wie Agenturen bauen mit diesen Informationen geschickt neue Zielgruppen: Jemand interessierte sich für einen teuren Grill und kaufte einen Saugroboter, aber kennt den Mähroboter noch nicht.

Warum tauchen jetzt überall die Fragekästchen auf?

Dass sich neuerdings ein Fragekästchen über den Inhalt sehr vieler Webseiten legt, hängt mit einem aktuellen Urteil zusammen: Der Bundesgerichtshof hat im Mai festgestellt, dass "zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung die Einwilligung des Nutzers erforderlich ist". Das hatten zwar vorher schon Datenschutzbehörden in ihrer Interpretation der neuen Datenschutz-Grundverordnung (DSGVO) gefordert, aber es gab noch juristische Unklarheiten: Ein älteres Gesetz erlaubte das Sammeln von Werbeprofilen, wenn darüber vergleichsweise unauffällig in sogenannten "Cookie-Bannern" am unteren Rand der Seite informiert wurde und die Möglichkeit zum Widerspruch bestand. Den musste der Nutzer aber aktiv auswählen. Diese Banner konnte der Besucher zwar einfach ignorieren, wurde dann aber überwacht. Mit dem Urteil sind diese Unklarheiten beseitigt. Das alte Gesetz gilt nach dem Urteil weiterhin, wird aber konform zur neuen DSGVO ausgelegt: Alle Seiten und Apps müssen von den Nutzern eine Einwilligung einfordern, bevor sie Verhaltensprofile von ihnen für Werbung und Marketing nutzen. Ein Cookie-Banner reicht für die Profilbildung nicht mehr.

Aber warum sperren dann viele Kästchen die Seite? Das ist für viele Seitenbetreiber ein Mittel, um den genervten Nutzer zum "Zustimmen" und damit zu einer Einwilligung zu "stupsen" - sogenanntes nudging.

In was willigt man ein?

Da die Vermarktungs-Software meist von den gleichen internationalen Unternehmen kommt, lässt sich zumindest grob abschätzen, zu was man in den eingeblendeten Boxen sein "OK" gibt. Markenunternehmen und Shops wollen vor allem das Verhalten der Besucher analysieren und in zentralen Profilen zusammenführen. Über nahezu jeden Internetnutzer der Welt existieren mehr oder weniger umfangreiche pseudonyme Profile bei einigen Hundert Werbefirmen. Darunter sind bekannte Unternehmen wie Google oder Facebook, aber auch weniger bekannte wie Xandr oder Liveramp. Sie werden beständig von fast allen gewerblich betriebenen Webseiten und Apps mit Daten über Verbraucherverhalten gefüttert. Zwischen diesen Unternehmen werden auch Daten getauscht oder gehandelt. Damit kann dann der richtigen Person eine maßgeschneiderte Werbeanzeige angezeigt werden. Oft will eine Seite auch die ID des Facebook-Accounts auslesen, die im gleichen Browser genutzt wird. Dafür binden die Webseiten ein kleines Programm von Facebook ein, das Zugriff auf die Facebook-ID hat und das Klickverhalten auf der Webseite an Facebook sendet. Bei manchen Shops wie Zalando bedeutet "OK" auch, dass die E-Mail-Adresse des Kunden zu Facebook hochgeladen werden darf. So kann der Kunde auch auf Facebook gefunden und ihm dort entsprechende Werbung angezeigt werden.

Die andere Seite des Werbegeschäfts bilden Verleger, Infoseiten oder Diensteanbieter. Das können Nachrichtenseiten sein, aber auch Portale für Wetter, E-Mail oder Kleinanzeigen. Sie wollen nicht nur Verhaltensdaten weitergeben, sondern fragen im Kästchen zusätzlich um Erlaubnis, Werbeplätze aufgrund der gesammelten Profildaten meistbietend versteigern zu dürfen. Dafür nutzen sie ebenfalls die Nutzerprofile der erwähnten Werbefirmen. Bei einer Werbeplatzversteigerung - sogenanntem Real Time Bidding - wird während der Millisekunden, in denen sich die Seite aufbaut, ein Bietaufruf an Hunderte Firmen gesendet. Der enthält einerseits standardisierte Kategorieangaben über den Besucher zu seinen Interessen (von "Action Video Games" bis "Zimbabwe"), aber auch seine IDs, damit die Drittanbieter zusätzlich ihre eigenen Profile zu diesem Besucher bewerten können. Die Werbefirmen wollen so noch genauer herausfinden, was eine einzelne Person in den Wochen, Monaten oder Jahren zuvor im Internet oder in Apps gemacht hat. Umso "wertvoller" die Seitenbesuche vorher waren (zum Beispiel "interessierte sich ausgiebig für ein Elektroauto einer bestimmten Marke"), umso mehr wird geboten. Die meisten dieser vollautomatisierten Versteigerungen laufen über Googles Marktplatz "Doubleclick", daneben gibt es nur wenige andere von Bedeutung. Mehr als 100 Werbeunternehmen bieten in der Versteigerung gegeneinander, meist nur Bruchteile eines Cents - alles in den wenigen Augenblicken des Seitenaufbaus. Wer gewinnt, darf dem Besucher passende Werbung anzeigen, zum Beispiel ein neues Modell der Automarke.

Wie die SZ Tracking nutzt

Die SZ setzt wie andere Medienunternehmen bestimmte Tracking-Tools und Cookies ein. Unter www.sz.de/tracking finden Sie die Information, welche Tracker auf unseren Webseiten verwendet werden und wie sie deaktiviert werden können.

Die vollständige Datenschutzerklärung finden Sie unter sz.de/datenschutz. In den Apps der SZ können Sie der Datenverarbeitung widersprechen, indem Sie in den Datenschutzeinstellungen der jeweiligen App Nutzerstatistiken, Fehleranalyse und Absturz-Reports oder personalisierte Werbung deaktivieren. Der digitale Anzeigenmarkt ist wie bei vielen Medienhäusern für einen wesentlichen Teil der Einnahmen verantwortlich. Auch deshalb können aufwendig recherchierte Artikel Lesern zugänglich gemacht werden.

Was kann der Internetnutzer tun?

Die DSGVO sieht vor, dass die Einwilligung für solch umfangreiche Datenverarbeitungen freiwillig sein muss. Was "Freiwilligkeit" genau heißt, ist vor Gericht noch nicht endgültig entschieden. Es schält sich allerdings die Rechtsmeinung heraus, dass dem Kunden immer eine Alternative ohne profilbildendes Werbetracking angeboten werden muss. Die Alternative darf auch etwas kosten. Die umfassende Datenverarbeitung dürfte für viele ein Grund sein, nicht "OK" zu wählen.

Die Ablehnung versteckt sich meist neben dem OK-Button oder im Text des Fragekästchens. Manchmal wird man zum Ablehnen auch auf eine Unterseite geleitet ("mehr", "Einstellungen" oder "Details"). Wen dort die vielen Kästchen zum Ankreuzen verwirren, dem hilft ein simpler Trick: Da Einwilligungen für das Tracking nicht vorausgewählt sein dürfen, kann man eine solche Liste unbesehen bestätigen, die angebotene Vorauswahl ist in den allermeisten Fällen die datensparsamste Variante.

Ist es nicht einfacher, regelmäßig die Cookies zu löschen?

Nein, denn damit verhindert man nur in den wenigsten Fällen , dass ein Profil erstellt wird. Das Hauptproblem liegt an den zahlreichen Log-ins, die Surfende auf Webseiten nutzen. Diese Anbieter senden oft die beständige ID, die an einen Log-in geknüpft ist, an die Werbefirmen. Die wissen dann Bescheid, dass wieder der altbekannte Besucher die Seite ansieht. So können viel dauerhaftere Profile für die Werbung abgefragt werden, die Versteigerungen bringen dem Seitenbetreiber mehr Geld. Über den massenhaften Austausch von Cookies zwischen Werbefirmen verbreitet sich das Wissen über eine eingeloggte Person über viele Webseiten. In Apps ist die Profilbildung durch die einheitliche Werbe-ID noch dauerhafter. Der beste Schutz ist deshalb, gar nicht auf "OK" zu klicken, sondern abzulehnen. Maßgeschneiderte Werbung haben im Internet schließlich noch die wenigsten Menschen vermisst.

© SZ/jab/mri
Tracking Everything Buch Zwei Teaser

SZ Plus
Digitale Privatsphäre
:Wie wir uns verraten

Ein ganz normales Smartphone, ein ganz normaler Tag: Die SZ hat untersucht, wie viele Informationen ohne unser Wissen von einem Handy abfließen - und mit wem es Kontakt aufnimmt.

Lesen Sie mehr zum Thema

Zur SZ-Startseite