bedeckt München 30°

Cookies:Werber und Sammler

"Cookies zulassen?" - die meisten Internetnutzer klicken beim Surfen im Netz einfach auf "OK", wenn diese Frage kommt, damit sie schnell Zugriff auf die Seite bekommen. Aber worin willigt man da eigentlich ein? Viele Details bleiben zunächst unklar.

Von Matthias Eberl

Smartphone mit Schild und Schwert wehrt Cookies ab PUBLICATIONxINxGERxSUIxAUTxONLY JensxMagnusson 11870045

Werbefirmen wissen viel über ihre Kunden – wer das nicht will, muss sich wehren und das Tracking unterbinden.

(Foto: imago images/Ikon Images)

Die Webseite öffnet sich, aber bevor man sie richtig lesen kann, legt sich ein Kästchen über den Inhalt. Möchte man "Cookies" akzeptieren? Genervt klicken die meisten auf "OK". Denn Cookies, jene kleinen Textinformationen, die Webserver auf den Rechnern ihrer Besucher speichert, sind im Internet schließlich normal. Doch bei der Abfrage geht es um viel mehr als um Cookies. Und es gibt auch einen Grund, warum diese Kästchen gerade jetzt überall auftauchen.

Cookies, was ist das eigentlich? Am häufigsten wird eine lange Zeichenfolge gespeichert, um den Nutzer eindeutig wiederzuerkennen. Die Technik kann helfen, dass der Besucher dauerhaft auf einer Webseite eingeloggt bleibt oder sein virtueller Warenkorb gefüllt bleibt. Aber mit IDs in Cookies kann die Werbeindustrie auch das Onlineverhalten eines Nutzers aufzeichnen und in einem Profil speichern.

Diese Informationssammlung kann für personalisierte Werbung verwendet werden. Deren einfachste Form ist das Re-Targeting: Wer sich in einem Online-Shop etwa eine Kamera angesehen hat, den wird auch auf anderen Seiten Werbung dafür angezeigt. Aber Profile werden auch andersherum genutzt: Kunden, die ein Produkt gekauft haben, werden von Werbung für diese Produktkategorie ausgeschlossen, um Streuverluste zu vermeiden. Profile werden ausgetauscht: Jemand interessiert sich für Babykleidung, also ist er auch für einen Hersteller von Babyspielzeug interessant. Unternehmen wie Agenturen bauen mit diesen Informationen geschickt neue Zielgruppen auf.

Warum tauchen jetzt überall Cookie-Abfragen auf?

Das hängt mit einem aktuellen Urteil zusammen: Der Bundesgerichtshof hat im Mai festgestellt, dass "zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung die Einwilligung des Nutzers erforderlich ist". Das hatten zwar vorher schon Datenschutzbehörden in ihrer Interpretation der neuen Datenschutz-Grundverordnung (DSGVO) gefordert, aber es gab noch juristische Unklarheiten: Ein älteres Gesetz erlaubte das Sammeln von Werbeprofilen, wenn darüber vergleichsweise unauffällig in sogenannten "Cookie-Bannern" am unteren Rand der Seite informiert wurde und die Möglichkeit zum Widerspruch bestand. Den musste der Nutzer aber aktiv auswählen. Mit dem Urteil sind diese Widersprüche geklärt. Das alte Gesetz gilt nach dem Urteil weiterhin, wird aber konform zur neuen DSGVO ausgelegt: Alle Seiten und Apps müssen von den Nutzern eine Einwilligung einfordern, bevor sie Verhaltensprofile von ihnen für Werbung und Marketing nutzen. Ein Cookie-Banner reicht für die Profilbildung nicht mehr.

Aber warum sperren dann viele Kästchen die Seite? Das ist für viele Seitenbetreiber ein Mittel, um den genervten Nutzer zum "OK" und damit zu einer Einwilligung zu "stupsen" - sogenanntes nudging.

Worin willigt man ein?

Viele Details sind unklar, doch da die Vermarktungs-Software meist von den gleichen internationalen Unternehmen kommt, lässt es sich grob abschätzen: Markenunternehmen und Shops wollen vor allem das Verhalten der Besucher analysieren und in zentralen Profilen zusammenführen. Über nahezu jeden Internetnutzer der Welt existieren mehr oder weniger umfangreiche pseudonyme Profile bei einigen hundert Werbefirmen. Darunter sind bekannte Unternehmen wie Google oder Facebook, aber auch weniger bekannte wie Xandr oder Liveramp. Sie werden beständig von fast allen gewerblich betriebenen Webseiten und Apps mit Daten über Verbraucherverhalten gefüttert. Zwischen diesen Unternehmen werden auch Daten getauscht oder gehandelt. Damit lässt sich der richtigen Person eine für sie maßgeschneiderte Werbeanzeige anzeigen. Oft will eine Seite auch die ID des Facebook-Accounts auslesen, die im gleichen Browser genutzt wird. Dafür binden die Webseiten ein kleines Programm von Facebook ein, das Zugriff auf die Facebook-ID hat und das Klickverhalten auf der Webseite an Facebook sendet. Bei manchen Shops wie Zalando bedeutet "OK" auch, dass die E-Mail-Adresse des Kunden zu Facebook hochgeladen werden darf. So kann der Kunde auch auf Facebook gefunden und ihm dort entsprechende Werbung angezeigt werden.

Die andere Seite des Werbegeschäfts bilden Verleger, Infoseiten oder Diensteanbieter. Das können Nachrichtenseiten sein, aber auch Portale für Wetter, E-Mail oder Kleinanzeigen. Sie wollen nicht nur Verhaltensdaten weitergeben, sondern fragen im Kästchen zusätzlich um Erlaubnis, Werbeplätze auf Grund der gesammelten Profildaten meistbietend versteigern zu dürfen.

Dafür nutzen sie ebenfalls die Nutzerprofile der erwähnten Werbefirmen. Bei einer Werbeplatzversteigerung - dem sogenanntem Real Time Bidding - wird während der Millisekunden, in denen sich die Seite aufbaut, ein Bietaufruf an hunderte Firmen gesendet. Die enthalten standardisierte Kategorieangaben über den Besucher zu seinen Interessen (von "Action Video Games" bis "Zimbabwe"), aber auch seine IDs, damit die Drittanbieter zusätzlich ihre eigenen Profile zu diesem Besucher bewerten können. Die Werbefirmen wollen so noch genauer herausfinden, was eine einzelne Person in den Wochen, Monaten oder Jahren zuvor im Internet oder in Apps gemacht hat. Umso "wertvoller" die Seitenbesuche vorher waren (zum Beispiel "interessierte sich ausgiebig für ein Elektroauto einer bestimmten Marke"), umso mehr wird geboten. Die meisten dieser vollautomatisierten Versteigerungen laufen über Googles Marktplatz "Doubleclick", daneben gibt es nur wenige andere von Bedeutung. Mehr als 100 Werbeunternehmen bieten in der Versteigerung gegeneinander, meist nur Bruchteile eines Cents - alles in den wenigen Augenblicken des Seitenaufbaus. Wer gewinnt, darf dem Besucher passende Werbung anzeigen, zum Beispiel ein neues Modell der Automarke.

Was kann der Internetnutzer tun?

Die DSGVO sieht vor, dass die Einwilligung für solch umfangreiche Datenverarbeitungen freiwillig sein muss. Was "Freiwilligkeit" genau heißt, ist vor Gericht noch nicht endgültig entschieden. Es schält sich allerdings die Rechtsmeinung heraus, dass dem Kunden immer eine Alternative ohne profilbildendes Werbetracking angeboten werden muss. Die Alternative darf auch etwas kosten. Die umfassende Datenverarbeitung dürfte für viele ein Grund sein, nicht OK zu wählen.

Die Ablehnung versteckt sich meist neben dem OK-Button oder im Text des Fragekästchens. Manchmal wird man zum Ablehnen auch auf eine Unterseite geleitet ("mehr", "Einstellungen" oder "Details"). Wen dort die vielen Kästchen zum Ankreuzen verwirren, dem hilft ein simpler Trick: Da Einwilligungen für das Tracking nicht vorausgewählt sein dürfen, kann man eine solche Liste unbesehen bestätigen, die angebotene Vorauswahl ist in den allermeisten Fällen die datensparsamste Variante.

Ist es nicht einfacher, regelmäßig die Cookies zu löschen?

Nein, denn damit verhindert man nur in den wenigsten Fällen, dass ein Profil erstellt wird. Das Hauptproblem liegt an den zahlreichen Log-ins, die Surfende auf Webseiten nutzen. Diese Anbieter senden oft die beständige ID, die an einen Log-in geknüpft ist, an die Werbefirmen. Die wissen dann Bescheid, dass wieder der altbekannte Besucher die Seite ansieht. So können viel dauerhaftere Profile für die Werbung abgefragt werden, die Versteigerungen bringen dem Seitenbetreiber mehr Geld. Über den massenhaften Austausch von Cookies unter den Werbefirmen verbreitet sich das Wissen über eine eingeloggte Person über viele Webseiten hinweg. In Apps ist die Profilbildung durch die einheitliche Werbe-ID noch dauerhafter. Der beste Schutz ist deshalb, nicht auf "OK" zu klicken, sondern abzulehnen. Maßgeschneiderte Werbung haben im Internet schließlich noch die wenigsten Menschen vermisst.

Cookies bei der SZ

Die SZ setzt wie andere Medienunternehmen auch bestimmte Tracking-Werkzeuge und Cookies ein. Unter www.sz.de/tracking finden Sie Information darüber, welche der sogenannten Tracker auf unseren Webseiten verwendet werden und wie sie deaktiviert werden können. Die vollständige Datenschutzerklärung finden Sie unter sz.de/datenschutz. In den Apps der SZ können Sie der Datenverarbeitung widersprechen, indem Sie in den Datenschutzeinstellungen der jeweiligen App Nutzerstatistiken, Fehleranalyse und Absturz-Reports oder personalisierte Werbung deaktivieren. Der digitale Anzeigenmarkt ist bei der SZ wie auch bei vielen Medienhäusern neben den Verkaufserlösen für einen wesentlichen Teil der Einnahmen verantwortlich. Auch deshalb können aufwendig recherchierte Artikel Lesern zugänglich gemacht werden. SZ

© SZ vom 07.07.2020
Zur SZ-Startseite