Game of Cookies

Einblick in die aktuelle Cookie-Thematik für einen Ausblick auf zukünftige Lösungswege

Momentan ist es keine leichte Zeit für Werbetreibende: Erst wütet Corona durch allerlei Mediapläne und verbannt Events auf „irgendwann später“ oder „nächstes Jahr“ – und nun stellen Cookies den übrig gebliebenen Kampagnen noch eine weitere Hürde in den Weg. Eine Welt ohne Cookies muss her – aber ist das überhaupt möglich? Und warum sind Kekse eigentlich so ein großes Problem? Doch fangen wir von vorne an.

1. Was sind Cookies? Cookies sind natürlich keine Kekse. Sie beschreiben kleine Textdateien, die von den Internetbrowsern gespeichert und mit Informationen des Website-Betreibers befüllt werden (können). In erster Linie sind sie dafür da, die Funktionalität einer Website zu gewährleisten bzw. diese dabei zu unterstützen.
Ein klassisches Beispiel ist hier die Sprachauswahl. Ein User betritt eine Webseite und wählt seine bevorzugte Sprache. Diese Einstellung wird in einem Cookie gespeichert, sodass diese Einstellung bei einem erneuten Besuch der Webseite erkannt und die Sprache – ohne erneute Auswahl – korrekt angezeigt wird. Dagegen sind Cookies selbst nicht dazu in der Lage, Daten zu erheben, Programme auszuführen oder etwaige Berechnungen durchzuführen. Die kleinen Textdateien dienen schlicht und ergreifend der Speicherung von Informationen.
Des Weiteren beschreibt eine grundlegende Sicherheitsrichtlinie von Browsern, dass Cookies ausschließlich von den Domains ausgelesen werden können, von denen sie auch gesetzt wurden. Und Webseiten bzw. Domains wiederum können Cookies nur in ihrem eigenen Namen setzen. Skizziert bedeutet das: Die Webseite https://ganz-tolle-schuhe.de, die der User Tim besucht hat, kann nur Cookies in ihrem eigenen Namen setzen. Diese haben zudem eine eingestellte Lebensdauer, nach der sie wieder gelöscht werden (aktuelles Beispiel: 7 Tage), sodass Tims gespeicherte Einstellungen von Montag auch noch am Samstag derselben Woche beibehalten werden. Jedoch kann dieser Cookie von keiner anderen Webseite (wie etwa https://noch-tollere-schuhe.de) ausgelesen werden. Genauso wenig kann die Webseite https://ganz-tolle-schuhe.de Cookies von anderen Webseiten auslesen, auf denen der User vorher war.

2. Spezifikationen von Cookies. Zu der genannten Funktionalität der Cookies muss noch erwähnt werden, dass seit Jahren jeder User die Möglichkeit hat, in jedem (gängigen) Browser einzustellen, ob er Cookies nutzen möchte, welche Art von Cookies erlaubt werden und ob er diese gegebenenfalls beim Schließen des Browsers löschen möchte.
Warum werden aber nun Cookies als Bedrohung für die freie Welt empfunden? Sicherlich eine eigene Betrachtungsweise, auf die wir hier nicht näher eingehen möchten. Richtig ist aber, dass durch die Ausnutzung der Cookie-Funktionalität Daten tatsächlich gesammelt werden können. Wie dies genau aussieht, wird exemplarisch an der angeführten Webseite https://ganz-tolle-schuhe.de verdeutlicht. Denn einem Partner kann durchaus gestattet werden, seine Domain https://alles-tracken.com auf der Webseite https://ganz-tolle-schuhe.de einzubinden. Dies erfolgt in der Regel durch die Setzung einer Image-Datei direkt auf der Webseite, via Implementierung eines Javascripts oder iframes.
Ist diese Voraussetzung erfüllt, ist die Domain https://alles-tracken.com in der Lage, Cookies in seinem Namen zu setzen. Hierbei handelt es sich um die sogenannten Third-Party-Cookies . Im weiteren Verlauf ist die Domain https://alles-tracken.com jedoch Partner von diversen anderen Webseiten. Das hat den Effekt, dass nun die Userdaten an einer zentralen Stelle gesammelt und ausgewertet werden können. Daraus resultierend wird zum Beispiel gezielt Werbung ausgespielt, da bekannt ist, welche Webseiten der User vorher besucht und welche Produkte er sich angesehen hat. Zum „Datensammeln“ sei noch gesagt, dass zwar IP-Adresse, Uhrzeit und angeschautes Produkt in so einem Cookie vermerkt sein können, aber wie persönlich das ist, muss jeder für sich selbst entscheiden. Zumal auf jedem Kassenbon im Supermarkt ähnliche Informationen enthalten sind.

3. Cookies und Werbetreibende. Am Beispiel der Third-Party-Cookies kann man sicherlich schon erahnen, welche Bedeutung diese für die Werbeindustrie haben. Wie in vielen Bereichen des Lebens geht es um Daten und deren Hoheit. Vermutlich der Hauptgrund, warum dieses Sicherheitsspiel gespielt wird, welches für alle Beteiligten eigentlich nur ärgerlich ist und de facto keine Sicherheit schafft. Für den Website-Betreiber, der allumfassende Verordnungen, Hinweise und Bestätigungsfelder auf seiner Webseite einbinden muss. Für den Internet-User, der diese Einblendungen immer wieder wegklicken bzw. bestätigen muss. Und das, obwohl er nur auf der Suche nach günstigem Toilettenpapier war. Und für die Werbeindustrie, die nun raten muss, nach wie vielen Lagen sich der User sehnt. Natürlich wurde im Sinne aller Beteiligten versucht, die Vorgaben des Gesetzgebers so einfach wie möglich zu halten. Aber das letzte BGH-Urteil macht die Sache nun sogar noch etwas schwerer.

4. BGH-Urteil vom 28. Mai 2020. Mit dem neuen Urteil darf die Einwilligung der Cookies nicht mehr vorausgefüllt sein.
a. Man benötigt – vor allem für Tracking-Cookies wie etwa von Google Analytics, aber auch für zahlreiche andere Tools und Plug-ins, die Cookies setzen – eine echte Einwilligung der User auf der Webseite.
b. Ein Banner, der impliziert, dass der User durch das Weitersurfen alle Cookies automatisch akzeptiert, oder ein Cookie-Banner mit bereits vorangekreuzter Checkbox ist ebenfalls nicht ausreichend.
c. Sofern der User nicht eingewilligt hat, die Cookies zu akzeptieren, muss der Cookie- bzw. Einwilligungs-Banner die Cookies auch tatsächlich blockieren – so lange, bis der Nutzer eingewilligt hat.
[Quelle: https://www.e-recht24.de/artikel/datenschutz/12119-bgh-urteil-cookies-einwilligung.html] Insofern werden nicht notwendige Cookies rund um die Präferenzerfassung, Statistiken und das Marketing seitens der Website-Betreiber nicht mehr vorab angekreuzt, unabhängig davon, ob die erfassten Daten als personenbezogen eingestuft werden. Technisch notwendige Cookies, die beispielsweise eine Warenkorbfunktion in einem Onlineshop ermöglichen, stehen jedoch weiterhin nicht zur Debatte. Andernfalls wäre der Warenkorb nach jedem neuen Seitenaufruf leer und der User müsste von vorne beginnen, sofern er nicht vorher frustriert abgesprungen ist.

5. Mögliche Lösungsansätze. Die Funktionen und Problematiken rund um das Thema Cookies sind nun zu Papier gebracht, aber eine dafür einheitliche, funktionierende Lösung ist derzeit noch nicht in Sicht.
a. Die vielversprechendste Variante wäre eine globale Netz-ID, an der derzeit diverse Anbieter wie Verimi und Net-ID in Silos arbeiten. Allerdings widerspricht dies dem Gedanken einer globalen, allgemeingültigen Netz-ID. Hier wäre die Schaffung eines gemeinsamen Standards und eines gemeinsamen Datenpools zur Vereinheitlichung wünschenswert.
b. Auch die stärkere Einbindung von Smartphones als Schnittstelle zwischen PC, Laptop, Notebook und Websites steht im Raum, um eine Einheitlichkeit herbeizuführen.
c. Andere Lösungsansätze greifen auf einfachere, aber solide Strategien wieder zurück, wie zum Beispiel die Nutzung von separaten Landingpages. Dies ist jedoch mit erheblichem Mehraufwand sowie damit korrelierenden Kosten verbunden, weshalb es keine Lösung darstellt, mit der jeder Advertiser sofort vorliebnehmen würde.
d. Auch ist das Erstellen von User- und/oder Website-Profilen eine Maßnahme, die sukzessiv stärker in den Fokus rückt. Hier wäre jedoch ein Zusammenschluss von Website-Betreibern nötig, um zu vermeiden, dass sich der User bei jedem Website-Betreiber einen Account erstellen muss. Ein Vorreiter bei diesem Thema ist der zentrale Anmeldeservice von ProSiebenSat.1, der 7Pass. Dieser bündelt alle Mediatheken von Sat.1, ProSieben, kabel eins, sixx, Sat.1 Gold und ProSieben MAXX durch einen einzigen Login, sodass der User mit wenig Aufwand und Zeitverlust zu seinem Entertainment-Erlebnis kommt.
e. Zu guter Letzt wird aus Effizienzgründen die Trennung von „Cookie-Usern“ und „Nicht-Cookie-Usern“ fokussiert, bei der den Cookie-Usern basierend auf deren gesammelten Daten gezielt Werbung ausgespielt wird, während den Nicht-Cookie-Usern auf Grundlage anderer Kriterien – wie dem Umfeld, in dem sie sich befinden – Werbung gezeigt wird.
Wie auch immer die Zukunft der Cookies aussieht – wünschenswert ist ein einheitlicher Standard, der sowohl die technischen Aspekte als auch die Wünsche der Werbetreibenden genauso berücksichtigt wie die berechtigten und zu verteidigenden Interessen der Internet-Userschaft. Bis zur vollständigen Einführung der ePrivacy-Verordnung (Stand heute: voraussichtlich 2021) verbleiben wir in der Hoffnung, nicht bloß einen Kompromiss zu erhalten, mit dem niemand zufrieden ist.

Ralf Prätzas, Technical Account Manager &
Nicole Haisch, Online Marketing Manager
bei Artefact