Cookie-Blocker technisch möglich – Datenschutz sollte gewährleistet werden

Websites vorgeschalteten Cookie-Banner in Verruf geraten

[datensicherheit.de, 06.12.2022] Vor 50 Jahren seien „Cookies“ noch mit einem liebenswerten blauen Monster verbunden gewesen – heute seien diese negativ konnotiert durch Websites vorgeschaltete Cookie-Banner. Nahezu jede setze auf diese Technik, um deren Nutzung unter anderem sicherer zu machen, beispielsweise beim Online-Banking. „Manche Website aber will einfach nur mehr erfahren als notwendig“, warnt die TÜV NORD GROUP in ihrer aktuellen Stellungnahme.

Mit PIMS könnten Nutzer ihre Cookie-Einstellungen zentral im eigenen Rechner oder in Online-Speichersystemen verwalten

Auf jeder Website den Cookie-Hinweis zu bearbeiten sei mühsam, insbesondere dann, „wenn man jeder Website die gleichen Dinge erlaubt – oder eben untersagt“. Da stelle sich die Frage nach einer Lösung, „beispielsweise ein Add-On im Browser, der die eigenen Präferenzen speichert und jeder besuchten Website mitteilt“. Tobias Mielke, Datenschutz-Experte bei TÜVIT, kommentiert: „Das soll kommen.“ Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) sehe einen solchen „Dienst zur Einwilligungsverwaltung“ ausdrücklich vor – PIMS sei die Fachabkürzung: „Personal Information Management Services“.

Mit PIMS könnten Nutzer ihre Cookie-Einstellungen z.B. zentral im eigenen Rechner oder in Online-Speichersystemen verwalten. Ein Problem jedoch sei: „Was, wenn derartige PIMS selbst Cookies nutzen, Nutzerverhalten ausspionieren und diese Daten weitergeben?“ Mielke führt aus: „Aus unserer Sicht sollten PIMS bestenfalls in einem Treuhandmodell von unabhängigen Dritten wie den TÜV-Verbänden erstellt werden.“

Website-Betreiber haben kein ausgeprägtes Interesse daran, dass Cookies per se blockiert werden

Eine weitere Frage sei: „Werden Websites derartige Einstellungen eines Add-ons wirklich übernehmen also akzeptieren?“ Ein solches PIMS würde den meisten besuchten Webseiten die eigenen Präferenzen übermitteln, und diese Präferenzen müssten beachtet werden. Eine Ausnahme gelte für Telemedienanbieter, welche sich ganz oder teilweise durch Werbung finanzieren, also etwa für Newsportale. Diese sollten Nutzer auf kostenpflichtige, aber werbe- und cookiefreie Alternativen verweisen dürfen.

Betreiber von Internetseiten hätten natürlich kein besonders ausgeprägtes Interesse daran, dass Cookies per se blockiert werden. Diese erlaubten es, das Nutzerverhalten zu analysieren. „Also festzustellen, welche Inhalte wie häufig angeklickt wurden und wie lange Nutzende auf dieser Seite verharren, von welchen Seiten man kommt, wohin man entschwindet, welche Werbung man sich angesehen und nach welchen Begriffen man gesucht hat.“ Zu wissen, wie gut die eigene Website funktioniert, sei für Marketing- und Vertriebs-Abteilungen sehr wichtig.
Auf der anderen Seite stehe der Nutzer, „der beim Surfen im Internet persönliche Daten preisgibt“. Wer das nicht will, müsse Cookies ablehnen: „Mit meiner Ablehnung will ich unerwünschte Werbung vermeiden, mein Surfverhalten nicht ausspionieren lassen und auch nicht mit meinen Konten der Sozialen Netzwerke verbinden lassen“, erläutert Mielke.

Betreiber von Webseiten dürfen nicht ohne Einwilligung Cookies ausspielen und personenbezogenen Daten speichern

Auf die Frage, ob man sicher sein kann, dass die Einstellungen auf den Websites dann übernommen werden, erwidert Mielke: „Betreiber von Webseiten dürfen keine Cookies ausspielen und keine personenbezogenen Daten speichern, wenn dies explizit nicht gewünscht ist.“ Dies gelte sowohl für jedes einzelne Cookie-Banner als auch für ein PIMS. „Wer der Website hingegen alles erlaubt, gibt ihr einen Freibrief dafür, das eigene Surfverhalten auszuspionieren und personalisierte Werbung auszuspielen.“ Es gebe außerdem keine Sicherheit dafür, „dass nicht vielleicht irgendwo auf der Welt Daten gesammelt, zusammengeführt, ausgewertet und weiterverkauft werden“.

Mielke erläutert: „Eine PIMS-Lösung ist technisch jedenfalls umsetzbar, sowohl was die Speicherung eigener Präferenzen angeht als auch das Speichern und Verarbeiten von Daten.“ Jedoch müsse klar sein, „dass eine derartige Anwendung wirklich datenschutzrechtlich sauber und sicher arbeitet“. Die Anbieter eines entsprechenden Dienstes müssten sich laut Entwurf der Einwilligungsverwaltungs-Verordnung (EinwVO) vom Bundesdatenschutzbeauftragten anerkennen lassen und dabei unter anderem ihre Unabhängigkeit belegen. Außerdem sollten sie demnach ein Sicherheitskonzept sowie geeignete technische und organisatorische Maßnahmen des Dienstes vorweisen können.