Claudia Dubrau, agof Cookies sind per se kein Teufelszeug

Claudia Dubrau, agof

 

 

 

 

 

Kaum eine Nachricht aus der digitalen Welt ist in der Werbewirtschaft auf so viel Gehör gestoßen, wie die Ankündigung von Google, dass Third Party Cookies ab 2022 auch im Browser "Chrome" automatisch geblockt werden sollen. Und diesmal waren es keineswegs nur die Europäer, die sich zu Wort meldeten. Diesmal erhoben auch die mächtigen US-Advertising-Verbände ihre Stimme und prangerten in einem offenen Brief den unverantwortlichen Alleingang von Google an. Denn das Problem, vor das der Internet-Gigant Werbekunden, Agenturen, Vermarkter und nicht zuletzt auch viele Marktforscher stellt, ist überall auf der Welt dasselbe: Solange es keine effiziente und von allen Playern nutzbare Alternative zum Cookie gibt, bedroht das Blocking die gesamte digitale Werbebranche und wird sogar für manch einen zur Existenzfrage.

Was Google mit der Maßnahme bezweckt, bleibt im Dunkeln. Denn dass sich ausgerechnet dieser Konzern zum Vorreiter in Sachen Datenschutz macht und die Privatsphäre der User in den Mittelpunkt seines Handelns stellt, kann selbst in den USA niemand so recht glauben. Hat der Gigant womöglich längst eine Lösung in der Schublade, die ihn auch in Sachen Reichweitenforschung und Kampagnen-Kontrolle zum weltweiten Monopolisten machen soll?

Google hat angeboten, dass sich alle Marktteilnehmer an ihrer "Sandbox"-Initiative, in welcher nach Cookie-Alternativen gesucht werden soll, beteiligen können. Allerdings ist weder klar, wer anschließend die Hoheit über die User-Datenhat, noch was genau gemessen werden soll. Informationen über rechtliche und methodischen Maßgaben gibt es bislang auch nicht. Es ist also zu befürchten, dasses sich bei "Sandbox" um eine weitere "Blackbox" handelt. Aus forscherischer Sicht ein Ausschlusskriterium. Denn unser Berufsstand ist verpflichtet, sämtliche Prozesse der Datenerhebung genau zu kennen, um die Validität und Transparenz der Informationen gewährleisten zu können. Und einen ähnlichen Durchblick bräuchten natürlich auch die Daten- und Verbraucherschützer.

Mal ganz generell gefragt: Warum sollen Cookies eigentlich zerbröselt werden?

Momentan wird häufig so getan, als seien Cookies im Allgemeinen und Third Party Cookies im Besonderen grundsätzlich Teufelszeug. Doch entspricht das den Tatsachen? Sind Cookies wirklich gleichzusetzen mit illegaler Spähsoftware, die den User im Netz verfolgt, widerrechtlich privateste Daten aufsaugt und an unbefugte Dritte weiterleitet?

Die Realität ist eine andere. Das Gros der Cookies, bei denen es sich, technisch gesprochen, um eine kleine Textdatei und keine Software handelt, dient der Usability von Websites – und dem Nutzungskomfort der User. Die haben nämlich keine Lust, bei jedem Besuch eines Online-Angebots ihre persönlichen Grundeinstellungen, also Sprache, Schriftgröße, etc. neu einzugeben. Und die meisten sind auch dankbar, dass sich das Cookie auf der Website Einkaufslisten, Log-In-Informationen oder den zuletzt genutzten Inhalt merkt. Cookies erleichtern uns also tagtäglich das Surfen. Dass Website-Betreiber darüber hinaus interessiert, welcher Content über einen Browser aufgerufen wurde und welche Darbietungsformen (also Texte, Fotos oder Videos) bei der Mehrheit aktuell besonders beliebt sind, ist nachvollziehbar – und ebenfalls im Sinne der User. Anhand solcher Cookie-Informationen werden Websites und Marketingmaßnahmen optimiert und auf die Wünsche der unterschiedlichen User-Gruppen zugeschnitten.

Third Party Cookies speichern in der Regel nichts Anderes. Im Fall von Cookies, die  von Marktforschungs-Instituten oder Organisationen wie der agof "gesetzt" werden, geht es allenfalls noch darum, einen Browser auf verschiedenen Websites wiederzuerkennen, um statistische Aussagen zum generellen Surfverhalten verschiedener Gruppen treffen zu können. Eine echte "Bedrohung" der Privatsphäre jedes einzelnen Onliners kann ich darin beim besten Willen nicht erkennen, da die Daten vollkommen anonym verarbeitet werden und die Gruppen, oft soziodemographische Gruppen, so groß sind, dass niemand identifiziert werden kann.

Aber gibt es Cookies, die man als Internet-Nutzer nicht auf seinem Rechner haben will? Möglicherweise. Sinnvoller Datenschutz wäre für mich, solche "giftigen" Cookies zu erkennen und im Sinne aller User aus dem Netz zu verbannen. Dazu gehört in einem ersten Schritt, Regeln aufzustellen, welche Informationen auf Cookies gesammelt werden dürfen und welche nicht. Schritt zwei wäre ein Zertifizierungsverfahren für Cookies. Wer ein Cookie setzten will, muss die integrierten Funktionen und den Verwendungszweck exakt beschreiben und zur Prüfung und Genehmigung bei einer anerkannten Datenschutz-Instanz vorlegen, die anhand einheitlich festgelegter Vorschriften über die Regelkonformität des Cookies entscheidet. Zertifizierte Cookies kämen anschließend auf eine Whitelist, die für jedermann im Internet einsehbar ist und an die sich auch die Browser-Anbieter halten müssten.

Wem ein solcher Weg zu aufwendig wäre, hat womöglich keinen nachvollziehbaren und gewichtigen Grund, Cookies zu setzen. Damit hätte die "bürokratische Hürde" schon mal bewirkt, dass die Liste der gesetzten Cookies deutlich kürzer wäre. Wer die User tatsächlich ausspionieren will oder andere Informationen sammelt, die Rückschlüsse auf konkrete Personen zulassen, wird sich einem solchen Verfahren auch nicht stellen.

Natürlich hätte diese kurz skizzierte Idee einen höheren Aufwand für die Datenschützer zur Folge. Doch wie sieht die Alternative aus? Dass sich private Unternehmen wie Google zum Gate-Keeper aufschwingen und entscheiden, wer berechtigt ist, welche und wie viele Daten zu sammeln? Ist es sinnvoll und gewollt, dass ein solcher Konzern künftig sogar darüber entscheidet, wie das technisch und methodisch zu funktionieren hat, also den Standard vorgibt? Sollen am Ende einige wenige globale Datenmonopolisten als einzige Bezugsquelle übrig bleiben, bei denen die Welt Informationen einkaufen muss, womöglich ohne genau zu wissen, wie valide und datenschutzkonform deren Erhebungsmethode überhaupt ist?