Genervt von Einverständniserklärungen zur Cookie-Nutzung? Dahinter steckt Methode!
Nach Inkrafttreten der DSGVO am 25. Mai haben Website-Betreiber komplexe Mechanismen eingeführt, um Nutzer dazu zu bringen, dem Tracking auf ihren Seiten zuzustimmen. Wir haben uns die wichtigsten Systeme genauer angesehen.
Die Datenschutz-Grundverordnung (DSGVO), die direkte Auswirkungen auf den Umgang mit per Tracking gesammelten Daten haben wird, ist nun seit fast vier Wochen in Kraft. Eine offensichtliche Folge der DSGVO ist der vermehrte Einsatz sogenannter Consent-Management-Plattformen (CMPs), die meist beim ersten Aufruf einer Seite Cookie-Hinweise einblenden. Seitenbetreiber verwenden diese Dienste, um Einverständniserklärungen zur Cookie-Nutzung von Seitenbesuchern einzuholen und zu verwalten. Denn gemäß DSGVO müssen sie europäische Nutzer umfassend über die Datensammlung auf ihren Seiten informieren und eine Möglichkeit bereitstellen, bestimmten Praktiken und Arten der Datenerhebung zu widersprechen. Dadurch haben CMPs an Bedeutung gewonnen, weil sie tiefergehende Einstellungen erlauben und die Zustimmung der Nutzer zu Drittanbieterdiensten erfassen und verbreiten können.
Die WhoTracks.me-Daten für diesen Monat belegen den Aufstieg mehrerer neuer CMPs sowie die wachsende Präsenz etablierter Anbieter. Anhand der WhoTracks.me-Daten können wir feststellen, auf welchen Seiten sie aktiv sind. Im Folgenden geben wir einen kurzen Überblick über die wichtigsten CMPs und vergleichen die verschiedenen Ansätze, wie sie das Einverständnis der Nutzer einzuholen versuchen:
TrustArc (ehemals TRUSTe) stellt bereits Cookie-Einverständnisdialoge bereit, seit das Konzept mit dem ursprünglichen ePrivacy-Entwurf eingeführt wurde. Die WhoTracks.me-Daten zeigen, dass sich TrustArcs Reichweite in den vergangenen Monaten verdoppelt hat, da es offenbar neue Kunden gewinnen konnte, die seine Dienste zur Einhaltung der DSGVO-Vorgaben einsetzen.
TrustArcs bekanntes Einverständnis-Pop-up bietet inzwischen erweiterte Opt-out-Möglichkeiten. Diese sind jedoch hinter einem Link zu „Weitere Informationen“ verborgen. Die Pop-up-Nachricht selbst hat sich gegenüber der Version vor Inkrafttreten der DSGVO nicht verändert, sodass Nutzer möglicherweise gar nicht erkennen, dass sich hinter dem Link erweiterte Opt-out-Optionen verbergen. Die Aufmachung der Schaltfläche als simpler Link deutet ebenfalls nicht darauf hin, dass sich darüber die Cookie-Einstellungen konfigurieren lassen.
Der “Weitere Informationen”-Link öffnet ein Fenster, in dem der Nutzer die Cookie-Einstellungen in drei Stufen regulieren kann. Auf der getesteten Seite (MyFitnessPal.com) waren alle Cookie-Arten standardmäßig zugelassen.
Nach einem Klick auf „Präferenzen senden“ informiert ein weiteres Dialogfenster darüber, dass die eingereichten Einstellungen verarbeitet werden. Dieser Vorgang dauert in unserem Test mehrere Minuten und blockiert den Zugriff auf die darunterliegende Seite, bis er abgeschlossen ist. Dieses schlechte Nutzererlebnis dürfte dazu führen, dass sich nur wenige Anwender tatsächlich die Zeit nehmen, ihre Cookie-Einwilligung anzupassen. Nachdem sie einmal Minuten warten mussten, werden sie beim nächsten Mal wahrscheinlich direkt allem zustimmen oder einfach die Seite verlassen, die diesen Einwilligungsdialog anzeigt.
Eine weitere Version der TrustArc CMP fanden wir auf Weather Underground. Sie bietet ein umfangreicheres Auswahlfenster, einschließlich Detailinformationen zu Drittanbietern in der jeweiligen Kategorie. Allerdings leidet auch diese Version unter einer langen Verarbeitungszeit nach erfolgter Einwilligung.
Als Antwort auf die DSGVO schlug der Werbewirtschaftsverband Interactive Advertising Bureau (IAB) ein System zur Verbreitung der Zustimmung der Nutzer über Werbenetzwerke vor. Das GDPR Transparency and Consent Framework zielt darauf ab, eine standardisierte Einverständniserklärung zu schaffen, die in Werbenetzwerken weitergegeben werden kann.
CMPs sind in diesem System registriert und ein First-party-Cookie hält fest, welche CMP das Einverständnis auf der entsprechenden Website eingeholt hat und welche Anbieter Daten zu welchen Zwecken verarbeiten dürfen. Der CMP-Code und die Anbieterliste werden von einer einzigen Domain bereitgestellt (consensu.org). Dadurch kann WhoTracks.me messen, dass das System bereits auf 0,5 % aller Websites im Einsatz ist.
Beispielsweise findet das IAB-System bei SourceForge Anwendung. In diesem Fall fungiert Quantserve als die CMP, die den IAB-Einverständnis-Cookie setzt. Das IAB-Framework ermöglicht es auch, Einwilligungen für Erst- und Drittanbieter separat für einen standardisierten Satz Verwendungszwecke festzulegen.
Im Gegensatz zum TrustArc-System erfolgt die Abmeldung in diesem Dialog sofort, also ohne lange Verarbeitungszeit. Außerdem waren in unseren Tests alle Optionen standardmäßig deaktiviert und ein pauschales Opt-out leicht möglich.
Cookiebot ist ein recht neuer Service, der diesen Monat erstmals in den WhoTracks.me-Daten aufgetaucht und schon auf 0,3 % aller Websites vertreten ist. Er bietet einen leicht verständlichen, aufgeräumten Dialog, der eine schnelle Anpassung der Einverständniserklärung erlaubt.
Eine Seite, die Cookiebot nutzt, ist Gitlab. Hier stellten wir fest, dass alle Optionen standardmäßig aktiviert sind und die Zustimmung sogar dann vorausgesetzt wird, wenn der Nutzer nicht auf „OK“ klickt.
Ein Klick auf den “Show details”-Button liefert mehr Informationen darüber, welche Anbieter und Cookies in die jeweilige Kategorie fallen:
Bei Cookiebot erfolgt das Opt-out ebenfalls sofort.
Zu guter Letzt, OneTrust. Der Dienst gehört diesen Monat zwar nicht zu den Top-Trackern, ist aber immer noch auf einigen Seiten vertreten.
Ein Vozug der OneTrust-CMP scheint ihre Konfigurierbarkeit zu sein. Wir entdeckten auf unterschiedlichen Websites verschiedene Einstellungsebenen. Manchmal enthält das unten auf einer Seite eingeblendete Cookie-Banner einen „More Information“-Link, der zu den Cookie-Einstellungen führt. Ein Beispiel dafür findet sich auf cnn.com:
Allerdings gibt es auch Beispiele ohne einen solchen Link, bei denen Nutzer lediglich auf „Akzeptieren“ klicken können, etwa auf express.de:
Der angezeigte OneTrust-Dialog enthält nur manchmal eine Opt-out-Option. Das zeigt sich etwa beim Vergleich zwischen cnn.com und mailchimp.com. Bei MailChimp ist abgesehen von erforderlichen Cookies ein Opt-out für alle anderen Cookie-Kategorien möglich. Bei CNN gibt es lediglich weiterführende Informationen zu den einzelnen Kategorien, aber keine Opt-out-Möglichkeit:
Falls verfügbar, erfolgt das Opt-out bei OneTrust sofort.
Fazit
Seit Inkrafttreten der DSGVO haben wir einen deutlichen Anstieg der Hinweise auf Einverständniserklärungen zur Cookie-Nutzung festgestellt. Viele der dafür eingesetzten Systeme blockieren den Zugang zur eigentlichen Website, bis der Nutzer seine Zustimmung erteilt hat. Die CMPs zielen darauf ab, den Prozess zu standardisieren und es Nutzern zu erleichtern, ihre Cookie-Präferenzen schnell festzulegen. Wie wir in diesem Artikel beschrieben haben, unterscheiden sich die wichtigsten CMPs jedoch in ihrer Herangehensweise an das Problem.
Da viele Verlage mit dem Einsatz einer CMP vor allem das Ziel verfolgen, ein Maximum an Opt-ins zu erreichen und gleichzeitig gesetzeskonform zu bleiben, gibt es einen starken Anreiz für die Plattformen, Nutzer zu täuschen. Beispiele wie TrustArc zeugen von einem Dark Pattern genannten Benutzeroberflächendesign, das darauf ausgelegt ist, den Nutzer dazu zu bringen, allem zuzustimmen. Plattformen, die klare Opt-out-Möglichkeiten bieten und alle Optionen standardmäßig deaktivieren, könnten letztlich unter ihrer Benutzerfreundlichkeit leiden.
Die Bedeutung der Cookie-Einverständniserklärung für Verlage, die auf Werbeeinnahmen angewiesen sind, und ihre Bereitschaft, das Wohlwollen der Nutzer zu testen, um ihre Einwilligung zu erhalten, verdeutlicht folgendes Dialogfenster. Es wird beim Besuch von ghacks.net angezeigt, wenn man jeglicher Datenerhebung widersprochen hat:
Die Offenheit des IAB-Frameworks ist trotz Kritik an der Art, wie es das Einverständnis der Nutzer kommuniziert, zu begrüßen. Das System eröffnet die Möglichkeit, Einverständniserklärungen zur Cookie-Nutzung über standardisierte Browser-Schnittstellen einzuholen und den Prozess somit neutraler sowie einheitlicher zu gestalten. Zugleich kämen Website-Betreiber nicht mehr in Versuchung, Nutzer mit teils zweifelhaften Methoden dazu zu bringen, ihre uneingeschränkte Zustimmung zur Datenerhebung zu erteilen.
Dieser Artikel erschien zuerst in englischer Sprache auf WhoTracks.me.
