Ohne Pflicht zum Scheitern verurteilt

In einer an Datenschutznachrichten nicht gerade armen Woche wäre die Meldung fast untergegangen: Deutschland hat seinen ersten offiziellen Einwilligungs-Manager! Das teilte die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider am Dienstag mit. Ihre Behörde hat den Dienst zertifiziert.

Mit Consenter sollen Menschen einfach und übersichtlich darüber entscheiden können, wem sie im Internet eine Erlaubnis zur Nutzung ihrer Daten erteilen und wem nicht. Das gilt insbesondere für Cookies, die auf Computern und Telefonen gespeichert werden und dafür verwendet werden können, das Online-Verhalten von Menschen zu verfolgen.

Menschen wollen selber bestimmen

Cookies bleiben ein leidiges, aber wichtiges Thema. Eine repräsentative Umfrage im Auftrag der Bundesdatenschutzbeauftragten zeigt: 83 Prozent der Menschen in Deutschland wollen selbst festlegen können, ob und wofür ihre Daten im Internet verwendet werden. Doch nur 43 Prozent der Internetnutzer:innen wissen überhaupt, was genau Cookies sind und wofür sie eingesetzt werden.

Dabei kann es weitreichende Folgen haben, ob wir zustimmen oder nicht. Firmen sehen die Einwilligung oft als Freifahrtschein für sie und ihre 845 Partner, die behaupten, den Datenschutz sehr ernst zu nehmen, aber uns komplett durchleuchten wollen. Wir können aufgrund unseres Online-Verhaltens in eine von hunderttausenden Kategorien gesteckt werden, zum Beispiel in „Moms who shop like crazy“, „Spielsüchtig“ oder „LGBTQ“. Unsere Standortdaten können bei Datenhändlern landen und Fremden unsere Bewegungsmuster offenbaren. Der Umgang mit unseren Daten ist vollkommen außer Kontrolle geraten.

Gegen Kontrollverlust und Einwilligungsmüdigkeit

Einwilligungsmanager sollen nicht nur diesem Kontrollverlust ein Ende bereiten, sondern auch der sogenannten Einwilligungsmüdigkeit. Die hat sich im Laufe all der Jahre bei vielen einstellt, die tagein tagaus scheinbar sinnlose Cookie-Banner wegklicken mussten, die einerseits das Wegklicken mit manipulativen Design erschweren und andererseits nicht gut informieren, was mit den Daten passiert. Es nervt einfach: Ich möchte nicht jeden Tag auf jeder Webseite immer wieder aufs Neue klicken müssen, wenn doch klar ist, dass ich immer die für mich datenschutzfreundlichste Variante haben will. Wieviele Stunden meines Lebens habe ich mit sinnlosem Klicken verbracht?

Hier könnten Einwilligungsmanager eigentlich helfen. Deutschland ist auf dem Feld Pionier, denn es ist das erste Land in der EU, das dem schon lange bestehenden Konzept einen rechtlichen Rahmen gegeben hat. Es gibt gesetzliche Anforderungen an die Consent-Manager und eine Prüfung durch die BfDI, an deren Ende eine offizielle Zertifizierung stehen kann. Geregelt wird das vom Telekommunikation-Telemedien-Datenschutz-Gesetz (TDDDG) und von der Einwilligungsverwaltungsverordnung. Innovation made in Germany halt.

Spaß beiseite: Es ist natürlich richtig, dass die Dienste klaren Regeln folgen, schließlich sollen die Menschen ihnen vertrauen. So schreibt das TDDDG zum Beispiel vor, dass Einwilligungsmanager „kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung und an den verwalteten Daten haben und unabhängig von Unternehmen sind, die ein solches Interesse haben können“.

Ausgerechnet vom guten Willen der Tracking-Industrie abhängig

Die Sache hat nur einen Haken, und zwar einen ziemlich großen, der das ganze Konzept zum Scheitern verurteilt: Die Einwilligungsverwaltungsverordnung regelt auch, dass die „Einbindung von anerkannten Diensten zur Einwilligungsverwaltung durch Anbieter von digitalen Diensten“ freiwillig erfolgen soll.

Mit anderen Worten: Nutzer:innen können so viel managen wie sie wollen – keine Website und keine Tracking-Firma muss die Einwilligungsdienste anerkennen.

Webseiten und Medien leben aber vom Cookie-Werbezirkus, sie setzen auf dieses invasive Erlösmodell auf Kosten unserer Privatsphäre. Hunderte Datenunternehmen profitieren von der Ausleuchtung der Internetnutzer:innen per Cookie und Tracking, sie existieren nur, weil es dieses Modell gibt. Und sie handeln völlig schamlos mit den Daten, wie unsere Recherchen immer wieder zeigen.

Ausgerechnet diesen Firmen wollen wir mit Freiwilligkeit beikommen? Das ist lächerlich: Es gibt keinen Grund dafür, warum sie sich freiwillig dem Regime eines Einwilligungsmanagers unterwerfen sollten, der letztlich ihr Geschäftsmodell angreifen würde. Ohne Verpflichtung bleibt das Modell ein Papiertiger.

Bundesregierung könnte es einfach ändern

Man kann darüber streiten, ob Einwilligungsmanager wirklich ein gutes Werkzeug sind. Ich habe das mit einem der Köpfe hinter Consenter, Maximilian von Grafenstein, neulich in unserem Podcast Off/On getan. Was man nicht tun kann: Einwilligungsmanager als Lösung für ein Problem darstellen und dann darauf hoffen, dass die Tracking-Industrie schon freiwillig den Willen der Nutzer:innen akzeptieren wird.

Wenn die Bundesregierung wollen würde, dass Einwilligungsmanager überhaupt eine Chance haben und nicht zu noch mehr Pseudo-Selbstbestimmung führen, dann müsste sie ihre Anerkennung schnellstmöglich verpflichtend machen. Sie kann das jederzeit und einfach zu tun, wenn sie wollte – denn die Verordnung muss nicht einmal vom Bundestag beschlossen werden.

Tut sie es nicht, verurteilt sie die Dienste zum Scheitern, bevor diese überhaupt ihre Arbeit aufnehmen können.