Lars Konzelmann ist als Techniker beim Sächsischen Datenschutzbeauftragten tätig.
Mit dem kommenden Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) wird wieder allerorten über die Einwilligung in Cookies diskutiert. Die Profiteure der einwilligungsbasierten Geschäftsmodelle versuchen, diese mit aller Macht zu verteidigen. Dabei mehren sich die Stimmen, die diese Modelle generell in Frage stellen und ein Ende der allgegenwärtigen massenhaften Beobachtung einzelner Menschen im Internet fordern.
Seit Jahren betreiben die Verbände der Werbewirtschaft und die Verlage Lobbyarbeit, die den Datenschutz als Hindernis für ein wirtschaftliches Prosperieren der gesamten Verlagsbranche und generell der digitalen Welt hinstellt. Auch in der Wahrnehmung vieler Verbraucher/innen wird die Flut an Einwilligungsabfragen negativ dem Datenschutz angelastet. Das eigentliche Problem wird dabei verkannt. Die Online-Wirtschaft jagt der Einwilligung hinterher wie der Teufel der Seele. Dabei wird nach allen Regeln der Kunst getrickst, Stichwort Nudging, um die Geschäftsmodelle einer strengeren Regulierung zu entziehen.
Was bislang falsch läuft
Status Quo ist nach wie vor, dass fast alle Online-Medien ihre Leser/innen mit einer Vielzahl von Diensten tracken und der Profilbildung durch große und kleine Akteure damit Vorschub leisten. Mittlerweile hat sich herumgesprochen, dass dafür in vielen Fällen eine Einwilligung erforderlich ist. Neben der Variante, Einwilligungen rechtswidriger Weise einfach zu unterstellen, gibt es die weitverbreiteten Consent-Banner, die mit mehr oder weniger Aufwand eine differenzierte Nutzerentscheidung ermöglichen.
Relativ neu sind die Abo-Modelle, bei denen gegen Bezahlung ein trackingfreier Zugriff auf (einige) Inhalte angeboten wird. Dabei stellt sich mit Blick auf die verschiedenen Plus- und Pur-Abos aber die Frage, ob die trackingfreien Varianten gegen Geld nicht rein zum Zweck des Erreichens einer schnellen Einwilligung existieren. Denn der Mehrwert für Nutzer/innen kann in vielen Fällen auch durch einen simplen Adblocker erreicht werden. Alle diese Modelle begegnen rechtlichen Bedenken von Datenschützer/innen und sind mittlerweile auch Gegenstand von Beschwerden und Klagen von Datenschutzorganisationen. Auch Abgeordnete in den Parlamenten kündigen Widerstand an. Denn bei der Betrachtung des datenschutzrechtlichen Rechtsrahmens wird klar, dass eine wirksame Einwilligung mit ihren strikten Vorgaben an Freiwilligkeit, Bestimmtheit und Informiertheit auf Kollisionskurs mit dem allgegenwärtigen Tracking ist.
PIMS, what?
Das neue Zaubermittel der magischen Erzeugung von noch mehr Einwilligungen nennt sich Personal Information Management System, kurz PIMS. Es handelt sich um ein Konzept, das Endverbraucher/innen mehr wirksame Kontrolle über Weitergabe und Verwaltung der eigenen Daten erlauben soll. Ein PIMS soll persönliche Daten von Nutzer/innen speichern und auf deren Anweisung berechtigten Dritten zur Verfügung stellen. Das können Anmeldeinformationen für einzelne Dienste, Adressdaten beim Einkauf oder eben Einwilligungsinformationen für bestimmte Websites sein. Mithilfe eines Dashboards mit Kontrollmöglichkeiten und Informationen über Datenweitergaben soll so die nutzerseitige Transparenz über die Verwendung der eigenen Daten durch Dritte erhöht werden.
Abgesehen davon, dass damit wieder die unsägliche Debatte über Datensouveränität und Dateneigentum befeuert wird, die im Kern die bestehende Machtasymmetrie zwischen Individuum und Organisation schlicht leugnet, gibt es für PIMS sicherlich berechtigte Anwendungsszenarien. Die Forschung hat dazu bereits gute und datenschutzfreundliche Konzepte entwickelt, die am Ende aber stets mit den Interessen der Nutznießer/innen an einem möglichst freien Zugriff auf alle persönlichen Daten kollidieren könnten. Ganz einfach, weil attraktive Datensammlungen immer die Gefahr einer Zwecküberdehnung oder Zweckumwidmung bergen.
Im neuen TTDSG, das Anforderungen für die Integrität von Endgeräten aufstellt und damit auch den Einsatz von Cookies reguliert, wird nunmehr versucht, PIMS einen rechtlichen Rahmen zu geben. Das Gesetz bezeichnet PIMS als „Anerkannte Dienste zur Einwilligungsverwaltung“. Diese sollen zukünftig ein Anerkennungsverfahren durchlaufen, mit dem Ziel… – ja, mit welchem Ziel eigentlich? Es lässt sich die Prognose wagen, dass dieses Konzept nicht in der Praxis ankommen wird, weil eine vermeintlich gut gemeinte Idee wieder an den Bedürfnissen der Menschen vorbei geplant wurde. Das Gesetz fordert wirtschaftliche Unabhängigkeit und strikte Zweckbindung dieser Dienste, aber wie soll dies wirtschaftlich funktionieren, wenn letztendlich nur die Profiteure einer Einwilligung solche Dienste finanzieren?
Es bedeutet nichts mehr als eine weitere zentrale Verarbeitungsmaschinerie mit einer Masse an hochsensiblen Daten und wenig Mehrwert für die Endverbraucher/innen, wenn ein solcher Dienst nach gängigem Industriestandard umgesetzt wird. Denn eines verkennen die hartnäckigen Verteidiger/innen der „Einwilligeritis“: Die Wenigsten wollen in ein Tracking einwilligen, was nicht einmal derjenige genau erklären kann, der es einsetzt. Genauso wollen sich nur Wenige mit einer granularen Einwilligung oder komplizierten Rechtstexten befassen, nur weil man im Internet mal ein Rezept nachschlägt oder schauen will, ob der Regen nachlässt. Dafür noch einen Account anlegen, um meine „Rechte“ wahrzunehmen? Viel Spaß!
Vermarktung in eigener Hand
Aber es soll hier nicht vordergründig um die Einwilligung gehen. In der Überschrift ist vom Wagnis des Unmöglichen die Rede. Eigentlich muss es heißen: Warum nicht das Offensichtliche wagen? Warum nicht Schluss machen mit der Allgegenwärtigkeit wertloser und letztlich unwirksamer Einwilligungen und der auf tönernen Füßen stehenden Beobachtung des Verhaltens von Milliarden Menschen?
Ein Ausweg aus dem datenschutzrechtlichen Dilemma der Anforderungen an die Informiertheit ist das KISS-Prinzip (Keep it simple, stupid). Datenverarbeitungen erzeugen Risiken, welche betrachtet und minimiert werden müssen, vor allem aber erklärt. Je einfacher die darauf aufbauenden Prinzipien, desto einfacher wird eine Datenverarbeitung auch ohne rechtliche Risiken für einen Verantwortlichen möglich.
Warum verzichtet man nicht auf das ausufernde System der verhaltensbasierenden Werbung zugunsten eines kontextsensitiven Systems, welches die Beobachtung des Nutzerverhaltens auf klare Zwecke wie die Abrechnung von Werbeeinblendungen minimiert? Ein System, das eine Profilbildung und eine Nachverfolgung des Verhaltens über viele Websites hinweg klar ausschließt?
Die Datenverarbeitung eines massenhaften Nutzungsverhaltens – nämlich des simplen Internetsurfens – würde auf das Maß reduziert, das Ottonormalverbraucher/innen als angemessen und hinnehmbar erwarten. Es wird auf ein rechtlich zulässiges Maß zurückgeführt. Denn kein/e Internetnutzer/in hält gigantische Datenbanken über individuelles Nutzungsverhalten mit höchstsensiblen Persönlichkeitsprofilen für zulässig oder rechnet damit. Der Aufbau dieser Datenbanken läuft nicht wahrnehmbar nebenher. Nur deshalb können sie existieren.
Ein Verzicht auf profilbasierte Werbung mag auf den ersten Blick nach wirtschaftlichem Suizid klingen. Aber ist es das wirklich? Ist nicht umgekehrt die deutsche Digitalwirtschaft längst im Würgegriff der großen Werbekonzerne, die Einnahmemöglichkeiten nach ihren Interessen kontrollieren und so einen Markt mitgeschaffen haben, der längst einer fremdbestimmten Logik folgt? Was wäre denn, wenn man den Werbekonzernen diesen Markt und dessen Vermarktung entzieht und ihm eigene, sich am europäischen Rechtsrahmen orientierte Spielregeln und eine eigene Infrastruktur gibt?
Ein Weg aus der Einwilligungsfalle?
Deutsche und europäische Medienhäuser haben es in ihrer Hand, mit ihrer Marktmacht ein offenes und datenschutzfreundliches System zu etablieren. Ein System, das Werbewilligen über ohnehin bekannte Parameter einen Rahmen für attraktive und kontextbasierte Werbeflächen bietet, losgelöst von der Beobachtung einzelner Nutzer/innen.
Werbung könnte mandantenfähig für ein einzelnes Werbeziel ausgespielt, gemessen und ohne Profilbildung des einzelnen Endgeräts abgerechnet werden. Eine Anzeige für ein regionales Autohaus, eine Kampagne im Finanzsektor, die Suche nach Auszubildenden in einer Region? Eine Vielzahl von Möglichkeiten besteht. Bei einer datenschutzfreundlichen technischen Implementierung ist sogar eine nach den Vorgaben der Datenschutzgrundverordnung (DSGVO) und der ePrivacy-Verordnung einwilligungsfreie Variante denkbar. Nämlich dann, wenn das Risiko der Verarbeitung minimiert wird und eine zweckgebundene Erforderlichkeit seriös nachweisbar ist, zum Beispiel im Rahmen der Finanzierung eines kostenfrei angebotenen Mehrwerts.
Das heißt aber auch, dass die massenhafte und langfristige Markierung einzelner Nutzer/innen unterbleiben muss und keine Weitergabe an Dritte erfolgt, die diese Daten zu eigenen Zwecken weiterverarbeiten. Auch beim Branchenverband IAB Europe setzt ein vorsichtiges Umdenken ein, vermutlich auch vor dem Hintergrund der oben erwähnten Klage gegen das Transparency and Consent Framework. Jedenfalls ist dort seit kurzem ein Papier zur kontextbezogenen Werbung zu finden. Es bleibt abzuwarten, ob die Umsetzung dann tatsächlich so datenschutzfreundlich ausfällt, wie der Verband es verspricht.
Mit datensparsam ausgespielter, kontextbasierender Werbung, die risikoarm und vor allem zweckgebunden verarbeitetet ist, würden viele Probleme auf einmal gelöst: Rechtsfragen der Einwilligung auch für Minderjährige, die bei vielen Nutzer/innen unbeliebten Cookie-Banner sowie eine selbstbestimmte, rechtssichere und zukunftsfähige Finanzierung von kostenfreien Online-Angeboten. Die Marktmacht ist da, man muss sich nur trauen und sich die Beispiele anschauen, bei denen dies bereits so gehandhabt wird. Nicht auszudenken, wenn einmal ein Umdenken im größeren Maßstab einsetzen würde.
Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.
0 Commentaires