Eine Reise durch die Top-Seiten der deutschen Wirtschaft hinterlässt noch zu viele Spuren: Die DSGVO ist bei vielen Markenherstellern angekommen, aber die meisten Shops sind teilweise weit vom Gesetz entfernt. Bei vielen Einwilligungs-Boxen wird hart getrickst und bevor man den OK-Button klickt, sollte man wirklich mal genauer nachlesen.
Letztes Jahr habe ich die deutschen Nachrichtenseiten auf Tracking untersucht, nun wollte ich mal einen Blick auf die sogenannte Demand-Side werfen: also die Firmen, die personalisiertes Marketing kaufen. Sie pumpen das Geld in die Ad-Tech-Netzwerke und finanzieren damit die umfassende Profilbildung fast aller Internetnutzer. Mit den Tools der Ad-Tech-Firmen könnten sie dann ihre Zielgruppe neu entwickeln oder schärfen: zum Beispiel um Besucher erneut zu bewerben (Retargeting), um aus Besucherverhalten personalisierte Ansprachen zu entwickeln oder um bestehende Kunden von Kampagnen auszuschließen. Oftmals ergeben sich auch gegenseitige Synergie-Effekte: Firmen tauschen untereinander Verhaltensdaten mit dazugehörigen IDs aus, um daraus eigene Zielgruppen zu bilden (wer Babykleidung kauft, interessiert sich auf für Babyspielzeug). Oder die vermittelnden Werbefirmen finden für einen Shop neue potentielle Kunden, indem sie auf anderen Seiten Personen mit ähnlichen Verhaltensweisen finden, die den Shop aber noch nicht besucht haben (eine Besucherin kaufte einen teuren Grill und einen Saugroboter, kennt aber den Mähroboter noch nicht).
Wie der Marketing-Alltag bei einem Markenhersteller aussehen kann, zeigt diese Stellenanzeige von Volkswagen für einen Experten (m/w) in diesem Bereich.
Einwilligungen und Cookie Walls
Für alle diese modernen Vermarktungsformen benötigt man umfangreiche Nutzerprofile, die die Daten aus möglichst vielen verschiedenen Website sammeln. Im letzten Jahr haben viele Websites eingesehen, dass das unter der DSGVO nicht mehr ohne Einwilligung der Nutzer und Nutzerinnen möglich ist. Durch Urteile und Orientierungshilfen der Datenschutzbehörden wurden die Anforderungen der DSGVO in den Jahren 2019 und 2020 klarer definiert. Unproblematisch sind anonyme Besucherstatistiken und Vertragserfüllungen (Anmeldung, Warenkorb). Über das berechtigte Interesse lassen sich viele inhaltliche Cookies der Seite ohne Einwilligung legitimieren: also Cookies, die ohne ID eine Website personalisieren oder A/B-Tests durchführen. Für das Erstellen von Verhaltensprofilen zu Marketingzwecken brauchen die Seitenbetreiber nun aber eine Einwilligung, wie das Planet49-Urteil des Bundesgerichtshofs zweifelsfrei feststellte. Insbesondere, wenn die Daten über mehrere Seiten aggregiert werden oder von Partnern Verhaltensdaten hinzugekauft werden. Weil sich niemand gerne ohne Gegenleistung ausforschen lässt, wird die Einwilligung oft mit Seitensperren und dark patterns erschlichen: Der entscheidungsmüde Besucher klickt meist auf den großen Button der Einwilligung, weil das die schnellste Methode ist, um eine sperrende Cookie-Wall zu entfernen.
Dabei schreibt die DSGVO mit Erwägungsgrund 32 vor, dass die Abfrage einer Einwilligung „ohne unnötige Unterbrechung des Dienstes“ erfolgen muss. Der Europäische Datenschutzausschuss (EDSA) hat aber Raum für ein bisschen Sperren gelassen: Die Einwilligungsfrage darf bis zu einem gewissen Grad aufgedrängt werden, wenn ansonsten zu befürchten ist, dass keine Entscheidung getroffen wird (Guidelines 05/2020, Absatz Nr. 82). Andererseits forderte die EDSA auch, dass Seitenbetreiber auch dafür sorgen müssen, dass die Nutzerinnen und Nutzer durch die vielen Einwilligungsfragen nicht ermüden. Da sieht es noch nicht so gut aus: Absichtlich komplizierte oder verwirrende Gestaltungen wie zum Beispiel bei Bosch, Douglas oder Sixt sind höchstwahrscheinlich nicht rechtskonform, die genaue Linie müssen die Gerichte aber noch herausarbeiten.
In was wird da eingewilligt?
Aber nicht nur wegen Gestaltung der Einwilligungs-Boxen muss bezweifelt werden, dass die Betroffenen sich wirklich damit beschäftigt haben, was die Einwilligung überhaupt nach sich zieht. Neben Desinteresse liegt das auch daran, dass die Abläufe in der Ad-Tech-Branche hochkomplex und wenig intuitiv sind. Viele dürften überhaupt nicht realisieren, dass es um Datenverarbeitungen geht, die weit über die Abläufe auf der Seite hinausgehen. Aber auch wer sich mit Drittanbieter-Tracking auskennt, hängt oft zwei weit verbreiteten Irrtümern nach:
Irrtum #1: „Wenn ich meine Cookies lösche, starte ich bei den Trackern mit einem neuen Profil“
Nicht nur, dass mehrere Drittanbieter zentrale Profile führen: Diese Profile stehen über ID-Synchronisation bzw. „Cookie Matching“ im Austausch und können schon durch ein einziges Login auf einer anderen Seiten insgesamt persistent werden und die Cookie-Löschung überdauern. Als prominente Vertreter dieser Technologie habe ich in meiner Untersuchung nach Googles Cookie Matching und Adobe’s ID-Synchronisation gesucht, die beide mit HTTP-Redirects die Cookie-IDs des einen Anbieters Huckepack nehmen und an einen anderen Anbieter senden, der zu dieser ID ein möglicherweise vorhandenes, eigenes Cookie erkennt. Die Information wird in einer Tabelle gespeichert und die Anbieter können nun auf den User für Werbung bieten oder Verhaltensdaten serverseitig austauschen, ohne dass der Nutzer davon erfährt.
Alle Besuche einer Browsersitzung müssen daher mittlerweile schlimmstenfalls als zusammenhängende Datenerhebung gedacht werden. Das Wissen von einem Login und der daranhängenden Identifizierung auf nur einer Seite während der laufenden Sitzung verbreitet sich über das Cookie-Matching auch auf zahlreiche andere Seiten weiter. Nach Löschen der Cookies ist das Profil also kurz frisch. Aber durch ein Login kann Browserhistory und Websiteverhalten der ganzen Sitzung wieder an ein bereits bestehendes, jahrelang fortgeschriebenes Profil von einer der zahlreichen zentralen Profile angehängt werden.
Irrtum #2: Ein Trackingblocker schützt mich
Das ist nur teilweise richtig: Trackingblocker bieten natürlich einen gewissen Schutz, aber es gibt zwei Schlupflöcher:
Gegen das sogenannte CNAME-Cloaking sind die meisten Blocker machtlos: Die Tracking-Server sind dann über Subdomains eingebunden und werden nicht mehr als Drittanbieter erkannt. Einer der führenden ID-Anbieter, Adobe, arbeitet sehr viel mit Subdomains, in den untenstehenden Portalen waren das z.B. metrics.rewe.de oder sm.dell.com. Immerhin verhindert ein Tracking-Blocker dann die oben beschriebene ID-Synchronisation. Noch schutzloser ist man, wenn man andere Identifier preisgibt: Wenn die Seite selbst einen Login hat, können die Daten trotz Trackingblocker in einem zentralen Profil gesammelt und z.B. über die E-Mail-Adresse als eindeutige ID weltweit mit anderen Ad-Tech-Unternehmen getauscht oder gehandelt werden. Eine solche Formulierung findet sich in der Einwilligung von Zalando: Man willigt bereits auf der Startseite in den Upload der E-Mail-Adresse an Google und Facebook ein. Damit können die Kunden später bei Facebook identifiziert werden, obwohl sie einen Trackingblocker hatten.
Durch die Umstellung auf Einwilligung eröffnen sich auch Trackingmethoden wie Fingerprinting, die vorher vielleicht rechtmäßig, aber nicht gerne gesehen waren: So nutzt Adidas eine sehr umfangreiche Fingerprinting-Methode von Akamai, die normalerweise gegen Bots schützen soll. Eine Besucherin willigt ein, dass Gerätedaten und daher Fingerprinting für personalisierte Werbung genutzt werden kann. Das schreibt jedenfalls die Datenschutzerklärung von Adidas. Also könnte Adidas theoretisch den eindeutigen Fingerprint von Akamai auf einem Marktplatz mit anderen Partnern handeln, um einen Besucher ohne Login, trotz geblocktem Tracking und nach gelöschten Cookies auf anderen Seiten mit Werbung anzusprechen. Noch dürfte das aber ein theoretisches Modell sein, da die Ad-Tech-Branche noch nicht im großen Stil mit Fingerprinting-IDs arbeitet. Aber eingewilligt hat man schon mal.
Fazit: Man sollte sich sehr genau ansehen, in was man einwilligt. Noch einfacher ist es, die Einwilligung generell zu verweigern. Meist geht das recht einfach nach dem Muster „Details anzeigen/Speichern“. Die Checkboxen für Tracking dürfen nicht vorausgewählt sein und waren es auch nur bei wenigen Seiten.
Die Untersuchung
In der Untersuchung wurden nun die Websites der 86 umsatzstärksten Shops und die 50 wertvollsten Marken in Deutschland auf einige bekannte Tracker getestet, um ein Bild der Lage zu erhalten. Dabei fällt auf, dass vor allem die Mehrheit der großen Marken sorgfältig auf die sich konkretisierende Auslegung der DSGVO geachtet haben. Über die Hälfte schaltet zumindest die fünf untersuchten Tracker aus, wenn keine Einwilligung vorliegt.
Bei den Shops sieht es ein ganzes Stück schlechter aus: Nur etwa ein Drittel schaltet die Tracker aus, wenn keine Einwilligung vorliegt. Da ich nur Standard-Tracker geprüft habe, dürfte die Dunkelziffer noch viel höher sein, so fand sich bei Notebooksbilliger ohne Einwilligung noch eine Klickstream-Aufzeichnung durch New Relic, bei Lidl eine Personalisierungslösung von Kameleoon, so dass bei den ersten zehn Shops nur noch Alternate wirklich das Tracking abschaltet, wenn man nicht einwilligt.
Die Ablehnung des Trackings ist aber bei fast allen Seiten absichtlich so kompliziert und verwirrend umgesetzt, dass Verbraucher jetzt Unterstützung und Aufklärung brauchen, um nicht massenhaft in eine unbeabsichtigte Datenverarbeitung zu geraten. Immerhin fordert die DSGVO eine freiwillige, klare und informierte Einwilligung und nicht eine hilflose, genervte Kapitulation.
Für die Seiten, die auch ohne Einwilligung tracken, habe ich ein hilfreiches Tool erstellt: Mit Träcktor kann man in wenigen Minuten E-Mails aufsetzen, die den Seitenbetreiber zur Entfernung der Tracker auffordern. Und notfalls nach einer Frist von einigen Wochen ebenso schnell eine Beschwerde an die zuständige Behörde generieren. Das ist am Ende für alle Internetnutzer und -nutzerinnen effizienter, als nur für sich mit viel Mühe einen komplizierten Trackingschutz auszutüfteln.
Legende:
Bing: Microsoft Universal Event Tracking
FB Pixel: Facebook Pixel
GA: Google Analytics
😡 Tracker ohne Einwilligung
✅ kein Tracker
Cookie-Banner, die auf das Tracking nur hinweisen, gelten nicht als Einwilligung und wurden daher einfach ignoriert.
Shops
Für diese Liste wurden die Top 100 umsatzstärksten Onlineshops 2019 laut EHI Retail Institute zugrunde gelegt. Shops ohne deutsches Impressum wurden aussortiert.
Markenhersteller
Für diese Liste wurden die Top 50 Liste der wertvollsten deutschen Marken 2020 laut Kantar zugrundegelegt (Brandz Top 50).
1 Comment