Naht das Ende der Cookie-Ära? Ein kategorisches Nein – dank der zwei Lösungen von Commanders Act

Das endgültige Verschwinden von Cookies auf Websites wird seit geraumer Zeit debattiert, genauer gesagt, seit es Tracking gibt und seit Browser, Erweiterungen und Antiviren-Software oder Reinigungsprogramme die Möglichkeit bieten, Cookies zu löschen oder zu blockieren. Doch mit der Einführung der DSGVO und zahlreichen Klagen von Internetnutzern zieht die französische Datenschutzaufsichtsbehörde CNIL nunmehr am selben Strang wie die Service Provider Google, Facebook oder Apple: Sie alle wollen diese überaus lukrativen Zeichenketten endgültig aus der Welt schaffen. Allerdings sind von dieser Entwicklung nur Third-Party-Cookies betroffen, und Commanders Act verfügt heute bereits über Lösungen, um die Vorteile von akzeptierten und wirklich nützlichen Cookies auch weiterhin nutzen zu können.

Cookies werden heute weitgehend von der Industrie stigmatisiert, dabei kursieren derart viele Missverständnisse und Irrtümer, dass in diesem Zusammenhang einige Erläuterungen vonnöten sind. Diese Zeichenketten ermöglichen die Aufzeichnung bestimmter Leseoptionen oder technischer Parameter zwischen zwei Besuchen, wie beispielsweise die richtige Sprachversion für einen Internetnutzer, sodass diese schneller angezeigt werden kann. Cookies dieser Art werden als „First Party“ bezeichnet, da sie mit dem Domainnamen der Website verknüpft sind. Andere Cookies werden als „Third Party“ eingestuft, da sie in keiner Beziehung zur Domain der Website stehen, sondern von Drittdienstleistern stammen, in den meisten Fällen Werbetreibende oder Marketer. Und genau diese Art von Cookies soll von den nächsten Generationen der Webbrowser ausgetilgt werden. So waren denn auch 21 % der 2018 bei der CNIL erhobenen Klagen hauptsächlich gegen Online-Marketing gerichtet.

Dementsprechend wurde zu drastischen Mitteln gegriffen. So haben beispielsweise die CNIL und Europa gemeinsam den Beschluss gefasst, Trackern, zu denen auch Cookies gezählt werden, endlich einen Riegel vorzuschieben. Die Nutzer müssen nunmehr ausdrücklich ihre Zustimmung zur Ablage von Cookies geben, andernfalls können die Websitebetreiber diese nicht installieren und keine Daten erfassen. Die verfolgten Ziele sind jedoch weitaus ehrgeiziger und betreffen ebenfalls das Fingerprinting. Dieser Begriff bezeichnet die Erhebung, somit also das Tracking bestimmter Informationen auf dem Gerät eines Internetnutzers durch einen Browser, beispielsweise dessen IP-Adresse und andere Parameter, die die Erstellung eines eindeutigen Fingerprints (Fingerabdrucks) ermöglichen.

Um das Problem der Tracker in den Griff zu bekommen, hat die CNIL diesen Sommer entsprechende Leitlinien festgelegt und wird nächsten Januar eine Empfehlung zu diesem Thema sowie zur DSGVO veröffentlichen, die bis Juli 2020 gültig sein wird, oder mit anderen Worten bis morgen. Diese Angaben fungieren als Ersatz für die verspätet erlassene und in Kraft tretende ePrivacy-Verordnung. Das bedeutet das Ende des Soft-Opt-In, d. h. der Zustimmung, die die Internetnutzer implizit durch die Fortsetzung ihrer Navigation auf einer Website geben.

Die DSGVO ihrerseits regelt den Datenschutz und gibt in diesem Sinne vor, dass Unternehmen sämtliche Dateien mit personenbezogenen Daten aufzulisten haben. Diese Verordnung ist zwangsläufig allgemein gehalten, da sie ebenfalls den digitalen Datenaustausch berücksichtigen muss, ein ganz spezifischer Bereich, der in der ePrivacy-Verordnung auf europäischer Ebene im Detail behandelt wird. Eine erste Richtlinie auf dieser Ebene existiert seit 2012. ePrivacy wird jedoch in ihrer Beschaffenheit der DSGVO entsprechen. Die neue Fassung wird somit eine allgemeine Verordnung sein. Der Unterschied zwischen Richtlinie und allgemeiner Verordnung im Hinblick auf das europäische Recht besteht darin, dass es sich bei einer Richtlinie um eine Übertragung in das jeweilige Landesrecht der Mitgliedsstaaten handelt. Europa gibt eine Orientierung vor, die dann von jedem Land auf eigene Weise ausgelegt und umgesetzt wird. Eine allgemeine Verordnung hingegen gilt einheitlich für alle Mitgliedsstaaten.

Hierbei ist zu beachten, dass Cookies als personenbezogene Daten eingestuft werden und damit uneingeschränkt der Definition in Artikel 4 der CNIL unterliegen, die Online-Anmeldedaten (in diesem Fall dauerhafte Cookies, die nur mit dem Endgerät verbunden sind) als direkten oder indirekten Verweis auf eine natürliche Person ansehen. Die ePrivacy-Verordnung wird sich mit dem Telekommunikationspaket im technisch komplexen Universum der digitalen Daten und der Telekommunikation befassen, und zwar in Form einer Reihe von Richtlinien, die den rechtlichen Rahmen für die elektronische Kommunikation grundlegend verändern werden.

Es muss jedoch eine Unterscheidung getroffen werden zwischen technischen Cookies, die zulässig und für den reibungslosen Betrieb einer Website unerlässlich sind, und Tracking-Cookies, insbesondere in Verbindung mit Werbetargeting. Das Gesetz ist ausschließlich an letzteren interessiert. Diese Cookies werden ganz eindeutig von den neuen Regeln ins Visier genommen: Ihre Einsetzbarkeit wird von der ausdrücklichen Zustimmung der Internetnutzer zu jeder vorgenommenen Verarbeitung abhängig gemacht.

Zunehmender Traffic über Mobilgeräte

Neben den verschiedenen Vorschriften bedrohen noch andere Faktoren die Existenz der Third-Party-Cookies. Zunächst einmal die Tatsache, dass gemäß einer Studie von Médiamétrie aus dem Jahr 2018 zum Thema „Jahr des Internets in Frankreich“ heute über 50 % des gesamten Datenverkehrs im Internet über mobile Geräte wie Tablets und Smartphones abgewickelt wird, auf denen die Cookies unter iOS nicht auswertbar sind. Angesichts dieses Trends zur Internet-„Mobilität“ erscheint die Zukunft der Cookies äußerst unsicher. Und wenn die Internetnutzer nicht nachverfolgt werden können, werden die Werbenden die derzeit dem Werbetargeting gewidmeten Budgets streichen oder aber müssen sich der Herausforderung stellen, gezielt Nutzer mobiler Geräte anzusprechen. Ebenfalls nicht zu vernachlässigen ist die Beliebtheit von Werbeblockern, die als handelsgängige Software oder Browseroption zur Verfügung stehen.

Apple beispielsweise hat im Safari eine Anti-Cookie-Strategie umgesetzt, die zielgerichtete Werbung nahezu im Keim erstickt. Die Mehrzahl der Trading Desks kehrt Browsern den Rücken zu, mit dem Ergebnis, dass die Medien ihre Einnahmen rapide schwinden sehen. Bei diesen Trading Desks handelt es sich um Plattformen, die Daten und Technologie nutzen, um Werbende beim Erhalt von Traffic über digitale Medien zu unterstützen.

Google zum Beispiel will die neue Version seines Chrome-Browsers mit speziellen Funktionen zum Schutz vor Cookies und Trackern ausstatten. Der Browser verfügt bereits über eine Erweiterung, die es den Nutzern ermöglicht, ein Verfallsdatum für ihre personenbezogenen Daten festzulegen. Apple seinerseits verkürzt mit der Version 2.2 seines ITP-Features (Intelligent Tracking Prevention) die Laufzeit von Tracking-Cookies von 30 Tagen auf nunmehr 24 Stunden. ITP ist ein in den Safari integriertes Programm zum Schutz vor dem Tracking der Nutzer. Microsoft schließlich will neue Kontrollen in seinem Chromium-basierten Edge-Browser bereitstellen, um das Privatleben der Nutzer besser zu schützen. Zur Erinnerung: Chromium ist ein kostenloser Webbrowser, der die Grundlage für mehrere andere Browser bildet, darunter einige Open Source und andere proprietär wie Google Chrome. So arbeitet Microsoft an einem Privatsphären-Dashboard mit Optionen, mit denen das Tracking durch Websites konfiguriert werden kann.

Die Lösungen von Commanders Act

Mit Blick auf die im Umbruch begriffene und sich kontinuierlich weiterentwickelnde Rechtslandschaft bringt Commanders Act sein umfassendes Know-how und seine langjährige Erfahrung im Bereich Tracking zur Anwendung, insbesondere in Form einer Domain-Delegierung. Dabei übergibt der Kunde den Betrieb einer Subdomain seiner Website an Commanders Act. Dadurch werden Third-Party-Cookies als „First Party“ eingestuft. Da letztere nicht von den neuen Vorschriften betroffen sind, können sie weiterhin alle nützlichen Informationen zu den Besuchern ungehindert an den Kunden weitergeben. Die zweite Lösung ist serverorientiert. Anstatt dass Anmeldedaten und Informationen über den Browser des Nutzers weitergeleitet werden, werden sie vom Content Server übertragen. Allerdings muss für die Anwendung dieser Methode nach wie vor die Zustimmung des Nutzers eingeholt werden.

Damit stellt Commanders Act zwei Lösungen bereit, die den gesetzlichen Bestimmungen entsprechen und die Verpflichtung zur Zustimmungseinholung beachten – Lösungen, die sich an geändertes staatliches und europäisches Recht anpassen können. Für die Kunden eine Garantie für Zukunftssicherheit – Stützpfeiler ist die Fachkenntnis von Commanders Act bei der die Verwaltung der Tags, des Trackings und der Datenübertragung an die Partner im Vordergrund steht.