Cookie-Umfrage von GMX und Web.de: So geht Lobbyismus in eigener Sache

Kategorien: Datenschutz, Bullshit Basics, Consent Tools und Cookies

Im Auftrag von GMX und Web.de wurde eine Umfrage in Deutschland durchgeführt. Ziel war es herauszufinden, dass Cookie-Abfragen nervig sind und die United Internet AG, eine Mutter von GMX und Web.de, eine bessere Lösung im Gepäck habe.

Zahlreiche deutsche Leitmedien berichteten über die Cookie-Umfrage von GMX und Web.de. Das Ergebnis der angeblich repräsentativen Umfrage lautete: Die Mehrheit der Deutschen sei genervt von Cookie-Abfragen. Diese Aussage kann sicher auch ohne Umfrage als gesichert angenommen werden. Der Grund für diese Unzufriedenheit ist aber nicht die DS-GVO, wie die Umfrage vielleicht suggeriert. Der Grund sind die hauptsächlichen Nutznießer der Datenverarbeitung, wie man Internetkonzerne mit überwiegend amerikanischen Wurzeln auch bezeichnen könnte.

Am Anfang des Beitrags von GMX wird eine angebliche Lösung aus dem Dilemma präsentiert: Die Cookie-Alternative PIMS. PIMS soll eine zentrale Einwilligungsverwaltung sein (weiter unten erkläre ich das Grundprinzip). Kaum überraschend, dass eine solche „Lösung“ von der United Internet AG vorgehalten wird. Hier muss man wissen, dass zur United Internet AG (, Adresse: Elgendorfer Str. 57, 56410 Montabaur) folgende Unternehmen gehören oder ihr zuzurechnen sind:

• 1&1 (1&1 Telecommunication SE, Adresse: Elgendorfer Str. 57, 56410 Montabaur)
• GMX bzw. offiziell 1&1 Mail & Media GmbH
• Web.de bzw. offiziell 1&1 Mail & Media GmbH
• European netID Foundation, Adresse: Elgendorfer Str. 57, 56410 Montabaur

Die netID mit derselben Adresse (Straße, PLZ, Ort) wie die United Internet AG hatte ein Gutachten bei Prof. Schwartmann zu PIMS in Auftrag gegeben. PIMS war das, was in der Umfrage von GMX und Web.de als Lösung für das Cookie-Dilemma präsentiert wurde. Prof. Schwartmann war zum Zeitpunkt der Gutachtenerstellung Mitglied des Stiftungsrates der netID und ebenfalls Vorstandsvorsitzender der GDD, einem Datenschutzverband. Außerdem ist Prof. Schwartmann Autor für Web.de. Es erscheint nicht als neutralste und glaubwürdigste Lösung, ein Gutachten in eigener Sache von einem engen Mitarbeiter erstellen zu lassen.

Zudem wurde im Rahmen des Gesetzgebungsverfahrens zum TTDSG im Jahr 2021 massiv Einfluss auf den Gesetzgeber genommen, woraufhin der § 26 TTDSG entstand. Das konnte man in den veröffentlichten Stellungnahmen zum Gesetzestentwurf und den jeweiligen Rückmeldungen einiger Unternehmen und Organisationen zum TTDSG-Entwurf nachlesen, weil der Bundestag diese veröffentlichte.

GMX und Web.de haben also eine Umfrage in Auftrag gegeben, deren Ziel es ist, ihre eigene Lösung zu bestätigen. Was liegt da näher, als die Frage so zu stellen, dass die Antwort prozentual auf jeden Fall so ausfällt wie gewünscht? Ein fiktives Beispiel von mir:

Wie finden Sie die Bundesregierung? Bitte kreuzen Sie alle Antworten an, die zutreffen (bitte so viele wie möglich):

• Die Bundesregierung leistet nicht selten keine sehr gute Arbeit.
• Mindestens ein Mitglied der Bundesregierung ist mir nicht sympathisch.
• Ich kenne mindestens ein Mitglied der Bundesregierung, das nicht an jeder Kabinettssitzung teilnimmt.
• Manchmal kommen Entscheidungen zustande, die ich nicht nachvollziehen kann.
• Ich habe den Eindruck, dass diese vielen ausgeschütteten Corona- und Kriegshilfen nicht finanziert werden können.
• Ich habe den Eindruck, dass manchmal zu wenig Hilfsgelder und einige Male wiederum zu viele Hilfsgelder ausgeschüttet werden.
• Ich bin mit der Bundesregierung und all ihren Mitgliedern jederzeit und immer wirklich restlos zufrieden und glücklich und bin jederzeit froh, dass wir eine so tolle Bundesregierung haben und würde mir wünschen, dass diese Bundesregierung für die nächsten 7000 Jahre weiter regieren wird und dass deswegen sofort eine Grundgesetzänderung erlassen wird, die unseren aktuellen Bundeskanzler unsterblich macht und ihn auf alle Zeit einsetzt.

Das Ergebnis dieser fiktiven Umfrage wird aus rein logischen, mathematischen Gründen sein, dass über 90 % aller Befragten eine Antwort geben, die eine Unzufriedenheit mit der Bundesregierung ausdrücken.

Ähnlich wurde die tatsächliche Frage nach der Zufriedenheit der Deutschen mit Cookie-Abfragen formuliert:

"Nutzer von Websites und Apps werden häufig über Cookie-Banner gefragt, ob sie dem Einsatz von Cookies zustimmen, sie ablehnen oder individuelle Einstellungen vornehmen möchten. Welche der folgenden Aussagen treffen auf Sie persönlich im Umgang mit diesen Einwilligungs-Bannern zu? Markieren Sie bitte alles Zutreffende."

Als Antwortmöglichkeiten, die laut Umfragetext in beliebiger Anzahl markiert werden sollten, wurden genannt (Zitat):

• Mich nerven diese Einwilligungs-Banner.
• Ich lese mir die Hinweise auf den Einwilligungs-Bannern genau durch.
• Die Einwilligungs-Banner sind mir egal, ich klicke einfach irgendwas an.
• Die Einwilligungs-Banner geben mir ein Gefühl von Selbstbestimmung über meine Daten.
• Ich verstehe die Hinweise auf den Einwilligungs-Bannern nicht.
• Keine dieser Aussagen trifft auf mich zu.
• Weiß nicht / keine Angabe

Als Schlagzeile für das Ergebnis dieser Befragung wurde genannt: "Mehrheit der Internet-Nutzer von Cookie-Abfragen genervt". Die Mehrheit waren hier 53 %, die die erste Antwort ankreuzten. Das sind weniger als ich dachte.

Ich selbst würde die einzige positive Antwortmöglichkeit nicht ankreuzen, ebenso wenig wohl jeder andere, der genügend über Einwilligungsabfragen weiß.

Die Wahrheit über Cookie-Banner

Nicht die DSGVO ist schuld an den nervigen Cookie-Bannern, sondern in erster Linie die Internet-Industrie, auch wenn es Bitkom und andere Lobbyverbände es gerne anders darstellen. Das sind Unternehmen, die Geld mit bestimmten Internet-Geschäften verdienen. Ich gebe hierfür folgende Beispiele:

• Unternehmen, die viel Geld mit online Werbung verdienen. Beispiele: Google, Facebook oder Werbemarktplätze wie Criteo
• Cookie-Tool-Anbieter wie UserCentrics, Cookiebot, Borlabs Cookie oder OneTrust (viele davon transferieren die Consent-Tool-Daten in die USA oder zu Unternehmen mit USA-Bezug, was sie unbrauchbar macht)

Beide Unternehmensgruppen haben es geschafft, Webseitenbetreiber derart zu verwirren, dass viele meinen, sie müssten ein Cookie-Banner auf seiner Webseite integrieren. Weiterhin meinen viele, dass sie unbedingt Google Analytics oder den Facebook Pixel einsetzen müssten oder dass sie Google Ads Werbung buchen müssten oder unbedingt eine Facebook Unternehmensseite bräuchten (und auf Facebook dann Werbung machen müssten).

Genau dies führte zum völlig unnötigen Wildwuchs der an sich meist unbrauchbaren, rechtswidrigen Cookie-Abfragen. Nichts davon hat mit der DSGVO zu tun. Weiterhin verraten Internetkonzerne wie Google gar nicht, wie genau und wofür sie die Daten von Ihnen und mir verarbeiten und an wen sie diese weitergeben. Facebook weiß es ja selbst nicht einmal, wie ein geleaktes Dokument zeigt.

Wenn Sie als Webseitenbetreiber etwa das Google Maps Plugin mit Cookies einbinden, dann können Sie dies nicht rechtskonform tun. Denn Google Maps nutzt zahlreiche Cookies, deren Zwecke sie fast alle nicht kennen können. Sie müssen diese Zwecke (im allermindesten Fall die Namen und Lebensdauern der Cookies) aber kennen, damit Sie dieses Plugin rechtskonform nutzen können (vgl. Art. 13 DSGVO und EuGH-Urteil zu Planet49).

Die meisten Cookie-Abfragen funktionieren aus mehreren Gründen nicht. Hier in Kürze:

• Die Zwecke der Cookies sind oft unbekannt, müssen aber erklärt werden (siehe oben)
• Sogenannte Cookie-Scanner sind eher Bullshit als eine Lösung
• Sogenannte Cookie-Blocker sind aus technischen Gründen Bullshit
• Cookies sind nur ein Teil der Wahrheit (siehe Beitrag)
• Viele Anbieter von Cookie-Tools kennen Datenschutzregeln selbst nicht

Die Belege hierfür können Sie in meinem Blog nachlesen, etwa hier:

• Fünf Gründe für das Scheitern von Cookie-Tools
• Praxistest Consent Tools

Zentrale Einwilligungsverwaltung

Fast jeder möchte weniger Cookie-Popups sehen oder diese ganz eliminieren. Aber die angebliche Lösung, eine zentrale Abfrage einzuführen, die alle Einzelabfragen ersetzt, funktioniert nicht. Genau das wird aber von netID und "Anhang" (United Internet AG, GMX, Web.de, Teile der GDD) suggeriert.

Die Grundidee von PIMS ist, soweit ich es verstanden habe:

Das Konzept hinter der zentralen Einwilligungsabfrage kann mit folgenden Schritten erklärt werden, die sich in der Grafik widerfinden (bis auf Punkt 4, die Verzweiflung des Webseitenbetreibers):

1. Ein Nutzer, also Sie, geht auf eine Webseite, am besten von der netID bzw. der United Internet AG. Dort geben Sie Ihre Einwilligung für tausende bzw. hunderttausende von Zwecken oder lehnen etwas ab. Natürlich gehen Sie die Liste aller hunderttausend Einträge durch und wählen nur die Zwecke ab, die sie schlecht finden. Mit Zwecke meinen viele Cookies, nur zum Verständnis, auch wenn das falsch ist.
2. Dann besucht der Nutzer, also Sie, hunderte Webseiten, so wie heutzutage auch.
3. Die vom Nutzer, also von Ihnen, besuchte Webseite fragt nun bei der zentralen Einwilligungsverwaltung nach, also am besten bei der netID oder der United Internet AG. So erfährt die Webseite, dass
   1. Sie entweder mit allen Cookies einverstanden sind (gesetzlich geregelte Nebensächlichkeiten wie den Einsatz von Google Fonts von einem amerikanischen Server oder Tracking Requests von Google Analytics ohne Cookies lassen wir mal bei Seite, ist nicht so wichtig. Keine Ahnung, warum das LG München einem Kläger 100 Euro Schadenersatz zusprach oder warum die sich die französische Datenschutzaufsicht CNIL so geriert und Google Analytics generell für rechtswidrig hält)
   2. oder Sie mit allen Cookies nicht einverstanden sind (den Rest lassen wir mal weg, denn es geht bei der GMX und Web.de Umfrage ja nur um Cookies, nicht um weitere wichtige gesetzliche Regelungen wie Art. 5 DSGVO, Art. 25 DSGVO oder Art. 49 DSGVO),
   3. oder Sie mit einigen Cookies einverstanden, mit anderen nicht einverstanden sind,
   4. oder Sie gar nicht nach allen Cookies, die auf zukünftig von Ihnen besuchten Webseiten verwendet werden, gefragt werden,
   5. oder Sie noch gar keine Entscheidung getroffen haben oder die Zentrale noch gar nicht besucht haben.
4. Der Betreiber der Webseite ist nun weniger oder mehr verzweifelt, je nach Unterfall zu Punkt 3. Idealerweise (Punkt 3, Unterfälle 1 und 2) wird die Webseite
   • kein Cookie-Popup anzeigen
   • und außerdem natürlich alle „Cookies blockieren“, auch wenn das bisher nicht der Fall war, aber eine Zentrale kann vielleicht ein Wunder bewirken
   • und außerdem in der Datenschutzerklärung, Pardon Cookie-Erklärung, die Zwecke aller eingesetzten Cookies ordentlich und rechtskonform auflistet, obwohl dies bisher bei ca. 95 % der Webseiten mit Cookie-Popup nicht der Fall war

Wenn Sie die zentrale Einwilligungsverwaltung noch gar nicht aufgerufen oder dort keine Angaben gemacht oder dort nicht alle für die gerade besuchte Webseite relevanten Angaben gemacht haben oder nicht machen konnten, ja dann muss die besuchte Webseite leider doch ein Cookie-Popup anzeigen. Das ist viel mehr Aufwand für den Betreiber der Webseite.

Er müsste sogar teilausgefüllte Cookie-Popups präsentieren. Aber lassen wir diese ganzen nervigen Details, mit denen niemand belästigt werden will, einfach weg. Irgendwie wird das schon klappen. Das wird die United Internet AG, netID oder sonst wer sicher irgendwie hinbekommen. Schließlich bekommt es die United Internet AG ja auch hin, auf ihrer Webseite united-internet.de eine ordentliche „Cookie-Abfrage“ bereitzustellen. Ach nee, doch nicht:

Hier ein paar Problemchen mit der Cookie-Abfrage auf der United Internet AG Webseite:

• Es geht nicht nur um Cookies, siehe Beitrag. Leider kennt hier jemand die Datenschutzregeln nicht gut genug, wie es scheint. Auf dem „Cookie Popup“ fehlen leider genaue Angaben zur Datenverarbeitung und zu den eingesetzten Cookies, daher kann man nur spekulieren.
• Wie eben gesagt: Details (Pflichtinformationen gemäß Art. 13 DSGVO!) fehlen leider.
• Ablehnen kostet mehr Klicks als zustimmen. Schade für Sie und mich, gut für die United Internet AG.
• Das Ablehnen ist über einen Link „Einstellungen“ zugänglich (im Screenshot nicht gezeigt). Der genannte Link ist so ausgeprägt, dass der Mauszeiger nicht als Mauszeiger erscheint, wenn man über den Link führt, sondern als Textmarkierungs-Cursor angezeigt wird. Ganz anders bei „Zustimmen“. Da wird ein schöner Mauszeiger, wie man ihn kennt, präsentiert, wenn man über den Button fährt, der zudem optisch deutlich hervorgehoben ist.
• Der konkrete Hinweis auf die Widerrufsmöglichkeit gemäß Art. 7 Abs. 3 DSGVO fehlt.
• Sind die vier Cookies mit Laufzeiten von teils zwei Jahren und einer Wertausprägung, die teils als enorm und teils als Identifizierer bezeichnet werden darf, also alle technisch notwendig und somit einwilligungsfrei? Ich bezweifle das sehr stark, die United Internet AG anscheinend nicht.

Lassen wir mal beiseite, dass die United Internet AG selbst nicht ausreichend über Datenschutzregeln informiert zu sein scheint. Ist nicht so wichtig bei einer Firma, die sich für eine Datenschutzlösung einsetzt.

Die Wahrheit über Cookie Abfragen lautet:

Meine Kritik an PIMS, der zentralen Einwilligungsverwaltung, hatte ich bereits formuliert. Zuletzt gab es dazu auch einen Podcast.

Die zentrale Einwilligungsverwaltung ist Bullshit. Einige der Gründe in Kürze:

• Die zu benennenden Zwecke von Cookies und weiterer Datenverarbeitung von Plugins wie von Google kennt niemand. Sie zentral zu erklären funktioniert genauso wenig wie sie pro Webseite zu erklären.
• Pro Zweck ist eine Einwilligung einzuholen. Google Analytics kann für dutzende, eher für tausende verschiedene Zwecke verwendet werden. Wer sammelt diese in einer Liste und fragt diese dann ab?
• Wer ist verantwortlich für die zentrale Bullshit Abfrage? Die Webseitenbetreiber ja wohl nicht, denn sie dürfen sich auf die Abfrage an einer zentralen Stelle verlassen, auf die sie selber eher keinen Einfluss haben dürften (falls doch, wäre es ja keine zentrale Abfrage, sondern eine milliardenfache Sammelabfrage für Millionen von Einzelwebseiten).
• Wer erfindet eigentlich die Texte für die tausenden von Plugins, wie etwa Google Analytics oder Google Maps? Wird dafür ein Datenschutzgenerator eingesetzt? Nur zur Sicherheit: Das war natürlich ein Scherz.
• Für welche Plugins wird eigentlich eine Einwilligung abgefragt? Ich kenne jedenfalls die meisten Plugins weltweit nicht. Sicher weiß hier der United Internet AG Konzern mehr.
• Was passiert, wenn auf einer Webseite 10 einwilligungspflichtige Tools eingebunden werden, in der Zentrale (bei der netID?) aber nur 7 Einwilligungen abgefragt werden?
• Was passiert, wenn auf einer Webseite eine Einwilligung abgefragt werden müsste, der Besucher der Webseite die Zentrale (bei der netID?) aber noch gar nicht besucht hat?
• Nein, für einen vernetzten Toaster benötigt man kein PIMS von der United Internet AG oder netID oder wem auch sonst. Dafür reicht der bisherige Mechanismus, nämlich eine App vom Hersteller. Das Beispiel wurde von "United Internet AG Jüngern" mal gebracht, deswegen greife ich es hier auf.
• Cookie Blocker funktionieren noch weniger, wenn eine zentrale Einwilligungsabfrage verwendet wird, die (hoffentlich) technisch gar keine Kontrolle über die von Ihnen besuchten Webseiten hat.
• Warum soll ein Webseitenbetreiber, der jetzt schon Datenschutzregeln nicht einhält, auf einmal mehr Aufwand betreiben, um nun alles richtigzumachen?
• Die zentrale Einwilligungsabfrage ist nicht europarechtskonform, wie eine Stellungnahme von Rechtsanwalt Dr. Simon Assion ergab, der dieses vor der Gesetzgebung des § 26 TTDSG erstellte.

Anhand dieser sehr langen Liste mit Kurzgründen können Sie erahnen, wie schlecht die Idee einer zentralen Einwilligungsverwaltung ist.

Browser-Plugins sind übrigens auch keine Lösung, auch wenn die von mir ansonsten geschätzte Organisation noyb das meint. Sie finden die Argumente in meinem Blog.

Die Lösung

Leider gibt es keine einfache Lösung, die für alle gleich ist. Bedauerlicherweise funktioniert eine zentrale Einwilligungsabfrage nicht, wie sie die United Internet AG oder die netID oder GMX oder Web.de oder die GDD oder sonst wer einführen möchte.

Cookie-Popups können nur vermieden werden, wenn es keine einwilligungspflichtigen Vorgänge gibt. Das letzte Zeichen vor diesem Satz war ein Punkt. Sie finden Details hierzu in diesem Blog. Diese Lösung ist recht einfach, jedenfalls für die meisten Webseiten. Siehe besipielsweise meine Webseite, die zahlreiche Funktionen bereitstellt.

Übrigens ist es nicht erforderlich, für ein Video, welches nur auf einer Unterseite Ihrer Webseite eingebunden ist, ein Cookie-Popup zu präsentieren, welches beim Einstieg auf jeder beliebigen Unterseite Ihrer Webseite angezeigt wird. Man kann bei visuellen Elementen wie Videos oder Karten auch auf dem Element eine Einwilligungsabfrage vorhalten. Oder noch besser: Nutzen Sie doch datenschutzfreundliche Alternativen. Statt Google Maps etwa mein Karten-Plugin auf Basis von OpenStreetMap. Dafür brauchen Sie gar keine Einwilligung einzuholen. Oder statt Google Analytics lieber Matomo nehmen. Dieses Analyse-Tool kann auch ohne Einwilligung eingesetzt werden. Oder für das Conversion Tracking eine eigene Logik nutzen (die ist es Ihnen doch sicher Wert, wenn Sie schon tausende Euro auf Google Ads draufwerfen, oder?).