Internet-Dilemma Cookie-Banner

Oder: Wie wir mit dem Startup-Ansatz „sw.report“ versuchten, es zu lösen.

Stellen Sie sich vor, Sie kommen in einen Supermarkt und werden jedes Mal damit empfangen, dass Sie ein trickreiches Formular ausfüllen müssen. Sie sollen sich einverstanden erklären, dass man Sie per Kamera überwacht und Ihre persönlichen Daten sammeln darf. Die Daten werden dann zur Auswertung an eine Daten-Firma in die USA geschickt.
Was sie dafür bekommen? Ein windiges Versprechen von einem „besseren Einkaufserlebnis“. Behandelt man so einen Kunden?

Selbstverständlich nicht. Cookie-Banner sind im Grunde aber genau das. Was in der realen Welt undenkbar erscheint, findet man heute im Internet auf (fast) jeder Webseite. Um Benutzer*innen in Analytics-Tools „tracken“ zu dürfen, stellen aufdringliche Cookie-Banner die immer gleichen Fragen, wieder und wieder. Teilweise sind die Banner so lästig, dass man die Seite einfach schnell wieder verlassen möchte oder achtlos alles akzeptiert, um Ruhe zu haben. Das färbt auf das Image des Betreibers ab.

Ein Lösungsversuch für das Cookie-Dilemma

 

 

Unsere Hypothese: Niemand will Cookie-Banner. Weder die Webseitenbetreiber noch die Besucher.
Aber warum gibt es sie dann? Als das Internet groß wurde, haben einige Konzerne und Plattformen angefangen, fleißig alle möglichen Daten zu sammeln. Mit Cookies (kleinen Dateien im Browser) wurden Benutzer „getracked“,

und es wurden umfangreiche Profile gebildet, um gezielt Werbung oder Produkte verkaufen zu können.
Die Firmen wussten, wer man war, für was man sich interessierte und welche Webseiten man so besuchte. Datenschutz? Nie davon gehört. Manche dieser Firmen haben es heftig übertrieben, und die Politik sah Handlungsbedarf.

Internet Dark ages

DSGVO, Bundesdatenschutzgesetz, TMG, TKG, TKKG, ePrivacy-Verordnung und Cookie-Richtlinie zur Hilfe!

Grundsätzlich ist die Idee, die Daten der Benutzer*innen zu schützen eine sehr sinnvolle und notwendige Sache. Und sicherlich ist das auch kein einfaches Thema, was sich leicht lösen lässt. Die Umsetzung, die wir heute aber vorfinden, ist zum Teil ein bürokratischer Scherbenhaufen. Dies macht es vor allem kleinen Anbietern schwer, bei denen die Benutzer*innen nicht eh schon angemeldet sind.

Was wir heute sehen, ist aus Sicht der Endbenutzer*innen völlig sinnlos. Der Kunde ist König? Scheinbar nicht … Niemand liest mehr was in diesen Bannern steht – man versucht nur noch, sie möglichst schnell wegzuklicken. Webseitenbetreiber arbeiten mit Hochdruck daran, wie sie doch wieder an Marketingdaten kommen. Es ist ein technologisches Wettrüsten, in dem teilweise ganz bewusst die gesetzlichen Grauzonen ausgetestet werden.

Internet banner age

Bin ich damit einverstanden?

Geld wird verdient, wo Geld verdient wird. Im Markt sehen wir heute diverse junge Firmen, die sich auf sogenanntes „Consent Management“ spezialisieren. Sie verdienen Millionen-Umsätze mit professionellen Cookie-Bannern. Ihren Kunden (den Webseitenbetreiber*innen) verkaufen sie möglichst hohe Conversion-Raten garniert mit etwas Rechtssicherheit im DSGVO-Dschungel. Das heißt, sie überreden möglichst viele Benutzer*innen dazu, auf „Accept All“ zu klicken und dokumentieren dies. Die Endkunden bekommen dafür häufig keine Gegenleistung von Wert – nicht gerade sehr benutzerzentrisch, oder? Aktuell löst man damit zwar gewisse gesetzliche Anforderungen. Wir können aber nur hoffen, dass es keine Lösung für die Zukunft bleibt.

 

Das „Startup“ sw.report

sw.report steht für Simple Web Reports. Mit einem kleinen Team im Rahmen von necct, der Innovations-Einheit der codecentric AG, haben wir uns auf den Weg gemacht, um herauszufinden, ob wir eine Software as a Service bauen können, die:

  • auf Servern in Deutschland
  • die wesentlichen Webseiten-Statistiken erfasst,

  • ohne dabei persönliche Daten zu speichern,
  • ohne auf Benutzer*innen zurückschließen zu können,
  • ohne Cookies zu benutzen
  • und somit einen Cookie-Banner überflüssig macht,
  • (wenn man sonst keine weiteren Cookies verwendet).

 

Schnell haben wir gelernt, dass Cookie-Banner nicht nur nach Cookies fragen, sondern auch nach dem Einverständnis, Benutzer*innen tracken zu dürfen. Dass man keinen Consent braucht, um „anonyme“ Daten zu sammeln, war zunächst nur eine Annahme (weil es andere auch so machen), die nicht gerade leicht zu bestätigen oder zu widerlegen war. Wir fanden dazu keine eindeutige Rechtslage. Und welche Daten wirklich anonym sind, sollte man sich auch genau anschauen.

Learnings aus Interviews

In ersten Gesprächen mit potentiellen Kunden und Partnern fanden wir viel Zustimmung. Außerdem haben wir Folgendes über die Probleme der Kunden gelernt:

  • große Webseiten-Verantwortliche und Datenschützer*innen: Wir verwenden ein Analyse Tool eines US-Anbieters und wollen wegen rechtlicher Unsicherheit (dringend) davon weg (Zweifel an DSGVO-Konformität und Stichwort „Schrems II Urteil“)
  • Marketing-Verantwortliche: Seit es die neuen Cookie-Banner gibt, sehen wir mehr als die Hälfte unserer User nicht mehr (die, die dem Tracking-Tool nicht zugestimmt haben). Wir können den Erfolg/Misserfolg unserer Kampagnen nicht mehr richtig messen.
  • Kleinere Webseiten-Verantwortliche: Wir verstehen DSGVO nicht und haben Angst vor Strafe. (Zitat: „…Ich weiss nicht, ob wir ein Cookie-Banner brauchen – wir haben lieber eins eingebaut…“)

Klingt gut, lasst uns die Idee validieren.

Grau ist alle Theorie. In „sehr agiler“ Vorgehensweise haben wir einen Prototypen gebaut, mit dem wir unsere Idee validieren wollten.

Wir haben das Tool in unseren eigenen Blog eingebaut. Dadurch hatten wir gute Testdaten und konnten einen interessanten Partner gewinnen, eine SEO-Agentur, die direkten Zugang zu potentiellen Kunden hat. Ein möglicher Vertriebskanal. Gemeinsam haben wir die Idee für gut befunden und weiter entwickelt. Wir haben angenommen, dass wir den Kunden relativ einfach folgenden Mehrwert liefern könnten:

  • Durch unser Tool sehen die Kunden ihre fehlenden Daten, die sie im anderen Analytics Tool ohne Consent nicht mehr bekommen.
    (Man könnte unser Tool auch einfach zusätzlich einbinden, ohne sonst groß etwas ändern zu müssen.)

An dieser Stelle haben wir entschieden, dass wir versuchen wollen, das Tool marktfähig zu machen und zahlende Kunden dafür zu gewinnen.

Aus Problemen folgten Learnings

Mit dem echten Live gehen und dem Versuch den ersten echten bezahlenden Kunden zu gewinnen, kamen die wahren Probleme ans Licht. Wir kürzen die Geschichte hier deutlich ab und fassen zusammen, was wir gelernt haben:

  • B2C-Zahlungen sind in der EU aus steuerlichen Gründen kompliziert. Ein spezialiserter Bezahldienstleister, der das abwickelt, musste her.
  • B2B-Zahlungen können schwierig werden je größer das Unternehmen wird. Manche (deutsche) Unternehmen bevorzugen Zahlung per Rechnung und „manueller“ Überweisung anstatt eines SEPA-Mandats oder Kreditkartenabbuchung und haben „Sonderwünsche“, was auf der Rechnung stehen muss. Man kann erstmal damit starten, manuell Angebote und Rechnungen zu verschicken – das gibt es nicht „as a Service“.
  • Die Erstellung von Impressum, AGB, AVV, TOM und Datenschutzerklärung war viel aufwändiger als zunächst gedacht. Teilweise konnten wir Dokumente ableiten – wir brauchten aber auch externe Unterstützung.
  • In dem Umfeld sind diese juristischen Dokumente sehr wichtig für die Akzeptanz des Produkts. Sie sind Teil des Produkts. Halbherzige Entwürfe und iterative Verbesserungen sind nicht ausreichend. Es bringt nichts, „ein bisschen“ DSGVO-konform zu sein.

Learnings zur rechtlichen Lage

Mit den Marketingaktionen und ersten Interessenten kamen Zweifel auf, ob wir juristisch richtig aufgestellt sind. Wir wollten auf keinen Fall, dass unsere Kunden und damit auch wir selbst unnötige Risiken eingehen. Selbst konnten wir die Risiken und die Rechtslage nicht eindeutig beurteilen – also ließen wir uns beraten und wollten ein Gutachten, ob unsere Lösung wirklich DSGVO-konform ist. Was wir schnell gelernt haben, war, dass die Lage nicht einfach und eindeutig beantwortet werden kann. Die ersten Antworten, die wir bekamen, haben uns an der Idee zweifeln lassen, dass wir einfach so anonyme Daten sammeln dürfen, ohne vorher die Benutzer*innen um Einverständnis zu fragen. Sind wir jetzt nicht auch einer von diesen Tracking-Anbietern, die die Technologie und Rechtslage ausreizen, um doch Daten zu sammeln? Dieser Aspekt gefiel uns gar nicht – wir wollen doch eigentlich Gutes tun.

Der fragliche Sachverhalt ist der folgende:

  • Webseitenbetreiber*innen binden unser Script in ihre Seite ein.
  • Endbenutzer*innen laden deren Webseite in ihrem Browser.
  • Ohne dass sie es wissen, schickt der Browser ein Datenpaket an einen Dritten (an uns).
  • Dabei wird zwangsläufig die IP-Adresse als Absender-Adresse an uns übertragen.
  • Die IP-Adresse ist definitiv ein personenbezogenes Datum.
  • Wir speichern die IP-Adresse nicht – aber wir (oder jemand anders) könnte es tun.
  • Die Daten werden in AWS verarbeitet – einer Cloud mit amerikanischem Mutterkonzern (auf Servern in Frankfurt).

Im Bezug auf die Mehrwerte für unseren Partner ist zusätzlich ein Problem:

  • Es geht darum, die fehlenden Daten des bestehenden Analytics Tools zu ergänzen. Die Benutzer*innen, die fehlen, haben aber ausdrücklich dem Tracking widersprochen. Ist es dann legal/ethisch trotzdem anonyme Daten zu erheben?

Grundsätzlich sieht die DSGVO natürlich vor, dass man solche Daten erheben und verarbeiten kann. Man muss jedoch begründen und dokumentieren unter welcher Rechtsgrundlage das erforderlich ist. Wenn man die Benutzer*innen vorher um Erlaubnis fragt oder dies vertraglich regelt, ist man relativ frei, welche Daten man sammeln und verarbeiten darf. In unserem Fall (ohne Consent) stützen wir uns aktuell auf die DSGVO Artikel 6 1f):

Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Ausschnitt DSGVO Stand 10.03.2021

Ein berechtigtes Interesse kann zum Beispiel sein, dass Webseitenbetreiber die Reichweite und Nutzung ihrer Website messen müssen, um sie richtig dimensionieren zu können. Zusätzlich zur DSGVO gibt es dutzende weitere Empfehlungen, Beschlüsse und Richtlinien, die ganz widersprüchliche Dinge aussagen. Ein Beispiel wäre, dass man die Reichweite ja auch durch Logfile Analyse messen könnte, ohne Daten an Dritte übertragen zu müssen und dass das als milderes Mittel zu bevorzugen ist. Wie wir gelernt haben, kann man vernünftige Argumente dafür vorbringen,

warum für sw.report ein berechtigtes Interesse und DSGVO Konformität vorliegen kann. Dies ist aber im Einzelfall zu prüfen und die Verantwortung dafür obliegt den Betreiber*innen der Website. Mögliche Strafen würden also zunächst unsere Kunden*innen treffen und wir müssten evtl. im nächsten Schritt dafür haften. Strafen können in diesem Umfeld am Jahresumsatz bemessen werden – je größer der Kunde, desto größer auch das Risiko. Klingt erstmal beklemmend. Anders als bei anderen Produkten muss man für einen nutzbaren MVP in diesem Umfeld also schon sehr viel richtig machen.

Es sind viele Wochen vergangen, bis wir die juristischen Fragen ausreichend beantworten konnten. Zu viele Wochen, die uns gehemmt haben strategisch ins Marketing zu gehen und die die Motivation aufgefressen haben. In dieser Zeit haben wir uns zurück gehalten – wir wollten gar keine großen Kunden gewinnen, um nicht etwas falsch zu machen und damit deren und unseren Ruf zu gefährden. Aus unternehmerischer Sicht waren wir an dieser Stelle wahrscheinlich zu vorsichtig – vielleicht lag es aber mit daran, dass wir einen Ruf zu verlieren haben. Am Ende haben wir ein Modell ausarbeiten können, das nach heutigem juristischen Stand der Dinge als Geschäftsmodell tragfähig sein kann. Es ist eine Interpretation, keine Sicherheit. Änderungen an den juristischen Rahmenbedingungen sind bereits in Sicht.

Wir hören auf

Wir haben viel gelernt. Aber wir haben die Ziele, die wir uns gesteckt haben nicht im gegebenen Zeitfenster erreicht und ziehen daraus Konsequenzen.

Wir blicken auf einen sich gerade verändernden Markt, in dem sich potentiell Geld verdienen lässt. Wir haben validiert, dass es größere Firmen gerade umtreibt alternative Analytics Tools zu finden. Wir haben auch validiert, dass uns das Umfeld keinen Spaß macht. Wir bewegen uns in Grauzonen. Unsere Kunden wollen möglichst viele Daten, wir dürfen diese aber nur bedingt liefern. Es wäre ein ewiger Kompromiss. Wer mit DSGVO-konform wirbt, muss noch mehr DSGVO-konform sein. Jede Gesetzesänderung kann das Kartenhaus umwerfen. Die sogenannte ePrivacy-Verordnung ist schon auf dem Weg. Cookie-Banner werden wieder „weniger aufdringlich“. Google hat im März 2021 angekündigt, in naher Zukunft auf Tracking und 3rd Party Cookies zu verzichten. Politiker versprechen, dass sie Cookie-Banner abschaffen wollen.

Wir haben Konkurrenten betrachtet, die uns in der Entwicklung um einiges voraus sind, deren Bilanzen aber eher Zweifel aufwerfen. Wir haben mit Plattformen geredet, die bereits ihr eigenes einfaches Tooling entwickelt haben. Wir haben ein unserer Idee ähnliches Startup gefunden, das eine schicke Lösung gebaut hat und dabei alle Zahlen veröffentlicht. Nach mehreren Jahren guter Arbeit kommen sie auf nur relativ geringe Monatsumsätze. Was bedeutet das? Gibt es den Markt nicht? Entsteht er gerade? Wir sind uns nicht sicher. Vielleicht verpassen wir eine Chance, wenn wir jetzt aufhören. Die Hausaufgabenliste ist uns zu lang, und der Punkt, an dem wir profitabel sein könnten, liegt in ferner ungewisser Zukunft. Falls sich im Markt etwas ändert und es einen Run auf alternative Analytics Tools geben sollte, dann stehen wir in den Startlöchern – aber hier ist erstmal Schluss.

Und nun? Es fühlt sich schlecht an, jetzt aufzuhören. Aber so ist es nunmal – aufstehen, Krönchen zurechtrücken und daraus lernen. Die nächste Idee kommt bestimmt.

Blick nach Vorne

Für die Zukunft sollten wir uns überlegen, ob nicht die Interessen der Benutzer*innen im Mittelpunkt stehen sollten. Und nicht die der Marketing-Unternehmen und Datensammler. User sollten selbst über ihre Daten entscheiden. Gerne kann man diese mit Unternehmen teilen – aber bitte transparent und gegen eine echte Gegenleistung. In der Realität funktioniert das doch auch, wenn ich ganz bewusst an der Kasse „Punkte sammele“. Wir haben die Idee schon weiter gesponnen, wie man Daten gegen Werte tauschen könnte – sie scheint uns aber noch „etwas zu visionär“. Es bleibt abzuwarten, ob sich ein Weg findet, so dass zukünftig die Daten den Usern gehören.

Lasst uns weiter daran arbeiten, konkurrenzfähige Internet Services in der EU aufzubauen und zu unterstützen. Lasst uns weiter daran arbeiten, die Privatsphäre der Benutzer*innen zu schützen. Die großen Konzerne aus Übersee haben bereits genug Daten und Macht gesammelt.

Internet age of consent

codecentric stories ist eine Kolumne der codecentric AG, in der wir von unseren Erfahrungen berichten, Denkanstöße geben und Lösungsansätze diskutieren möchten. Unsere Beobachtungen haben keinen Anspruch auf Vollständigkeit oder Wissenschaftlichkeit.

Autor

Oliver Moser
IT Consultant

Per E-Mail kontaktieren

Hinweis: In Ihrem Browser ist JavaScript deaktiviert. Für eine bessere und fehlerfreie Nutzung dieser Webseite, aktivieren Sie bitte JavaScript in Ihrem Browser.