DSGVO: Sind Datenschutz und Privatsphäre wirklich besser geworden?

Jetzt leben wir seit 18 Monaten mit der DSGVO. Die Wogen im Netz haben sich weitestgehend geglättet, und ich stehe nach wie vor hinter diesem Schritt. Auf unserem Weg quer durch das Web geben wir immerhin wertvolle Daten preis. Wir sind der Herr der Daten in einer Onlinewelt voller Gollums. Das Gesetz gibt uns Online-Websurfern die Macht, selbst das Cookie-Tracking abzustellen und gegen die anzugehen, die unsere Daten missbrauchen. Und ich finde, dass sich das wie ein Schritt in die richtige Richtung anfühlt.

So heroisch die Idee der DSGVO aber auch klingt und egal, wie gut ich diesen Weg finde, muss ich doch eines sagen: Leute, wir haben ein echtes Umsetzungsproblem. Eine neue Studie von der MIT, der UCL und der Aarhus Universität fand heraus, dass lediglich 11,8 Prozent aller Webseiten "die Mindestanforderungen erfüllen, die wir auf den Grundlagen des europäischen Rechts aufgebaut haben." Faktisch gesehen, werden wir also immer noch verarscht, online getrackt und unsere Daten an Werbevertreibende verkauft.

Sind wir Europäer einfach zu faul, um uns zu kümmern?

Das Surfen im Internet ist seit der DSGVO anders geworden, so viel ist sicher. Wann immer Ihr jetzt auf einer Website landet, die Ihr davor noch nie besucht habt, ist die Hölle los. Geradewegs zugekleistert wird man mit was weiß ich wie vielen Pop-Ups und Meldungen (die Euch darüber informieren wollen) was die Seite mit Euren Daten machen kann. Das ist zwar oft nervig, aber eine durchaus sinnvolle Sache. Das Problem ist nur, dass die Seiten herausgefunden haben, was wir alle schon längst wissen: Die meisten von uns sind faule Säcke. Der beste Weg, die Erlaubnis von den Fauleren und Uninteressierteren unter uns zu bekommen, liegt also darin, das Ablehnen schwerer zu machen als das Akzeptieren.

Es ist doch so, dass das Ablehnen von Cookies meist drei oder vier Klicks dauert. Für das Annehmen benötigen wir aber nur einen wundervollen Klick. Und das genau auf den großen Button, den man nicht mal übersehen könnte, wenn man es wollte. Jetzt muss er nur noch Musik beim anklicken machen und die Farce wäre perfekt. Aber mal so unter uns – wie oft habt Ihr schon drauf geklickt, weil Ihr es gerade eilig hattet? 

Die Zahlen unterstreichen den Fakt jedenfalls ganz gut. Ist der Opt-Out-Button irgendwo unter dem zweiten oder dritten Layer verbuddelt, dann erhöht sich die Zustimmung um 23 Prozent. Noch genialer wird es, wenn Ihr auf Eurer Webseite eine dunkle und kaum zu sehende Pop-Up-Box habt. Mit der erhöht sich die Zustimmung der Nutzer sogar um bis zu 40 Prozent. Für die UX- und UI-Designer sind Pop-Up-Boxen wie ein riesiger Spielplatz, und sie werden wirklich kreativ dabei.

Neben den ganzen Spielereien gibt es noch das Problem mit der implizierten Zustimmung. Laut der Studie, wird diese Methode von 32,5 Prozent der untersuchten Webseiten genutzt. Hierbei geht die Webseite einfach davon aus, dass Ihr die Cookies akzeptiert, wenn Ihr nach unten scrollt und das Pop-Up-Fenster ignoriert. Eine total faire Sache, nicht wahr? Kombiniert Ihr diese Methode mit einer Pop-Up-Box, die so mickrig klein und gut platziert ist, dass sie kaum auffällt, dann habt Ihr ganz schnell viele Benutzer, die unbewusst ihr "Einverständnis" geben. Magie pur.

Innerhalb des Berichts wird festgestellt, dass diese Methode "erheblich Fragen in Bezug auf die Einhaltung des Konzepts des Datenschutzes durch Technik in der DSGVO aufwirft." Was ein Scheiß. Heißt es nicht laut DSGVO-Recht, dass die Zustimmung "aktiv gegeben" werden soll? Wenn wir durch Faulheit unsere Daten verschenken, fein. Aber sind wir hiermit wirklich zufrieden? Ich jedenfalls nicht.

So: Die Webseiten werden also bestraft – oder?

Der einzig logische Schritt ist es doch, Strafen zu verhängen. Findet Ihr nicht? Aber wer hätte was anderes erwartet: Wirklich eingreifen und Maßnahmen durchsetzen, wenn die Mindestanforderungen an die Zustimmung zu Cookies nicht eingehalten werden, tut die EU selten. Dabei liegt die Höchststrafe für einen Verstoß der DSGVO immerhin bei 20 Millionen Euro oder vier Prozent des Umsatzes. Welcher Betrag ausgezahlt wird, hängt davon ab – da würde sich die EU nicht lumpen lassen – welcher höher ist. Damals sagte die EU-Kommissarin für Justiz (Vera Jourova), dass die Europäische Union den Regulierungsbehörden in ihren Mitgliedsstaaten eine "geladene Waffe" in die Hand gedrückt habe. Fein, aber wie viele haben den Abzug denn wirklich gezogen? 

Werfen wir einen kurzen Blick auf das Vereinigte Königreich. Dort zählen wir rund 36.000 Datenverstöße, die den Behörden im Rahmen der DSGVO gemeldet wurden. Was sich hier wie eine schöne Zahl anhört, ist in Wahrheit ziemlich ernüchternd. Denn die meisten Meldungen beziehen sich auf den falschen Umgang mit den Daten. Nicht etwa auf die Tricks, mit denen sich die Zustimmungen zur Datenerhebung besorgt wurden.

Doch auch wenn man gemeldet wird, ist die Chance recht hoch, dass man mit einem kleinen Klaps auf die Hand aus der Sache wieder rauskommt. Ein gutes Beispiel sind die 11.468 Fälle von Datenverletzungen, die zwischen Mai 2018 und März 2019, in Großbritannien bearbeitet wurden. Große Zahl, kleine Wirkung: Gerade einmal 29 Fälle führten auch zu einer Geldstrafe. Das ist einfach nur lächerlich, wird aber noch besser.

Es gab natürlich einige Fälle, die zu Schlagzeilen führten – so beispielsweise bei der British Airways. Der Fluggesellschaft wurde 2018 wegen eines Datenverstoßes mit einer Geldstrafe in Höhe von 230 Millionen Dollar gedroht. Japp, Ihr lest richtig – gedroht. Ausgesprochen wurde bisher noch absolut gar nichts. Übrigens: Erst diese Woche hat das Büro des britischen Informationskommissars den Regulierungsprozess bis zum 31. März verlängert.

Da fragt man sich doch, was diese "geladene Waffe" überhaupt bringen soll, wenn sie höchstens Platzpatronen abfeuert. Wen soll das denn davon abhalten, sich weiterhin Daten zu erschleichen? Ganz ehrlich? Mich nicht, und wahrscheinlich amüsieren sich die Webseitenbetreiber ganz hervorragend.

Schuldzuweisungen gibt es jedenfalls zu Genüge. Eine Menge Webseiten nutzen Consent-Management-Plattformen (CMPs), um alles rund um die DSGVO zu händeln. Bei den CMPs handelt es sich um Drittfirmen, die die Pop-Up-Fenster entwickeln, durch die wir die Möglichkeit haben sollen, die Cookies abzulehnen. Drei der größten Namen auf diesem Spielfeld sind QuantCast, Cookiebot und TrustArc.

Den Forschern von MIT, UCL und Aarhus Universität zufolge, sind es gerade diese CMPs, die im Mittelpunkt einer Untersuchung stehen sollten. "Weshalb lassen sie ihre Kunden das Scrollen als Einwilligung zählen oder vergraben den "Ablehnungs"-Button irgendwo auf der dritten Seite?", wundert sich der Hauptautor der Studie, Midas Nouwens, gegenüber TechCrunch. "Da die Strafverfolgungsbehörden nur begrenzt viele Mittel zur Verfügung haben, könnte es eine sehr viel effektivere Strategie sein, wenn sie sich auf die Pop-Up-Anbieter mit Einverständniserklärung konzentrieren, anstelle der Verfolgung von individuellen Webseiten."

Mein Fazit

Niemand hat andauernd Lust oder Zeit, sich erst einmal durch zig Pop-Ups zu wühlen, nur um die Cookies abzulehnen. Das verstehe ich, mir geht es oft selbst nicht anders. Was mich aber aufregt, sind die Spielereien mit der implizierten Zustimmung. Wenn ich meine Daten auf dem Silbertablett anbiete, will ich es wenigstens wissen und mir darüber im Nachhinein die Pest an den Hals ärgern dürfen. Das ist mein verdammtes Recht. Noch schlimmer finde ich, dass die EU kaum etwas gegen die Webseiten macht, die sich durch Tricks meine Daten erschleichen. Natürlich kann man jetzt nur die CMPs im Auge behalten und vielleicht würde das schon einiges bringen. Allerdings hat der Betreiber einer Webseite nicht weniger Schuld als die Entwickler. Vor allem dann nicht, wenn er etwas nutzt, um sich Daten von seinen Besuchern mehr oder weniger zu erschwindeln. Oder soll ich ernsthaft glauben, dass die sich ihre Software vorher niemals angesehen haben? Ja, nee – is' klar. 

Via: Engadget Quelle: MIT, UCL, Aarhus University