Tracking-Walls und das so genannte "Berechtigte Interesse"
Updates siehe Ende des Beitrags.
Nach meinen Beobachtungen hat sich in den vergangenen Wochen und Monaten vermehrt eine Cookiebanner- und Tracking-Consent-Lösung eingeschlichen, die zwar suggeriert, dass der User mit wenigen bzw. nur einem Klick die Zustimmung zu allen schlimmen Sachen (etwa Usertracking) deaktivieren kann. In Wahrheit werden jedoch hinter weiteren Reitern, meist "Berechtigtes Interesse" genannt, zusätzliche Schalter verborgen, die dann doch die Zustimmung zu den schlimmen Sachen erteilen. Und zwar in der Voreinstellung "aktiviert".
Wir haben es aus Usersicht also nicht mit Opt-In, sondern mit Opt-Out zu tun. Ich betone hier die Usersicht, weil rein technisch betrachtet ist es zwar Opt-In. Man muss ja mindestens das Tracking-Banner einmal anklicken. Aber UX-bezogen ist es das genaue Gegenteil. Und somit ein klassisches Dark Pattern.
Zuletzt beobachtet zum Beispiel bei der Wirtschaftswoche (Screenshot).
Da finden sich dann Kategorien wie Anzeigen/Anzeigenleistung, Marktforschung, Content-Tracking, Produktentwicklung, deren Zustimmung verdeckt ohne BEWUSSTE Aktion des Users erteilt wurde.
Ich weiß nicht, was ich gerade abstoßender finde:
- dass es Websites gibt, die Leute pauschal mittels Cookie-Walls aussperren, wenn die Leser nicht Willens sind, sich tracken zu lassen. Das ist zwar ein Anus-Move, aber wenigstens transparent. Da weiß man, woran man ist.
- dass den Users Tracking durch die Hintertür reingeschoben wird, mittels einem wirklich harten Dark Pattern. Das Pattern tut vordergründig so, als würde man die bösen Tracking-Sachen schnell wegklicken können, in Wahrheit muss man sich aber durch diverse Kategorien des Banners klicken, um alle Einstellungen zu kontrollieren, und landet irgendwann bei versteckten, bereits aktivierten Tracking-Mechanismen.
Ist das Interesse wirklich berechtigt?
Ich bin kein Anwalt, darf keine Rechtsberatung leisten, blabla... daher kurz der klare Hinweis: Meine Einschätzung ist nicht als Grundlage für den Produktiveinsatz zu nehmen. Ihr könnt bei eventuellen Rechtsstreitigkeiten nicht hergehen und meine Aussagen als Argumentation nutzen. ;)
Das berechtigte Interesse ist eine Wischiwaschi-Konstruktion, die so dermaßen viel Interpretationsspielraum zulässt, dass vermutlich niemand eine pauschale (sondern bestenfalls im Einzelfall zutreffende) Aussage machen kann, was das für Website-Betreiber konkret bedeutet.
Es gibt genau zwei Punkte, bei denen ich berechtigtes Interesse eindeutig gegeben sehe:
- Protokollierung der Website-Zugriffe, weil nur so das technische, sicherheitsorientierte Monitoring der Online-Anwendung möglich ist. Sonst könnte man z.B. Angriffe nicht abwehren.
- Erwartungskonforme Funktionsweise der Webanwendung sicherstellen - z.B. durch das Setzen von Cookies, über die eine Warenkorb-Funktionalität ermöglicht wird. Würde der User den Warenkorb nicht nutzen können, kann kein Verkauf stattfinden. Das wäre für beide Seiten blöd.
Bei diesen beiden Punkten habe ich keinerlei Einwände, dass man hier nicht das vorherige Einverständnis der User einholt, wenn es um die Sammlung von Daten geht. Nur transparent kommunizieren sollte man das.
Alles andere - von Anzeigen über Content-Analyse bis hin zum Surfverhalten der User - hat mit Notwendigkeiten überhaupt nichts zu tun. Und daher liegt aus meiner Lesersicht überhaupt keine Berechtigung vor, automatisch personenbezogene Daten zu erheben, ohne dass es einer expliziten, BEWUSSTEN, vorherigen Zustimmung zum Tracking bedarf.
Aufgrund der abstoßend wirtschaftsfreundlichen Uneindeutigkeit des "berechtigten Interesses" wird man über diesen Vektor nicht mit großen Erfolgsaussichten gegen diese Art von Banner klagen können.
Eher noch wäre das Dark Pattern für eine rechtliche Intervention geeignet, mit den im Voraus aktivierten Checkboxen fürs Tracking. Ich wiederhole noch mal: Technisch gesehen hat man zwar die Möglichkeit, das Tracking abzulehnen, aber das ist so versteckt (und wenn man es gefunden hat, mühsam in der Handhabung), dass viele User - obschon sie gerne würden! - keine Ablehnung durchführen werden. Weil sie nicht BEWUSST wahrnehmen, dass man ablehnen kann. Die Funktionalität zur Tracking-Verweigerung wurde meines Erachtens absichtlich verschleiert und fragmentiert.
Auch mit an Bord der Dark-Pattern-Cookiebannerträger: Die FAZ (Screenshot).
Hart trifft mich, dass die von mir durchaus geschätzte SZ (Screenshot) dem Dark Pattern verfallen ist. Man kann sie wenigstens noch mit deaktiviertem JS halbwegs gut lesen, aber... aber... :(
Die größte Enttäuschung schließlich [Update, siehe unten, war zu blöd, genau hinzuschauen] Eine mittelschwere Enttäuschung ist für mich auch die TAZ (Screenshot). Ich kenne und lese sie (mal mehr, mal weniger regelmäßig) seit der Schulzeit (und ich bin Ü40).
Sowohl bei der TAZ als auch der SZ hege ich noch die leise Hoffnung, dass es wenigstens einen angesichts der ambivalenten Position (Leservertrauen versus wirtschaftliche Interessen) angemessenen Diskurs samt der Fähigkeit zur Selbstkritik gibt.
An beide Redaktionen habe ich einen Leserbrief geschrieben. Bin gespannt, wie die Rückmeldungen ausfallen und ob sie mir gestatten, diese hier zu veröffentlichen.
Ich traue mich gar nicht, noch weitere Publikationen zu untersuchen. Meine NoSurfList müsste ich (konsequenter Weise) massiv erweitern. Aber dann gehen mir langsam die zitierfähigen Quellen aus. Ich kriege diese Cookie-Walls auch öfter mal nicht mit, weil ich per default mit deaktiviertem JS und blockierten Drittressourcen surfe.
Nachtragungen:
EDIT 1, 15.03.2021
Ich hatte einen kurzen Austausch mit einem Anwalt, der mir unter anderem sinngemäß die Frage stellte, ob es nicht interessant sei, eine Schadenersatzklage anzustreben.
Uff. Auf die Idee wäre ich zuerst gar nicht gekommen. Was soll mir denn für ein konkret messbarer Schaden entstanden sein, wenn mir ungewollt Tracking untergeschoben wird?
Ja, es ist furchtbar ärgerlich und verwerflich und abstoßend. Aber wir reden hier nicht von Körperverletzung oder einem Autounfall. Nun müsste man nach meiner Vorstellung eine Risikoeinschätzung entwickeln, die folgendes berücksichtigt: geflossene personenbezogenen Daten, deren Empfänger, das Datenschutzgebahren der Empfänger, potenzielle Schäden, die entstehen KÖNNTEN, wenn die Daten abhanden KÄMEN und missbraucht WÜRDEN... das halte ich alles für sehr vage und nicht gut bezifferbar. Da phantasierte man dann irgendwelche Sümmchen zusammen, die ich hernach wahrscheinlich als absurd empfände.
Daaaavon abgesehen: Es kann doch nicht in unserem Interesse liegen, die Zeitungen kaputt zu klagen und sich an deren Niedergang persönlich zu bereichern. Im Gegenteil: Eigentlich würde ich mir wünschen, dass sie gutes Geld verdienen, damit sie gute Arbeit bezahlen können, die zu hoher journalistischer Qualität führt. Das ist im Angesicht der aktuellen Situation ein sehr, sehr, SEHR weit entfernter Wunschtraum, der sich höchstens nach einer tiefgreifenden Medienrevolution ändern dürfte. Unsere Verhältnisse werden ohnehin immer amerikanischer und lächerlicher, und Schadenersatzklagen tragen absolut nichts zur Verbesserung der Situation bei.
Was tatsächlich helfen würde, wäre folgendes:
Benutzt Adblocker und Anti-Tracking-Tools, schützt euch so gut es geht. Und es geht ziemlich viel. Zeigt den Publishern, dass ihr euch den Usertracking-Scheiß nicht bieten lasst, notfalls auch durch rechtliche Schritte (ohne die geht's wohl heute nicht mehr). Zeigt aber auch, dass euch guter Journalismus was wert ist. Schließt ein Abo mit der Tageszeitung eures Vertrauens ab, eine, die euch inhaltlich überzeugt. Bezahlt ordentlich für guten Journalismus, wenn ihr ihn noch findet. (Eine 10-EUR-Flatrate im Monat wie bei Spotify reicht echt nicht.) Nur so könnt ihr was bewirken. Es muss ein Umdenken stattfinden. Pauschale Bestrafungen und Beschimpfen helfen nicht.
Das ist wie in der Kindererziehung: Seid freundlich, bestimmt, konsequent.
(Lord knows I tried.)
Schadenersatzklagen indes halte ich für die komplett falsche Message.
EDIT 2, 16.03.2021
Schau, schau. Die Kalifornier. Basteln sich eine Gesetzgebung, die den Dark-Pattern-Mist eindämmen soll. Hab noch nicht recherchiert, wie effektiv und consumer-freundlich das wirklich ist, aber sieht erstmal nicht schlecht aus. Jedenfalls wirklich besser als bei uns...
EDIT 3, 24.03.2021
An dieser Stelle will ich meine Präejakulation bezüglich der TAZ-Tracking-Wall zu Protokoll geben. Hatte heute einen Mailverkehr mit dem Datenschutzbeauftragten der TAZ - bedanke mich hiermit noch mal ausdrücklich, dass er sich die Zeit nahm. Er fragte mich, was mich an der Tracking-Wall stört.
Schaute ich mir die Wall also noch mal an, um zu beschreiben, was da nicht passt. Und dann fällt mir auf: Ich habe ein kleines, aber entscheidendes Detail übersehen, nämlich einen Button. Der entschärft die Situation etwas aus meiner Sicht. Nicht vollständig, aber etwas. Und zwar handelt es sich um einen Button, der das pauschale Ablehnen aller Tracking- und Werbegeschichten ermöglicht.
Trotzdem noch nicht toll. Erstens, ich habe den Alles-Ablehnen-Button übersehen, weil? Na weil er unscheinbar ist und vergleichsweise untergeht. Zweitens, weil den Button überhaupt erst zu erreichen oder zu sehen mehr Aufwand bedeutet als einfach allem Tracking zuzustimmen. Und drittens: Ein Dark Pattern bezüglich Farbgebung/Betonung von Buttons usw. gibt's immer noch. Also: TAZ macht's besser als SZ, aber noch lange nicht gut.
EDIT 4, 04.04.2021
Die Redaktion der SZ hatte drei Wochen Zeit, wenigstens eine rudimentäre oder generische Rückmeldung zu liefern, ist diese aber - trotz wirklich freundlichem Nachhaken - schuldig geblieben (im Gegensatz zur TAZ).
Ich bin mir im Klaren darüber, dass so ein Blog wie meines keine besondere Bedrohung darstellt, wenn ich über Probleme mit der Tracking-Wall auf SZ.de berichte. Deren Kosten-Nutzen-Rechnung scheint eindeutig dahin zu gehen, dass ein Dialog Zeitverschwendung ist und die Tracking Wall alternativlos bleibt, bis ein Gericht anders entscheidet und finanzielle Einbußen drohen. Das ist ein wortloses Statement der SZ, das lasse ich halt stehen.
Ändert nichts an der Tatsache, dass ich die SZ in Teilen für lesenswert halte, und auch noch darauf verlinke. Ich rate jedoch jedem Nutzer dazu, alles an Ad- und Tracking-Blockern aufzufahren, Javascript abzuschalten, und der SZ Beschwerden um die Ohren zu hauen. SZ.de ist trotz Adblockern und No-JS trotzdem noch gut lesbar. Wie immer gilt: Steter Tropfen.