Tschüss Google, Tschüss Tracking?

15.08.2018

Die erste deutschsprachige Tageszeitung im Internet wagte jüngst erneut die Digitalrevolution. Anfang 1995 ging in Österreich der Standard mit seiner Website live. Zunächst stellten internetaffine Printler nur Gedrucktes ins Netz, doch damit war der Nährboden bei der Wiener Tageszeitung gelegt, auf dem werbefinanzierter Gratisjournalismus und personalisierte Werbung gedeihen sollten. Seit Ende Mai gehört der Standard erneut zu den digitalen Vorreitern – und zwar bei dem Versuch, den Wildwuchs der Digitalwerbung zu beschneiden. Seitdem sehen Nutzer der Website weder Gratisjournalismus noch Werbung, sondern sie werden vor eine grundlegende Entscheidung gestellt: Daten oder Bares? Mit Inkrafttreten der europäischen Datenschutzgrundverordnung (DSGVO) hat der Standard am 25. Mai eine Paywall hochgezogen, die im deutschsprachigen Markt ihresgleichen sucht. Statt dem Türsteherprinzip – rein oder draußen bleiben – führen weiterhin alle Wege zu den Inhalten des Standards. Nur zahlt nicht immer derselbe dafür: Entweder stimmt der Nutzer dem Setzen von Cookies zu – dann zahlt wie so oft im Onlinejournalismus der Werbemarkt für das Produkt. Oder der Nutzer löst für sechs Euro im Monat ein sogenanntes PUR-Abo. Dann sieht man keinerlei Werbung mehr, weder Cookies noch andere Messinstrumente landen auf dem Laptop oder Handy. Niemand sieht, was PURAbonnenten auf der Seite machen, nicht einmal der Standard. „Wir haben unser Produkt von den strengsten Datenschützern dieses Landes durchchecken lassen“, sagt Matthias Stöcher, Leiter der Geschäftsfeldentwicklung digitale Medienprodukte beim Standard. „Und bekamen großes Lob von allen Seiten.“ Die Standard-Lösung ist allerdings bei Weitem nicht die Standardlösung, mit der Verleger die neue Datenschutzgrundverordnung umzusetzen versuchen. Besucht man die Websites großer Medienangebote, muss man schon sehr genau hinschauen, um überhaupt Änderungen zu entdecken. Bei den meisten Medien ist das Cookie-Banner etwas ausführlicher geworden, die Datenschutzerklärung detailreicher. Das war‘s. Nur, reicht das? DSGVO – eine Erfolgsstory? Auch heute ist die Verunsicherung weiterhin groß. Das zeigt allein schon der Anruf bei einem mittelständischen Verlag in Deutschland. Der verantwortliche Digitalmanager steht gerne für ein Gespräch bereit, er erzählt vom „mühsamen, aber wichtigen wie richtigen Prozess“, die neuen Bestimmungen intern umzusetzen. Ein Jahr lang habe man gezielt darauf hingearbeitet, Dutzende Newsletter und Onlineportale überarbeitet. Dabei sei so mancher völlig vergessene Datentopf mit Kundendaten wieder aufgetaucht: Event-Anmeldungen, 15 Jahre alt, die man direkt nach der Veranstaltung getrost hätte löschen können.Die neue Verordnung habe dazu geführt, das eigene Geschäft gründlich zu überdenken und ausschließlich nach Daten zu fragen, die es für das Abwickeln des Geschäfts braucht. Nicht noch eine Postleitzahl hier, eine Geschlechtsangabe dort. Das klingt nach einer DSGVO-Erfolgsgeschichte im Mittelstand. Nur hat man im Verlag selbst wohl seine Zweifel daran. Am Tag nach dem Gespräch folgt die Absage per E-Mail. Der CEO bitte darum, dass sein Verlag nicht in der Story vorkommt, muss der Digitalmanager eingestehen. Vielleicht später.Der Mittelständler ist nicht allein, auch Spiegel Online vertröstet: Man wolle sich erst die weiteren Entwicklungen genauer anschauen, lässt ein Spiegel-Sprecher wissen. In der Tat ist vieles weiterhin unklar. Das Problem: Zwar gibt es neues Recht, aber solange Richter noch keine Urteile gefällt haben, sind die Fixpunkte über das, was okay ist und was nicht, oft Auslegungssache. Und die Androhung drakonischer Strafen lässt viele verstummen. Auch zeigt die Praxis, wie Entscheidungsprozesse in der neuen Datenschutzwelt geradezu ins Philosophische abdriften können: Mag es etwa für einen Nutzer auch noch so eindeutig klingen, wenn er einen Verlag schriftlich auffordert, dass „seine gesamten Daten gelöscht gehören und er nie wieder angeschrieben werden will“, entstehen auf Verlagsseite erst einmal große Fragezeichen. Welche Verlagsfirmen könnten auf Daten sitzen, welche Daten darf man löschen, muss man sie nicht vielleicht auch aus steuerrechtlichen Gründen weiter vorhalten, bis hin zum wohl größten Verwirrungsstifter: Wie kann ein Verlag garantieren, dass er die Person nie wieder kontaktiert, wenn er alle Informationen über sie gelöscht hat? Und – es wird noch wilder – was tun, wenn sich der Nutzer wieder für einen Newsletter anmeldet? An solchen Stellen beginne das Theoretisieren mit Anwälten und Datenschützern, hört man aus den Verlagen. Darf man dann eine Sperrliste führen? Muss man diese anonymisieren? Alle fragen, aber niemand will mit Fug und Recht behaupten zu wissen, wie es geht. „Früher war Datenschutz auch wichtig, aber wir haben für Probleme pragmatische Einzellösungen gesucht“, erzählt ein Verlagsmanager im Vertrauen. Seit Mai sehe das anders aus. Die Datenschutz-Taskforce, die in monatelanger Detailarbeit DSGVO-Maßnahmen entworfen hat, war keine Erfindung auf Zeit. Sie wird sich in Zukunft regelmäßig treffen. Ein Weg aus dem Cookie-Chaos Löschkonzepte, neue Verträge mit Dienstleistern und Schulungen für Mitarbeiter – diese neuen Pflichten von Verlagen unterscheiden sich nicht von denen eines Chemiekonzerns am Rhein oder dem Architekturbüro um die Ecke. Doch in puncto Onlinewerbung sind Verleger in ganz besonderer Weise von den DSGVO-Neuerungen betroffen – und diese können heftig werden. Wenige Wochen nach Inkrafttreten der Verordnung ging bereits jedes zweite Digitalunternehmen davon aus, dass sich die neuen Bürgerrechte negativ auf den Umsatz auswirken werden, zeigt eine Mitgliederbefragung des Bundesverbands Digitale Wirtschaft (BVDW) aus dem Juli. Fünf Prozent der befragten Unternehmen haben zudem bereits eine Abmahnung erhalten, die sich auf die DSGVO stützt – 28 Prozent der Befragten glauben, dass das noch passieren wird. Laut Werbefachmagazinen brach auch der Absatz von datengetriebenen Werbeprodukten nach Einführung der DSGVO ein, erholt sich mittlerweile aber wieder.Mit PUR hat sich der Standard gleich zweifach von Schwankungen am Werbemarkt abgesichert. Nicht nur stärkt er seine Einnahmen im Lesermarkt – seit Mai hat sich die Zahl der PUR-Abonnenten bereits verdreifacht, liegt mittlerweile im vierstelligen Bereich – auch haben die Digitalstrategen Ad-Blocker-Nutzern den Zugang zur Seite abgedreht, mit Verweis auf das neue werbefreie Angebot. So steigerte die Wiener Tageszeitung ebenfalls ihre Einnahmen am Werbemarkt. Gemeinsam gingen die österreichischen Verleger sogar noch weiter: Mit der nahenden DSGVO setzten sich die Verleger über ihre Eitelkeiten hinweg und entwickelten verlagsübergreifend ein neues Vertragswerk für Digitalwerbung auf ihren Seiten. Statt mit jeder Agentur einzelne Deals auszuhandeln, bestimmen nun sechs Kategorien, ob eine Agentur und ihre Dienstleister überhaupt eigene Cookies setzen dürfen, welche Leserdaten mitgeschnitten werden und unter welchen Bedingungen Leser beim Surfen durchs Netz weiterverfolgt, also per Retargeting erneut gezielt mit Werbung angepeilt, werden dürfen. So sorgten sie erstmals für Transparenz in einem unübersichtlichen Markt. Der Wunsch ist also da, wieder selbstbewusster gegenüber dem Werbemarkt aufzutreten. Einziges Manko: Mit Google kamen die Österreicher vorerst zu keiner Übereinkunft. Ein weltweites Problem: Schon im Vorfeld der DSGVO gab es Streit mit dem amerikanischen Technikriesen darüber, wer die Einwilligung der Nutzer für Google einholen, vorhalten und im Ernstfall dafür geradestehen muss. Die Lage eskalierte in den Wochen vor dem DSGVO-Start, so dass sich Anfang Mai 4.000 Verleger in einer weltweit orchestrierten Protestaktion Gehör verschafften. Am Tag, bevor die DSGVO Gesetz wurde, lud Google zu Verhandlungen ein – doch viele Verleger sind immer noch zu keiner Übereinkunft mit dem Betreiber der größten Plattformen für den Handel von Onlinewerbeplätzen gelangt. In einer Stellungname der Verleger vom 25. Mai heißt es: „Google fordert von den Verlagen, dass sie Vertrauen dabei haben müssen, was der Konzern mit den Daten ihrer Leser macht, ohne den Verlegern zu sagen, was überhaupt mit den Daten geschieht.“ Da Verlage auf die Technik von Google angewiesen seien und beim Ablehnen der Bedingungen mit finanziellen Einbußen rechnen müssten, „hält Google den Verlegern eine Pistole an den Kopf.“ Auch aus deutschen Medienhäusern hört man, dass sie beginnen, Google die Stirn zu bieten und den Bedingungen bis heute nicht zugestimmt zu haben. Der Standard hat sich auch hier bereits für eine radikale Lösung entschieden: „Wir haben die Werbesysteme von Google komplett von unserer Seite verbannt“, sagt Digitalstratege Stöcher. Beim Tracking hat sich bisher wenig getan Die Notwendigkeit, ähnlich radikale Schritte einzuleiten, könnte in weiteren Verlagshäusern folgen. Denn was das Tracking über Cookies angeht, hat sich auf deutschen Medienseiten bisher wenig getan. Das zeigt ein Vorher- Nachher-Vergleich der Cookies, die Bild.de, Zeit Online und Spiegel Online noch im April (vor der DSGVO) und im Juli (nach der DSGVO) setzten. Die Analyse zeigt, dass alle Medienhäuser weiterhin äußerst aktiv Cookies bei ihren Usern setzen. Hinter den meisten Datenschnipseln stecken Anbieter aus dem Werbemarkt. Sie ermöglichen es nach wie vor, Nutzern durchs Netz zu folgen, sie anhand verschiedener Eigenschaften zu kennzeichnen, um sie auf anderen Internetseiten wiederzuerkennen. Zwischen dem 16. April und dem 16. Juli tauschten die Medienhäuser dabei zahlreiche Cookies aus. Alte verschwanden, neue kamen hinzu. Die hohe Fluktuation lässt sich damit erklären, dass viele Cookies zur Messung einer bestimmten Kampagne gesetzt werden – und dann nach Ende der Kampagne wieder von der Seite geschmissen werden. Schließlich verlängert sich mit jedem einzelnen Cookie auch die Ladezeit der Seite. Nicht nur das Ausspielen von personalisierter Werbung ist wichtig, auch das Beobachten der User spielt weiterhin eine große Rolle. Bild und Spiegel Online fügten jeweils mehr Cookies zu Analysediensten hinzu, als dass sie Cookies solcher Anbieter entfernten. Grundsätzlich hat sich das Digitalgeschäft der großen Verlage also nicht gewandelt. Bislang könne man keine negativen Auswirkungen auf das Vermarktungsgeschäft feststellen, lässt etwa auch ein Springer-Sprecher wissen. Nur bleibt das auch so? Denn es herrscht weiterhin Unklarheit darüber, ob ein Nutzer einwilligen muss, dass Verlage und Agenturen ihn durchs Netz verfolgen dürfen, (Opt-in) oder ob er seine Zustimmung nur im Nachhinein zurückziehen kann (Opt-out). Usus ist derzeit noch der Opt-out – und wie der aussieht, kann man sich auf nahezu jeder Medienseite anschauen. Mal mehr, mal weniger gut gemacht. In den Datenschutzerklärungen der Medien sollten sich seit Ende Mai Verweise darauf finden lassen, welche Cookies gesetzt werden und wie und wo man ihrer Verwendung widersprechen kann. Zeit Online hat zum Beispiel extra einen neuen Reiter im Footer der Seite eingeführt: Cookies & Tracking. Er führt zu einem eingekauften Tool der Firma Evidon. Es listet alle Cookies der Seite, bietet die Möglichkeit eines gesamten Opt-outs – allerdings mit vorangestellter Warnung: „Bitte beachten Sie, dass einige Dienste einen separaten Opt-out auf der Seite des Anbieters benötigen.“ Ganz so einfach ist es also doch nicht. Weitere Beschwerden erwartet Viele Kritiker des digitalen Werbemarkts sehen auch weiterhin nur den Opt-in als einzig DSGVO-konforme Variante des Trackings an. Klärung versprechen sich alle von der ePrivacy-Verordnung, doch die steckt weiter im europäischen Verhandlungsprozess – und einer nicht abklingenden Lobbyschlacht. Weitere Gespräche seien im Europäischen Rat für den Herbst angesetzt. Bis die ePrivacy-Verordnung, inklusive Karenzzeit, in Kraft tritt, können noch Jahre vergehen. Der irische Ad-Tech-Kritiker Johnny Ryan blickt deshalb gespannt auf die laufenden Beschwerden der Nichtregierungsorganisation noyb – Europäisches Zentrum für Digitale Rechte. Noyb – oder „none of your business“ – reichte pünktlich zur Einführung der DSGVO vier Beschwerden gegen Google, Instagram, WhatsApp und Facebook bei den Aufsichtsbehörden ein. Es geht um grundsätzliche Fragen der Einwilligung beim Tracking und wie Nutzerdaten verarbeitet werden, kann aber bei positivem Bescheid weitreichende Folgen für die gesamte Verlagsbranche haben: „Lästige und penetrante Pop-Ups, die eine Zustimmung vom Nutzer verlangen, sollten so in vielen Fällen der Vergangenheit angehören“, schreibt die Organisation. Im September soll es erste Ergebnisse der Behörden geben. „Ich erwarte nach diesen Urteilen eine ganze weitere Reihe an Beschwerden über die Einwilligungsprozesse bei Cookie-Bannern“, sagt Ryan, der mittlerweile Chefberater für Policy-Fragen bei Brave ist, einem auf verstärkte Privatsphäre getrimmten Webbrowser. Ryan hält vieles, was die Cookie-Banner angeht, weiterhin für illegal. Sollte Ryan Recht behalten, dürften Verleger nicht mehr so leicht die Einwilligung ihrer Nutzer beim Tracking voraussetzen können wie bisher. Medienhäuser müssen sich dann gut überlegen, was sie tun. Es dem Standard gleich zu tun, wäre eine Option. Eine Log-in-Allianz zu gründen, eine andere. Marvin Milatz ist Medien- und Datenjournalist in Hamburg.