Neues Browser-Signal könnte Cookie-Banner obsolet machen. noyb und CSL der WU Wien veröffentlichen Spezifikation und Prototyp
Zusammen mit dem Sustainable Computing Lab ("CSL") der Wirtschaftuniversität Wien veröffentlicht noyb heute einen Vorschlag für ein neues automatisches Browser-Signal, um Cookie-Banner endgültig abzuschaffen. "Advanced Data Protection Control" (ADPC) soll zeigen, dass eine nutzerfreundliche europäische Lösung für Datenschutzeinstellungen leicht umsetzbar ist.
- Mehr Informationen unter dataprotectioncontrol.org
- Ein Plugin-Prototyp erlaubt einen praktischen Test
- Die genaue technische Spezifikation wurde ebenso heute veröffentlicht
Cookie Banner für Nutzer:innen und Unternehmen nervig. Cookie-Banner sind nicht nur oft rechtswidrig (wie unsere über 500 Beschwerden von vor zwei Wochen zeigen), sondern vor allem auch unglaublich nervig für Nutzer:innen. Für Unternehmen, die eigentlich eine einfach nutzbare Webseite betreiben wollen, gibt es keine Alternative zu nervigen Bannern, wenn sie Cookies setzen wollen.
Gesetzlich vorgesehen, aber nicht existent. Nach Artikel 21(5) der DSGVO und der ePrivacy Verordnung, die gerade neu verhandelt wird, sollten eigentlich automatische Signale des Browsers Webseiten im Hintergrund mitteilen, ob ein:e Nutzer:in einer Datenverarbeitung zustimmt. Das einzige Problem: Ein solches Signal existiert derzeit nicht - wohl auch weil viele Tracking-Unternehmen mehr Einwilligungen durch nervige Banner versprechen.
Advanced Data Protection Control (ADPC). Im Vergleich zu binären "Opt-Out"-Ansätzen aus den USA (wie "Do not Track" oder "Global Privacy Control") sieht ADPC differenziertere Möglichkeiten vor: So soll das Signal auch spezifische Einwilligungen ("Opt-In") für eine bestimmte Webseite und einen bestimmten Zweck darstellen können.
Schrems: "Für Europa brauchen wir mehr als nur ein 'opt-out', damit es in unseren Rechtsrahmen passt. Daher nennen wir den Prototyp auch 'Advanced' Data Protection Control, weil es viel flexibler und spezifischer ist als die bisherigen Ansätze."
Wie "smarte" Kamerafreigabe im Browser. Webseiten können maschinenlesbar ihre Datenschutz-Anfragen senden und ADPC erlaubt einen Übertrag der Antwort mittels Header-Signalen oder über Java Script. Genauso wie etwa eine "Kamerafreigabe" können Nutzer:innen durch ein einheitliches, simples Pop-Up im Browser ihre Daten freigeben. Damit gehören auch absurde Klick-Marathons auf absichtlich komplexen Bannern der Vergangenheit an. ADPC erlaubt aber vor allem auch ein intelligentes Management von Anfragen und deren automatische Beantwortung: So könnten gleichartige Anfragen einheitlich für alle Webseiten positiv oder negativ beantwortet werden. Nutzer:innen könnten auch wählen, nur besimmte Anfragen zu erhalten - ähnlich einem "Spam-Filter" bei E-Mails.
Schrems: "ADPC erlaubt intelligentes Management von Datenschutzanfragen. Ein Nutzer könnte etwa sagen, 'bitte frage mich erst, wenn ich auf der Seite mehrmals war' oder 'frag mich nach 3 Monaten wieder'. Ebenso ist es möglich, gleichartige Anfragen zentral zu beantworten. ADPC ermöglicht, die Flut von Datenanfragen sinnvoll zu managen."
Privilegierung für Qualitätsinhalte möglich. Wichtig ist den Entwicklern von ADPC auch, dass es mit sogenannten "Whitelists" möglich wird, etwa Qualitätsjournalismus oder Kunst und Kultur mit einem Klick zu bevorzugen: Verbände könnten damit etwa "Whitelists" anbieten und promoten, die Nutzer:innen mit einem Klick übernehmen können. Das könnte mit einer gesetzliche Regelung nicht umgesetzt werden, da der Gesetzgeber - anders als die Nutzer:innen - keinen spezifischen Wirtschaftssektor bevorzugen darf.
Schrems: "Viele Nutzer sind vermutlich bereit, mit Qualitätsmedien etwas mehr Daten zu teilen, aber wollen ihre Daten nicht an hunderte externe Tracking-Firmen geben. Mit ADPC kann etwa ein Zeitungsverband eine Whitelist bewerben, wodurch gewisse Daten durch Qualitätsmedien automatisch verarbeitet werden düfen. Der Nutzer kann so mit einem Klick gewisse Gruppen unterstützen."
ePrivacy-Verordnung bringt Entscheidung. Ob ein solches Signal am Ende auch von Unternehmen genutzt werden muss und damit erfolgreich ist, liegt beim Gesetzgeber: Im Rahmen der ePrivacy-Verordnung, die nun final verhandelt wird, wird ein solches Signal vorgeschlagen. Strittig ist noch, ob und in welcher Form es gesetzlich verpflichtend wird. Hier ist Kalifornien der EU voraus: Dort kann eine staatliche Stelle ein solches Signal verbindlich machen.
Schrems: "Wir wollen dem europäischen Gesetzgeber mit ADPC auch zeigen, dass so ein Signal einfach machbar ist und für alle Seiten Vorteile bringt. Wir hoffen, dass die Verhandler der Mitgliedsstaaten und des Europäischen Parlaments hier für eine solide Rechtsgrundlage sorgen, die schon in kurzer Zeit geltendes Recht sein könnte. Was Kalifornien schon hat, sollte die EU auch können."
Hintergründe. ADPC ist eine Kooperation zwischen noyb und dem Sustainable Computing Lab an der Wirtschaftsuniversität Wien. Das Projekt wurde von netidee (hinter der die österreichische Domain-Verwaltung nic.at steht) teilweise gefördert. In den letzen zwei Jahren hatten wir unzählige Gespräche mit Experten und bauen auf den Erfahrungen von "Do not Track" und ähnlichen Signalen wie "Global Privacy Control" in Kalifornien auf. ADPC ist eine technische Spezifikation und ein Prototyp für ein simples Browser-Plugin und soll als Diskussionsgrundlage dienen und für reges Feedback sorgen. Mehr Informationen und FAQs finden Sie auf dataprotectioncontrol.org.