ADZINE: Thomas, nicht allen unseren Lesern dürfte die “Cookie Pledge” ein Begriff sein. Magst du kurz erläutern, was dahintersteckt? Was hat sich der EU-Kommissar Reynders überlegt?

Thomas Duhr: Umfragen haben ergeben, dass viele Nutzerinnen und Nutzer digitaler Angebote von Einwilligungsbannern im Netz genervt sind. Diese Cookie-Müdigkeit, die sogenannte Cookie-Fatigue, wurde auch 2023 in einer Befragung der Europäischen Kommission festgestellt. Verantwortlich dafür war Didier Reynders, Commissioner of Justice, und damit der Bereich, in dem sowohl die Rechtsangelegenheiten als auch die Verbraucherschutzthemen innerhalb der Europäischen Kommission gebündelt sind.

In diesem Zuge hat sich Reynders dem Sachverhalt angenommen, um eine Lösung dafür auszuarbeiten. Dabei ist mir wichtig zu unterstreichen – auch für die digitalen Dienste ist der aktuelle Zustand nicht zufriedenstellend. Cookie-Banner sind jedoch auf regulatorische Vorgaben zurückzuführen, die einzuhalten sind. Im Rahmen einer Konsultation hat die EU-Kommission dann mit relevanten Stakeholdern die sogenannte Cookie-Pledge-Initiative gestartet. Daraus ist mittlerweile eine freiwillige Selbsterklärung entstanden, mit dem eigentlichen Ziel die Bannerflut zu reduzieren.

ADZINE: Welche Selbstverpflichtungen sind dabei herausgekommen?

Duhr: Die Idee der Cookie-Pledge ist, dass diejenigen Unternehmen, die diese Selbstverpflichtungserklärung zeichnen, Cookie-Banner nur noch nach deren Maßgaben ausspielen. Dabei handelt es sich um acht Prinzipien, die auf den ersten Blick durchaus wie ein sinnvoller Ansatz erscheinen. Mehrere dieser Prinzipien führen aber bei genauerem Hinschauen dazu, dass ultimativ der Ursprungsgedanke des Internets als Ort für alle ad absurdum geführt wird. Digitale Dienste könnten faktisch nahezu keine Leistungen mehr anbieten.

ADZINE: Von welchen Prinzipien sprichst du genau? Und hast du ein praktisches Beispiel für uns?

Duhr: Nehmen wir das Prinzip G. Dies besagt, dass ein Verbraucher, nachdem er seine Cookie-Einwilligung oder -Ablehnung erteilt hat, erst nach einem Jahr eine erneute Abfrage durch den Dienst erfolgen darf. Das hört sich im ersten Moment gut an, aber da wir in einer dynamischen digitalen Welt leben, verändern sich die Datenverarbeitungen, die Zwecke und die Dienstleister kontinuierlich. Es ist auch nicht im Sinne der DSGVO, eine fiktive Frist zu setzen. Ein Dienst muss dann wieder mit dem Nutzer in Interaktion treten, wenn es rechtlich notwendig und angezeigt ist. Sonst wäre mir als digitaler Dienst ein Dienstleisterwechsel schlicht nicht möglich.

Das Prinzip ist also völlig praxisfern. Außerdem würde ich mich als digitaler Dienst bei Zeichnung extrem beschneiden. Ich verzichte auf gängige Geschäftspraktiken, die rechtlich zulässig sind. Die Cookie-Banner sind ja nicht entstanden, weil die Anbieter von digitalen Diensten Spaß daran haben, sondern aufgrund rechtlicher Anforderungen. Damit bewegen wir uns im Bereich der E-Privacy-Verordnung und TTDSG in Kombination mit der DSGVO. Dies wird vom genannten Prinzip jedoch völlig ignoriert. Digitale Dienste stehen also vor der Wahl: entweder rechtskonform und die Pledge nicht zeichnen, oder die Pledge zeichnen und kein Geschäftsmodell mehr für die Refinanzierung.

ADZINE: Welches ist das zweite widersprüchliche Prinzip?

Duhr: Hier will ich noch das Prinzip D kurz skizzieren. Dabei geht es um die sogenannten Pay-or-OK-Modelle, die unter anderem von Publishern eingesetzt werden. Diese bieten dem Nutzer zwei Möglichkeiten an, um sich zu refinanzieren: bezahlen oder datenbasierte Werbevermarktung akzeptieren. Die Cookie-Pledge verlangt einen dritten Weg, ohne relevante Datenverarbeitung und ohne Bezahlung.

ADZINE: Wie soll das funktionieren?

Duhr: Diese Möglichkeit gibt es nicht. Dahinter steht die Vorstellung, dass alle Inhalte ohne jegliches Modell der Refinanzierung angeboten werden müssen. Die Alternativmöglichkeit ist also womöglich die ausschließlich aus Steuern vollständig finanzierte Funktion all dessen, was im Internet existiert. Dies kann nicht gewollt sein.

Zumal die Pledge an dieser Stelle plötzlich Geschäftsmodelle regeln will und EuGH-Rechtsprechung ignoriert, die das Ganze bereits erlaubt. Das hat nichts mehr mit Cookie-Fatigue zu tun, sondern greift tief in die Geschäftsmodelle der Diensteanbieter ein. Die Cookie-Pledge-Initiative ist gut gemeint, aber schlecht gemacht. Sie springt entweder maximal zu kurz oder absolut zu weit.

ADZINE: Ist das bei den Verantwortlichen inzwischen angekommen?

Duhr: Wir haben vorgeschlagen, statt einer Unterzeichnung der Pledge als Ganzes zu einer Differenzierung umzuschwenken. Digitale Dienste sollten auch einzelne Principles zeichnen können. Der Erkenntniszuwachs der Verantwortlichen der Europäischen Kommission geht aber nicht mit der erforderlichen Geschwindigkeit einher.

ADZINE: Siehst du die Gefahr, dass die Cookie-Pledge in der aktuellen Form durchgedrückt wird?

Duhr: Es ist zu erwarten, dass die EU-Kommission dieses Cookie-Pledge veröffentlicht. Nach unserem Kenntnisstand wird jedoch kaum ein Unternehmen unterschreiben können. Die Hoffnung der EU war, dass die großen Digitalplayer unterzeichnen und dann der Gesamtmarkt folgt. Diesen kausalen Zusammenhang gibt es aber mit hoher Wahrscheinlichkeit nicht.

Für uns als BVDW ist es wichtig, dass die digitale Wirtschaft in Gesetzgebung involviert ist. Sonst steht oft ein hehres Ziel jenseits technischer Machbarkeit und technologischer Realität. Aktuell wird Gesetzen gar keine Zeit mehr gegeben, ihre Wirkung zu entfalten. Wir haben den DSA, DMA, Political Ads, AI Act – das muss man erstmal mit Leben füllen, bevor man neue Regulierungen obendrauf setzt.

Die EU hat lange Jahre versäumt, Gesetzgebungen voranzutreiben. Mitte des vergangenen Jahrzehnts ist die EU in einen Hyperaktivismus verfallen. Das Ergebnis ist ein Wimmelbild an Gesetzgebungen, die nicht wirklich miteinander korrespondieren. Die Aufgabe ist es jetzt, in der nächsten Legislatur und sowohl aufseiten der EU als auch aufseiten der nationalen Institutionen, zu einer Rechtskonsolidierung zu kommen.

ADZINE: Wie könnte man der Cookie-Müdigkeit alternativ entgegenwirken? Ist das überhaupt technisch besser abzubilden als durch die ganzen Banner?

Duhr: Wenn wir auf das ganze Thema Post-Cookie-Ära und pseudonyme Nutzerprofile schauen, bewegen wir uns hin zu eher persistenten Identifiern, die eine gewisse Haltbarkeit aufweisen. Somit könnten auf Dauer auch die Cookie-Banner abnehmen, wenn digitale Dienste über verschiedene Angebote hinweg mit ID-Lösungen oder ähnlichem arbeiten. Durch die datenschutzkonforme Weiterentwicklung des Ökosystems wird dieses Thema der Banner also möglicherweise in drei bis fünf Jahren an Bedeutung verlieren. Aus einem natürlichen Prozess heraus, der niemandem schadet.

ADZINE: Was könnte die EU selbst tun?

Duhr: Es bestünde die Möglichkeit, sich die bestehenden gesetzlichen Regelungen genauer anzuschauen und die wirkliche Ursache des Sachverhalts Cookie-Fatigue, sowohl aufgrund der Gesetzgebung als auch der Rechtsprechung und -interpretation, zu ermitteln. Um ein konkretes Beispiel zu nennen: Solange die Vorstellung herrscht, dass “strictly necessary for the delivery of the service” ausschließlich meint, die technische Transmission zum Device eines Nutzenden herzustellen, werden wir nicht aus dem Thema herauskommen.

ADZINE: Wie ist das aufzulösen?

Duhr: Mit einem erweiterten Verständnis davon, was „unbedingt notwendig“ für einen digitalen Dienst bedeutet. Eine Refinanzierung eines Services muss aus unserer Sicht davon auch in gewissen Teilen umfasst sein. Bei einer harten Auslegung ist es dem Betreiber eines digitalen Dienstes aktuell noch nicht einmal möglich, eine dritte Partei zum reinen Messen von Werbeleistungen zu Abrechnungszwecken einzusetzen.

ADZINE: Wir drücken die Daumen. Danke für das Gespräch, Thomas.