Kalifornien verpflichtet Hersteller von Browsern und Mobilgeräten, Tracking-Opt-out-Einstellungen für alle Nutzer leicht zugänglich zu machen. Gemeint ist damit der Nachfolger der DNT-Headers: Global Privacy Control (GPC).
Warum finde ich das spannend?
Als Kalifornien sein Pendant zur Datenschutzgrundverordnung, den CCPA (California Consumer Privacy Act), verfasst hat, hat man scheinbar aus den Fehlern der DSGVO gelernt.
Um Nutzer nicht mit unpopulären “Cookie-Bannern” zu nerven, wurde ein anderer Ansatz gewählt: Der CCPA ist im Vergleich zur DSGVO weniger streng und basiert auf einem Opt-out-Modell statt auf einem Opt-in. Unternehmen dürfen also tracken, sind jedoch verpflichtet, den Nutzern eine Widerspruchsmöglichkeit anzubieten.
Das ist toll, denn in Kalifornien sind keine nervigen Consent-Banner nötig, deren Dark Patterns und Nudging-Methoden nach und nach durch die Instanzen weggeklagt werden müssen.
Das ist doof, denn in dem Moment, in dem ein Nutzer auf den Widerspruch-Link klickt, sind im Zweifel bereits die ersten Real-Time-Bidding-Verfahren durchgelaufen. Dabei wurden genügend Informationen gesammelt, verwertet und an Hunderte dubiose Adtech-Unternehmen weltweit verteilt, um den Nutzer identifizierbar zu machen. Der Widerspruch schützt die Privatsphäre also nur dann effektiv, wenn er bereits beim initialen Seitenaufruf mitgesendet wird.
Daher hat die CCPA (California Privacy Protection Agency) (und auch andere Bundesstaaten) das GPC als rechtlich bindend anerkannt und setzt die Vorgabe auch aktiv durch.
Wie DNT ist GPC einfacher HTTP-Header. Wenn Sec-GPC: 1 dann kein Tracking, fertig. In Firefox genügt dafür ein Klick in den Browser-Einstellungen, in Browsern wie Brave ist GPC sogar standardmäßig aktiviert.
Anders sieht es bei den großen Browsern und Smartphone-Apps aus. Google und Co. würden eine breite Aktivierung der GPC-Funktion direkt im Geschäftsmodell treffen…
Zwar gibt es GPC-Extension für Chrome, Safari und Edge, doch Google, Apple und Microsoft weigern sich bislang erfolgreich, GPC nativ in ihre Browser zu integrieren. Ganz zu schweigen von Android oder iOS: In der US-Privacy-by-Opt-out-Welt ist es bisher kaum möglich, Apps zu installieren, ohne dass diese zunächst alles Erfassbare nach Hause funken dürfen.
Für uns in der EU hat das zunächst keine direkten Auswirkungen. Hier ist für jedes Tracking ein individueller Opt-in erforderlich. Daran ändert sich auch nichts, wenn Browser und Betriebssysteme GPC-Einstellungen anbieten. Vermutlich wird auch weiterhin das Wegklicken eines Consent-Banners als „informierte Entscheidung“ gewertet und damit als gültiger Opt-in behandelt.
Trotzdem ein Sieg für die Privatsphäre:
Google und Co. sind nun verpflichtet, GPC in Browser, Android und iOS zu integrieren. Sie haben sechs Monate Zeit…