Marit Hansen: Selbstverständlich fühle ich mich jetzt sehr bestätigt. Allerdings bin ich nicht überrascht, denn es war uns ja klar, dass es rechtlich nicht geht, einfach personenbezogene Daten durch die Gestaltung einer Webseite zu Facebook zu geben, ohne dass überhaupt jemand weiß, was da passiert.

Römermann: Was wird sich denn jetzt durch dieses Urteil ganz konkret für Nutzer ändern, ist das schon absehbar?

Hansen: Auf der einen Seite gibt es ja dann erst noch eine Rückverweisung an das Gericht, das noch weiter entscheiden muss, wie ist es in diesem konkreten Fall. Da wird man auch noch mal neu prüfen. Das kann aber noch ein, zwei Jahre dauern. Ich denke, es geht viel schneller, dass jetzt Facebook sich entscheiden muss, wie gehen sie mit so einem Urteil um. Denn das, was wir vor einem Jahr in einem anderen EuGH-Urteil mitbekommen haben, war ja schon die Aufforderung, dass alle, die eine Fanpage haben, zusammen mit Facebook eine gemeinsame Verantwortlichkeit einnehmen. Und das bedeutet, dass man eine Vereinbarung schließen muss. Facebook ist noch dabei, das so zu finalisieren, wie es vielleicht dann rechtlich konform ist, noch sind wir nicht zufrieden. Aber das muss ich dann auch auf diese ganzen Plugins anwenden - und eben nicht nur bei Facebook. Das ist das Spannendste, glaube ich, an diesem Urteil. Es geht um alle Plugins, allen Code, der bei der Webseite eingebunden wird.

Römermann: Was ist denn daran problematisch, wenn ich jetzt, sage ich jetzt mal, als Onlineshop-Betreiber oder als Onlinezeitung von fremden Firmen in meine Webseite einbinde?

Hansen: Dass sogar Sicherheitsrisiken daraus resultieren. Der Code, es gibt verschiedene Arten, zum Beispiel, dass die Daten an eine dritte Stelle gegeben werden, an einen Server. Und dort werden die zusammengefasst, damit dieser Server mehr über die Nutzer erfährt, also ein Profil anlegt. Und das ist meistens dafür da, dass man direkt besser und zielgerichteter die Werbung schalten kann. Man will also damit die Nutzer kennenlernen, und zwar nicht nur über eine Website, sondern über ganz viele - wo man sich im Internet bewegt.

Römermann: Und was für Daten werden da gesammelt?

Hansen: Interessensdaten insbesondere, aber auch Persönlichkeitsdaten. Zum Beispiel: Wer klickt wohin, was für ein Thema war da gerade, sind das Dinge, wo jemand zum Beispiel auch ein bisschen hin- und herklickt, braucht er sehr lange, bis er weiterklickt. Das sind also viele Informationen, aus denen dann weitere Profile entstehen. Und daraus kann man sich dann einige Schlussfolgerungen ziehen, die für mich auch gar nicht alle nachvollziehbar sind, aber dann wird weiter probiert, interessiert der sich vielleicht mehr für schnelle Autos oder fürs Bücherlesen, ist er einer, der dauernd alle fünf Sekunden etwas Neues sehen will.

Römermann: Es ist ja schon bisher so, wenn ich auf eine Webseite gehe, bekomme ich dann häufig unten eingeblendet so einen Balken, und da steht dann, bitte stimmen Sie hier unseren Datenschutzbestimmungen zu, es werden folgende Daten übermittelt. Reicht das denn nicht aus als Information, da habe ich doch auch die Möglichkeit, mich zu informieren, was passiert.

Hansen: Das Erste ist, man klickt eine Website an und möchte mit dieser Website kommunizieren. Ich interessiere mich für Schuhe und gehe zu diesem Schuhladen oder für diese News. Das bedeutet, ich bekomme erst mal nur zu sehen, was ist das, was diese Firma zum Beispiel über mich sammelt, zum Beispiel, dass die auch mitspeichern möchte, möchte ich jetzt immer Größe 40 haben oder 45. Das kann mir da dargestellt werden. Jetzt haben aber viele dieser Webseiten bis zu 100 Tracker, die eine Nachverfolgung im Internet eben über diese verschiedenen Seiten, nicht nur die Schuhseite, mit sich bringen, die die Nutzer nachverfolgen. Überall, wo derselbe Code installiert ist - und das ist eben nicht nur bei dieser einen Webseite - immer dort werden diese Daten erfasst. Und so ist die Sichtbarkeit dessen, was mich ausmacht als Mensch, wo ich klicke, was mich interessiert, natürlich viel größer. Und dafür gibt es einige spezialisierte Firmen, da kann man den Code einfach dazunehmen. Aber dieses einfache Dazunehmen, das hat man einfach jetzt mal so gemacht. Jetzt wird aber deutlich, man hat auch dafür die Verantwortlichkeit, selbst als - in meinem Beispiel - dieser Schuhanbieter. Und das bedeutet, auch darüber muss informiert werden, und meistens hat sich der Schuhanbieter in meinem Fall gar nicht darum gekümmert, was passiert da überhaupt. Der hat einfach das als Code aufgenommen, aber nicht sich Gedanken gemacht, dort werden Daten gesammelt.

Römermann: Wie wird das denn in Zukunft Ihrer Meinung nach laufen? Muss ich dann, wenn ich auf eine Webseite gehen, auf 15 verschiedene Buttons klicken, um diesem oder jenem zu widersprechen, dieser oder jener Datenübermittlung zu widersprechen, oder kann ich auch zukünftig einfach mal auf Okay klicken und muss da keinen Klick-Marathon machen?

Hansen: Aus meiner Sicht muss es starten immer mit einer datenschutzfreundlichen Einstellung. Das bedeutet, ich muss nichts klicken, und es wird über mich auch nichts erhoben. Wenn es dann doch so sein muss oder soll - zum Beispiel, weil ich gerne personalisierte Werbung haben möchte - dann kann ich klicken, dort, wo ich das haben möchte. Das bedeutet aber, ich muss nicht widersprechen, sondern kann wirklich sagen, ich mache da jetzt mit, das ist in Ordnung, und dafür hat man geklickt. Das müsste man nicht jedes Mal wieder tun, wir stellen uns auch technische Lösungen vor mit einem Einwilligungsmanagement. Aber insgesamt sehe ich auch mehr Möglichkeiten für trackingfreie Zonen, wo man einfach geschützt ist und eben nicht diese Profile erstellt werden.