Forschung zu Advanced Data Protection Control zeigt, wie Datenschutzpräferenzen technisch übermittelt werden könnten. Das wäre mehr als ein bequemeres Cookie-Banner.
IT:U-Forschung zu ADPC greift ein bekanntes Problem auf: Cookie-Banner ermüden Nutzerinnen. Maschinenlesbare Datenschutzsignale könnten Einwilligung verständlicher und praktikabler machen.
Cookie-Banner gehören zu den nervigsten Alltagsritualen im Netz. Fast jede Website verlangt eine Entscheidung, viele Dialoge sind kompliziert, und nach kurzer Zeit klicken viele Nutzerinnen nur noch reflexhaft. Forschung rund um Advanced Data Protection Control, kurz ADPC, setzt genau hier an: Datenschutzpräferenzen sollen nicht jedes Mal neu in einem Banner abgefragt werden, sondern maschinenlesbar übermittelt werden können.
Die Interdisciplinary Transformation University (IT:U) bringt diesen Ansatz laut Meldung in EU-Debatten zur Reform digitaler Datenschutzregeln ein. Der Kern ist einfach zu verstehen, aber technisch und rechtlich anspruchsvoll: Ein Browser oder ein anderes Werkzeug könnte standardisiert mitteilen, welche Datenverarbeitung eine Person erlaubt oder ablehnt. Websites müssten diese Signale auswerten und respektieren.
Die Europäische Kommission erklärt auf ihrer Seite When is consent valid?, dass Einwilligung freiwillig, spezifisch, informiert und eindeutig sein muss. Genau daran scheitert die Alltagspraxis oft. Wer täglich dutzende Cookie-Banner wegklickt, trifft selten eine sorgfältig informierte Entscheidung.
Das ist nicht nur ein Komfortproblem. Wenn Menschen von Entscheidungen überfordert werden, sinkt der Schutz ihrer Privatsphäre. Einwilligung wird dann zur Routinegeste statt zu einer echten Wahl. Unternehmen investieren zugleich viel Aufwand in Banner, Consent-Management-Plattformen und rechtliche Absicherung. Beide Seiten haben also ein Interesse daran, die Praxis zu verbessern.
Die Wirtschaftsuniversität Wien führt die Publikation Advanced Data Protection Control (ADPC) in ihrer Forschungsdatenbank. Ein weiterführender Überblick ist auch auf arXiv verfügbar. ADPC wird dort als technischer und sozio-technischer Ansatz beschrieben, mit dem Datenschutz- und Einwilligungsinformationen standardisiert kommuniziert werden können.
Praktisch gedacht könnte eine Nutzerin festlegen, welche Arten von Tracking oder Profilbildung sie ablehnt. Diese Präferenz müsste nicht bei jeder Website erneut gesucht, angeklickt und bestätigt werden. Stattdessen könnte das Endgerät ein Signal senden. Das klingt bequem, aber der entscheidende Punkt ist Kontrolle: Die Entscheidung soll näher zur Person wandern und weniger von jedem einzelnen Bannerdesign abhängen.
Cookie-Banner sind nicht neutral. Farben, Button-Reihenfolge, Voreinstellungen, zusätzliche Klicks und unklare Kategorien können beeinflussen, ob Menschen zustimmen oder ablehnen. Deshalb geht es in der Debatte nicht nur um Technik, sondern auch um Macht. Wer die Oberfläche kontrolliert, kann Entscheidungen lenken.
Maschinenlesbare Datenschutzsignale könnten diese Macht verschieben. Wenn Präferenzen im Browser oder in einem vertrauenswürdigen Tool gespeichert sind, muss eine Website nicht jedes Mal durch Interface-Design um Zustimmung werben. Das würde manipulative Muster nicht automatisch beenden, könnte aber die Spielräume verändern.
Die Europäische Kommission thematisiert in Dokumenten zur digitalen Regulierung die Belastung durch Cookie-Banner. Auf EUR-Lex ist etwa ein Arbeitsdokument zur Digitalreform abrufbar, das die Problematik von Cookie-Bannern und Einwilligungsmüdigkeit beschreibt: EUR-Lex 52025SC0836. Die Meldung verweist außerdem auf Diskussionen rund um einen vorgeschlagenen Artikel 88b der Datenschutz-Grundverordnung.
Noch ist damit keine fertige Praxis beschrieben. Standards, Browserunterstützung, rechtliche Anerkennung, Kontrolle durch Aufsichtsbehörden und technische Umsetzung müssten zusammenspielen. Genau deshalb ist Forschung in diesem Bereich wichtig: Sie kann zeigen, welche Modelle funktionieren, welche Missbrauchsrisiken bestehen und wo Regulierung nachschärfen müsste.
Ein wichtiger Unterschied: Ein maschinenlesbares Signal kann eine Präferenz ausdrücken, ersetzt aber nicht automatisch alle rechtlichen Anforderungen an Einwilligung. Eine gültige Einwilligung muss informiert und konkret genug sein. Wenn ein Browser pauschal „Nein“ zu Tracking sendet, ist das relativ klar. Wenn er „Ja“ zu bestimmten Verarbeitungen sendet, wird schwieriger, ob die betroffene Person wirklich ausreichend informiert war.
Genau an dieser Stelle entscheidet sich, ob ein neues System Datenschutz stärkt oder nur neue Komplexität schafft. Technische Standards müssen so gestaltet werden, dass sie nicht zur Abkürzung für fragwürdige Datenverarbeitung werden. Gleichzeitig dürfen sie nicht so kompliziert sein, dass Nutzerinnen wieder bei undurchsichtigen Dialogen landen.
Die Meldung hebt Kinder als besonders schutzbedürftige Gruppe hervor. Das ist plausibel, weil Minderjährige die Tragweite von Tracking, Profilbildung und personalisierter Werbung oft schwer einschätzen können. Ein System, das Datenschutzpräferenzen zentraler und verständlicher verwaltet, könnte Eltern oder Erziehungsberechtigte stärker einbinden.
Gleichzeitig ist Vorsicht nötig. Eine technische Präferenz darf nicht zur Scheinsicherheit werden. Kinder nutzen Geräte gemeinsam, wechseln Apps und Plattformen, und viele Datenflüsse sind für Laien unsichtbar. ADPC kann deshalb ein Baustein sein, ersetzt aber nicht Aufklärung, klare Regeln und wirksame Durchsetzung.
Auch Unternehmen könnten profitieren. Heute müssen sie Banner gestalten, Rechtsgrundlagen dokumentieren, Ablehnungen speichern, Einwilligungen erneuern und auf unterschiedliche nationale Anforderungen reagieren. Ein verlässlicher Standard könnte Prozesse vereinfachen und rechtliche Unsicherheit reduzieren. Besonders kleine und mittlere Unternehmen hätten davon etwas, wenn Datenschutz nicht jedes Mal als teures Spezialprojekt beginnt.
Der Europäische Datenschutzausschuss hat bereits zur Cookie-Pledge-Initiative Stellung genommen und betont, dass Ansätze zur Reduktion von Cookie-Müdigkeit Grundrechte schützen müssen. Die entsprechende EDPB-Meldung ist hier abrufbar: EDPB: cookie pledge initiative. Die Botschaft ist klar: Weniger Banner darf nicht weniger Datenschutz bedeuten.
Selbst der beste Standard hilft wenig, wenn Websites ihn ignorieren oder nur formal umsetzen. Datenschutzaufsicht, Browserhersteller, Standardisierungsgremien und Unternehmen müssten daher zusammenarbeiten. Nutzerinnen brauchen zudem einfache Möglichkeiten zu sehen, welche Präferenz aktiv ist und ob eine Website sie respektiert. Ohne solche Rückmeldungen bleibt das System unsichtbar.
ADPC ist deshalb kein Zaubertrick gegen alle Datenschutzprobleme. Es ist ein ernsthafter Versuch, die Entscheidung über Tracking aus ermüdenden Bannern herauszulösen und technisch besser abzubilden. Ob daraus europäische Praxis wird, hängt an Recht, Technik und Vertrauen gleichermaßen.
Advanced Data Protection Control ist ein Ansatz, mit dem Datenschutzpräferenzen standardisiert und maschinenlesbar übermittelt werden sollen.
Viele Menschen treffen Einwilligungsentscheidungen unter Zeitdruck oder klicken reflexhaft. Dadurch wird Einwilligung weniger informiert und weniger wirksam.
Nicht automatisch. Der Ansatz könnte Banner reduzieren oder verändern, hängt aber von rechtlicher Anerkennung, technischen Standards und Umsetzung durch Websites ab.
Datenschutzentscheidungen würden stärker bei den Nutzerinnen liegen und weniger von jedem einzelnen Bannerdesign abhängen.
Hinweis: Die folgenden Hintergründe stützen sich auf öffentlich zugängliche Informationen der jeweils genannten Organisationen. Die Original-OTS-Aussendung wird bewusst nicht als weiterführende Quelle verlinkt.
Kontakt: Informationen zur ADPC-Forschung über research.wu.ac.at.