Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
DSGVO-Schnellcheck
Testen Sie Ihre Website kostenlos – Ergebnis in Sekunden
Analyse starten
Externe Links sind mit dem Symbol Externer Link Symbol gekennzeichnet. Datenschutzinfo
Datenschutz Deluxe

Cookie Banner: Ablehnen muss direkt möglich sein (Podcast-Folge #39)

Diese Folge kann hier angehört werden:

KI-generiertes Transkript

Das folgende Transkript wurde von einem selbst programmierten optimierten KI-Programm generiert. Das Programm ist datenschutzkonform, es benötigt keine Internetverbindung und tauscht keine Daten mit Dritten aus. Das Ergebnis ist hervorragend.

Hohe Datensicherheit
Offline-Betrieb möglich
Hohe Qualität
AI Act leicht beherrschbar
Datenschutz Deluxe, der Podcast rund um das Thema Datenschutz und IT mit Dr. Klaus Meffert und Stephan Plesnik.
Hallo und herzlich willkommen zum Datenschutz Deluxe Podcast.
Mein Name ist Stephan Plesnik und bei mir ist wie immer Dr. Klaus Meffert.
Und an alle da draußen, wir grüßen euch. Klaus, wie geht es dir?
Ja, viele Grüße auch von mir. Mir geht es wie immer gut und ich freue mich auf unser spannendes Thema.
Ja, das ist wunderbar, denn in der Tat wird es heute spannend.
Es ist zwar ein Thema, über das wir, glaube ich, gefühlt schon 200 Mal gesprochen haben, zumindest auch in unseren Talks neben dem Podcast und in Videos und unzähligen Verhandlungen, die man mit Kunden so führt, gerade als Datenschutzbeauftragter.
Und zwar geht es um das Thema Cookie Banner.
Ich nenne das jetzt mal als Oberbegriff. Wir alle wissen, eigentlich sollten wir über Consent Management reden und so weiter.
Worum es geht, sind die schönen Pop-Up-Boxen, die uns…
…zum Beispiel im Internet ständig auf Webseiten begegnen, wo uns dann abverlangt wird, in irgendwelche Datenverarbeitungen einzuwilligen.
Und dazu gab es ein neues Urteil und zwar vom 19.01.2024.
Und in diesem Urteil ergeht als Ergebnis Folgendes, nämlich, dass diese Cookie Banner so gestaltet sein müssen, was eigentlich jeder wusste, wie Klaus auch schon mal zu mir gesagt hat.
Dass der Ablehnen-Button genauso prominent oder gleichwertig gezeigt werden muss, wie der Akzeptieren-Button.
Und dass das Weckklicken der Box mit dem X nicht gleichwertig ist mit einer irgendwie gegebenen Äußerung zu einer Einwilligung.
Und darüber wollen wir jetzt mal gemeinsam sprechen.
Denn es gibt ja noch ganz, ganz viele Stellen in unserem Leben, wo wir Einwilligungen und Datenverarbeitungen, wo wir gar keine Möglichkeit haben, teilweise abzulehnen.
Also Klaus, hau mal raus, was ist da genau los?
Ja, also vielleicht erinnert sich der eine oder andere auch, dass bei Google auf den ganzen Webseiten, Suchmaschine, Google Maps und welche Dienste sie auch noch alle anbieten, Google Documents und so weiter, da hat Google ja, ich glaube, vor einem Jahr möglicherweise war das, ich kann mich nicht mehr genau erinnern, seine Einwilligungsabfrage, das sogenannte Cookie Pop-Up, ja auch geändert.
Und zwar auf Druck der EU, meine ich, war es gewesen.
Da, Google hat ja vorher auch alles akzeptieren, ja, sie dürfen meine Daten, Google, du darfst meine Daten für alles missbrauchen, wofür du Lust hast, Hauptsache, Google, du wirst reicher.
Das hat nur einen Klick gekostet.
Und wenn man aber damit nicht einverstanden war, was wohl eigentlich, also niemand wäre damit einverstanden, aber leider hat Google es so gestaltet, dass man da fünf oder sechs Mal klicken musste, je nachdem, auf welchem Endgerät man war.
Bei mir waren es fünf Klicks.
Bei mir waren es sechs.
Und das hat Google geändert, denn alles akzeptieren, alles ablehnen, gleichwertig, sogar die gleiche Farbgebung, meine ich.
Ob danach immer noch alles richtig ist, ist die Frage, weil man muss das alles ablehnen, natürlich auch richtig machen dann.
Ja, und jetzt hier bei diesem Urteil ging es darum, dass eben sehr viele Webseiten, hier war es ein Wetterdienst, der von der Verbraucherzentrale verklagt wurde, eben einfach unverschämterweise diese Ablehnmöglichkeit verstecken, entweder auf der ersten Ebene verstecken, oder sogar auf eine zweite Ebene schieben.
Und ich weiß es, vor allem auf dem Smartphone, du kannst es bestätigen wahrscheinlich, die meisten Menschen sind faul, sie klicken dann nicht einfach mal schnell auf die zweite Ebene, wissen es vielleicht auch gar nicht, dass es geht, oder haben vielleicht auch nicht so viel Ahnung von Datenschutz und denken sich, da wird schon nichts Schlimmes passieren.
Ich habe ja nichts zu verbergen, wird ja immer gesagt.
Dass man manipuliert.
Also erstens, man wird manipuliert durch Werbung, dazu gehört auch Wahlwerbung.
Ja, und wen wir wählen.
Wer wählen, der entscheidet unser Leben, muss man ja einfach mal so sagen, dann darf man sich auch nicht beschweren.
Zum Großteil, ja.
Und zum zweiten, wer nichts zu verbergen hat, ist ein ganz armseliges Würstchen in meinen Augen.
Das muss ich einfach mal so sagen.
Es ist nicht verboten, ein sehr langweiliges Leben zu führen, aber erstens glaube ich, dass niemand nichts zu verbergen hat, und zweitens finde ich ein langweiliges Leben einfach furchtbar.
Vor allem, weil wir kurz vor dem Ende der Menschheit stehen, aber das ist ein anderes Thema, Stichwort KI.
Ich habe es gerade wieder von jemand anders beschrieben.
Ich habe es gerade von jemand anders bestätigt bekommen, der es genauso sieht, der mich nicht kennt und den ich nicht kenne.
Aber zurück zum Thema.
Also alles akzeptieren, alles ablehnen.
Gleichwertig, sagt das OLG Köln.
Und übrigens möchte ich nur kurz erwähnen, ich habe es jetzt nämlich gefunden wieder in meinen Aufzeichnungen, der Europäische Datenschutzausschuss ETSA, oder auf Englisch EDPB, hat Anfang 2023 das auch schon festgestellt.
Ja, das ist, sage ich mal, ein Gremium, das keine gesetzgeberische Gewalt hat, aber…
Was der sagt, gilt eben als dringende Empfehlung, nenne ich es jetzt mal aus meiner Sicht.
Da kann man schon auch in juristischen Verfahren darauf zurückgreifen.
Und da steht schon drin genau das Gleiche, dass auf demselben Layer, auf derselben ersten Ebene das Ablehnen möglich sein muss.
Vielleicht so viel als Einleitung.
Da können wir gerne tiefer drauf einsteigen.
Ja, das ist sehr spannend.
Also das Erste, was ich jetzt gemacht habe, nachdem wir uns das jetzt mit dem Urteil angeguckt haben, war, dass ich mal so kurz auf die Bühne gehe.
Ja, das ist sehr spannend. Also das Erste, was ich jetzt gemacht habe, nachdem wir uns das mit dem Urteil angeguckt haben, war, dass ich mal so kurz auf die Bühne gehe. ich war dann auf den Big-Player-Websiten gegangen bin, wie zum Beispiel Amazon und so weiter.
Amazon natürlich an der Stelle ein Vorzeigebeispiel dafür, wie man es nicht richtig macht.
Und immer schon gewesen, also auch immer die Nachzügler an der Stelle.
Aber sie sind eben ein wunderschönes Beispiel dafür, wie man Leute bewusst in die Irre führt.
Aber selbst die haben jetzt zumindest mal einen Ablehnen-Button in ihrem Cookie-Banner.
Der war ja vorher gar nicht vorhanden.
Vorher gab es nur Akzeptieren, dann Anpassen.
Und das Schönste ist, dabei wird eigentlich unser Team dafür gewonnen. wurde dann, und das finde ich, das passt so schön in das Thema, was du meintest, mit der Verwirrung des Nutzers.
Wenn ich auf Anpassen gedrückt habe, wurde ich auf eine andere Webseite von Amazon geführt, wo dann Datenschutzeinstellungen und so weiter waren. Und ich wurde von dem Produkt weggeführt, ganz bewusst, auf das ich vorher geklickt hatte, zum Beispiel in der Suchmaschine Google, die mich dann zu Amazon geführt hat, war ich, nachdem ich gesagt habe, ich will hier nicht getrackt werden, nicht mehr bei dem Produkt und konnte daher auch nicht mehr zurück navigieren.
Ja, das heißt, ich musste wieder neu auf den Link klicken in der Suchmaschine.
Man musste das also in einem einzelnen Tab öffnen.
Also ganz, ganz viele Stellen finde ich, wo man wirklich sehen kann, der Benutzer wird ganz bewusst dazu verleitet, der Datenverarbeitung einfach blind zuzustimmen, weil es ihm super schwierig gemacht wird, an die Information, die er eigentlich möchte, heranzukommen, wenn er nicht zustimmt.
Also Stephan, das kann ich bestätigen, dieses Beispiel, das kommt zum Glück nicht sehr oft vor, aber es kommt vor, aber wie du sagst, statt dass ein Pop-up aufgeht, kommt man einfach auf eine andere Seite auf dieser Webseite, wundert sich, wie ich dann jetzt wieder zurückkomme eigentlich, nehme ich den Back-Button, bin ich wieder bei derselben Abfrage, wo ich alles akzeptieren sagen kann nur oder mehr Details und mehr Details komme ich zu dieser anderen Seite, wo ich gar nicht hin wollte.
Vielleicht finde ich dann irgendwo einen Speichern-Button oder ich gehe wieder zurück und mache Refresh und vielleicht, wenn ich Glück habe, habe ich diesen Dialog dann weg, aber ob dann alles abgelehnt wurde oder nichts mehr durchgeführt wurde, was einwilligungspflichtig ist, ist die andere Frage, also ganz perfide Sachen und ich möchte ja nochmal eines auch vielleicht sagen.
Wir müssten eigentlich schon 90% der Webseiten abgeschaltet haben, etwas vereinfacht gesagt, abschalten ist ja juristisch vielleicht der falsche Begriff, aber mit Sanktionen überzogen haben, denn entweder haben sie es bei diesem sogenannten Cookie-Pop-up falsch gemacht beim Ablehnen jetzt, oder wenn man eingewilligt hat, dann hat man ja eben nicht informiert eingewilligt, weil ich sage immer Google Analytics und so kann man halt nicht informiert einwilligen lassen, weil man nicht Bescheid weiß, was da passiert oder falls doch, dann müsste man da Romane, das ärgert mich maßlos und was noch dazu kommt, der Widerruf übrigens, das sollten auch mehr Leute jetzt mal angreifen, juristisch meine ich, manchmal wird man ja gezwungen, alles zu akzeptieren, zum Beispiel, weil nur auf der ersten Ebene dieser Button ist oder weil ja dieses Zahlmodell jetzt mittlerweile sich etabliert hat, alles akzeptieren oder Geld bezahlen. Jetzt sagst du, ich will kein Geld bezahlen, ich will nur den Artikel lesen, klickst auf alles akzeptieren, dann mach dir doch mal den Spaß, rufe wieder die Einwilligungsabfrage auf, wenn das schon nicht gelingt, wäre das schon der erste Verstoß oder der nächste Verstoß und sage alles wieder rufen und dann schau dir mal in der Entwicklerkonsole des Browsers Taste F12 auf dem PC, auf dem Smartphone geht es dann eher nicht, auf dem PC oder Notebook geht es, Taste F12 und dann gibt es den sogenannten Web-Speicher, das ist ein Karteireiter in dieser Entwicklerkonsole, da an bei Cookies, wenn man den Bereich aufklappt, was da noch für Cookies da sind und wenn nämlich da noch welche da sind, die verdächtig aussehen, einwilligungspflichtig waren, dann hätten die gar nicht mehr da sein dürfen und dann ist es schon der nächste Verstoß und da finde ich, sollte man doch häufiger mal gegen vorgehen.
Absolut, während du das gerade gesagt hast, habe ich einfach mal den Test gemacht, was passiert denn überhaupt, wenn ich jetzt auf der Amazon-Webseite bin und ich sage anpassen und dann alle ablehnen, also ich werde quasi durch diesen Prozess geführt, ich sage nicht im Cookie-Banner ablehnen, sondern ich sage erst anpassen und dann alle ablehnen. Danach bin ich zurückgeführt worden, wieder auf die Startseite, der Cookie-Banner war weiterhin da.
Mein Brave hat mir gezeigt, dass er in der Zwischenzeit, obwohl ich alle ablehnen gedrückt hatte, habe ich inzwischen 27 Tracker und Anzeigen, Tendenz steigend, blockiert mit Brave. Die Tracker belaufen sich alleine auf 19. Obwohl ich alle ablehnen gedrückt habe.
Das heißt also, es ist auch noch technologisch so eingerichtet, dass es faktisch vollständig unwahr und egal ist, ob ich zustimme oder ablehne, die Tracker werden ohnehin geladen.
Es ist also einfach nur eine absolute reine, blanke Verarsche des Nutzers, dass man ihnen diese Möglichkeit gibt. Und ich denke, das ist auch eine Sache, die man an vielen Stellen bei anderen Webseiten findet, dass diese Cookie-Banner total falsch gestaltet sind. Wir hatten in der Vergangenheit ja auch mal über den Google Tag Manager und so weiter gesprochen. Und da habe ich auch immer wieder gesehen, dass auf Webseiten einfach bestimmte Skripte geladen werden, noch bevor die Cookie-Box geladen wird, oder das Consent Management, ich nenne es jetzt mal beim richtigen Namen, sodass es faktisch vollkommen egal ist, was ich da anklicke. Meine Daten sind ohnehin schon zu Google gewandert.
Ja, und das ist ja nochmal ein anderes Thema an der Stelle.
Ja, du hast, also ich habe den Test auch gemacht bei Amazon. Ich bin, bis ich endlich mal die Einstellung gefunden habe, wo ich die Cookies ablehnen kann. Ja, das ist ja, nachdem ich ja irgendwann schon mal irgendwas angeklickt habe, das war schon mal der erste Thema, aber ich habe es gefunden und nachdem ich alles abgelehnt habe, ist es auf eine neue Seite gegangen, also Refresh sozusagen.
Und dann habe ich jetzt 24 Amazon-Cookies auf meinem Rechner hier.
Man kann sagen, ein paar könnte man akzeptieren, ja, aber 24 ganz bestimmt nicht.
Das hat nichts mehr mit notwendig und erforderlich zu tun. Selbst wenn man sagt, Sicherheit, Nutzervermögen, Verwaltung, was weiß ich, Sitzungsverwaltung, Sprachverwaltung, da bleiben immer noch 20 Cookies übrig, wo ich mich frage, wofür brauchen wir die denn jetzt? Ja, dann gibt es eine, gut, da ist die Währung drin. Okay, sind es noch 19, ja, aber dann wird es schon langsam schwierig. Dann hast du den Warenkorb und die Sprache. So, aber dann ist Ende.
Was soll es denn noch mehr geben? Ja, Sicherheit vielleicht noch, also ich sage mal, 10 Cookies von 24, sage ich mal, kann man mindestens angreifen. Eins alleine wäre ja schon ausreichend als Angriffspunkt, ja. Also ich meine, wir brauchen nicht 5 zu finden, damit es ein Problem ist, sondern 1 reicht. Ich kann in einem einzigen Cookie alle Informationen speichern, die ich will, um einen Nutzer wieder zu erkennen, wenn er nochmal auf die Seite, ein einziges Cookie reicht aus, da brauche ich nicht 24 dafür. Absolut. Und wenn ich mir die Werte hier angucke, die sind teilweise, also wenn ich sie dir vorlesen würde, dann sind Buchstaben-Zahlen-Kombinationen teilweise, die sind manchmal 80 Zeichen oder 60 Zeichen gefühlt lang und mehrere davon. Also es reichen aber schon 10 Zeichen ungefähr aus, um jeden Nutzer der Welt eindeutig zu identifizieren.
Also das ist wirklich eine Unverschämtheit. Absolut.
Gehen wir nochmal, also sagen wir mal so, dieses Cookie-Thema, wenn wir uns jetzt dieses Urteil angucken, dann ist es halt wirklich jetzt so, dass das eine Tür öffnet, wenn ich gegen solche Webseiten als Nutzer vorgehen möchte, weil ich jetzt wirklich mal die Möglichkeit habe, Präzedenzfälle zu nutzen und mich auf Urteile, die in Deutschland ausgesprochen wurden, an der Stelle ganz klar beziehen kann und sagen kann, hier, das ist ganz klar geregelt, auf der Webseite war das nicht so. Das trifft aber natürlich ja jetzt nur auf die zu, die den Ablehnen-Button nicht gleichwertig zum Akzeptieren-Button machen. Und da ist dann wieder die Frage, was heißt Gleichwertigkeit?
Bedeutet das, schließt das jetzt wirklich in diesem Urteil ein, dass die gesagt haben, okay, gleichwertig bedeutet wirklich nur, wenn beide Button exakt gleich gestaltet sind. Also vom Layout visuell exakt gleich aussehen, gleich aussehen.
Also, dass die Button exakt gleich prominent sind und gleich einfach erreichbar und nutzbar sind.
Ist das damit gemeint oder geht es trotzdem so, wie Amazon das macht?
Die haben dann einen gelben Akzeptier-Button und einen grauen Ablehnen-Button.
Ja, also, man muss es so verstehen, man kann alles natürlich anders verstehen und wenn jemand vor Gericht ist und beklagt wird, dann versteht das natürlich auch immer alles anders, zu seinen Vorteilen natürlich, das ist das Rechtssystem.
Aber man kann nur zu dem Schluss kommen, dass natürlich das Ablehnen mindestens so einfach sein muss, wie das Akzeptieren, wenn nicht sogar einfacher, wir können da gleich nochmal drauf eingehen, und nicht umgekehrt. Also sowohl, was die Optik angeht, muss beides gleichwertig wahrnehmbar sein und nicht akzeptieren.
Rot auf Weiß, sage ich, wobei Rot natürlich eine Negativfarbe ist, aber nehmen wir mal an, rein vom Kontrast her, Rot auf Weiß akzeptieren und Ablehnen ist dann hellgrau auf Weiß, ja, also dunkelweiß auf hellweiß, damit man es bloß nicht mehr sieht und am besten auch noch die Schrift die Schriftgröße kleiner bei Ablehnen und die Größe der Box kleiner, damit man es möglichst nicht trifft, auch wenn man es tatsächlich anklicken will, aus Versehen.
Zudem muss es, so sagt es OLG Köln, es auf demselben Ebene sein, also auf der ersten Ebene, weil man soll ja ablehnen und einwilligen, also einwilligen soll man ja auf der ersten Ebene, also muss es ablehnen, auch auf der ersten Ebene sein. Der Europäische Datenschutzausschuss hat es ja auch schon festgestellt.
Und im Artikel 7 DSGVO steht ja auch was, was dazu. Ich habe übrigens im Artikel 7 DSGVO auf meinem Blog Dr. DSGVO.de habe ich natürlich diese ETSA und auch OLG Köln-Urteil verlinkt.
Wir werden es auch in den Shownotes nochmal reinschreiben.
Da steht auch nochmal drinnen, dass das OLG Hamm zum Beispiel am 3.11.2022 entschieden hat, dass eine Einwilligungsabfrage die Datenverarbeitung ausreichend erklären muss.
Dann gibt es noch den Erwägungsgrund 32, Zulässigkeit der Einwilligung informiert und so weiter.
Und dann gibt es noch den Erwägungsgrund 111, der ist mittlerweile nicht mehr ganz so relevant, wegen USA.
Dann gibt es den Erwägungsgrund 39, der DSGVO, also Erwägungsgründe sind ja die zu DSGVO, die der Gesetzgeber da reingeschrieben hat, weil er es nicht mehr in den Gesetzestext packen konnte. Treu und Glauben, das war das mit dem X, was du erwähnt hast, dass man, wenn man auf ein X beim Cookie-Banner klickt, dass es dann nur schließt und nicht akzeptiert auch gleichzeitig, also ablehnen. Erwägungsgrund 42, Freiwilligkeit der Einwilligung steht auch im Artikel 7, als Begriff drin, Freiwilligkeit.
Hier stehe ich es mal nur mal kurz vor. Es sollte nur dann davon ausgegangen werden, dass sie, in Klammern die betroffene Person, ihrer Einwilligung freiwillig gegeben hat, wenn sie, also die betroffene Person, also der Website-Besucher, eine echte oder freie Wahl hat und somit, eine echte Wahl, ja, in der Lage, und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden. Also wenn wir einen Klick mehr machen müssen oder suchen müssen, ist das natürlich schon ein Nachteil.
Und das ist auch doch übrigens hier Facebook, bezahlen und so weiter.
Wenn ich bezahlen muss, damit meine Daten nicht rechtswidrig verarbeitet werden, dann, ganz ehrlich, dann ist das ein Nachteil für mich. Also ist das dieses Pay-or-Die-Prinzip, Daten oder Geld, ist damit auch schon ausgehebelt. Tut mir leid, also da steht das ganz wortwörtlich drin.
Ich habe daraus einen Nachteil, wenn ich Geld bezahlen muss für einen Service, der, wenn ich es nicht bezahlen muss, ich sonst Daten übertrage und bereit bin zu teilen, kostenfrei ist, dann ist das ein Nachteil.
Ja, du hast recht. Wir hatten ja auch schon über Facebook gesprochen, über diese unverschämt hohe Summe, die die da verlangen, die höher ist als von sogenannten Qualitäts Journalien, also ich will jetzt keine nennen, weil ich die auch nicht so qualitativ hochwertig finde, aber zumindest seriöse Blätter, Online-Blätter, die recherchieren ihre Inhalte selbst mühselig, ja, schreiben selbst die Texte und Facebook schreibt kein einziges Zeichen selbst, sondern lässt die dummen Nutzer, die diese dumme Plattform nutzen, einfach irgendwas eintippen, ja. Ich muss es leider so sagen. Wie sagte das John Oliver so schön? Der hat in seinem Segment über Facebook gesagt, Facebook ist a Toilet. Das ist halt einfach so, es ist eine Toilette. Ich verstehe, ja, du hast recht, ich verstehe, wenn jemand Facebook nutzt, weil er es nicht besser weiß. Okay, aber jetzt, also es gibt wirklich, wer sich ein bisschen informiert, der hat schon mitgekriegt, dass Facebook wirklich ein asoziales Unternehmen ist. Ich habe jetzt kürzlich, vor ein paar Tagen, da wurde im US-Kongress, was der Senat, glaube ich, war es, der Mark Zuckerberg, der Meta-Chef, ja, interviewt von einem Senator, mindestens von einem, von mehreren wahrscheinlich, und der Senator hat die Einwilligungsfrage für einen Medieninhalt, der auf einem Facebook oder Instagram zu sehen war, dargestellt, also ein Screenshot gemacht und da steht drin, damit hat er den Mark Zuckerberg konfrontiert, dieser Inhalt kann sexuelle Gewalt gegen Kinder enthalten.
Und dann, bitte beachten Sie, dass Sie sich strafbar machen, wenn Sie sich diese Inhalte anschauen und so weiter.
Dann kommt, ich übersetze jetzt mal auf Deutsch, also get resources, also mehr Informationen, als erstes und als zweites, continue anyway.
Also zeige mir diese sexuellen Missbrauch von Kindern an.
Und ich finde, wer solche Plattformen weiter nutzt, den finde ich auch, ehrlich gesagt, der sollte mal seinen moralischen Kompass überprüfen.
Und der Mark Zuckerberg hat sich natürlich da rausgeredet, der hat gesagt, ja, wir wollen den Leuten natürlich sagen und so weiter, die Wahl lassen, aber dann hat der Senator gefragt, Mr. Zuckerberg, in welchem Universum gibt es einen continue anyway Button für sexuellen Kindesmissbrauch?
Ja.
Auf Meta, auf Facebook, Instagram und WhatsApp. Also ich meine, WhatsApp bin ich nicht mehr, Instagram war ich noch nie und Facebook bin ich schon seit langem nicht mehr. Also ich finde, man kann ohne diese Plattform sehr, sehr gut leben und ich möchte nochmal die Menschen motivieren, wer meint, WhatsApp zu brauchen, der hat die falschen Freunde.
Definitiv.
Also grundsätzlich sowieso, wer durch eine App rechtfertigt, dass irgendetwas möglich ist oder unmöglich wird, der hat halt einfach irgendwie zu wenig über Alternativen nachgedacht oder hängt Funktionen der Einfachheit über Vernunft.
Kommen wir mal zurück zum Cookie Banner, weil, wir hatten ja gerade gefragt, hier, also meine Frage war ja quasi mit dem, wie müssen die Button gestaltet sein? Und ich habe jetzt in diesem Urteil vom Landesgericht Köln steht das schwarz auf weiß drin, da steht Einwilligungserklärung in Form, Funktion und Farbgebung gleichwertige, gleichrangige und gleich einfach zu bedienende Ablehnungsoptionen bereitzustellen.
Also da steht es schwarz auf weiß drin, der muss exakt genauso aussehen.
Ja, gleichwertig und gleichrangig in Form, Funktion, Farbgebung und Einfachheit der Bedienbarkeit. Das heißt also auch das, was zum Beispiel Amazon macht, im Beispiel gelber Akzeptieren Button, ausgegrauter oder grau aussehender Ablehnen Button ist faktisch nicht gleichwertig in der Farbgebung und damit nicht zulässig.
Wo wir aber bei diesen Cookie Bannern mal kurz sind, also wir haben ja jetzt schon in Länge diskutiert, es ist ganz klar, glaube ich, für jeden, der uns gerade zuhört bei diesem Talk, im Internet gibt es bestimmte Verarbeitungen von personenbezogenen Daten in Cookies, die Webseiten nutzen, um bestimmte Services tatsächlich bereitzustellen.
Ich habe dazu auch vor längerer Zeit mal ein Video gemacht, wo ich einen Test gemacht habe und genau geguckt habe, was ist eigentlich der Unterschied, wenn ich eine Webseite mit Cookies und ohne Cookies aufrufe? Was geht und was geht nicht? Und siehe da, 90% der Webseiten können wirklich einwandfrei ohne Cookies genutzt werden. Es sei denn, ich habe eine Anmelden-Funktion, dann muss natürlich ein Session-Cookie gesetzt werden, damit man weiß, welcher Nutzer ist angemeldet, wenn man dann auf der Plattform weiter im eingeloggten Zustand navigiert.
Das ist klar.
Dafür gibt es ja gar keine Einwilligungsabfrage für dieses notwendige Cookie, weil es auch keine Einwilligungsabfrage geben muss.
Genau, du lockst dich ja ein, entscheidest du ja freiwillig und selbst, ob du dich anmeldest.
Genau, also ablehnen führt eigentlich nie, so gut wie nie, du hast jetzt 90% gesagt, ich glaube mindestens 90% sind es, eher noch mehr. So gut wie zu einem Problem auf der Webseite und wenn doch, dann ist es das Problem des Webseitenbetreibers, beziehungsweise sollte es werden, dann sollte mal der Webseitenbesucher, also unsere Zuhörer, mal drüber nachdenken, ob er nicht, er oder sie nicht, den Webseitenbetreiber mal anschreibt und auffordert, diesen Missstand abzustellen.
Eine Frist setzt von, sagen wir, drei Wochen, das ist angemessen und wenn das nicht passiert, dann einen Anwalt nehmen und eine Abmahnung erlassen.
Das Gleiche gilt natürlich auch für alle möglichen Apps, die wir nutzen. Also da haben wir meistens nur Nutzungsverträge und unten steht dann, ich willige in die Datenschutz, in die Datenverarbeitung ein und so weiter. Also da gelten natürlich exakt dieselben Dinge, weil in Apps kann ich natürlich noch viel, viel mehr Daten im Hintergrund abgreifen, abgleichen und analysieren und nutzen. Aber was ich auch spannend finde, ist, bevor wir unser Gespräch gestartet haben, läutete sowas in meinem Kopf. Da hast du gesagt, wir haben ja auch unzählige Dinge im Alltag, die jetzt mal unabhängig von Technologie sind, sag ich jetzt mal ganz platt, wo wir uns Situationen begegnen, wo unsere Daten verarbeitet werden, wo wir teilweise gar keine Möglichkeit haben, außer einzuwilligen. Und da würde ich gerne mal drauf eingehen, denn das schöne Beispiel ist ja eine Arztpraxis.
Wenn ich da hingehe, dann wird mir auch so ein, ich nenne ihn jetzt mal Datenschutzwisch, weil ein Hinweis ist es nicht wirklich, denn wenn er mich auf etwas hinweisen würde, dann, wäre es ja erstmal nur eine Information, die mich nicht verpflichten würde, damit in Interaktion zu treten. Aber auch das, was da draufsteht, ist in wirklich, wirklich vielen Fällen so wenig eindeutig.
Also wenn ich zum Beispiel beim Arzt, das ist ja so ein beliebtes Tool, was jetzt alle Ärzte komischerweise einsetzen, so eine digitale Kalenderverwaltung, ich nenne jetzt den Namen des Anbieters mal nicht, einfach aus Freundlichkeit, obwohl ich die hasse wie die Pest.
Und wenn ich dann einwillige, in diese Datenverarbeitung, müsste tendenziell die gesamte Datenschutzerklärung und Datenverarbeitungsprozedur dieses Anbieters mit Ausgedruckt da dran hängen, sodass ich die lesen kann, bevor ich einwillige. Und auch erst, wenn ich die gelesen habe, müsste mir die Möglichkeit gegeben werden, darin einzuwilligen.
Denn das würde ja bedeuten, dass ich wirklich informiert bin darüber.
Dass das nicht passiert, weiß ich aus praktikablen Gründen. Klar, macht keiner und so weiter. Ja, ja, wird dann immer erzählt.
Aber die Frage ist ja tendenziell, willig ich, wenn du jetzt beim Arzt bist und du willigst da drin ein, bist du dir dann darüber im Klaren, was dieser Anbieter mit deinen Daten tut? Ja, also drei Sachen. Das erste war sogar das Oberlandesgericht Köln, was das Urteil gesprochen hat, nicht das Landgericht Köln, das war die Vorinstanz. Nur damit die Zuhörer wissen, dass es eine Oberinstanz schon war.
Also nicht nur die zweite, also Landgericht.
Davor käme ja das Amtsgericht zum Beispiel, das Landgericht war es auch nicht. Und das Amtsgericht nicht, sondern das Oberlandesgericht. Also eine, eine Instanz unter dem Bundesgerichtshof.
Das zweite ist, du hattest es schon angedeutet, damit es nochmal klar wird für die Zuhörer, Cookie Banner heißt eigentlich, wie du sagst, Consent Banner. Also es geht um eine Einwilligungsabfrage und nicht um die Einwilligung in Cookies, sondern um die Einwilligung in Datenverarbeitung, die eine Einwilligung erfordern. Dazu gehören auch Cookies. Und du hast jetzt ja das Beispiel genannt für eine Einwilligung beim Arzt. Und da möchte ich nochmal sagen, mir ist kein einziges Beispiel bekannt im ganzen normalen Leben, wo eine Einwilligung genauso leicht oder einfacher sogar möglich wäre, wie das Ablehnen.
Bis auf die Consent Banner auf Webseiten. Das heißt, eine Einwilligung, vielleicht wenn man länger drüber nachdenkt, aber ich kenne keinen Fall, wo die Einwilligung genauso leicht möglich wie das Ablehnen ist. Im Gegenteil, beim Arzt, du sagtest es gerade, ist es viel komplizierter einzuwilligen, als abzulehnen. Ich frage mich, warum es auf Webseiten genau umgekehrt ist. Aber jetzt zurück zu dem Arztbeispiel. Also da muss man natürlich unterscheiden, wenn ich eine Behandlung habe, ist es ja meistens ein Vertrag, soweit ich weiß. Das ist was anderes als die Einwilligung. Aber wenn es jetzt um diese optionalen Dinge geht, wie diese Kalenderverwaltung. Wenn ich dich richtig verstehe, man bucht online über die Webseite einen Termin, dann kommt so ein Kalender und der macht Dinge, da bin ich vielleicht nicht ganz mit einverstanden.
Moment. Ne, da hast du mich falsch verstanden. Ich meine jetzt tatsächlich folgendes.
Ärzte, bei denen du keinen Termin mehr bekommen kannst, wenn du nicht einwilligst, dass die über diesen Kalenderdienst, den sie selber nutzen zur Terminverwaltung, deine Daten verarbeiten dürfen.
Die dann einfach sagen, wenn sie uns die Möglichkeit nicht geben, ihre Daten in diesen Kalender dort einzutragen, dann können sie bei uns keinen Termin bekommen.
Die verweigern einem den Service und da muss man jetzt sagen, das sind Ärzte, die einem den Service verweigern. Es gibt ja noch sowas wie einen hypokratischen Eid und sowas. Ich weiß nicht, wie das da reinspielt. Aber moralisch ist das natürlich total am Ende.
Rechtlich weiß ich nicht, wie das ist. Aber tendenziell einfach, man sagt dem Patienten, nur wenn du hier einwilligst, dann behandeln wir dich auch.
Weil wir zu dumm sind, einen Terminkalender zu betreiben. Das ist die Übersetzung, die dahinter steckt.
Weil wir keinen Bock haben.
Das geht natürlich nicht. Das ist zulasten des Patienten. Entweder du frisst oder du stirbst sozusagen.
Du frisst, was wir dir da hinstellen oder du stirbst sofort.
Na gut, dann fresse ich halt. Egal, was sie mir geben.
So geht es natürlich nicht.
Also ich sag mal, so, ich möchte einen Termin haben und ich muss auch nichts einwilligen.
Der Arzt muss viel mehr mit dem Dienstleister, den er da benutzt für seine Terminverwaltung, einen Auftragsverarbeitungsvertrag abschließen. Damit regelt er nämlich, dass der Dienstleister sorgsam mit den Daten umgeht, die der Arzt ihm schickt. Das muss er sowieso machen, unabhängig davon, ob ich einwillige oder nicht.
Also es ändert ja meine Einwilligung, die gar nicht nötig ist in dem Fall, ändert gar nichts an der Tatsache, dass man sicherstellen muss, dass der Dienstleister sorgsam mit den Daten umgehen muss.
Selbst mit Einwilligung muss dieser AV-Vertrag da sein. Also zum Glück muss ich in letzter Zeit nicht sehr oft zum Arzt, deswegen kann ich da nicht wirklich mitreden.
Aber ich habe auch schon des Öfteren mal gemerkt bei Ärzten, also ich finde es sehr gut, dass es Ärzte gibt und die meisten sind sicherlich auch sehr engagiert und so weiter, aber wenn man jetzt zum Beispiel in die Abrechnungsthematik reingeht oder in den Datenschutz, da fallen einem oft Dinge auf, die einfach so nicht gehen.
Und da sollte man sich einfach mal dagegen wehren. Habe ich übrigens auch schon gemacht und teilweise auch erfolgreich oder nicht. Immer muss ich sagen, wenn zum Beispiel bei einer Rechnung irgendwas draufstand, was objektiv falsch war, dann habe ich es nicht bezahlt.
Ich rede jetzt über Selbstzahler.
Ich habe es gekürzt.
Komischerweise habe ich nie Ärger gekriegt, sondern es wurde akzeptiert und die Kürzung war natürlich immer so, dass ich das zu meinem größten möglichen Nachteil gekürzt habe, also so, dass es gerade noch vertretbar war für mich, also dass der andere es nicht angreifen konnte. Ich hätte noch viel mehr kürzen können.
Und genauso kann man sich natürlich auch wehren, man muss natürlich gucken, warum gehe ich da zum Arzt.
Wenn der Arzt mein Haus, Stammarzt ist, es gibt sonst keinen anderen, dann habe ich natürlich ein Problem. Aber ich kann mich ja anonym, weil wenn der jetzt einen Ärger kriegt und sauer auf mich ist, dann behandelt er mich schlecht.
Das ist immer so die Angst. Und vor Ort spontan beschweren geht ja nicht. Du willst ja den Termin haben. Du bist ja beim Arzt, weil es nötig ist. Also sollte man sich doch bei der Datenschutzaufsichtsbehörde dagegen beschweren.
Anonym möglicherweise.
Kann man ja machen. Man sagt, bitte geben Sie meine Daten nicht weiter.
Möchte sonst Nachteile. Und dann hat man zumindest mal eine Sache getan.
Und wenn man jetzt, sage ich mal, nicht unbedingt auf diesen Arzt angewiesen ist, es gibt vielleicht noch einen anderen oder man ist nicht todkrank, sondern war jetzt nur einmal beim Arzt, dann sollte man mal mit einem Anwalt sprechen, finde ich.
Ich finde, viel zu wenige Menschen kümmern sich darum, dass Urteile erlassen werden. Die sagen, die regen sich auch nur auf, so wie ich jetzt zum Beispiel das öftere Mal.
Aber im Gegensatz zu den meisten anderen Menschen, sorge ich auch dafür, dass es mal Urteile gibt oder dass der Rechtsweg eingeschlagen wird.
Ich meine, das gehört auch zur Zivilcourage dazu.
Da sollte man jeder drüber nachdenken, ob er diese Möglichkeit nicht auch mal in Anspruch nimmt. Und da zur Entlastung möchte ich sagen, der Verlierer zahlt die Zeche.
Das heißt, wenn man so einen Fall hat beim Arzt, dann ist man der Anwalt kann einem das sagen, hat man gute Karten zu gewinnen und dann muss man auch die Anwaltskosten im Endeffekt nicht bezahlen.
Und so weiter.
Also das sollte jeder Mensch, der die Möglichkeit hat, sollte auch mal den Rechtsweg beschreiten und nicht immer nur warten, dass es andere machen.
Ja, und ich finde, das ist eigentlich ein sehr schönes Schlusswort zu dieser Sache, weil wir haben es da mit einer Thematik zu tun, die ja immer wieder sich im Kreis dreht. Wir finden an jeder Stelle in unserem Leben Dinge, wo wir einwilligen sollen in die Verarbeitung unserer personenbezogenen Daten. Wir haben Rechtskonstrukte wie die Datenschutzgrundverordnung, das Bundesdatenschutzgesetz, alle möglichen, die uns helfen, unsere Rechte an der Stelle zu stärken, unsere Privatsphäre auch wirklich privat zu halten. Und wenn wir uns nicht drum kümmern, dass wir Leuten, die dagegen verstoßen, Denkzettel verpassen, also öffentliche, wirklich rechtlich bindende, im Sinne von Gerichtsurteilen, auf die sich andere beziehen können, dann können wir eben nicht erwarten, dass diese Rechtskonstrukte uns per se einfach mal schützen.
Wie du gerade angesprochen hast, die Landesdatenschutzbehörden sind eine super Anlaufstelle, die haben Formulare im Internet, da kann man seine Fälle schildern, man kann, wie du auch schon sagtest, anonym bleiben und trotzdem diese Informationen übermitteln, damit das eine Behörde mal prüft.
Natürlich wird das eine Zeit lang dauern und solche Dinge ziehen sich meistens relativ lang hin, aber am Ende des Tages ist die Wahrscheinlichkeit, dass man bei solchen offensichtlichen Dingen, wie bei der Terminvereinbarung beim Arzt, der einem sonst einfach sagt, du kannst hier nicht behandelt werden, auf jeden Fall eine höhere Chance hat zu gewinnen, als zu sagen, dass du hier nicht behandelt werden kannst.
Das ist eine große Herausforderung, um das zu verlieren.
Und auch wenn das ein bisschen umständlich ist, sorgt es eben in Zukunft vielleicht dafür, dass solche Urteile dann dafür sorgen, dass sich andere automatisch dran halten müssen.
Und das Gleiche gilt im Internet, bei den Cookie-Bannern, das Gleiche gilt bei Apps, bei jeder Form von Technologie, jeder Form von Software, jedes Betriebssystem verlangt von einem Nutzungsbedingungen zu akzeptieren, in denen hanebüchen der Quatsch drinsteht, der rechtlich nicht gültig ist.
Also wenn wir aktiv werden, können wir da auf jeden Fall was bewegen.
Und ich denke…
Vielleicht noch eine Anmerkung, weil wenn es um den Arzt geht, dann bin ich mir relativ sicher, dass man da ein Eilverfahren anstreben kann.
Eilverfahren sind normalerweise nur, sagen wir mal, erfolgsversprechend, wenn man auch darauf angewiesen ist, dass dieses Urteil sozusagen erlassen wird, damit man eben, damit dieses Problem abgestellt wird.
Und beim Arzt sehe ich das schon.
Definitiv.
Weil ich meine, ich friss oder stirb, sage ich da mal.
Ich möchte aber kein Gift fressen.
Ja, ja, genau.
Das halte ich schon für sehr…
Ja, das ist ja dringend, sage ich mal, dieses Problem, ja.
Also insofern, da geht es dann deutlich schneller als beim normalen Verfahren.
Wie gesagt, es sollten einfach mehr Menschen auch mal über die Schwelle der Beschwerde bei einer Datenschutzbehörde hinausdenken.
Immer nur eine Beschwerde.
Die Behörden, die werden meistens nicht tätig.
In wichtigen Fällen kann man es machen.
Und bei so einer Beschwerde muss ich noch dazu sagen, die meisten Menschen geben sich zu wenig Mühe, so eine Beschwerde zu erfassen und wissen vielleicht auch zu wenig darüber.
Die Behörden bearbeiten Beschwerden nicht, die einfach nur mal in 20 Minuten hingeschrieben wurden.
Die haben keine große Chance auf Erfolg.
Deswegen entweder eine sehr fundierte Beschwerde im Einzelfall mal oder am besten mit dem Anwalt sprechen.
Es gibt viele, die machen kostenlose Erstberatungen.
Und dann, wenn der Anwalt das für aussichtsreich hält, das sagt er einem nämlich dann, dann kann man dagegen klagen.
Es ist auch…
Ich bin auch der Letzte, der gegen irgendwas klagt, wenn der Anwalt sagt, das ist nicht vielversprechend.
Man sollte also jetzt nicht so ein Prozesshansel sein oder sowas, ja.
Da hat der Anwalt auch keinen Spaß mit.
Ja.
Wenn der Anwalt sagt, der Anwalt sagt einem seine Einschätzung und wenn man auch, wenn man eine andere Meinung hat und der Anwalt sagt, es ist nicht vielversprechend, dann sollte man sich ein anderes Thema suchen.
Aber wenn es vielversprechend oder aussichtsreich ist, dann sollte man draufgehen.
Wunderbar.
Ich würde sagen, damit haben wir so ziemlich alle Dinge besprochen, die mit diesem neuen Cookie-Banner-Urteil zu tun haben.
Ich hoffe, dass alle, die uns zugehört haben, jetzt so ein bisschen bessere Einschätzung haben davon, welche Cookie-Banner, bei denen ihr auf Akzeptieren klickt, welche wirklich koscher sind und welche nicht.
Und sonst bleibt nur zu sagen, benutzt einen Safe-Browser, der eure Tracker blockiert, egal ob ihr auf Akzeptieren oder Ablehnen klickt.
Die funktionieren immer wunderbar.
Und ich kann nur sagen, ich kann jede Webseite ganz normal benutzen und meine Informationen werden trotzdem nicht getrackt.
Von daher, also da geht euch nichts verloren, außer dass ihr ein bisschen mehr Privatsphäre im Internet habt.
Richtig.
Und ja, in diesem Sinne würde ich sagen, viel Spaß.
Ja, vielen Dank.
Danke.
Danke.
Viel Spaß an diesem Dienstag und bis zum nächsten Mal.
Was meinst du, Klaus?
Ja, hat mich sehr gefreut, Stephan, dass wir darüber sprechen konnten.
Und solange jetzt alle wissen, was sie tun müssen, um ihre Daten zu schützen, denke ich, haben wir doch schon ein paar nützliche Informationen geliefert.
Auf jeden Fall.
In diesem Sinne, liebe Leute, macht es gut.
Ciao, ciao.
Tschüss.
Das war Datenschutz Deluxe.
Du willst mehr spannende Themen oder Kontakt zu uns?
Dann besuche Klaus' Webseite www.dr-dsgvo.de.
Und wenn du noch Fragen hast, dann schreib sie uns in die Kommentare.
Wir sehen uns im nächsten Video.
Bis dann.
Ciao, ciao.
Tschüss.
Stephane Plesnik.
Bis zum nächsten Mal.
Alle Podcast-Folgen