Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
Ergebnis in wenigen Sekunden sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Borlabs Cookie: Testbericht und Empfehlungen

0

Eines der bekannteren Consent Tools für Webseiten ist Borlabs Cookie, das speziell für WordPress Seiten gedacht ist. Die Stärken und Schwächen von Borlabs verrät dieser Praxistest.

Einleitung

Ein Praxistest ist ein einfaches und gutes Mittel, um die Tauglichkeit eines Produkts festzustellen. Deswegen habe ich im folgenden zwei Webseiten herausgepickt und deren Einwilligungsabfrage, die mit Borlabs Cookie realisiert wurde, unter die Lupe genommen. Eine der beiden Webseiten wird von einer mir bekannten Datenschutzbeauftragten betreut. Ich habe mitbekommen, auch weil ich selbst für deren Kunden ein Beratungsgespräch geben durfte, dass der Kunde als Betreiber der Webseite Datenschutz sehr ernst nimmt.

Zwei Beispiele sind vielleicht nicht repräsentativ, werden Sie denken. Wer weitere reale Beispiele sehen will, findet diese in meinem großen Praxistest zu Consent Tools. Da ich zahlreiche weitere Fälle nennen kann, die die gleiche Symptomatik wie die folgenden Webseiten und die aus dem Praxistest zeigen, kann ich sicher behaupten, dass die dargestellten Befunde ausgesprochen repräsentiv sind.

Beispiele aus der Praxis

Beispielhaft habe ich Screenshots von zwei Webseiten erstellt, die sowohl das Einstiegsbild von Borlabs zeigen als auch die Detailansicht. In der Detailansicht sind Angaben gemacht, die für Einwilligung wichtig sein sollen.

Webseite 1

Bei Besuch der ersten Webseite erscheint folgende Einwilligungsabfrage.

Typisches Einstiegsbild von Borlabs Cookie

Nach Klicken auf Individuelle Datenschutzeinstellungen erscheint folgendes Bild. Für den Screenshot habe ich den Bereich Externe Medien aufgeklappt:

Details zu einwilligungspflichtigen Vorgängen

Automatisch feststellbare Mängel

Was meine ich mit automatisch feststellbare Mängel? Kürzlich habe ich ein Tool entwickelt, mit den Consent Abfragen automatisch analysiert werden können. Hier die Kritik für Webseite 1, wie sie automatisch von meinem Tool ermittelt wird.

Ohne Einwilligung geladene Tools, Cookies und Dateien

Mein Tool erkennt automatisch folgende rechtswidrige Ladevorgänge, wohlgemerkt trotz Borlabs Cookie:

  • Google reCAPTCHA
  • Google Schriften

Google reCAPTCHA ohne Einwilligung zu verwenden, verstößt gegen Art. 5 Abs. 3 der ePrivacy Richtlinie bzw. gegen §15 Abs. 3 des Telemediengesetzes, welcher richtlinienkonform auszulegen ist, wie der BGH im Mai 2020 festgestellt hat. Wer es genauer wissen will, kann es in meinem Artikel zu Google reCAPTCHA nachlesen. Zur Info: Dies ist keine Meinung von mir, sondern belegbar und beweisbar!

Externe Google Schriften ohne Einwilligung zu laden, macht keinen Sinn, ist aber dennoch rechtswidrig. Es verstößt eindeutig gegen Art. 5 DSGVO, wo der Grundatz der Datenminimierung gefordert ist. In meinem Artikel zu Google Schriften beweise ich, dass das berechtigte Interesse für externe Google Schriften ausscheidet. Auch hier handelt es sich nicht um meine Meinung, sondern um einen Beweis. Die Lösung wäre einfach, ist für viele Agenturen aber anscheinend doch nahe einer Raketenwissenschaft: Die Schriften lokal einbinden.

Ohne Einwilligung geladenen Dateien

Mein Tool erkennt automatisch, dass dutzende Dateien von Servern Dritter ohne Einwilligung geladen werden. U.a. werden Dateien von folgenden Domänen geladen:

  • rocketcdn.me
  • google.com

Beides untersuche ich hier nicht näher, gehe aber davon aus, dass dies eindeutig rechtswidrig ist, da die Google-Domäne wegen der Konzernstruktur von Google und der intransparenten Datenverarbeitung hochkritisch ist und die rocketcdn.me Domäne in der Datenschutzerklärung der Webseite nicht genannt ist und einen anderen Inhaber als die verwendende Webseite hat. Dass ein AVV hierfür vorhanden ist, bestreite ich.

Unklare oder unvollständige Angaben

Mein Tool erkennt automatisch folgende Angaben als unverständlich oder unvollständig und somit ungenügend.

Laut Art. 12 DSGVO müssen Angaben

in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache

Auszug aus Artikel 12 DSGVO

erfolgen. Die folgenden Angaben genügen dem nicht und sind in Gänze sicher als rechtswidrig zu bezeichnen. Zu den automatisiert ermittelten Rügen werden oft auch automatisiert erstellte Fragen beigeordnet:

  • Dienst Borlabs Cookie: Unklare Beschreibung zum Cookie/Dienst Borlabs Cookie: Saves the visitors preferences selected in the Cookie Box of Borlabs Cookie. Was ist damit gemeint? Ist das die Beschreibung zum Dienst oder Cookie? Wohlgemerkt handelt es sich um eine deutschsprachige Webseite. Englische Erklärungen haben dort im Kontext von Pflichtangaben nichts zu suchen.
  • Dienst Borlabs Cookie: Zum Cookie borlabs-cookie ist die vorgeschriebene Angabe zur Lebensdauer nicht in Deutsch genannt. Die Angabe lautet: 1 Year
  • Dienst Google Analytics: Als Anbieter ist Google LLC genannt. Die Angabe der vollständigen Firmierung samt Land fehlt! Bitte liefern Sie die fehlenden Angaben.
  • Dienst Google Analytics: Zu den Cookies _ga, _gat, _gid ist die Laufzeit mit 2 Jahre als Sammelangabe angegeben. Stimmt das so wie angegeben?
  • Dienst Facebook: Unklare Beschreibung zum Cookie/Dienst Facebook: Used to unblock Facebook content.. Was ist damit gemeint? Ist das die Beschreibung zum Dienst oder Cookie?
  • Dienst Facebook: Als Anbieter ist Facebook genannt. Die Angabe der vollständigen Firmierung samt Land fehlt! Bitte liefern Sie die fehlenden Angaben.
  • Dienst Google Maps: Unklare Beschreibung zum Cookie/Dienst Google Maps: Used to unblock Google Maps content.. Was ist damit gemeint? Ist das die Beschreibung zum Dienst oder Cookie?
  • Dienst Google Maps: Als Anbieter ist Google genannt. Die Angabe der vollständigen Firmierung samt Land fehlt! Bitte liefern Sie die fehlenden Angaben.
  • Dienst Instagram: Unklare Beschreibung zum Cookie/Dienst Instagram: Used to unblock Instagram content.. Was ist damit gemeint? Ist das die Beschreibung zum Dienst oder Cookie?
  • Dienst Instagram: Als Anbieter ist Facebook genannt. Die Angabe der vollständigen Firmierung samt Land fehlt! Bitte liefern Sie die fehlenden Angaben.
  • Dienst OpenStreetMap: Unklare Beschreibung zum Cookie/Dienst OpenStreetMap: Used to unblock OpenStreetMap content. Was ist damit gemeint? Ist das die Beschreibung zum Dienst oder Cookie?
  • Dienst OpenStreetMap: Als Anbieter ist OpenStreetMap Foundation genannt. Die Angabe der vollständigen Firmierung samt Land fehlt! Bitte liefern Sie die fehlenden Angaben.
  • Dienst OpenStreetMap: Zu den Cookies _osm_location, _osm_session, _osm_totp_token, _osm_welcome, _pk_id., _pk_ref., _pk_ses., qos_token fehlt die vorgeschriebene Angabe zur Lebensdauer
  • Dienst Twitter: Unklare Beschreibung zum Cookie/Dienst Twitter: Used to unblock Twitter content.. Was ist damit gemeint? Ist das die Beschreibung zum Dienst oder Cookie?
  • Dienst Twitter: Als Anbieter ist Twitter genannt. Die Angabe der vollständigen Firmierung samt Land fehlt! Bitte liefern Sie die fehlenden Angaben.
  • Dienst Twitter: Zu den Cookies __widgetsettings, local_storage_support_test ist die Laufzeit mit Unlimited als Sammelangabe angegeben. Stimmt das so wie angegeben?
  • Dienst Vimeo: Unklare Beschreibung zum Cookie/Dienst Vimeo: Used to unblock Vimeo content. Was ist damit gemeint? Ist das die Beschreibung zum Dienst oder Cookie?
  • Dienst Vimeo: Zum Cookie vuid ist die vorgeschriebene Angabe zur Lebensdauer nicht in Deutsch genannt. Die Angabe lautet: 2 Years
  • Dienst YouTube: Unklare Beschreibung zum Cookie/Dienst YouTube: Used to unblock YouTube content. Was ist damit gemeint? Ist das die Beschreibung zum Dienst oder Cookie?
  • Dienst YouTube: Als Anbieter ist YouTube genannt. Die Angabe der vollständigen Firmierung samt Land fehlt! Bitte liefern Sie die fehlenden Angaben.
  • Für alle Dienste und Cookies scheint eine eindeutige Angabe des Zwecks zu fehlen. Was ist der Zweck jedes Dienstes und was der Zweck jedes genannten Cookies?

Einige weitere automatisch erkannte Kritikpunkte habe ich entfernt, da darin der Betreiber der Webseite genannt ist.

Wie man sieht, ist die Liste sehr lang. Ich lade Sie zu folgendem Gedankenexperiment ein:

  1. Sie sind Betreiber einer Webseite und verwenden das Cookie Plugin von Borlabs für Ihre Webseite.
  2. Mein Tool läuft über Ihre Webseite und spuckt die o.g. Kritikpunkte als Fragen aus
  3. Sie erhalten diese Fragen und müssen sie beantworten
  4. Sie werden auch gefragt, warum Ihre Webseite einige Tools in rechtswidriger Weise verwendet
  5. Sie haben vier Wochen Zeit, um alle Fragen zu beantworten und Ihre Webseite in Ordnung zu bringen
  6. Danach wird eine Beschwerde bei einer Aufsichtsbehörde und ggfs. eine Abmahnung von privat gegen Sie fällig

Was tun Sie jetzt? Wie schätzen Sie ab sofort den Nutzen von Borlabs für Ihre Webseite ein?

Bitte lesen Sie sich einmal Artikel 7 DSGVO durch. Dort steht zu Bedingungen für die Einwilligung unter Ziffer 2 unter anderem:

Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.

Auszug aus Artikel 7 DSGVO – Bedingungen für die Einwilligung

Wie Sie selbst leicht feststellen können, sind große Teile der Einwilligungsabfrage der Webseite 1 somit ungültig.

Wenn Sie jetzt immer noch nicht überzeugt sind, schauen Sie sich folgende weitere Kritikpunkte an, die mein Tool ganz von alleine rausfindet und die Sie als Betreiber einer Webseite, die Borlabs einsetzt, an den Kopf geworden bekommen können:

Verlinkte Datenschutzerklärungen, die in englischer Sprache gehalten sind

Mein Tool erkannte folgende auf Webseite 1 über Borlabs verlinkte Datenschutzerklärungen als ungültig, weil diese in englischer Sprache verfasst und somit für den deutschen Leser nicht zugänglich sind:

Klicken Sie die Links doch einfach mal durch und lesen Sie selbst. Vimeo gibt es sogar direkt zu:

Hinweis über der Datenschutzerklärung von Vimeo, Stand: 24.04.2021

Zusätzlich feststellbare Mängel

Mein Tool findet viele Probleme automatisch, aber natürlich nicht alle. Folgende weitere Mängel hat meine kurze Sichtung der Webseite ergeben:

Erreichbarkeit der Datenschutzerklärung

Die Datenschutzerklärung ist erst zugänglich, nachdem das Cookie Popup weggeklickt wurde. Auf dem Smartphone sieht es so aus:

Die Datenschutzerklärung ist durch Borlabs verdeckt

Wie man sieht, sieht man nichts – außer der Einwilligungsabfrage. Die Datenschutzerklärung sollte unbedingt zugänglich sein, ohne einwilligen oder ablehnen zu müssen. An die Erreichbarkeit der Datenschutzerklärung werden immerhin strenge Maßstäbe angelegt.

Widerrufshinweis fehlt

Dort, wo die Einwilligung abgefragt wird, muss auf eine Widerrufsmöglichkeit hingewiesen werden. Dies ist in Artikel 7 DSGVO verbindlich und unmissverständlich geregelt. Dieser Hinweis fehlt (siehe 1. Screenshot für Webseite 1). Somit fehlt auch die Nennung der Widerrufsmöglichkeit. Die gesamte Einwilligungsabfrage könnte damit in Zweifel gezogen und womöglich (das soll ein Gericht entscheiden, ich freue mich auf das Urteil) als komplett ungültig angesehen werden.

Webseite 2

Kommen wir nun zum zweiten von vielen möglichen Beispielen, die meiner Erfahrung nach allesam die gleichen Grundprobleme aufweisen. Auf der zweiten Webseite ist die Optik etwas anders als bei der ersten Webseite. Die Einwilligungsabfrage erscheint beim Aufruf der Webseite so:

Einstiegsbild von Borlabs auf der zweiten Webseite

Klickt man auf Individuelle Cookie Einstellungen erscheint das folgende Detailbild.

Der Screenshot zeigt den ausgeklappten Bereich der Kategorie Externe Medien. Hier sieht man bereits zahlreiche englische Texte. Zudem erkennt der aufmerksame Betrachter mit einem Blick auf den Screenshot einen äußerst geringen Informationsgehalt, der sicher nicht DSGVO-konform ist.

Für die Kategorie Marketing wird folgendes angezeigt:

Automatisch feststellbare Mängel

Unklare oder unvollständige Angaben

Mein Tool erkennt automatisch folgende Angaben als unverständlich oder unvollständig und somit ungenügend. Ich gebe hier direkt die Ausgabe meines Tool wider, ohne ein Zeichen daran geändert zu haben:

  1. Dienst Borlabs Cookie: Unklare Beschreibung zum Cookie/Dienst Borlabs Cookie: Speichert die Einstellungen der Besucher, die in der Cookie Box von Borlabs Cookie ausgewählt wurden. Was ist damit gemeint? Ist das die Beschreibung zum Dienst oder Cookie?
  2. Dienst Borlabs Cookie: Als Anbieter ist Eigentümer dieser Website genannt. Wer ist Eigentümer der Website? Das ist auf der Einwilligungsabfrage nicht ersichtlich. Ist Website das gleiche wie Webseite?
  3. Dienst OpenStreetMap: Unklare Beschreibung zum Cookie/Dienst OpenStreetMap: Wird verwendet, um OpenStreetMap-Inhalte zu entsperren. Was ist damit gemeint? Ist das die Beschreibung zum Dienst oder Cookie?
  4. Dienst OpenStreetMap: Als Anbieter ist OpenStreetMap Foundation genannt. Die Angabe der vollständigen Firmierung samt Land fehlt! Bitte liefern Sie die fehlenden Angaben.
  5. Dienst OpenStreetMap: Zu den Cookies _osm_location, _osm_session, _osm_totp_token, _osm_welcome, _pk_id., _pk_ref., _pk_ses., qos_token ist die Laufzeit mit 1-10 Jahre als Sammelangabe angegeben. Stimmt das so wie angegeben?
  6. Dienst YouTube: Unklare Beschreibung zum Cookie/Dienst YouTube: Wird verwendet, um YouTube-Inhalte zu entsperren. Was ist damit gemeint? Ist das die Beschreibung zum Dienst oder Cookie?
  7. Dienst YouTube: Als Anbieter ist YouTube genannt. Die Angabe der vollständigen Firmierung samt Land fehlt! Bitte liefern Sie die fehlenden Angaben.
  8. Für alle Dienste und Cookies scheint eine eindeutige Angabe des Zwecks zu fehlen. Was ist der Zweck jedes Dienstes und was der Zweck jedes genannten Cookies?

Hierzu ist anzumerken, dass die Webseite lediglich zwei Dienste einsetzt, nämlich OpenStreetMap und YouTube Videos. Dennoch findet mein Tool bereits rein automatisiert acht Kritikpunkte alleine zu den Erklärungen auf der Einwilligung.

Ein weiterer automatisiert erkannten Mangel ist eine verlinkte Datenschutzerklärung, die in englischer Sprache gehalten und somit für den deutschen Leser nicht verfügbar ist. Es handelt sich um die Datenschutzerklärung von OpenStreetMap. Mein Tool erkennt dies automatisch und formuliert folgend Betroffenenangabe:

Sicher können Sie als Verantwortlicher für die Webseite die folgende Datenschutzerklärung für mich in die deutsche Sprache übersetzen:

Dienst OpenStreetMap (Link auf die Datenschutzerklärung zum Dienst): https://wiki.osmfoundation.org/wiki/Privacy_Policy

Automatisiert ermittelte Kritik an einer von der Borlabs DSGVO Lösung verlinkten Datenschutzerklärung, die für den deutschen Markt ungültig ist

Zusätzlich feststellbare Mängel

Ich spare mir bei dieser zweiten Webseite eine ausführliche Erläuterung und verweise auf meine Ausführungen auf Webseite 1 für Details.

Die direkt feststellbaren Mängel sind (dies ist sicher eine unvollständige Nennung):

  • Gesetzlich vorgeschriebener Hinweis auf die Widerrufsmöglichkeit fehlt
  • Datenschutzerklärung ist nicht direkt erreichbar, weil das Cookie Popup diese überdeckt

Fazit

Ursprünglich wollte ich auch etwas zu den Stärken von Borlabs Cookie schreiben. Aufgrund der zahlreichen Mängel und der weiter unten begründeten nur wenig vorhandenen Kompetenz des Anbieters von Borlabs in Datenschutzfragen kann und will ich das hier nur in Kürze tun. Das Plugin ist ausschließlich für WordPress Webseiten gebaut und kann so spezifischer in technische Gegebenheiten eingreifen als ein allgemein gehaltenes Plugin. Mir wurde berichtet, dass die Einstellmöglichkeiten vielfältig sind. Soviel zu den Stärken, die angesichts des Gesamtergebnisses für mich keine Relevanz haben.

Meiner Einschätzung nach ist der Anbieter von Borlabs Cookie ein pasionierter Programmierer, der sich gerne mit WordPress beschäftigt und für dieses Consent Management System Programmiererfahrung erlangt hat. Er hatte dann eine Geschäftsidee erkannt, ist meine Meinung, und das Borlabs Plugin erstellt und vermarktet. Mehr aber auch nicht, denn:

Offenbar versteht der Anbieter von Borlabs Cookie nicht ausreichend viel von Datenschutz. Dies zeigen einerseits die o.g. Beispiele aus der Praxis und zum anderen die weiteren Beispiele aus meinem Praxistest. Nun könnte man einwenden, dass Borlabs in Standardauslieferung vom Webseiten-Betreiber verlangt, dass dieser das Cookie Popup samt Beschreibungen mit eigenen Inhalten füllt.

Auf der Borlabs-Webseite steht jedenfalls in den FAQ:

Wir werden versuchen unser Plugin immer den aktuellsten Informationen entsprechend anpassen und so versuchen dir alle Tools an die Hand zu geben, um deine Website den Anforderungen entsprechend anzupassen.

Zitat von https://de.borlabs.io/borlabs-cookie/, Abschnitt “Häufig gestellte Fragen”, Frage “Werde ich mit Borlabs Cookie garantiert nicht abgemahnt?”

Auf der gesamten Produktseite zur angeblichen DSGVO-Lösung Borlabs Cookie steht nicht, dass Erklärungen auf der Einwilligungsabfrage unbedingt anzupassen sind. Statt dessen wird behauptet (Kontext Google Analytics u.a.): “Du musst nur deine Tracking-ID eingeben und Borlabs Cookie erledigt den Rest.

Selbst auf der Borlabs Webseite selbst fehlt der gesetzlich explizit vorgeschriebene Widerrufshinweis auf der Einwilligungsabfrage.Hier ist der Beweis durch Screenshot der Einwilligungsabfrage auf der Webseite https://de.borlabs.io/borlabs-cookie/:

Screenshot der Webseite https://de.borlabs.io/borlabs-cookie/ vom 24.02.2021

Ich behaupte also:

Der Anbieter von Borlabs Cookie kennt wesentliche Teile der Datenschutzgrundverordnung selbst nicht.

Mein Fazit zu Borlabs Cookie, basierend auf einem Beweis

Wenn Sie Datenschutz ernst nehmen, lassen Sie die Finger von diesem Consent Tool!

Wenn Sie tiefer in das Thema Consent Tools einsteigen möchten, empfehle ich folgende Lektüre:

Wenn Sie lieber was sinnvolles machen möchten und keine Consent Tools mehr einsetzen möchten, empfehle ich stattdessen:

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/borlabs-cookie-dsgvo-plugin-testbericht
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Ist Mailjet datenschutzkonform nutzbar?