gekennzeichnet.
Auf zahlreichen Webseiten werden Einwilligungsabfragen mit Hilfe von Consent Tools realisiert. Anscheinend hat sich kaum jemand die Mühe gemacht, einmal genauer hinzusehen. Dieser Beitrag zeigt, wie einfach es ist.
Schnellüberblick
Einleitung
Oft werde ich gefragt, ob eine Einwilligungsabfrage auf einer Webseite DSGVO-konform ist. Wer sich die Mühe macht, ein paar Minuten lang selber hinzusehen, wird sich die Frage alleine beantworten können. Meistens reicht ein oberflächlicher Blick, um große Probleme zu entlarven.
Zur Veranschaulichung habe ich eine wirklich zufällig gefundene Webseite ausgewählt. Ich kam auf diese Webseite durch einen Klick eines Datenschutzverbands, in dem ich Mitglied bin.
Das oft als Cookie Popup bezeichnete Fenster, welches beim Aufruf der Webseite erscheint, sieht so aus:
Wie man in diesem Fenster 1 sieht, wird das Consent Tool CCM19 verwendet. Um es vorweg zu sagen: Alle anderen Tools dieser Art sind meinem ausführlichen Praxistest nach genauso gut oder schlecht wie dieses.
Man hätte auch jede andere Webseite auswählen können. Sie würde genauso abschneiden. Die gewählte Webseite setzt sogar nur ganz wenige Tools ein, für die eine Einwilligung abgefragt wird. Ich habe mir also ein Beispiel ausgesucht, welches besonders harmlos erscheint. In sozialen Medien habe ich eine 100 Euro Wetter platziert: Wer mir eine Webseite nennt, die mehr als nur Matomo einsetzt, vielleicht noch zwei Google Tools o.ä., deren Einwilligungsabfrage keine größeren Mängel aufweist, erhält von mir privat 100 Euro (nur der erste Gewinner). Es gab einen Teilnehmer. Ich fand eine handvoll Mängel, u.a. ein Facebook Plugin, welches ohne Einwilligung geladen wurde. Daraufhin wurde mein Post in der geschlossenen Social Media Gruppe gelöscht, weil der Betreiber der Gruppe wohl Angst hatte, sein Geschäftsmodell zu verlieren.
Bei Klick auf den kaum erkennbaren Button Einstellungen erscheint Fenster 2:
Die Überschrift zu diesem Popup lautet: "Bitte wählen Sie zuzulassende Richtlinien aus". Das nur als erste Anmerkung und zum Nachdenken.
Klickt man auf ein Fragezeichen, obwohl es nicht nach einem anklickbaren Element aussieht, erscheint Fenster 3:
Naive Feststellungen und Fragen zur Einwilligungslösung
Entschuldigung vorab, dass das Wort "Lösung" in diesem Zusammenhang verwendet wird. Gleich wird deutlich, warum. Mit "Frage" sind im Folgenden oft Fragenkomplexe gemeint.
Frage 1: In Fenster 1 ist das Einwilligen direkt möglich, das Ablehnen jedoch nicht. Warum?
Frage 2: Der Button „Einstellungen“ ist optisch erheblich gegenüber dem Button „Alles akzeptieren“ zurückgestellt und kaum erkennbar. Es sieht so aus, als wollte der Betreiber der Webseite den Besucher der Webseite dazu nötigen, auf „Alles akzeptieren“ zu klicken. War das die Absicht?
Frage 3: In Fenster 2 wird nach zuzulassenden Richtlinien gefragt. Was sind Richtlinien in diesem Kontext?
Frage 4: Wo sind in Fenster 3 die Dienste (Tools) zu erkennen, in die eingewilligt wird?
Frage 5: Was bedeutet „Cookie-ID“ links unten im Fenster 3?
Frage 6: Was ist mit der Kategorie „Sonstiges“ gemeint?
Frage 7: Ist mit „Analyse“ das rein statistische Auswerten von Nutzeraktivitäten auf der Webseite gemeint?
Frage 8: Unter „Sonstiges“ ist ein Cookie namens _sp_enable_dfp_personalized_ads genannt. Dazu wird erklärt:
Was hat es mit diesem Cookie auf sich (Dienstzugehörigkeit, fehlende Angaben)?
Frage 9: Zum Cookie _gat wird erklärt:
Welchem Dienst ist dieses Cookie zugeordnet?
Frage 10: Warum werden laut Auskunft (siehe Bild) keine Daten erhoben? Offensichtlich ist ein Cookie gerade dazu da, um Daten zu speichern, also zu erheben. Ansonsten könnte das Cookie auch weggelassen werden.
Frage 11: Was bedeutet „Wird zum Drosseln der Anforderungsrate verwendet.“?
Frage 12: Verwendet die Webseite den Google Tag Manager? Dies geht aus Fenster 3 nicht direkt hervor, wird aber indirekt im Text zum Cookie _gat als Möglichkeit erwähnt. Warum wird dies nur als Möglichkeit erwähnt, wenn eine konkrete Nennung zu erfolgen hat?
Frage 14: Warum sind Zweck und Beschreibung gleich bzw. was ist der Unterschied zwischen den Abschnitten Zweck und Beschreibung? Dies wird auch bei den anderen genannten Cookies nicht deutlich.
Frage 15: Zum Cookie OAID wird folgendes erklärt:
Wer genau ist der Herausgeber? OpenX scheint keine Adresse zu sein, keine Rechtsform zu enthalten und auch keine Länderangabe.
Frage 16: Um welchen Dienst geht es hier?
Frage 17: Was bedeutet „Wird Berichten zufolge nur für die Leistung und nicht für die Benutzerausrichtung verwendet.“? Ist damit gemeint, dass jemand berichtet hat, dieses Cookie wird nur für die „Leistung“ verwendet? Was bedeutet „Leistung? Was bedeutet „Benutzerausrichtung?“
Frage 18: Was bedeutet „Als Erstanbieter-Cookie kann es nicht zum Verfolgen von Domains verwendet werden.“?
Frage 19: Welche Daten werden erhoben? Die Aussage „Der Anbieter stellt zu diesem Punkt keine Daten zur Verfügung“ ist ohne Wert.
Frage 20: In welchem Land liegen „OpenX“ und „Pasadena/London“ (siehe „Ort der Verarbeitung“)?
Frage 21 (Aufforderung): Bitte übersetzen Sie die mit einem Link angegebene Datenschutzerklärung unter https://www.openx.com/legal/privacy-policy/, da diese in englischer Sprache verfasst ist.
Frage 22: Zum Cookie JSESSIONID wird erklärt:
Wer oder was ist mit „www.zoho.com“ als Herausgeber gemeint?
Frage 23: Was bedeutet „HTTP-Sitzungstokenerkennung“?
Frage 24: Was bedeutet „Lebensdauer: Session“?
Frage 25: Welche Daten werden erhoben? Die Aussage „Der Anbieter stellt zu diesem Punkt keine Daten zur Verfügung“ ist ohne Wert.
Frage 26: Gleiches für „Ort der Verarbeitung“: Wo werden Daten verarbeitet?
Frage 27 (Aufforderung): Bitte übersetzen Sie die mit einem Link angegebene Datenschutzerklärung unter https://www.zoho.com/privacy/cookie-policy.html, da diese in englischer Sprache verfasst ist.
Frage 28: Warum wird der Dienst Google reCAPTCHA ohne Einwilligung geladen? Er verwendet zahlreiche Cookies und sendet Daten an verschiedene Empfängeradressen.
Frage 29: In der Datenschutzerklärung sind die vorgeschriebenen Hinweise zu reCAPTCHA leider nicht vorhanden. Bitte liefern Sie diese nach, sofern das Tool weiter eingesetzt werden sollte.
Frage 30: Zum Google Tag Manager fehlt ebenfalls eine vorgeschriebene Erklärung in der genannten Datenschutzerklärung. Bitte liefern Sie diese nach, sofern das Tool weiter eingesetzt werden sollte.
Frage 31. Zum eingesetzten Consent Tool CCM19 fehlt ebenfalls eine solche Erklärung. Bitte liefern Sie diese nach, sofern das Tool weiter eingesetzt werden sollte.
Frage 32: Warum wird Google Analytics ohne IP-Adressenanonymisierung verwendet, in der Datenschutzerklärung aber das Gegenteil behauptet? Anmerkung: Um dies herauszufinden, reicht ein Blick auf die Netzwerkanfragen. Wird der Parameter aid=1 nicht an Google Analytics übergeben, liegt keine IP-Anonymisierung vor.
Frage 33: In der Datenschutzerklärung ist ein Link namens Google Analytics deaktivieren vorhanden. Klickt man auf diesen, passiert offenbar nichts. Was hat es damit auf sich?
Rechtsgrundlagen
Dass die Fragen gestellt werden dürfen, ist in Artikel 15 DSGVO festgeschrieben. Die weiteren Rechtsgrundlagen, auf denen die Fragen basieren:
- Artikel 5 (1) c DGSVO: „Personenbezogene Daten müssen…dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);“.
- Artikel 6 DSGVO: Die Verarbeitung ist rechtmäßig, wenn insbesondere eine Einwilligung oder ein berechtigtes Interesse vorliegen. Alle anderen Rechtsgrundlagen scheiden (zunächst) für die oben in Fragenkomplexen thematisierten Aspekte aus. Das berechtigte Interesse sollte nicht überstrapaziert werden und kann für einzelne Dienste auf Webseiten sogar objektiv widerlegt werden.
- Artikel 12 DSGVO: Die Information gemäß Artikel 13 DSGVO und weiterer Vorschriften muss „…in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache…“ erfolgen.
- Artikel 13 DSGVO: Die Informationspflicht betrifft die Datenschutzerklärung und die Erklärungen bei Einwilligungsabfragen.
- Artikel 15 DSGVO: Eine Nichtbeantwortung der Fragen bzw. eine Nichtabstellen der Datenschutzverstöße begründet die Beschwerde bei einer Datenschutzbehörde.
- Artikel 5 (3) der Richtlinie 2009/136/EG, vormals Richtlinie 2002/58/EG (ePrivacy Richtlinie): Einwilligungspflicht, wenn auf Daten, die im Endgerät des Nutzers gespeichert sind, zugegriffen wird und dies technisch nicht notwendig ist. Derartige Daten liegen u.a. in Form von Cookies vor. Es spielt keine Rolle, ob es sich technisch um sogenannte First-Party Cookies handelt oder nicht, sofern der Zugriff erfolgt. Dieser Zugriff ist etwa bei Google Analytics zweifelsfrei feststellbar.
- EuGH-Urteil vom 01.10.2019 – C-673/17 („Planet49“): Das Urteil stellt fest, dass zu Cookies Informationen aus Artikel 13 DSGVO zu liefern sind. Es stellt fest, dass es für den Art. 5 (3) der ePrivacy Richtlinie unerheblich ist, ob personenbezogene Daten verarbeitet werden oder nicht.
- BGH-Urteil vom 28.05.2020 – I ZR 7/16: Das Urteil bestätigt, dass das TMG gemäß der ePrivacy Richtline auszulegen ist, letztere also auch für Deutschland anzuwenden ist.
- Urteil des LG Rostock vom 15.09.2020 – 3 O 762/19: Eine Ablehnung muss so einfach wie eine Einwilligung möglich sein. Vgl. hierzu auch Art. 4 Nr. 11 und Art. 7 DSGVO und die Stellungnahmen von Datenschutzbehörden.
Fazit
Anhand naiver, aber berechtigter Fragen kann jeder selbst festzustellen, dass viele Einwilligungsabfragen auf deutschen Webseiten ungenügend und somit als rechtswidrig zu betrachten sind.
Das oben genannte Beispiel ist real. Ich habe den Verantwortlichen der Webseite mit nahezu identischen Fragen wie den hier genannten angeschrieben und um Auskunft gebeten. Auf eine Auskunft bestehe ich nur dann nicht, wenn der Verantwortliche innerhalb von 6 Wochen verbindlich alle Probleme abstellt. Zu empfehlen wäre, dass er einen anderen Weg einschlägt und besser kein Consent Tool dieser Art mehr einsetzt. Wie gesagt, die Kritik an Cookie Consent Tools ist herstellerunabhängig und trifft jeden mir bekannten Anbieter solcher Tools.
Bitte sagen Sie mir: Sind meine Fragen berechtigt oder nicht? Unter diesem Beitrag haben Sie die Möglichkeit, DSGVO-konforme einen Kommentar abzugeben. Alternativ tut es auch eine Mail an mich.
Schreiben Sie doch auch mal einem Webseiten-Verantwortlichen an und fragen Sie nach, was mit bestimmten Formulierungen gemeint ist. Jeder normale Bürger muss halbwegs verstehen können, was eine bestimmte Formulierung meint. Wenn nahezu jede Angabe unverständlich ist, kann das nicht richtig sein. Schon gar nicht kann von einem deutschen Staatsbürger erwartet werden, englischsprachige Rechtstexte zu lesen. Verweisen Sie hierzu auf Art. 12 DSGVO.
Lassen Sie sich Datenschutzerklärungen, auf die verwiesen wird und die nicht in deutscher Sprache verfasst sind, doch einmal übersetzen und warten Sie die Verzweiflung des Verantwortlichen ab. Auch hier reicht ein Verweis auf Art. 12 DSGVO. Aus Gründen der Fairness würde ich allerdings empfehlen, nur Unternehmen mit solchen Anfragen zu konfrontieren, die entweder absichtlich oder wissentlich vieles falsch machen oder genügend Ressourcne besitzen, um Gesetze einhalten zu können.
Gerade arbeite ich an einem Tool, mit dem viele der populären Consent Tools auf Webseiten automatisch ausgelesen werden können. Daraus kann dann eine Betroffenenanfrage generiert werden. Das Tool erlaubt es auch, manuelle Angaben als Betroffener machen zu können. Beispiel: Was bedeutet der Zweck für ein Cookie "Wird verwendet, um die Anforderungsrate zu reduzieren"?
Mit meiner Checkliste für rechtssichere Einwilligungsabfragen können Sie noch zielgerichteter eine Webseite mit Cookie Popup unter die Lupe nehmen. Den One-Pager gibt es samt Nennung von Rechtsgrundlagen im PDF-Format.
Kernaussagen dieses Beitrags
Viele Webseiten nutzen Einwilligungs-Tools, die nicht DSGVO-konform sind.
Der Text hinterfragt die Transparenz und Klarheit der Cookie-Einstellungen auf einer Webseite.
Viele Webseiten verwenden Cookie-Einverständnis-Tools, die nicht DSGVO-konform sind und die Nutzer nicht ausreichend informieren.
Ein Cookie mit dem Zweck "Wird verwendet, um die Anforderungsrate zu reduzieren", dient dazu, die Belastung einer Webseite zu verringern.
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Ich stehe für pragmatische Lösungen mit Mehrwert. Meine Firma, die 
Danke für diesen Artikel, der mir sehr berechtigt erscheint.
Ich bin hier gelandet, weil ich für eine WordPress-Installation ein rechtskonformes Cookie-Banner suche.
Muss ich aus dem Artikel entnehmen, dass es da kein empfehlenswertes gibt?
Was tun?
Ja, es gibt keine guten Wunder-Tools. Ich schreibe zu WordPress bald mal wieder einen Artikel.
Kurzfassung:
1) Einwilligungspflichtige Dienste vermeiden. WordPress korrekt konfigurieren.
2) Ende, oder
3) Wissen, was man tut oder jemanden beauftragen. Kostenfreies Consent Tool hier erhältlich.
Kontext: 99% aller deutschen Webseiten
Entschuldigung, ich verstehe das alles nicht mehr. Ich glaube, Deutschland und/oder der EU-Raum schafft sich ab. So werden wir jedenfalls nicht weiterkommen. Sorry, für die unqualifizierte Aussage, aber mich verlässt das Gefühl einfach nicht, dass sich hier einige Damen und Herren einen lukrativen Geschäftszweig kreiert haben, einschließlich der Beamten und Beamtinnen in der EU.
Die Wahrheit ist, dass insbesondere amerikanische Internetkonzerne und die Tatsache, wie sie Daten massig "verwenden", oft ohne Rechtsgrundlage, für das Problem hauptsächlich verantwortlich zu sein scheinen.
Als Stichwort sei auch Transparenz genannt: Wenn Google oder Facebook Daten verarbeiten, weiß kein anderer, wie dies stattfindet, müsste es aber wissen, um Plugins dieser Anbieter nutzen zu dürfen. Fragen Sie doch mal bei Facebook nach, und Sie werden einen Verursacher des Problems erkennen.
Danke für die hilfreichen Hinweise.
ich habe schon einige dieser Consent Tools erleben dürfen. Besonders der Heise Verlag stößt mir da sauer auf, der immer wieder in der c´t und anderen Publikationen über ebendiese wettert und dann selbst Nudging auf höchster Ebene betreibt.
Ich überlege mir mal, ob ich die anzähle und Auskunft verlange…. 😉
Grüße
So ein Zufall. Gerade entsteht ein Generator für Auskunftsanfragen. Der Generator unterstützt bereits spezielle Anfragen für mehrere prominente Webseiten. Heise ist auch schon aufgenommen. Darf ich Sie anschreiben, wenn der Generator nutzbar ist?
Guten Morgen. Gerne dürfen Sie mich dazu anschreiben 😉
Hallo,
wie kann ich das Consent-Tool in mein index.php Seite einbinden?
Das klappt bei mir nicht 🙁
An sich genauso wie in eine reine HTML-Seite.
Bei PHP ist es so, dass man im Quellcode zuerst in den HTML-Modus umschalten muss.
Dazu muss der PHP-Block mit dem Befehl "?>" beendet werden. Danach kann beispielsweise ein SCRIPT-Befehl eingefügt werden, der dann genauso ausgeführt wird wie in einer HTML-Seite. Das ganze geht natürlich nur bei PHP-Scripten, die vom Browser aus aufgerufen und ausgeführt werden (sollte bei index.php der Fall sein, es gibt aber auch reine serverseitige PHP-Logik, nur deshalb erwähne ich es hier).
Hallo und guten Tag,
komplette Shop-Systeme, wie z.B. Shopify, sind wohl noch schlimmer. Man kann ihr Tool dort in Ermangelung eines Webserver-Zugriffs nicht mal installieren. Da heißt es dann wohl kein eigenens Geschäft mehr via Internet mehr zu betreiben?
Allerdings scheint mir auch der Kampf für den Endkunden von vorne herein verloren, denn schließlich kann sich der Normaluser keinen Schritt im Internet bewegen ohne irgendwo relevante personenbezogene Daten von sich zu hinterlassen. Es wäre schön, könnte man von Internet-Ast zu Internet-Ast springen und dies umgehen, aber dann wären die Bäume dieser Äste kontienentweit auseinander. Das einzige, was private Sicherheit bringen würde, wäre analog in den Wäldern zu leben.
Die Datenschutzgesetze greifen letztlich zwei Parteien an, den kleinen Betreiber, der die Datensicherheit in keinem Fall vollumfänglich und wirtschafltich tragbar darstellen kann und den Endnutzer an sich. – Ja genau! – Denn die einzigen, denen es vollkommen egal sein kann, ob sie eine Strafe für Datenschutzvergehen zahlen müssen oder nicht, sind die großen Akteure, denen durch die gerichtliche Durchsetzung und weitere Verschärfung der Datenschutzregeln die finanzschwachen Konkurenten vor der Nase weggeschossen werden!
So trägt alles rund um solche Gesetze und Regelungen wie dem DSGVO nur zur Verschlimmbesserung der Situation bei.
Genau das wurde von den Tech-Giganten bewusst so eingefädelt. Egal wie es weitergeht, die Konzetration wird weiter zunehmen und der Endnutzer wird weiter veralbert und ausgenutzt!
Da gibt es eine Lösung: Alle Unternehmen sanktionieren, die Dienste und Plugins von den genannten Tech-Giganten einsetzen und damit die Rechte von deren Kunden missachten. Das wird die Nutzungsintensität dieser Tech-Giganten-Dienste erheblich einschränken. Zudem werden diese Giganten dann ihre Praktiken anpassen müssen, um gesetzeskonformer zu sein.