Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Consent Tools auf Webseiten: So prüft man, ob sie DSGVO-konform sind

0

Auf zahlreichen Webseiten werden Einwilligungsabfragen mit Hilfe von Consent Tools realisiert. Anscheinend hat sich kaum jemand die Mühe gemacht, einmal genauer hinzusehen. Dieser Beitrag zeigt, wie einfach es ist.

Schnellüberblick

Einleitung

Oft werde ich gefragt, ob eine Einwilligungsabfrage auf einer Webseite DSGVO-konform ist. Wer sich die Mühe macht, ein paar Minuten lang selber hinzusehen, wird sich die Frage alleine beantworten können. Meistens reicht ein oberflächlicher Blick, um große Probleme zu entlarven.

Zur Veranschaulichung habe ich eine wirklich zufällig gefundene Webseite ausgewählt. Ich kam auf diese Webseite durch einen Klick eines Datenschutzverbands, in dem ich Mitglied bin.

Das oft als Cookie Popup bezeichnete Fenster, welches beim Aufruf der Webseite erscheint, sieht so aus:

Fenster 1: Einwilligungsabfrage auf der Webseite

Wie man in diesem Fenster 1 sieht, wird das Consent Tool CCM19 verwendet. Um es vorweg zu sagen: Alle anderen Tools dieser Art sind meinem ausführlichen Praxistest nach genauso gut oder schlecht wie dieses.

Man hätte auch jede andere Webseite auswählen können. Sie würde genauso abschneiden. Die gewählte Webseite setzt sogar nur ganz wenige Tools ein, für die eine Einwilligung abgefragt wird. Ich habe mir also ein Beispiel ausgesucht, welches besonders harmlos erscheint. In sozialen Medien habe ich eine 100 Euro Wetter platziert: Wer mir eine Webseite nennt, die mehr als nur Matomo einsetzt, vielleicht noch zwei Google Tools o.ä., deren Einwilligungsabfrage keine größeren Mängel aufweist, erhält von mir privat 100 Euro (nur der erste Gewinner). Es gab einen Teilnehmer. Ich fand eine handvoll Mängel, u.a. ein Facebook Plugin, welches ohne Einwilligung geladen wurde. Daraufhin wurde mein Post in der geschlossenen Social Media Gruppe gelöscht, weil der Betreiber der Gruppe wohl Angst hatte, sein Geschäftsmodell zu verlieren.

Bei Klick auf den kaum erkennbaren Button Einstellungen erscheint Fenster 2:

Fenster 2: Kategorienansicht einzuwilligender Richtlinien

Die Überschrift zu diesem Popup lautet: “Bitte wählen Sie zuzulassende Richtlinien aus“. Das nur als erste Anmerkung und zum Nachdenken.

Klickt man auf ein Fragezeichen, obwohl es nicht nach einem anklickbaren Element aussieht, erscheint Fenster 3:

Fenster 3: Detailinformationen zur Einwilligung

Naive Feststellungen und Fragen zur Einwilligungslösung

Entschuldigung vorab, dass das Wort “Lösung” in diesem Zusammenhang verwendet wird. Gleich wird deutlich, warum. Mit “Frage” sind im Folgenden oft Fragenkomplexe gemeint.

Frage 1: In Fenster 1 ist das Einwilligen direkt möglich, das Ablehnen jedoch nicht. Warum?

Frage 2: Der Button „Einstellungen“ ist optisch erheblich gegenüber dem Button „Alles akzeptieren“ zurückgestellt und kaum erkennbar. Es sieht so aus, als wollte der Betreiber der Webseite den Besucher der Webseite dazu nötigen, auf „Alles akzeptieren“ zu klicken. War das die Absicht?

Frage 3: In Fenster 2 wird nach zuzulassenden Richtlinien gefragt. Was sind Richtlinien in diesem Kontext?

Frage 4: Wo sind in Fenster 3 die Dienste (Tools) zu erkennen, in die eingewilligt wird?

Frage 5: Was bedeutet „Cookie-ID“ links unten im Fenster 3?

Frage 6: Was ist mit der Kategorie „Sonstiges“ gemeint?

Frage 7: Ist mit „Analyse“ das rein statistische Auswerten von Nutzeraktivitäten auf der Webseite gemeint?

Frage 8: Unter „Sonstiges“ ist ein Cookie namens _sp_enable_dfp_personalized_ads genannt. Dazu wird erklärt:

Fenster 4: Details zu Cookie _sp_enable_dfp_personalized_ads

Was hat es mit diesem Cookie auf sich (Dienstzugehörigkeit, fehlende Angaben)?

Frage 9: Zum Cookie _gat wird erklärt:

Fenster 5: Details zu Cookie _gat

Welchem Dienst ist dieses Cookie zugeordnet?

Frage 10: Warum werden laut Auskunft (siehe Bild) keine Daten erhoben? Offensichtlich ist ein Cookie gerade dazu da, um Daten zu speichern, also zu erheben. Ansonsten könnte das Cookie auch weggelassen werden.

Frage 11: Was bedeutet „Wird zum Drosseln der Anforderungsrate verwendet.“?

Frage 12: Verwendet die Webseite den Google Tag Manager? Dies geht aus Fenster 3 nicht direkt hervor, wird aber indirekt im Text zum Cookie _gat als Möglichkeit erwähnt. Warum wird dies nur als Möglichkeit erwähnt, wenn eine konkrete Nennung zu erfolgen hat?

Frage 14: Warum sind Zweck und Beschreibung gleich bzw. was ist der Unterschied zwischen den Abschnitten Zweck und Beschreibung? Dies wird auch bei den anderen genannten Cookies nicht deutlich.

Frage 15: Zum Cookie OAID wird folgendes erklärt:

Fenster 6: Details zum Cookie OAID

Wer genau ist der Herausgeber? OpenX scheint keine Adresse zu sein, keine Rechtsform zu enthalten und auch keine Länderangabe.

Frage 16: Um welchen Dienst geht es hier?

Frage 17: Was bedeutet „Wird Berichten zufolge nur für die Leistung und nicht für die Benutzerausrichtung verwendet.“? Ist damit gemeint, dass jemand berichtet hat, dieses Cookie wird nur für die „Leistung“ verwendet? Was bedeutet „Leistung? Was bedeutet „Benutzerausrichtung?“

Frage 18: Was bedeutet „Als Erstanbieter-Cookie kann es nicht zum Verfolgen von Domains verwendet werden.“?

Frage 19: Welche Daten werden erhoben? Die Aussage „Der Anbieter stellt zu diesem Punkt keine Daten zur Verfügung“ ist ohne Wert.

Frage 20: In welchem Land liegen „OpenX“ und „Pasadena/London“ (siehe „Ort der Verarbeitung“)?

Frage 21 (Aufforderung): Bitte übersetzen Sie die mit einem Link angegebene Datenschutzerklärung unter https://www.openx.com/legal/privacy-policy/, da diese in englischer Sprache verfasst ist.

Frage 22: Zum Cookie JSESSIONID wird erklärt:

Fenster 7: Details zum Cookie JSESSIONID

Wer oder was ist mit „www.zoho.com“ als Herausgeber gemeint?

Frage 23: Was bedeutet „HTTP-Sitzungstokenerkennung“?

Frage 24: Was bedeutet „Lebensdauer: Session“?

Frage 25: Welche Daten werden erhoben? Die Aussage „Der Anbieter stellt zu diesem Punkt keine Daten zur Verfügung“ ist ohne Wert.

Frage 26: Gleiches für „Ort der Verarbeitung“: Wo werden Daten verarbeitet?

Frage 27 (Aufforderung): Bitte übersetzen Sie die mit einem Link angegebene Datenschutzerklärung unter https://www.zoho.com/privacy/cookie-policy.html, da diese in englischer Sprache verfasst ist.

Frage 28: Warum wird der Dienst Google reCAPTCHA ohne Einwilligung geladen? Er verwendet zahlreiche Cookies und sendet Daten an verschiedene Empfängeradressen.

Frage 29: In der Datenschutzerklärung sind die vorgeschriebenen Hinweise zu reCAPTCHA leider nicht vorhanden. Bitte liefern Sie diese nach, sofern das Tool weiter eingesetzt werden sollte.

Frage 30: Zum Google Tag Manager fehlt ebenfalls eine vorgeschriebene Erklärung in der genannten Datenschutzerklärung. Bitte liefern Sie diese nach, sofern das Tool weiter eingesetzt werden sollte.

Frage 31. Zum eingesetzten Consent Tool CCM19 fehlt ebenfalls eine solche Erklärung. Bitte liefern Sie diese nach, sofern das Tool weiter eingesetzt werden sollte.

Frage 32: Warum wird Google Analytics ohne IP-Adressenanonymisierung verwendet, in der Datenschutzerklärung aber das Gegenteil behauptet? Anmerkung: Um dies herauszufinden, reicht ein Blick auf die Netzwerkanfragen. Wird der Parameter aid=1 nicht an Google Analytics übergeben, liegt keine IP-Anonymisierung vor.

Frage 33: In der Datenschutzerklärung ist ein Link namens Google Analytics deaktivieren vorhanden. Klickt man auf diesen, passiert offenbar nichts. Was hat es damit auf sich?

Rechtsgrundlagen

Dass die Fragen gestellt werden dürfen, ist in Artikel 15 DSGVO festgeschrieben. Die weiteren Rechtsgrundlagen, auf denen die Fragen basieren:

  • Artikel 5 (1) c DGSVO: „Personenbezogene Daten müssen…dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);“.
  • Artikel 6 DSGVO: Die Verarbeitung ist rechtmäßig, wenn insbesondere eine Einwilligung oder ein berechtigtes Interesse vorliegen. Alle anderen Rechtsgrundlagen scheiden (zunächst) für die oben in Fragenkomplexen thematisierten Aspekte aus. Das berechtigte Interesse sollte nicht überstrapaziert werden und kann für einzelne Dienste auf Webseiten sogar objektiv widerlegt werden.
  • Artikel 12 DSGVO: Die Information gemäß Artikel 13 DSGVO und weiterer Vorschriften muss „…in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache… erfolgen.
  • Artikel 13 DSGVO: Die Informationspflicht betrifft die Datenschutzerklärung und die Erklärungen bei Einwilligungsabfragen.
  • Artikel 15 DSGVO: Eine Nichtbeantwortung der Fragen bzw. eine Nichtabstellen der Datenschutzverstöße begründet die Beschwerde bei einer Datenschutzbehörde.
  • Artikel 5 (3) der Richtlinie 2009/136/EG, vormals Richtlinie 2002/58/EG (ePrivacy Richtlinie): Einwilligungspflicht, wenn auf Daten, die im Endgerät des Nutzers gespeichert sind, zugegriffen wird und dies technisch nicht notwendig ist. Derartige Daten liegen u.a. in Form von Cookies vor. Es spielt keine Rolle, ob es sich technisch um sogenannte First-Party Cookies handelt oder nicht, sofern der Zugriff erfolgt. Dieser Zugriff ist etwa bei Google Analytics zweifelsfrei feststellbar.
  • EuGH-Urteil vom 01.10.2019 – C-673/17 („Planet49“): Das Urteil stellt fest, dass zu Cookies Informationen aus Artikel 13 DSGVO zu liefern sind. Es stellt fest, dass es für den Art. 5 (3) der ePrivacy Richtlinie unerheblich ist, ob personenbezogene Daten verarbeitet werden oder nicht.
  • BGH-Urteil vom 28.05.2020 – I ZR 7/16: Das Urteil bestätigt, dass das TMG gemäß der ePrivacy Richtline auszulegen ist, letztere also auch für Deutschland anzuwenden ist.
  • Urteil des LG Rostock vom 15.09.2020 – 3 O 762/19: Eine Ablehnung muss so einfach wie eine Einwilligung möglich sein. Vgl. hierzu auch Art. 4 Nr. 11 und Art. 7 DSGVO und die Stellungnahmen von Datenschutzbehörden.

Fazit

Sicher hat jeder genügend gesunden Menschenverstand, um anhand naiver Fragen festzustellen, dass viele Einwilligungsabfragen auf deutschen Webseiten ungenügend sind und somit rechtswidrig.

Das oben genannte Beispiel ist real. Ich habe den Verantwortlichen der Webseite mit nahezu identischen Fragen wie den hier genannten angeschrieben und um Auskunft gebeten. Auf eine Auskunft bestehe ich nur dann nicht, wenn der Verantwortliche innerhalb von 6 Wochen verbindlich alle Probleme abstellt. Zu empfehlen wäre, dass er einen anderen Weg einschlägt und besser kein Consent Tool dieser Art mehr einsetzt. Wie gesagt, die Kritik an Cookie Consent Tools ist herstellerunabhängig und trifft jeden mir bekannten Anbieter solcher Tools.

Bitte sagen Sie mir: Sind meine Fragen berechtigt oder nicht? Unter diesem Beitrag haben Sie die Möglichkeit, DSGVO-konforme einen Kommentar abzugeben. Alternativ tut es auch eine Mail an mich.

Schreiben Sie doch auch mal einem Webseiten-Verantwortlichen an und fragen Sie nach, was mit bestimmten Formulierungen gemeint ist. Jeder normale Bürger muss halbwegs verstehen können, was eine bestimmte Formulierung meint. Wenn nahezu jede Angabe unverständlich ist, kann das nicht richtig sein. Schon gar nicht kann von einem deutschen Staatsbürger erwartet werden, englischsprachige Rechtstexte zu lesen. Verweisen Sie hierzu auf Art. 12 DSGVO.

Lassen Sie sich Datenschutzerklärungen, auf die verwiesen wird und die nicht in deutscher Sprache verfasst sind, doch einmal übersetzen und warten Sie die Verzweiflung des Verantwortlichen ab. Auch hier reicht ein Verweis auf Art. 12 DSGVO. Aus Gründen der Fairness würde ich allerdings empfehlen, nur Unternehmen mit solchen Anfragen zu konfrontieren, die entweder absichtlich oder wissentlich vieles falsch machen oder genügend Ressourcne besitzen, um Gesetze einhalten zu können.

Gerade arbeite ich an einem Tool, mit dem viele der populären Consent Tools auf Webseiten automatisch ausgelesen werden können. Daraus kann dann eine Betroffenenanfrage generiert werden. Das Tool erlaubt es auch, manuelle Angaben als Betroffener machen zu können. Beispiel: Was bedeutet der Zweck für ein Cookie “Wird verwendet, um die Anforderungsrate zu reduzieren“?

Mit meiner Checkliste für rechtssichere Einwilligungsabfragen können Sie noch zielgerichteter eine Webseite mit Cookie Popup unter die Lupe nehmen. Den One-Pager gibt es samt Nennung von Rechtsgrundlagen im PDF-Format.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/consent-tools-auf-webseiten-anleitung
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Cookie Popups: Fünf Gründe, warum sie nicht funktionieren können