Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Consent Tools: Sind Cookies, die den Einwilligungszustand verwalten, nicht-funktional und somit einwilligungspflichtig?

Veröffentlicht am 4. Januar 2022 von Dr. DSGVO · Zuletzt aktualisiert am 7. Januar 2022
7
Nutzerentscheidung

Kategorien: Datenschutz, Consent Tools, Recht und Tracking

Sogenannte Cookie Popups verwalten in einem Cookie, ob ein Nutzer eine Einwilligung erteilt hat oder nicht. Dabei werden oft Werte in Cookies gespeichert, die Identifikatoren enthalten. Sind diese Cookies nicht selber einwilligungspflichtig? Ist der Datenschutz gewährleistet, wenn unnötig Identifikatoren gespeichert werden?

Einleitung

Die Fragestellung ergab sich, als ich vor Gericht in einer nicht öffentlichen Anhörung gebeten wurde, als Sachkundiger auszusagen. In einem früheren Beitrag hatte ich bereits untersucht, ob Cookies als personenbezogene Daten anzusehen sind.

Seit dem 01.12.2021 ist die Fragestellung noch brisanter, weil das TTDSG gilt. In § 25 TTDSG wird geregelt, dass Cookies nur dann einwilligungsfrei sind, wenn sie unbedingt notwendig sind. Ich habe das hier etwas verkürzt dargestellt. Schauen Sie bei Bedarf in den überschaubaren Text des § 25 TTDSG.

Cookies sind mindestens aufgrund der immer zusammen übertragenen Verkehrsdaten personenbezogene Daten.

Identifizierer in Cookies sind für sich genommen bereits oft personenbezogene Daten.

Technische Realität.

Consent Tools müssen irgendwo abspeichern, ob ein Nutzer bereits eine Einwilligung erteilt hatte und wenn ja, wann. Auch sollte vermerkt werden, wenn ein Nutzer keine Einwilligung erteilt hat, also abgelehnt hat, dass einwilligungspflichtige Vorgänge stattfinden. Ebenso wichtig zu wissen ist, wann ein Nutzer eine vormals erteilte Einwilligung widerrufen hatte.

Einwilligungspflichtige Dienste

Einwilligungspflichtig sind beispielsweise folgende Dienste, wenn sie auf einer eigenen Webseite eingebunden werden:

  • Google (Universal) Analytics: Egal, ob mit oder ohne Cookies, da Google Daten auch zu eigenen Zwecken verarbeitet und die Datenverarbeitung immer in den USA stattfindet.
  • Externe Google Fonts: Hier versagen sogenannte Cookie Tools, weil sie so tun, als wären nur Cookies relevant für die Frage, ob eine Einwilligung erforderlich ist oder nicht (wohlwollend kann den Anbietern dieser Dienste unterstellt werden, dass sie zu wenig von Datenschutz verstehen; böswillig würde man hingegen unterstellen, dass die Anbieter von Cookie Tools in erster Linie Geld verdienen möchten und außerdem wenig Ahnung von Datenschutz haben).
  • Dienste mit Servern in den USA oder von Anbietern aus den USA oder von Anbietern mit einer Muttergesellschaft aus den USA: Siehe EuGH-Urteil zum Privacy Shield und Art. 44ff DSGVO.

Cookie-Dienste versagen vollständig bei Diensten wie Google Fonts, die bis dato keine Cookies nutzen. Die Cookie-Dienste können diese externen Schriften nicht wirksam blockieren und wollen es deswegen auch gar nicht, ist meine Vermutung. Sie können es aus technischer Sicht nicht, wie ich bereits gezeigt habe. Sie können es aber auch aus rein fachlicher Sicht bereits nicht. Stellen Sie sich eine Webseite vor, die nicht in der vorgedachten Schriftart, sondern in einer nicht vorhersehbaren Ersatzschrift angezeigt wird. Das möchte niemand. Statt Schriften lokal einzubinden, lassen sich Webseitenbetreiber lieber falsch beraten oder beraten Agenturen lieber falsch. Bei manchen fehlt einfach die Lust, oder es scheitert an Programmierkenntnissen, die bei Experten für Webseiten erwartet werden dürften, wie ich finde.

Ein Cookie für die Einwilligung

In Art. 7 Abs. 1 DSGVO ist gefordert, dass Webseitenbetreiber nachweisen können müssen, dass ein Besucher in etwas eingewilligt hat. Unter uns: Dieser Nachweis kann kaum geführt werden. Nimmt man die IP-Adresse, scheitert das bei vielen an wechselnden IP-Adressen oder teilweise an gemeinsam genutzten IP-Adressen (Wohngemeinschaft). Die Browser-Kennung (User Agent) ist nicht selten nur für einige Tage brauchbar. Hingegen ist das Nachverfolgen von Nutzern mittels sämtlicher Verkehrsdaten mit hoher Wahrscheinlichkeit möglich. Hier reicht eine logische Herleitung und Wahrscheinlichkeitsbetrachtung. Google muss schließlich nicht jemandem gegenüber beweisen, dass Nutzer X der Nutzer von mir 2 Wochen ist. Der Verantwortliche für eine Webseite muss im Zweifel aber hart beweisen (nachweisen) können, dass Nutzer X vor 2 Wochen einwilligte. Wie das gehen soll, erschließt sich mir noch nicht. Ich warte mal den ersten Fall ab und berichte dann gerne darüber.

Technisch wichtiger als der rechtliche Nachweis ist das Vermerken des Einwilligungsstatus für den Webseitenbetreiber. Denn der Nutzer soll nicht dauernd das Cookie-Popup präsentiert bekommen, sondern am besten unsichtbar und am liebsten möglichst unbemerkt nachverfolgt werden.

Dafür wird ein Cookie verwendet. In diesem Cookie können die vom Nutzer erteilten Einwilligungen gespeichert werden. Ein solches Cookie könnte beispielsweise folgende Werte speichern:

Zeitpunkt der Einwilligung: 04.01.2022 10:33:44 Uhr
Erteilte Einwilligungen: Tool 1; Tool 4

Gespeichert wird also der Zeitpunkt der Einwilligung sowie der Umfang dieser. Hier denke ich, dass dieses Cookie technisch notwendig und somit einwilligungsfrei ist.

Anstatt „Tool 1“ oder „Tool 4“ sind in Wirklichkeit die Zwecke zu speichern, in die eingewilligt wurde. Die Zwecke sind auf Webseiten oft mit Diensten (Tools) identisch. Schließlich willigt niemand in Cookies ein, sondern in Dienste, die diese Cookies verwalten. Diese Erkenntnis hat sich allerdings bei vielen, auch bei Anbietern von Cookie-Diensten, noch nicht durchgesetzt. Das führt zu regelmäßig rechtswidrigen Einwilligungsabfragen und somit zu ungültigen Einwilligungen.

Das Speichern einer selbst generierten Identifikation, die den Einwilligungsvorgang kennzeichnet, kann wohl auch als technisch notwendig angesehen werden. Denn so kann (wenigstens) dann ein Nachweis über die erteilte Einwilligung geführt werden, wenn ein Nutzer seine Identifikation kennt. Diese kennt der Nutzer dann, wenn das Cookie zum Speichern der Einwilligung noch im Browser des Nutzers gespeichert ist.

Eine Einwilligungs-ID, die von einem Consent Tool in einem Cookie gespeichert wird, ist ein personenbezogenes Datum.

Wäre dies nicht der Fall, wäre die Einwilligungs-ID sinnbefreit.

Würde diese Einwilligungs-ID nämlich nicht gespeichert werden, ist der Nachweis der Einwilligung bei von mehreren Nutzern gemeinsam genutzten Netzwerken noch weniger möglich. Die Einwilligungs-ID wird oft auch als Cookie ID, Cookie Key oder Consent Key bezeichnet. Die ersten beiden Bezeichnungen (Cookie ID und Cookie Key) halte ich für irreführend und somit für falsch. Aber zumindest verstehen viele diese Begriffe.

Weil eine Einwilligungs-ID explizit auf einen Nutzer rückgeführt wird, ist sie ein personenbezogenes Datum. Wer Einwilligungs-IDs verwaltet, verarbeitet also personenbezogene Daten. Wenn ein Dritter dies tut, wäre es für den Verantwortlichen besser, mit dem Dritten einen AVV abgeschlossen zu haben. Anbieter wie Cookiebot lehnen AVVs ab, soweit ich weiß.

Ein Cookie für die Ablehnung

Möchte ein Nutzer in nichts einwilligen, lehnt er somit ab. Die Ablehnung ist nicht der Widerruf. Der Widerruf einer Einwilligung bedingt, dass zuvor eine Einwilligung erteilt wurde. Die Ablehnung bedeutet, dass gar keine Einwilligung erteilt wurde.

Ablehnen heißt also in etwa, auf einen Button wie "nur notwendige Cookies" zu klicken. Ich nenne dieses plakative Beispiel, auch wenn die Begriffe falsch sind. Denn niemand willigt in Cookies ein, sondern in Zwecke und somit auf Webseiten meist in Dienste, die Cookies verwalten. Wahrscheinlich niemals willigt jemand direkt in ein Cookie ein, denn ein Cookie ist kein Selbstzweck.

Zum Speichern einer Ablehnung reicht ein verkürzter Wert in einem Cookie.

Logische Erkenntnis. Gilt bei nicht zuvor erteilter Einwilligung, also bei direkter Ablehnung beim ersten Webseitenbesuch.

Lehnt ein Nutzer also alle Datenverarbeitungen zu technisch nicht notwendigen Zwecken ab, sollte dies im Interesse des Webseitenbetreibers ebenso vermerkt werden. Denn ansonsten würde dem Nutzer jedes Mal das sowieso schon nervige „Cookie-Popup“ präsentiert. Ich verwende hier wieder den falschen Begriff „Cookie-Popup“, weil er sich eingebürgert hat, obwohl er als falsch, weil zu kurz gegriffen, zu bezeichnen ist.

Eine Ablehnung muss nicht nachgewiesen werden. Warum auch? Es wurden deswegen schließlich gerade keine Datenverarbeitungen durchgeführt! Logischerweise muss auch keine Einwilligungs-ID gespeichert werden. Vielmehr reicht ein kurzer Merker, dass ein Nutzer vollständig alle nicht notwendigen Datenverarbeitungen abgelehnt hat. Dieser Merker wird von Technikern auch als Flag bezeichnet.

Etwas anderes ist es, wenn ein Nutzer irgendwann eingewilligt und dann die Einwilligung widerrufen hat. Hier sollte der Zeitraum der Einwilligung dokumentiert werden. Ansonsten kann der Nachweis der Einwilligung nicht ordentlich geführt werden.

Leider halten sich viele Consent Tools nicht daran, Ablehnungen nur minimal zu speichern.

Beispiel Cookiebot:

Dieser sogenannte Cookie Dienst vermerkt in einem Cookie mit dem Namen CookieConsent folgendes, wenn ich bei einem Erstbesuch auf einer Webseite X alles ablehne, also keinerlei Einwilligung erteile.

{stamp:%277RyAJL+h2qchl9uUKRZrH4tXCfHuWi2+G4WAcwo6SdL3FRshcaUIrg==%27%2Cnecessary:true%2Cpreferences:false%2Cstatistics:false%2Cmarketing:false%2Cver:1%2Cutc:1241287506672%2Cregion:%24de%27}

Mir fehlt das Verständnis, warum derart viele Informationen über meine Ablehnung aller technisch nicht notwendigen Datenverarbeitungen gespeichert werden müssen, wenn folgende Information ausreichen würde:

0

Die Zahl null könnte auch durch ein anderes Zeichen oder eine kurze Zeichenfolge ersetzt werden. beispielsweise durch das Minus-Zeichen, durch die -1 oder durch "NEIN".

Beispiel Borlabs Cookie:

Auch dieses Cookie-Tool trägt den Namen "Cookie" im Namen. Ein für mich untrügliches Zeichen, dass der Anbieter wenig von Datenschutz versteht oder seinen Kunden nicht verraten will, wo die Probleme mit dem Cookie-Tool liegen.

Borlabs Cookie speichert bei völliger Ablehnung aller nicht notwendigen Datenverarbeitungen folgende Informationen über meine Entscheidung auf der Webseite xyz-anonymisiert.de:

%7B%22consents%22%3A%7B%22essential%22%3A%5B%22borlabs-cookie%22%5D%7D%2C%22domainPath%22%3A%22www.xyz-anomymisiert.de%2F%22%2C%22expires%22%3A%22Wed%2C%2004%20Jan%202013%2109%3A15%3A54%20GMT%22%2C%22uid%22%3A%22zw4l10at-rk7oxdde-4od23o3h-c2dze5p4%22%2C%22version%22%3A%221%22%7D

Offensichtlich soll hier die Encyclopedia Britannia nachgebildet werden. Auch hier hätte ein verkürzter Wert wie "-“ gereicht.

Beispiel iubenda:

Bereits ohne Nutzeraktion wird folgendes Cookie erstellt (Stand: 04.01.2022, genau wie alle anderen Angaben, sofern nicht anders angegeben):

_iubenda_session: AXh7B0kiD3Nlc3Npb25faWQGOgZFVEkiJTc5YTkxMmU0NzE1MmRmM2Q4MmMzNTU1MTJlNmJiNTI3BjsAVEkiEF9jc3JmX3Rva2RuBjsARkkiMVYxb2dXaThmbWJkVU9YU3JsQ1Vaa0dxOWl6QUtIb0x4b0VseXgweWdiN3M9BjsARg%3D%3D--ce6b9683ce775ffba213c1e397729b0e2b23741d

Dieses Verhalten konnte ich auf der Webseite des Anbieters feststellen. Eine falsche Integration des iubenda-Scripts kann also ausgeschlossen werden (bzw. wenn der Anbieter bereits daran scheitert, ist das kein gutes Zeichen).

Nachdem ich abgelehnt hatte, also keine einzige Einwilligung erteilte, wird ein zweites Cookie von iubenda angelegt. Es hat folgenden Inhalt:

_iub_cs-33725009: %7B%22timestamp%22%3A%222022-01-04T10%3A19%3A16.642Z%22%2C%22version%22%3A%221.35.3%22%2C%22purposes%22%3A%7B%221%22%3Atrue%2C%222%22%3Afalse%2C%223%22%3Afalse%2C%224%22%3Afalse%2C%225%22%3Afalse%7D%2C%22id%22%3A78728009%2C%22cons%22%3A%7B%22rand%22%3A%225db271%22%7D%7D

Das macht die Sache nicht besser. Scheinbar nimmt es iubenda mit der Datensparsamkeit nicht so genau. Ich sehe hier einen Verstoß gegen das TTDSG.

Beispiel UserCentrics:

Auch hier gibt es keine Überraschung. Der Cookie-Dienst verhält sich bezüglich der Speicherung von Einwilligungsinformationen genauso schlecht wie die anderen Beispiele.

Ruft man eine Webseite auf, die UserCentrics als CMP nutzt, setzt UserCentrics gleich zu Beginn und ohne mir ersichtliche Motivation drei Monster-Cookies:

ucConsents: {"settings":{"settingsId":"INAdE4pxP","version":"19.1.30","isLatest":true,"buttonDisplayLocation":"bl","moreInfoButtonUrl":"","actionClickOnViewConsentInSearchApp":"","layout":"layout-1","privacyModal":1,"urlConsentInfo":"","stylesCss":"#usercentrics-button #uc-consents-info-modal .uc-modal-header,\n#usercentrics-button #uc-consents-info-modal .uc-modal-header .uc-info-modal-search-bar input {\n\tbackground-color: #3d3d3d;\n}\n\n#usercentrics-button #uc-consents-info-modal .uc-modal-header .uc-info-modal-search-bar input {\n\tborder-color: #eee;\n}\n\n#usercentrics-button #uc-consents-info-modal .uc-info-modal-sidebar,\n#usercentrics-button #uc-consents-info-modal .uc-info-modal-sidebar .uc-powered-by {\n\tbackground-color: #eee;\n}\n#usercentrics-button #uc-consents-info-modal .uc-info-modal-sidebar .uc-powered-by {\n\tbox-shadow: none;\n}","buttonPrivacyOpenIcon":"","buttonPrivacyCloseIcon":"","buttonPrivacyOpenIconUrl":"","bannerMobileDescription":"","consentSharingIFrameUrl":"","ban
ucSettings:{"INAdE4pxP":{"usercentrics":{"curentOpenedDomainCounter":"1","settingsIds":["INAdE4pxP"],"firstUserInteraction":{"value":1,"stateSaved":false},"settings":{"settingsId":"INAdE4pxP","version":"19.1.30","isLatest":true,"buttonDisplayLocation":"bl","moreInfoButtonUrl":"","actionClickOnViewConsentInSearchApp":"","layout":"layout-1","privacyModal":1,"urlConsentInfo":"","stylesCss":"#usercentrics-button #uc-consents-info-modal .uc-modal-header,\n#usercentrics-button #uc-consents-info-modal .uc-modal-header .uc-info-modal-search-bar input {\n\tbackground-color: #3d3d3d;\n}\n\n#usercentrics-button #uc-consents-info-modal .uc-modal-header .uc-info-modal-search-bar input {\n\tborder-color: #eee;\n}\n\n#usercentrics-button #uc-consents-info-modal .uc-info-modal-sidebar,\n#usercentrics-button #uc-consents-info-modal .uc-info-modal-sidebar .uc-powered-by {\n\tbackground-color: #eee;\n}\n#usercentrics-button #uc-consents-info-modal .uc-info-modal-sidebar .uc-powered-by {\n\tbox-shadow: none;\n}","butto
usercentrics: {"curentOpenedDomainCounter":"1","settingsIds":["INAdE4pxP"],"firstUserInteraction":{"value":1,"stateSaved":false},"settings":{"settingsId":"IAdE4pxP","version":"19.1.30","isLatest":true,"buttonDisplayLocation":"bl","moreInfoButtonUrl":"","actionClickOnViewConsentInSearchApp":"","layout":"layout-1","privacyModal":1,"urlConsentInfo":"","stylesCss":"#usercentrics-button #uc-consents-info-modal .uc-modal-header,\n#usercentrics-button #uc-consents-info-modal .uc-modal-header .uc-info-modal-search-bar input {\n\tbackground-color: #3d3d3d;\n}\n\n#usercentrics-button #uc-consents-info-modal .uc-modal-header .uc-info-modal-search-bar input {\n\tborder-color: #eee;\n}\n\n#usercentrics-button #uc-consents-info-modal .uc-info-modal-sidebar,\n#usercentrics-button #uc-consents-info-modal .uc-info-modal-sidebar .uc-powered-by {\n\tbackground-color: #eee;\n}\n#usercentrics-button #uc-consents-info-modal .uc-info-modal-sidebar .uc-powered-by {\n\tbox-shadow: none;\n}","buttonPrivacyOpenIcon":"","button

Die Werte der Cookies sind derart lange, dass die Zwischenablage beim Kopieren und Einfügen die Daten abschneidet. Bei einer solchen Datenmenge möchte ich am liebsten den Kopf gegen die Wand schlagen, aber nicht meinen eigenen. Es tut einfach nur weh, so etwas zu sehen.

Die Werte werden in der LocalStorage (Web Storage) des Browsers des armen Webseitenbesuchers gespeichert, was gleichbedeutend mit „Super Cookie“ ist. Es handelt sich um ein First Party Cookie mit potentiell riesiger Datenkapazität. Das macht es nicht besser. Zum Glück sind heutige Festplatten so riesig, denn ansonsten würden Webseiten, die UserCentrics einsetzen, womöglich dauernd abstürzen.

Nach erteilter Einwilligung bleibt die Datenmenge wohl ungefähr gleich. Genau konnte ich es wegen der riesigen Datenmenge nicht prüfen.

Vielleicht möchte UserCentrics mal die Programmierer wechseln. Dann werden die Probleme womöglich weniger.

Cookies vor Anklicken des Cookie-Popups

Mit großem Erstaunen stellte ich auf einer Webseite fest, dass die dort eingebaute Einwilligungsabfrage Cookies setzte, bevor ich etwas anklickte. Das Cookie Popup war also zu sehen, aber ich als Besucher der Webseite habe noch gar nichts getan. Ich erteilte weder eine Einwilligung, noch eine Ablehnung, noch klickte ich etwas an noch berührte ich meine Tastatur.

Das Popup stand also da und fragte nach meiner Einwilligung. Dennoch wurden folgende Cookies bereits gesetzt:

dsgvoaio_formidable_rv2: false
dsgvoaio: dsgvoaiowp=!mycustomservice=true!soundcloud=wait!vimeo=wait!youtube=wait

Was das soll, wage ich lieber nicht nachzufragen, denn die Antwort kann nur unbefriedigend ausfallen.

Fazit

Bei Nichterteilung einer Einwilligung reicht eine verkürzte Speicherung des Nutzerwunsches aus. Dies gilt zumindest, wenn ein Nutzer eine Webseite zum ersten Mal besucht. Ein Folgebesuch einer Webseite, der stattfindet, nachdem relevante Cookies im Browser gelöscht wurden, gilt in diesem Sinne als erster Besuch.

Viele Nutzer lassen durch Hilfsprogramme oder durch Browser-Einstellungen die Cookies auf ihrem System regelmäßig löschen, um ihre Privatsphäre besser zu schützen. Wie dann eine zuvor erteilte Einwilligung nachgewiesen werden soll, bleibt mir rätselhaft. Ich freue mich auf den ersten Fall. Hier ein fiktiver Dialog zwischen Webseitenbetreiber als Verantwortlichem und Besucher der Webseite als betroffene Person:

  • Betroffene Person: Weisen Sie mir nach, dass ich am 27.12.2021 auf Ihrer Webseite eingewilligt habe, dass Google reCAPTCHA genutzt werden darf
  • Verantwortlicher: Bitte nennen Sie mir Ihre Cookie-ID. Diese finden Sie, wenn Sie unsere Datenschutzerklärung unter xzy-anonymisiert.de/datenschutz aufrufen
  • Betroffene Person: Ich finde da keine Cookie-ID.
  • Verantwortlicher: Merkwürdig. Haben Sie etwa Ihre Cookies gelöscht?
  • Betroffene Person: Ja, das passiert automatisch, wenn ich meinen Computer herunterfahre
  • Verantwortlicher: Dann können wir Ihnen nicht helfen
  • Betroffene Person: Sie müssen mir den Nachweis über meine damals erteilte Einwilligung erbringen. Wenn Sie das nicht können, habe ich damit ein Problem. Wo steht eigentlich, dass ich meine Cookies nicht löschen darf? Wollen Sie mich etwa zwingen, alle Cookies auf meinem Rechner dauerhaft zu speichern, damit Sie und andere mein Verhalten im Internet ausspionieren können?
  • Verantwortlicher: keine Antwort
  • Das Gericht stellt nach Klageerhebung fest, …

Cookie-Popups, die Cookies erzeugen, bevor etwas eingewilligt oder abgelehnt wurde, sollten vom Markt genommen werden.

Ebenso verfehlt sind Cookie Popups, die eine völlige Ablehnung des Nutzers in epischer Länge abspeichern anstatt ein einzelnes Zeichen oder eine kurze Zahl dafür zu verwenden.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über Ihre Unterstützung für meine Arbeit würde ich mich besonders freuen. Als Geschäftsführer der IT Logic GmbH berate ich Kunden und biete Webseiten-Checks an.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/consent-tools-sind-cookies-die-den-einwilligungszustand-verwalten-nicht-funktional-und-somit-einwilligungspflichtig
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.
Schlagworte zu diesem Artikel:

Kommentare von Lesern

Die Kommentare drücken die Meinungen der jeweiligen Kommentargeber aus
  1. Lichenscon

    Ich habe bei der Erstellung eines kleinen Scripts zur teilautomatisierten Erstellung von Beschwerden und Auskunftsersuchen ein interessantes Detail festgestellt: In der aus dem Browser exportierten HAR-Datei mit dem Protokoll der Netzwerkanfragen wurden bereits vor dem Erscheinen des Einwilligungs-Popovers bei einem eingebundenen Dienst Cookies gesetzt, die jedoch vor dem fertigen Seitenaufbau wieder gelöscht wurden. Auch wenn dies keine wirkliche Auswirkung auf den Datenschutz hat – abgesehen von dem Laden des Dienstes bereits vor der Einwilligung, wäre dies ein weiterer Punkt, an dem man das Nichtfunktionieren der Consent-Tools zeigen kann und wäre eventuell auch ein Punkt, der in einem Beschwerdeverfahren eingebracht werden kann.

    Antworten
    • Dr. DSGVO

      Das klingt interessant. Könnten Sie mir (vertraulich) die Adresse der Webseite senden, bei der dieses Verhalten auftritt? Entweder per Mail oder per Kommentar (den ich dann nicht freigeben werde)?

      Antworten
  2. Lichenscon

    Ich habe dieses Verhalten auf der Seite ".." festgestellt. Dort werden für die eingebundenen Domains 698b0ecb.de.ioam.de und script.ioam.de das Cookie i00 und für die Domain cdn.cxense.com das Cookie gckp gesetzt, das nach dem Laden der Seite nicht in den Firefox-Entwicklerwerkzeugen im Web-Speicher Tab auftaucht. Ob der Cookie wirklich entfernt wurde oder nur im Firefox nicht angezeigt wird, kann ich leider nicht nachvollziehen. Das Verhalten mit der ioam.de-Domain lässt sich auch z.B. bei … nachstellen.

    Anmerkung: Die Webseitennennung wurde von der Redaktion anonymisiert (bis auf Weiteres, da zuvor zugesagt).

    Antworten
    • Dr. DSGVO

      Vielen Dank für Ihre schnelle Rückmeldung. Die Webseitenadressen wurden anonymisiert, damit Ihr Kommentar freigegeben werden konnte. Wenn Sie einverstanden sind, fügen wir die Klarnamen der Nennungen wieder ein.

      Nun zum Sachverhalt.
      Das Cookie gckp existiert in der Tat. Es wird im Firefox Web-Speicher aber nicht angezeigt. Nutzt man ein Firefox-Plugin zum Anzeigen aller Cookies, findet man dort auch gckp.

      Hier liegt die Ursache also wohl an der mir schon länger bekannten Schwäche von Firefox, nicht alle Cookies zur besuchten Webseite anzuzeigen.

      Übrigens würde mich Ihr Beschwerdegenerator interessieren. Schreiben Sie mir doch mal dazu. Einen derartigen kenne ich bereits, weiß aber nicht, was Ihr Generator alles leistet. Siehe https://tracktor.it/

      Antworten
  3. Jens-Uwe Viehrig | Institut für Datenschutz und Datensicherheit

    Vielen Dank für den – wie immer – interessanten Artikel.

    Ich persönlich habe aber noch nicht verstanden, inwieweit eine Nachweispflicht, wann der Betroffene seine Einwilligung widerrufen hat, notwendig ist.
    Gesetzt den Fall, eine sauber programmierte und datensparsame Website fragt im Rahmen des Consent-Management-Tools ab, ob der User spezielle Dienste zulassen möchte oder nicht.
    Mit dem "Alles ablehnen" wird der Eintrag "0" als "essentielle Speicherung" im lokalen Speicher vorgenommen.
    Mit der Auswahl einzelner Tools oder "alles zustimmen" werden entsprechend andere Werte eingetragen (natürlich datensparsam und nicht mit der Wucht von UserCentrics).
    Sobald der User das Tool wieder aufruft und Änderungen an den Einstellungen vornimmt, wird der Wert im lokalen Speicher geändert und die Dienste werden nicht mehr geladen.
    Das setzt natürlich voraus, dass mit dem sofortigen Refresh der Website die Cookies (die jetzt nicht mehr benötigt werden) und die Einträge im Sitzungsspeicher bzw. lokalen Speicher gelöscht bzw. entsprechend angepasst werden.
    Durch die permantene Abfrage beim Seitenaufbau, welche Dienste gemäß Einwilligung zulässig sind, wäre doch technisch realisiert, dass die Einbindung von Diensten, die einer Einwilligung bedürfen, auch nur dann geladen werden, wenn diese Einwilligung vorlag.
    Eine Dokumentation, welcher Nutzer wann eingewilligt und wann wieder widerrufen und dann ggf. doch wieder eingewilligt hat, erachte ich nicht für nötig und würde mich dabei auf Artikel 11 der DSGVO stützen.
    Der Websitebetreiber ist aus meiner Sicht nicht verpflichtet, zahlreiche personenbezogene Daten extra zu generieren und zu verarbeiten, nur um den Betroffenenrechten (Auskunft) nachkommen zu können.

    Mich würde interessieren, ob Sie in diesem Ansatz eine Lösung sehen, die das komplette Datensammeln (meist auf CDNs der großen US-Anbieter) obsolet machen.

    Antworten
    • Dr. DSGVO

      Hallo Herr Viehrig,

      vielen Dank für Ihre Rückmeldung und Ihre Frage.
      Generell ist das Problem der Nachweis der zuvor erteilten Einwilligung gemäß Art. 1 Abs. 1 DSGVO "Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat."

      Sie müssen nachweisen können, dass Person X, wenn diese sie in die Mangel nimmt, beim Besuch Ihrer Webseite eine Einwilligung erteilte. Diesen Nachweis können Sie meist nicht führen, behaupte ich. Vor allem dann nicht, wenn der Nutzer eine dynamische IP-Adresse hat und seine Cookies regelmäßig löscht.
      Auf die Zeitpunkte der Erteilung der Einwilligung und des Widerrufs kommt es speziell nicht an, sondern auf den Nachweis der erteilten Einwilligung beim Besuch der Webseite zum Zeitpunkt X. Daraus ergibt sich allerdings, dass Sie den Zeitpunkt der Einwilligungserteilung kennen sollten.

      Es liegt bei Ihnen, wie Sie den Beweis führen. Ich behaupte, dieser Beweis kann unter den o.g. Bedingungen (dyn. IP, Cookies gelöscht) nicht rechtssicher geführt werden. Sie müssten eine Einwilligung per Briefpost oder Email einholen, dann könnte man über eine Beweiskraft reden.
      Falls jemand eine andere Idee hat, freue ich mich über Rückmeldungen.

      Antworten
  4. einfach nur ein Webseitenbesucher

    Danke für die Informationen/Aufklärung.
    Ich konnte diesen Text nur lesen weil er aufklärend war
    und mir Ihr Schreibstil gefiel; – nicht so trocken.

    Antworten

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Das war digitaler Datenschutz im Jahr 2021: Ein Rückblick in Stichpunkten