gekennzeichnet.
Politiker, Datenschützer und Verbraucherschützer wollen Cookie Banner abschaffen: Das Motiv ist gut, aber Browser-Voreinstellungen, Browser Plugins oder eine zentrale Einwilligungsverwaltung sind aus zahlreichen Gründen ungeeignet.
Einleitung
Kurz vor Abstimmung des neuen TTDSG wurden Pläne bekannt, dass die Union und auch die Verbraucherzentrale sich für Voreinstellungen im Browser einsetzen, um sogenannte Cookie Banner zu eliminieren. Diese Pläne wurde teilweise revidiert, teils aber auch durch das Konzept einer zentralen Einwilligungsverwaltung konkretisiert.
Auch die Datenschutzorganisation noyb veröffentlichte kürzlich ein Konzept namens ADPC (Advanced Data Protection Control), welches Cookie Popups eliminieren soll. Die Idee ist gut, die Lösung ist keine. Dies teilte ich nach Veröffentlichung noyb sogar mit. Die Rückmeldungen gaben mir Recht.
Zahlreiche einwilligungspflichtige Datenverarbeitungen können nicht durch Voreinstellungen automatisch deaktiviert werden
Dies ist eine objektiv feststellbare Tatsache. Beispiel: Externe Google Schriften.
Jeder wird zustimmen, dass Cookie Banner nervig sind. Ich halte deren Abschaffung also auch für wünschenswert. Allerdings sind die von Politik und Verbraucherschützern vorgetragenen Argumente nicht zielführend, wie ich zeigen werde.
Datenschutz-Voreinstellungen im Browser
Bereits seit längerem gibt es Voreinstellungen für den Datenschutz in Browsern. Hier ein Beispiel aus den Einstellungen, die der Firefox Browser ermöglicht:
Die Einstellmöglichkeiten sind also vielfältig. Es gibt sogar noch eine weitere Voreinstellung namens Do Not Track:
Diese Einstellung wird vom Browser an jede besuchte Webseite geschickt, und zwar in den Anfragedaten:
Firefox senden also den Parameter DNT mit dem Wert = 1 mit. Offensichtlich steht DNT für Do Not Track.
Ruft man die Google Suchmaschine unter google.de mit aktiviertem Do Not Track auf, lädt diese Webseite aber dennoch einen Tracker, wie folgender Screenshot zeigt:
Offensichtlich ignoriert die Google Webseite die Datenschutz-Voreinstellung. Genauso kann man diese Datenschutz-Ignoranz auf anderen Webseiten nachweisen.
In den Twitter-Datenschutzhinweisen wird sogar direkt zugegeben, dass Do Not Track ignoriert wird (siehe https://help.twitter.com/de/safety-and-security/twitter-do-not-track).
Die Verantwortung liegt schon jetzt bei den Betreibern der Webseiten. Auch eine neue Voreinstellung in Browsern ändert daran nichts. Warum sollen auf einmal alle Betreiber von Webseiten mehr Wert auf Datenschutz legen, nur weil es eine neue Browser-Voreinstellung gibt?
Browser selbst können nicht viel mehr blockieren als sie es jetzt schon tun (vor allem, wenn man frei verfügbare Plugins wie Ghostery oder uMatrix einsetzt).
Ziel: Cookie Popups eliminieren
Das Ziel ist richtig und wird von mir unterstützt. Mein Ansatz: Keine einwilligungspflichtigen Dienste verwenden. Dies funktioniert für ca. 90 % der deutschen Webseiten. Beispiele:
- Datenschutzfreundliche interaktive Karte statt Google Maps
- Lokale statt externe Google Schriften
- Matomo o.ä. statt Google Analytics
- Vorschaubild mit Link auf Videoplattform statt eingebettetes YouTube Video, oder Video gleich lokal ablegen
- Gleiches für Vimeo
- Google Tag Manager nicht verwenden, wenn er nicht nötig ist
Die Politik möchte etwas anderes: Jeder Browser soll zusätzliche Datenschutz-Voreinstellungen anbieten. Es muss jeder Browser sein, sage ich, da der Ansatz ansonsten nicht fruchtet. Hieran wird es schon scheitern. Außerdem wird es dauern, bis die meisten Browser hoffentlich der Vorgabe der Deutschen gefolgt sind. Was ist, wenn ein Nutzer einen Browser eines ausländischen Anbieters einsetzt, der die deutsche Vorgabe nicht umsetzt? Die nervige Popup-Abfrage samt den damit einher gehenden Verstößen auf einer Webseite bleibt bestehen.
Außerdem muss am besten jede Webseite die neuen Datenschutz-Voreinstellungen berücksichtigen. Dies wird nicht passieren. Beweis: Die aktuell möglichen Voreinstellungen werden jetzt schon von den allermeisten Webseiten ignoriert. Grund: Höherer Implementierungsaufwand und mangelnde Kenntnis. Für beide Gründe möchte ich keine Generalkritik erteilen, sondern dies einfach nur feststellen. Browser können nicht alles blockieren, was datenschutzrechtlich verboten ist. Beispiel: Externe Google Schriften. So sehr ich mich freuen würde, wenn Google Maps oder integrierte YouTube Videos durch Browser automatisch blockiert werden würde: Dies wird nicht passieren.
Wer entscheidet, welche Datentransfers konkret blockiert werden und welche nicht?
Offene, praktisch unlösbare Frage.
Wer legt fest, dass folgende Datentransfers ohne Einwilligung rechtswidrig sind:
- Google Schriften
- Google Maps
- Integrierte YouTube oder Vimeo Videos
- Integrierter SoundCloud Audio Player
- MailChimp
- Über Cloudflare eingebundene Dateien
All diese Fälle bedürfen einer Einwilligung, wie man zeigen kann!
Es ist faktisch nicht möglich, durch einen Browser „automatisch“ das Laden aller Datentransfers zu unterbinden, die einer Einwilligung bedürften. Einerseits, weil Browser nicht erkennen können, ob ein Datentransfer zulässig ist, etwa weil ein Auftragsverarbeitungsvertrag vorliegt. Andererseits, weil die Funktion von Webseiten durch Deaktivieren von rechtswidrigen, aber funktional erheblichen Tools stark eingeschränkt werden könnte.
Sollten Consent Tools versprechen, die neuen Voreinstellungen automatisch zu berücksichtigen, so wird folgendes passieren: Die Unzulänglichkeiten der Consent Tools, die objektiv und auch durch Praxistests feststellbar sind, bleiben bestehen (s.u.).
Die nervige Abfrage wird verschwinden, aber die schon jetzt millionenfach existenten Datenschutzprobleme nicht. Außerdem hätten dann die Consent Tools, Produkte kommerzieller Anbieter, die Entscheidungshoheit. Im Rahmen des Beratungsansatzes würden die Anbieter der Tools ihren Kunden, den Webseiten-Betreibern, als besonderen Service eine unternehmensfreundliche, aber datenschutzfeindliche Verhaltensweise ihres Cookie Tools liefern.
Ein weiterer Beleg, warum die Webseiten sich nicht an neue Datenschutz-Voreinstellungen halten werden: „Jede“ Webseite, die ein sogenanntes Cookie Banner eingebunden hat, weist jetzt schon erheblich rechtliche Mängel auf – und zwar wegen des Cookie Banners! Hierfür gibt es objektive Gründe. Meine umfangreiche Untersuchung zeigt zusätzlich, dass selbst die größten und potentesten Unternehmen und sogar die Anbieter der Cookie Banner Tools es nicht hinbekommen.
Datenschutz-Voreinstellungen im Browser sind keine Lösung von Datenschutzproblemen auf Webseiten
Erstes Fazit zum Vorschlag der Datenschutzvoreinstellungen.
Cookie Banner werden falsch verstanden
Die Bezeichnung Cookie Banner, Cookie Popup oder Cookie Tool ist irreführend und nicht zielführend. In Wahrheit muss von einer Einwilligungsabfrage gesprochen werden.
Eine Einwilligungsabfrage fragt um Erlaubnis für Datenverarbeitungen, die nur mit einer Einwilligung erlaubt sind. Hierzu gehören:
- Vermeidbare Datentransfers: Artikel 5 Absatz 1 c DSGVO (Datenminimierung)
- Datentransfers in unsichere Drittländer: Artikel 44ff DSGVO
- Technisch nicht notwendige Cookies: § 15 Abs. 3 TMG gemäß Art. 5 Abs. 3 ePrivacy-Richtlinie (vgl. BGH Urteil zu Planet49)
Cookie Banner fragen in der Regel nur nach der eben genannten dritten Art der Datenverarbeitung, den Cookies. Offensichtlich ist dies nicht ausreichend und führt vermehrt zu rechtswidrigen Webseiten.
Von Cookies zu sprechen, wenn es um eine Einwilligungsabfrage geht, ist also eine unzulässige Verkürzung der Anforderungen.
Cookie Banner sind an sich ein Problem und keine Lösung.
Man sollte die Ursache und nicht die Folge der Ursache bekämpfen.
Eine Webseite „weiß“ oft selbst gar nicht, welche Datenverarbeitungen einwilligungspflichtig sind. Dies liegt m.E. auch an den Agenturen, die Webseiten erstellen und einfach alles einbauen, was chic zu sein scheint. Prüfen Sie es doch selber mit meinem online Webseiten-Check.
Fazit
Datenschutz-Voreinstellungen im Browser, die Webseiten Hinweise geben, dass Tracking zu unterlassen ist, sind keine Lösung für Datenschutzprobleme, sondern nur ein ergänzender Baustein.
Voreinstellungen können kein ausreichender Ansatz sein und führen zusätzlich zu neuen Problemen und mehr Aufwand.
Datenschutz-Voreinstellungen sind objektiv ungeeignet, um Cookie Banner abzulösen.
Lösungsvorschlag:
- Alternativen für einwilligungspflichtige Tools verwenden
- Nicht benötigte Tools entfernen
- Sanktionen durch Datenschutzbehörden, um abzuschrecken, da aktuell viele meinen, sie müssten sich nicht an Datenschutzgesetze halten
Insbesondere der letztgenannte Punkt ist der am schnellsten umsetzbare und zunächst effektivste. Es reichen wenige Fälle aus, um die Datensünder aufzuschrecken.
Kernaussagen dieses Beitrags
Cookie-Banner sind nervig, aber Voreinstellungen im Browser oder zentrale Einwilligungsverwaltung helfen nicht wirklich, weil Webseiten-Betreiber diese Einstellungen oft ignorieren.
Es ist nicht realistisch, Cookie-Popups komplett durch Browser-Einstellungen zu eliminieren, da Browser viele Datentransfers nicht erkennen können und Webseiten ohne diese oft nicht richtig funktionieren würden.
Cookie-Einstellungen im Browser lösen Datenschutzprobleme auf Webseiten nicht ausreichend.
Datenschutzbehörden sollten strenger gegen Unternehmen vorgehen, die Datenschutzgesetze ignorieren.
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Ich stehe für pragmatische Lösungen mit Mehrwert. Meine Firma, die 
Ob es Alternativen gibt oder nicht ist irrelevant. Die Einwilligungsabfrage muss abgeschafft werden, denn sie ist sinnlos. Die Bevölkerung wird dadurch nicht geschützt, da 99% einfach auf OK klicken. Entweder weil sie zu faul sind oder weil sie keine Ahnung haben, was das soll. Die Verantwortung liegt nun beim Nutzer, aber wen interessiert das? Am Ende soll es die Bevölkerung schützen, wird sie aber nicht, fertig. Eine Lösung zu verwenden, die nichts bringt, ist nicht besser als keine Lösung, auch wenn es keine Alternativen gibt.
Weiterhin schreiben sie, dass sich Webseitenbetreiber nicht an DNT halten. Natürlich nicht, sie werden ja nicht dafür abgemahnt. Sobald sie dafür abgemahnt werden können, werden sie das ändern. Es haben ja auch alle geschafft die Einwilligungsabfrage einzubauen, das war weitaus mehr Aufwand.
Außerdem möchte ich erwähnen, dass „Alternativen nutzen“ nicht in diesen Artikel passt. Das wäre so, als wenn man nach dem Dieselskandal gesagt hätte, dafür habe man keine Lösung, die Bevölkerung soll bitte Alternative Automarken kaufen. Weiterhin gibt es keine Alternativen für z.B. Google Maps, die datenschutzkonform, kostenlos und massentauglich sind. Niemand hat die Infrastruktur, die das für die Masse leisten kann und wenn man nicht mit seinen Daten bezahlen möchte, muss man das mit Geld bezahlen. Das kann ein datenschutzaffiner Millionär ja gerne finanzieren, aber sobald die Masse es nutzt ist es vorbei. Niemand zahlt einfach mal eine Infrastruktur von der Größe von Google und die Leute zahlen auch nicht solange es kostenlose Alternativen gibt.
Vielen Dank für Ihre ausführliche und engagierte Rückmeldung!
Ich stimme dem zu, was Sie im ersten Abschnitt Ihrer Antwort schreiben. Die realistische Lösung für die meisten Webseiten ist es, keine einwilligungspflichtigen Dienste zu verwenden und somit auf die nervigen Popups einfach zu verzichten.
Auch zu DNT stimme ich zu. Es fehlt an einer Sanktionierung. Wobei DNT keine gesetzliche Verpflichtung darstellt und somit nicht unbedingt sanktionierbar ist.
Zu Alternativen und zum Beispiel Google Maps. Ich spreche "nur" von einer Karte, die auf einer Webseite integriert ist und oft einen Standort anzeigen soll. Dies ist, wie ich mehrfach in verschiedenen beiträgen geschrieben habe, oft nicht mit Sinn behaftet. Die Karte wegzulassen ist oft die bessere Möglichkeit. Evtl. einen Button "Route planen" o.ä. einsetzen, oder ein attraktives (!) Umgebungsbild, wenn ein Geschäft seine Lage deutlich machen will.
Es liegt im Ermessen der Betreiber, wie weit Sie einer Zustimmung überhaupt zulassen möchten. Liegt ein berechtigtes Interesse vor, dann wird dem Nutzer auch keine Wahl der Cookies gelassen. Stellen Sie sich mal die Millionen Affiliate-Webseiten vor. Ohne Tracking-Cookie, verdienen diese kein Geld. Schon aus diesem Grund werden Cookie-Banner alias Cookie-Zustimmung immer Bestand haben müssen, um den Nutzer irgendwie darauf hinzuweisen. Vielleicht wird es eine einheitliche Vereinfachung geben, die jeder Nutzer verstehen kann, wie z.B. https://www.arbeitsagentur.de/
Technisch gesehen kann man natürlich erst einmal alle Cookies ablehnen und dann für die Funktion, die einen weiteren nicht notwendigen Cookie setzt, die Zustimmung vorher einholen. Ich bezweifle jedoch, dass hierzu jeder Betreiber in der Lage sein wird, da diese tiefe Eingriffe in den Code bedürfen.
Aus diesen Gründen bin ich eher für eine Vereinheitlichung und Vereinfachung der Zustimmung-Banner, aber nicht für eine Abschaffung.
Wenn die Politik ehrlich wäre und man es mit dem Datenschutz ernst meinen würde, bräuchten wir weder Banner noch Voreinstellungen. Man würde die derzeit zustimmungspflichtigen Praktiken einfach verbieten. In Wahrheit will nämlich niemand getrackt werden, und wer dem zustimmt, tut das nur, weil er von den Bannern genervt ist, und sich nicht damit befassen.
Ich stimme zu, dass die meisten nicht "getrackt" werden wollen. Auch stimme ich zu, dass Sanktionen viel zu selten stattfinden. Ob "die Politik" daran schuld ist oder andere Organe (Judikative inkl. Datenschutzbehörden) sei dahingestellt. Jedenfalls ist die Bürokratie in Deutschland derart schlecht, dass Gerichtsverfahren eine Ewigkeit dauern und das gelegentlich wenig mit einem Rechtsstaat zu tun hat.
Viel wichtiger als dieser ganze Datenschutzklimbim ist, das man das Internet wieder zumutbar nutzen kann; mit Browsern, die alles blockieren, was sich bewegt und entsprechend unnötigen Traffic verursacht und ohne diese schwachsinnigen Banner, die dann auch nicht funktionieren, aber leider oft angezeigt werden und sich nicht entfernen lassen -> Nutzung unmöglich…
Sowohl die Abfrage der Cookies also auch die Einwilligung zum DSGVO sind absolut sinnlos. Beides sind einfach nur zusätzliche Aufwände, die die Betreiber im Schadenfall auch so beachten müssen (Informieren der betroffenen Benutzer etc.). Beides behinder auch junge Firmen Ihre Onlinelösungen zu etablieren (Zusätzlicher Aufwand beim Erstellen und Betreiben der Webseiten).
Wem Bring das was, wenn in den Datenbanktabellen ein haken gesetzt ist? Einen Hacker interessiert das nicht. Und beim Verarbeiten des Schadens interessiert auch niemanden, ob dort jemand ein Hake gesetzt hat. Mich wundert es nicht, dass es diesen starken Rechtsruck gibt, wenn willkürlich erscheinende nicht zu ende getestet oder gedachte Gesetzte die Volkswirtschaft behindern, aber schon mal EU weit eingeführt werden. Meines Erachtens ist es viel wichtiger die immer weiter heranwachsende Anarchie (Das verhalten und die Konditionierung von Benutzer) im Internet einzudämmen und in zivilisierte Kanäle zu steuern (Wie gehen wir miteinander im Netz um und was passiert, wenn wir das nicht beachten)… Mittels entsprechender Gesetzte für den Konsum von Inhalten und das Konditionieren vom Verhalten insbesonderer junger Nutzer mit Hilfe von entsprechenden Werkzeuge für die Polizei und andere exekutiven Organen, die es immer noch nicht gibt. Die aktuellen Entwicklungen machen mir langsam Angst.
Schwierig finde ich bei den Einwilligungsabfragen, dass der Leser konditioniert wird, schnell auf Okay zu drücken und damit in Gefahr gerät, auch mal versehentlich auf "Kostenpflichtiges Angebot" zu clicken. Man ist so gewohnt, einfach auf das Feld zu clicken, besonders, wenn man etwas recherchiert und noch gar nicht weiß, ob man die gesuchte Info auf dieser Seite findet, dass man versehentlich auch mal auf "Weiter mit Werbung" oder schlimmstenfalls "Artikel kaufen" klickt. Gelernt hat man nur "schnell clicken, damit ich den Artikel lesen kann".
Offiziell darf so ein "Banner" meines Wissens gar nicht den Artikel verdecken, er tut es aber heute oft trotzdem. Früher konnte man wenigstens noch das kleine Banner am unteren Seitenrand ignorieren, heute MUSS man oft clicken, um überhaupt ansatzweise den Artikel lesen zu können.
Damit lernt man schlimmstenfalls, sich mit gar nichts mehr zu befassen und wird konditioniert, vor dem Lesen schnell "das Kästchen anzuklicken", egal, was darin steht.
Auf vielen Seiten kann man ja auch nur "alle Cookies" oder "ausgewählte Cookies" zu lassen und wenn man selbst auswählen möchte, müsste man sich mehrere Seiten weiter clicken. Wer wirklich kurz eine Info sucht, hat dafür ja gar nicht den Nerv.
Gelernt haben wir mMn durch die Datenschutzgrundverordnung, auf Datenschutz zu pfeifen und brav zu clicken. Das wiederum könnten nun findige Geschäftemacher auch für "Abo abschließen" oder Ähnliches nutzen.
Schön wäre so etwas wie eine Seitenleiste (etwas, das einen nicht am Lesen der Seite hindert), in der man anklicken kann "Tracking verhindern". Das wäre dann mMn echter Datenschutz.