Politiker und Verbraucherschützer wollen Cookie Banner durch Datenschutz-Voreinstellungen im Browser eliminieren. Das Motiv ist gut, die Maßnahme der Voreinstellungen allerdings keine Lösung.
Einleitung
Kurz vor Abstimmung des neuen TTDSG wurden Pläne bekannt, dass die Union und auch die Verbraucherzentrale sich für Voreinstellungen im Browser einsetzen, um sogenannte Cookie Banner zu eliminieren.
Zahlreiche einwilligungspflichtige Datenverarbeitungen können nicht durch Voreinstellungen automatisch deaktiviert werden
tatsache. Beispiel: Externe Google Schriften
Jeder wird zustimmen, dass Cookie Banner nervig sind. Ich halte deren Abschaffung also auch für wünschenswert. Allerdings sind die von Politik und Verbraucherschützern vorgetragenen Argumente nicht zielführend, wie ich zeigen werde.
Datenschutz-Voreinstellungen im Browser
Bereits seit längerem gibt es Voreinstellungen für den Datenschutz in Browsern. Hier ein Beispiel aus den Einstellungen, die der Firefox Browser ermöglicht:

Die Einstellmöglichkeiten sind also vielfältig. Es gibt sogar noch eine weitere Voreinstellung namens Do Not Track:

Diese Einstellung wird vom Browser an jede besuchte Webseite geschickt, und zwar in den Anfragedaten:

Firefox senden also den Parameter DNT mit dem Wert = 1 mit. Offensichtlich steht DNT für Do Not Track.
Ruft man die Google Suchmaschine unter google.de mit aktiviertem Do Not Track auf, lädt diese Webseite aber dennoch einen Tracker, wie folgender Screenshot zeigt:

Offensichtlich ignoriert die Google Webseite die Datenschutz-Voreinstellung. Genauso könnte man diese Datenschutz-Ignoranz auf anderen Webseiten nachweisen.
Die Verantwortung liegt schon jetzt bei den Betreibern der Webseiten. Auch eine neue Voreinstellung in Browsern ändert daran nichts. Warum sollen auf einmal alle Betreiber von Webseiten mehr Wert auf Datenschutz legen, nur weil es eine neue Browser-Voreinstellung gibt?
Browser selbst können nicht viel mehr blockieren als sie es jetzt schon tun (vor allem, wenn man frei verfügbare Plugins wie Ghostery oder uMatrix einsetzt).
Ziel: Cookie Popups eliminieren
Das Ziel ist richtig und wird von mir unterstützt. Mein Ansatz: Keine einwilligungspflichtigen Dienste verwenden. Dies funktioniert für ca. 90% der deutschen Webseiten. Beispiele:
- Datenschutzfreundliche interaktive Karte statt Google Maps
- Lokale statt externe Google Schriften
- Matomo o.ä. statt Google Analytics
- Vorschaubild mit Link auf Videoplattform statt eingebettetes YouTube Video, oder Video gleich lokal ablegen
- Gleiches für Vimeo
- Google Tag Manager nicht verwenden, wenn er nicht nötig ist
Die Politik möchte etwas anderes: Jeder Browser soll zusätzliche Datenschutz-Voreinstellungen anbieten. Es muss jeder Browser sein, sage ich, da der Ansatz ansonsten nicht fruchtet. Hieran wird es schon scheitern. Außerdem wird es dauern, bis die meisten Browser hoffentlich der Vorgabe der Deutschen gefolgt sind. Was ist, wenn ein Nutzer einen Browser eines ausländischen Anbieters einsetzt, der die deutsche Vorgabe nicht umsetzt? Die nervige Popup-Abfrage samt den damit einher gehenden Verstößen auf einer Webseite bleibt bestehen.
Außerdem muss am besten jede Webseite die neuen Datenschutz-Voreinstellungen berücksichtigen. Dies wird nicht passieren. Beweis: Die aktuell möglichen Voreinstellungen werden jetzt schon von den allermeisten Webseiten ignoriert. Grund: Höherer Implementierungsaufwand und mangelnde Kenntnis. Für beide Gründe möchte ich keine Generalkritik erteilen, sondern dies einfach nur feststellen. Browser können nicht alles blockieren, was datenschutzrechtlich verboten ist. Beispiel: Externe Google Schriften. So sehr ich mich freuen würde, wenn Google Maps oder integrierte YouTube Videos durch Browser automatisch blockiert werden würde: Dies wird nicht passieren.
Wer entscheidet, welche Datentransfers konkret blockiert werden und welche nicht?
Offene, praktisch unlösbare Frage
Wer legt fest, dass folgende Datentransfers ohne Einwilligung rechtswidrig sind:
- Google Schriften
- Google Maps
- Integrierte YouTube oder Vimeo Videos
- Integrierter SoundCloud Audio Player
- MailChimp
- Über Cloudflare eingebundene Dateien
All diese Fälle bedürfen einer Einwilligung, wie man zeigen kann!
Es ist faktisch nicht möglich, durch einen Browser “automatisisch” das Laden aller Datentransfers zu unterbinden, die einer Einwilligung bedürften. Einerseits, weil Browser nicht erkennen können, ob ein Datentransfer zulässig ist, etwa weil ein Auftragsverarbeitungsvertrag vorliegt. Andererseits, weil die Funktion von Webseiten durch Deaktivieren von rechtswidrigen, aber funktional erheblichen Tools stark eingeschränkt werden könnte.
Sollten Consent Tools versprechen, die neuen Voreinstellungen automatisch zu berücksichtigen, so wird folgendes passieren: Die Unzulänglichkeiten der Consent Tools, die objektiv und auch durch Praxistests feststellbar sind, bleiben bestehen (s.u.).
Die nervige Abfrage wird verschwinden, aber die schon jetzt millionenfach existenten Datenschutzprobleme nicht. Außerdem hätten dann die Consent Tools, Produkte kommerzieller Anbieter, die Entscheidungshoheit. Im Rahmen des Beratungsansatzes würden die Anbieter der Tools ihren Kunden, den Webseiten-Betreibern, als besonderen Service eine unternehmensfreundliche, aber datenschutzfeindliche Verhaltensweise ihres Cookie Tools liefern.
Ein weiterer Beleg, warum die Webseiten sich nicht an neue Datenschutz-Voreinstellungen halten werden: “Jede” Webseite, die ein sogenanntes Cookie Banner eingebunden hat, weist jetzt schon erheblich rechtliche Mängel auf – und zwar wegen des Cookie Banners! Hierfür gibt es objektive Gründe. Meine umfangreiche Untersuchung zeigt zusätzlich, dass selbst die größten und potentesten Unternehmen und sogar die Anbieter der Cookie Banner Tools es nicht hinbekommen.
Datenschutz-Voreinstellungen im Browser sind keine Lösung von Datenschutzproblemen auf Webseiten
Erstes Fazit zum Vorschlag der Datenschutzvoreinstellungen
Cookie Banner werden falsch verstanden
Die Bezeichnung Cookie Banner, Cookie Popup oder Cookie Tool ist irreführend und nicht zielführend. In Wahrheit muss von einer Einwilligungsabfrage gesprochen werden.
Eine Einwilligungsabfrage fragt um Erlaubnis für Datenverarbeitungen, die nur mit einer Einwilligung erlaubt sind. Hierzu gehören:
- Vermeidbare Datentransfers: Artikel 5 Absatz 1 c DSGVO (Datenmininimierung)
- Datentransfers in unsichere Drittländer: Artikel 44ff DSGVO
- Technisch nicht notwendige Cookies: § 15 Abs. 3 TMG gemäß Art. 5 Abs. 3 ePrivacy-Richtlinie (vgl. BGH Urteil zu Planet49)
Cookie Banner fragen in der Regel nur nach der eben genannnten dritten Art der Datenverarbeitung, den Cookies. Offensichtlich ist dies nicht ausreichend und führt vermehrt zu rechtswidrigen Webseiten.
Von Cookies zu sprechen, wenn es um eine Einwilligungsabfrage geht, ist also eine unzulässige Verkürzung der Anforderungen.
Cookie Banner sind an sich ein Problem und keine Lösung
Eine Webseite “weiß” oft selbst gar nicht, welche Datenverarbeitungen einwilligungspflichtig sind. Dies liegt m.E. auch an den Agenturen, die Webseiten erstellen und einfach alles einbauen, was chic zu sein scheint. Prüfen Sie es doch selber mit meinem online Webseiten-Check.
Fazit
Datenschutz-Voreinstellungen im Browser, die Webseiten Hinweise geben, dass Tracking zu unterlassen ist, sind keine Lösung für Datenschutzprobleme, sondern nur ein ergänzender Baustein.
Voreinstellungen können kein ausreichender Ansatz sein und führen zusätzlich zu neuen Problemen und mehr Aufwand.
Datenschutz-Voreinstellungen sind objektiv ungeeignet, um Cookie Banner abzulösen.
Lösungsvorschlag:
- Alternativen für einwilligungspflichtige Tools verwenden
- Nicht benötigte Tools entfernen
- Sanktionen durch Datenschutzbehörden, um abzuschrecken, da aktuell viele meinen, sie müssten sich nicht an Datenschutzgesetze halten
Insbesondere der letztgenannte Punkt ist der am schnellsten umsetzbare und zunächst effektivste. Es reichen wenige Fälle aus, um die Datensünder aufzuschrecken.