Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
Ergebnis in wenigen Sekunden sehen

Cookie Banner sollen abgeschafft werden: Warum das richtig ist, aber eine Browser-Voreinstellung nicht die Lösung ist

0

Politiker und Verbraucherschützer wollen Cookie Banner durch Datenschutz-Voreinstellungen im Browser eliminieren. Das Motiv ist gut, die Maßnahme der Voreinstellungen allerdings keine Lösung.

Einleitung

Kurz vor Abstimmung des neuen TTDSG wurden Pläne bekannt, dass die Union und auch die Verbraucherzentrale sich für Voreinstellungen im Browser einsetzen, um sogenannte Cookie Banner zu eliminieren.

Zahlreiche einwilligungspflichtige Datenverarbeitungen können nicht durch Voreinstellungen automatisch deaktiviert werden

tatsache. Beispiel: Externe Google Schriften

Jeder wird zustimmen, dass Cookie Banner nervig sind. Ich halte deren Abschaffung also auch für wünschenswert. Allerdings sind die von Politik und Verbraucherschützern vorgetragenen Argumente nicht zielführend, wie ich zeigen werde.

Datenschutz-Voreinstellungen im Browser

Bereits seit längerem gibt es Voreinstellungen für den Datenschutz in Browsern. Hier ein Beispiel aus den Einstellungen, die der Firefox Browser ermöglicht:

Datenschutzeinstellungen im Firefox Brower

Die Einstellmöglichkeiten sind also vielfältig. Es gibt sogar noch eine weitere Voreinstellung namens Do Not Track:

Do Not Track Voreinstellung im Firefox

Diese Einstellung wird vom Browser an jede besuchte Webseite geschickt, und zwar in den Anfragedaten:

Anfragedaten beim Aufruf einer Webseite mit gesetzter Do Not Track Einstellung

Firefox senden also den Parameter DNT mit dem Wert = 1 mit. Offensichtlich steht DNT für Do Not Track.

Ruft man die Google Suchmaschine unter google.de mit aktiviertem Do Not Track auf, lädt diese Webseite aber dennoch einen Tracker, wie folgender Screenshot zeigt:

Google irgnoriert die Do Not Track Einstellung

Offensichtlich ignoriert die Google Webseite die Datenschutz-Voreinstellung. Genauso könnte man diese Datenschutz-Ignoranz auf anderen Webseiten nachweisen.

Die Verantwortung liegt schon jetzt bei den Betreibern der Webseiten. Auch eine neue Voreinstellung in Browsern ändert daran nichts. Warum sollen auf einmal alle Betreiber von Webseiten mehr Wert auf Datenschutz legen, nur weil es eine neue Browser-Voreinstellung gibt?

Browser selbst können nicht viel mehr blockieren als sie es jetzt schon tun (vor allem, wenn man frei verfügbare Plugins wie Ghostery oder uMatrix einsetzt).

Ziel: Cookie Popups eliminieren

Das Ziel ist richtig und wird von mir unterstützt. Mein Ansatz: Keine einwilligungspflichtigen Dienste verwenden. Dies funktioniert für ca. 90% der deutschen Webseiten. Beispiele:

Die Politik möchte etwas anderes: Jeder Browser soll zusätzliche Datenschutz-Voreinstellungen anbieten. Es muss jeder Browser sein, sage ich, da der Ansatz ansonsten nicht fruchtet. Hieran wird es schon scheitern. Außerdem wird es dauern, bis die meisten Browser hoffentlich der Vorgabe der Deutschen gefolgt sind. Was ist, wenn ein Nutzer einen Browser eines ausländischen Anbieters einsetzt, der die deutsche Vorgabe nicht umsetzt? Die nervige Popup-Abfrage samt den damit einher gehenden Verstößen auf einer Webseite bleibt bestehen.

Außerdem muss am besten jede Webseite die neuen Datenschutz-Voreinstellungen berücksichtigen. Dies wird nicht passieren. Beweis: Die aktuell möglichen Voreinstellungen werden jetzt schon von den allermeisten Webseiten ignoriert. Grund: Höherer Implementierungsaufwand und mangelnde Kenntnis. Für beide Gründe möchte ich keine Generalkritik erteilen, sondern dies einfach nur feststellen. Browser können nicht alles blockieren, was datenschutzrechtlich verboten ist. Beispiel: Externe Google Schriften. So sehr ich mich freuen würde, wenn Google Maps oder integrierte YouTube Videos durch Browser automatisch blockiert werden würde: Dies wird nicht passieren.

Wer entscheidet, welche Datentransfers konkret blockiert werden und welche nicht?

Offene, praktisch unlösbare Frage

Wer legt fest, dass folgende Datentransfers ohne Einwilligung rechtswidrig sind:

  • Google Schriften
  • Google Maps
  • Integrierte YouTube oder Vimeo Videos
  • Integrierter SoundCloud Audio Player
  • MailChimp
  • Über Cloudflare eingebundene Dateien

All diese Fälle bedürfen einer Einwilligung, wie man zeigen kann!

Es ist faktisch nicht möglich, durch einen Browser “automatisisch” das Laden aller Datentransfers zu unterbinden, die einer Einwilligung bedürften. Einerseits, weil Browser nicht erkennen können, ob ein Datentransfer zulässig ist, etwa weil ein Auftragsverarbeitungsvertrag vorliegt. Andererseits, weil die Funktion von Webseiten durch Deaktivieren von rechtswidrigen, aber funktional erheblichen Tools stark eingeschränkt werden könnte.

Sollten Consent Tools versprechen, die neuen Voreinstellungen automatisch zu berücksichtigen, so wird folgendes passieren: Die Unzulänglichkeiten der Consent Tools, die objektiv und auch durch Praxistests feststellbar sind, bleiben bestehen (s.u.).

Die nervige Abfrage wird verschwinden, aber die schon jetzt millionenfach existenten Datenschutzprobleme nicht. Außerdem hätten dann die Consent Tools, Produkte kommerzieller Anbieter, die Entscheidungshoheit. Im Rahmen des Beratungsansatzes würden die Anbieter der Tools ihren Kunden, den Webseiten-Betreibern, als besonderen Service eine unternehmensfreundliche, aber datenschutzfeindliche Verhaltensweise ihres Cookie Tools liefern.

Ein weiterer Beleg, warum die Webseiten sich nicht an neue Datenschutz-Voreinstellungen halten werden: “Jede” Webseite, die ein sogenanntes Cookie Banner eingebunden hat, weist jetzt schon erheblich rechtliche Mängel auf – und zwar wegen des Cookie Banners! Hierfür gibt es objektive Gründe. Meine umfangreiche Untersuchung zeigt zusätzlich, dass selbst die größten und potentesten Unternehmen und sogar die Anbieter der Cookie Banner Tools es nicht hinbekommen.

Datenschutz-Voreinstellungen im Browser sind keine Lösung von Datenschutzproblemen auf Webseiten

Erstes Fazit zum Vorschlag der Datenschutzvoreinstellungen

Cookie Banner werden falsch verstanden

Die Bezeichnung Cookie Banner, Cookie Popup oder Cookie Tool ist irreführend und nicht zielführend. In Wahrheit muss von einer Einwilligungsabfrage gesprochen werden.

Eine Einwilligungsabfrage fragt um Erlaubnis für Datenverarbeitungen, die nur mit einer Einwilligung erlaubt sind. Hierzu gehören:

  1. Vermeidbare Datentransfers: Artikel 5 Absatz 1 c DSGVO (Datenmininimierung)
  2. Datentransfers in unsichere Drittländer: Artikel 44ff DSGVO
  3. Technisch nicht notwendige Cookies: § 15 Abs. 3 TMG gemäß Art. 5 Abs. 3 ePrivacy-Richtlinie (vgl. BGH Urteil zu Planet49)

Cookie Banner fragen in der Regel nur nach der eben genannnten dritten Art der Datenverarbeitung, den Cookies. Offensichtlich ist dies nicht ausreichend und führt vermehrt zu rechtswidrigen Webseiten.

Von Cookies zu sprechen, wenn es um eine Einwilligungsabfrage geht, ist also eine unzulässige Verkürzung der Anforderungen.

Cookie Banner sind an sich ein Problem und keine Lösung

Eine Webseite “weiß” oft selbst gar nicht, welche Datenverarbeitungen einwilligungspflichtig sind. Dies liegt m.E. auch an den Agenturen, die Webseiten erstellen und einfach alles einbauen, was chic zu sein scheint. Prüfen Sie es doch selber mit meinem online Webseiten-Check.

Fazit

Datenschutz-Voreinstellungen im Browser, die Webseiten Hinweise geben, dass Tracking zu unterlassen ist, sind keine Lösung für Datenschutzprobleme, sondern nur ein ergänzender Baustein.

Voreinstellungen können kein ausreichender Ansatz sein und führen zusätzlich zu neuen Problemen und mehr Aufwand.

Datenschutz-Voreinstellungen sind objektiv ungeeignet, um Cookie Banner abzulösen.

Lösungsvorschlag:

  • Alternativen für einwilligungspflichtige Tools verwenden
  • Nicht benötigte Tools entfernen
  • Sanktionen durch Datenschutzbehörden, um abzuschrecken, da aktuell viele meinen, sie müssten sich nicht an Datenschutzgesetze halten

Insbesondere der letztgenannte Punkt ist der am schnellsten umsetzbare und zunächst effektivste. Es reichen wenige Fälle aus, um die Datensünder aufzuschrecken.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie als Quelle für diesen Artikel oder die Verwendung von Ergebnissen aus diesem Artikel folgende Angabe (leichte Variationen sind erlaubt):
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Risikobasierter Ansatz: Datenschutz im Internet funktioniert so nicht