Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Cookie Banner sollen abgeschafft werden: Warum das richtig ist, aber Browser-Voreinstellungen, Plugins oder eine zentrale Einwilligungsverwaltung keine Lösung sind

3

Politiker, Datenschützer und Verbraucherschützer wollen Cookie Banner abschaffen: Das Motiv ist gut, aber Browser-Voreinstellungen, Browser Plugins oder eine zentrale Einwilligungsverwaltung sind aus zahlreichen Gründen ungeeignet.

Einleitung

Kurz vor Abstimmung des neuen TTDSG wurden Pläne bekannt, dass die Union und auch die Verbraucherzentrale sich für Voreinstellungen im Browser einsetzen, um sogenannte Cookie Banner zu eliminieren. Diese Pläne wurde teilweise revidiert, teils aber auch durch das Konzept einer zentralen Einwilligungsverwaltung konkretisiert.

Auch die Datenschutzorganisation noyb veröffentlichte kürzlich ein Konzept namens ADPC (Advanced Data Protection Control), welches Cookie Popups eliminieren soll. Die Idee ist gut, die Lösung ist keine. Dies teilte ich nach Veröffentlichung noyb sogar mit. Die Rückmeldungen gaben mir Recht.

Zahlreiche einwilligungspflichtige Datenverarbeitungen können nicht durch Voreinstellungen automatisch deaktiviert werden

tatsache. Beispiel: Externe Google Schriften

Jeder wird zustimmen, dass Cookie Banner nervig sind. Ich halte deren Abschaffung also auch für wünschenswert. Allerdings sind die von Politik und Verbraucherschützern vorgetragenen Argumente nicht zielführend, wie ich zeigen werde.

Datenschutz-Voreinstellungen im Browser

Bereits seit längerem gibt es Voreinstellungen für den Datenschutz in Browsern. Hier ein Beispiel aus den Einstellungen, die der Firefox Browser ermöglicht:

Datenschutzeinstellungen im Firefox Brower

Die Einstellmöglichkeiten sind also vielfältig. Es gibt sogar noch eine weitere Voreinstellung namens Do Not Track:

Do Not Track Voreinstellung im Firefox

Diese Einstellung wird vom Browser an jede besuchte Webseite geschickt, und zwar in den Anfragedaten:

Anfragedaten beim Aufruf einer Webseite mit gesetzter Do Not Track Einstellung

Firefox senden also den Parameter DNT mit dem Wert = 1 mit. Offensichtlich steht DNT für Do Not Track.

Ruft man die Google Suchmaschine unter google.de mit aktiviertem Do Not Track auf, lädt diese Webseite aber dennoch einen Tracker, wie folgender Screenshot zeigt:

Google irgnoriert die Do Not Track Einstellung

Offensichtlich ignoriert die Google Webseite die Datenschutz-Voreinstellung. Genauso kann man diese Datenschutz-Ignoranz auf anderen Webseiten nachweisen.

In den Twitter-Datenschutzhinweisen wird sogar direkt zugegeben, dass Do Not Track ignoriert wird (siehe https://help.twitter.com/de/safety-and-security/twitter-do-not-track).

Die Verantwortung liegt schon jetzt bei den Betreibern der Webseiten. Auch eine neue Voreinstellung in Browsern ändert daran nichts. Warum sollen auf einmal alle Betreiber von Webseiten mehr Wert auf Datenschutz legen, nur weil es eine neue Browser-Voreinstellung gibt?

Browser selbst können nicht viel mehr blockieren als sie es jetzt schon tun (vor allem, wenn man frei verfügbare Plugins wie Ghostery oder uMatrix einsetzt).

Ziel: Cookie Popups eliminieren

Das Ziel ist richtig und wird von mir unterstützt. Mein Ansatz: Keine einwilligungspflichtigen Dienste verwenden. Dies funktioniert für ca. 90 % der deutschen Webseiten. Beispiele:

Die Politik möchte etwas anderes: Jeder Browser soll zusätzliche Datenschutz-Voreinstellungen anbieten. Es muss jeder Browser sein, sage ich, da der Ansatz ansonsten nicht fruchtet. Hieran wird es schon scheitern. Außerdem wird es dauern, bis die meisten Browser hoffentlich der Vorgabe der Deutschen gefolgt sind. Was ist, wenn ein Nutzer einen Browser eines ausländischen Anbieters einsetzt, der die deutsche Vorgabe nicht umsetzt? Die nervige Popup-Abfrage samt den damit einher gehenden Verstößen auf einer Webseite bleibt bestehen.

Außerdem muss am besten jede Webseite die neuen Datenschutz-Voreinstellungen berücksichtigen. Dies wird nicht passieren. Beweis: Die aktuell möglichen Voreinstellungen werden jetzt schon von den allermeisten Webseiten ignoriert. Grund: Höherer Implementierungsaufwand und mangelnde Kenntnis. Für beide Gründe möchte ich keine Generalkritik erteilen, sondern dies einfach nur feststellen. Browser können nicht alles blockieren, was datenschutzrechtlich verboten ist. Beispiel: Externe Google Schriften. So sehr ich mich freuen würde, wenn Google Maps oder integrierte YouTube Videos durch Browser automatisch blockiert werden würde: Dies wird nicht passieren.

Wer entscheidet, welche Datentransfers konkret blockiert werden und welche nicht?

Offene, praktisch unlösbare Frage.

Wer legt fest, dass folgende Datentransfers ohne Einwilligung rechtswidrig sind:

  • Google Schriften
  • Google Maps
  • Integrierte YouTube oder Vimeo Videos
  • Integrierter SoundCloud Audio Player
  • MailChimp
  • Über Cloudflare eingebundene Dateien

All diese Fälle bedürfen einer Einwilligung, wie man zeigen kann!

Es ist faktisch nicht möglich, durch einen Browser “automatisisch” das Laden aller Datentransfers zu unterbinden, die einer Einwilligung bedürften. Einerseits, weil Browser nicht erkennen können, ob ein Datentransfer zulässig ist, etwa weil ein Auftragsverarbeitungsvertrag vorliegt. Andererseits, weil die Funktion von Webseiten durch Deaktivieren von rechtswidrigen, aber funktional erheblichen Tools stark eingeschränkt werden könnte.

Sollten Consent Tools versprechen, die neuen Voreinstellungen automatisch zu berücksichtigen, so wird folgendes passieren: Die Unzulänglichkeiten der Consent Tools, die objektiv und auch durch Praxistests feststellbar sind, bleiben bestehen (s.u.).

Die nervige Abfrage wird verschwinden, aber die schon jetzt millionenfach existenten Datenschutzprobleme nicht. Außerdem hätten dann die Consent Tools, Produkte kommerzieller Anbieter, die Entscheidungshoheit. Im Rahmen des Beratungsansatzes würden die Anbieter der Tools ihren Kunden, den Webseiten-Betreibern, als besonderen Service eine unternehmensfreundliche, aber datenschutzfeindliche Verhaltensweise ihres Cookie Tools liefern.

Ein weiterer Beleg, warum die Webseiten sich nicht an neue Datenschutz-Voreinstellungen halten werden: “Jede” Webseite, die ein sogenanntes Cookie Banner eingebunden hat, weist jetzt schon erheblich rechtliche Mängel auf – und zwar wegen des Cookie Banners! Hierfür gibt es objektive Gründe. Meine umfangreiche Untersuchung zeigt zusätzlich, dass selbst die größten und potentesten Unternehmen und sogar die Anbieter der Cookie Banner Tools es nicht hinbekommen.

Datenschutz-Voreinstellungen im Browser sind keine Lösung von Datenschutzproblemen auf Webseiten

Erstes Fazit zum Vorschlag der Datenschutzvoreinstellungen

Cookie Banner werden falsch verstanden

Die Bezeichnung Cookie Banner, Cookie Popup oder Cookie Tool ist irreführend und nicht zielführend. In Wahrheit muss von einer Einwilligungsabfrage gesprochen werden.

Eine Einwilligungsabfrage fragt um Erlaubnis für Datenverarbeitungen, die nur mit einer Einwilligung erlaubt sind. Hierzu gehören:

  1. Vermeidbare Datentransfers: Artikel 5 Absatz 1 c DSGVO (Datenmininimierung)
  2. Datentransfers in unsichere Drittländer: Artikel 44ff DSGVO
  3. Technisch nicht notwendige Cookies: § 15 Abs. 3 TMG gemäß Art. 5 Abs. 3 ePrivacy-Richtlinie (vgl. BGH Urteil zu Planet49)

Cookie Banner fragen in der Regel nur nach der eben genannnten dritten Art der Datenverarbeitung, den Cookies. Offensichtlich ist dies nicht ausreichend und führt vermehrt zu rechtswidrigen Webseiten.

Von Cookies zu sprechen, wenn es um eine Einwilligungsabfrage geht, ist also eine unzulässige Verkürzung der Anforderungen.

Cookie Banner sind an sich ein Problem und keine Lösung

Eine Webseite “weiß” oft selbst gar nicht, welche Datenverarbeitungen einwilligungspflichtig sind. Dies liegt m.E. auch an den Agenturen, die Webseiten erstellen und einfach alles einbauen, was chic zu sein scheint. Prüfen Sie es doch selber mit meinem online Webseiten-Check.

Fazit

Datenschutz-Voreinstellungen im Browser, die Webseiten Hinweise geben, dass Tracking zu unterlassen ist, sind keine Lösung für Datenschutzprobleme, sondern nur ein ergänzender Baustein.

Voreinstellungen können kein ausreichender Ansatz sein und führen zusätzlich zu neuen Problemen und mehr Aufwand.

Datenschutz-Voreinstellungen sind objektiv ungeeignet, um Cookie Banner abzulösen.

Lösungsvorschlag:

  • Alternativen für einwilligungspflichtige Tools verwenden
  • Nicht benötigte Tools entfernen
  • Sanktionen durch Datenschutzbehörden, um abzuschrecken, da aktuell viele meinen, sie müssten sich nicht an Datenschutzgesetze halten

Insbesondere der letztgenannte Punkt ist der am schnellsten umsetzbare und zunächst effektivste. Es reichen wenige Fälle aus, um die Datensünder aufzuschrecken.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.
  1. Max

    Ob es Alternativen gibt oder nicht ist irrelevant. Die Einwilligungsabfrage muss abgeschafft werden, denn sie ist sinnlos. Die Bevölkerung wird dadurch nicht geschützt, da 99% einfach auf OK klicken. Entweder weil sie zu faul sind oder weil sie keine Ahnung haben, was das soll. Die Verantwortung liegt nun beim Nutzer, aber wen interessiert das? Am Ende soll es die Bevölkerung schützen, wird sie aber nicht, fertig. Eine Lösung zu verwenden, die nichts bringt, ist nicht besser als keine Lösung, auch wenn es keine Alternativen gibt.

    Weiterhin schreiben sie, dass sich Webseitenbetreiber nicht an DNT halten. Natürlich nicht, sie werden ja nicht dafür abgemahnt. Sobald sie dafür abgemahnt werden können, werden sie das ändern. Es haben ja auch alle geschafft die Einwilligungsabfrage einzubauen, das war weitaus mehr Aufwand.

    Außerdem möchte ich erwähnen, dass „Alternativen nutzen“ nicht in diesen Artikel passt. Das wäre so, als wenn man nach dem Dieselskandal gesagt hätte, dafür habe man keine Lösung, die Bevölkerung soll bitte Alternative Automarken kaufen. Weiterhin gibt es keine Alternativen für z.B. Google Maps, die datenschutzkonform, kostenlos und massentauglich sind. Niemand hat die Infrastruktur, die das für die Masse leisten kann und wenn man nicht mit seinen Daten bezahlen möchte, muss man das mit Geld bezahlen. Das kann ein datenschutzaffiner Millionär ja gerne finanzieren, aber sobald die Masse es nutzt ist es vorbei. Niemand zahlt einfach mal eine Infrastruktur von der Größe von Google und die Leute zahlen auch nicht solange es kostenlose Alternativen gibt.

    • Dr. DSGVO

      Vielen Dank für Ihre ausführliche und engagierte Rückmeldung!

      Ich stimme dem zu, was Sie im ersten Abschnitt Ihrer Antwort schreiben. Die realistische Lösung für die meisten Webseiten ist es, keine einwilligungspflichtigen Dienste zu verwenden und somit auf die nervigen Popups einfach zu verzichten.

      Auch zu DNT stimme ich zu. Es fehlt an einer Sanktionierung. Wobei DNT keine gesetzliche Verpflichtung darstellt und somit nicht unbedingt sanktionierbar ist.

      Zu Alternativen und zum Beispiel Google Maps. Ich spreche “nur” von einer Karte, die auf einer Webseite integriert ist und oft einen Standort anzeigen soll. Dies ist, wie ich mehrfach in verschiedenen beiträgen geschrieben habe, oft nicht mit Sinn behaftet. Die Karte wegzulassen ist oft die bessere Möglichkeit. Evtl. einen Button “Route planen” o.ä. einsetzen, oder ein attraktives (!) Umgebungsbild, wenn ein Geschäft seine Lage deutlich machen will.

  2. Mathias

    Es liegt im Ermessen der Betreiber, wie weit Sie einer Zustimmung überhaupt zulassen möchten. Liegt ein berechtigtes Interesse vor, dann wird dem Nutzer auch keine Wahl der Cookies gelassen. Stellen Sie sich mal die Millionen Affiliate-Webseiten vor. Ohne Tracking-Cookie, verdienen diese kein Geld. Schon aus diesem Grund werden Cookie-Banner alias Cookie-Zustimmung immer Bestand haben müssen, um den Nutzer irgendwie darauf hinzuweisen. Vielleicht wird es eine einheitliche Vereinfachung geben, die jeder Nutzer verstehen kann, wie z.B. https://www.arbeitsagentur.de/

    Technisch gesehen kann man natürlich erst einmal alle Cookies ablehnen und dann für die Funktion, die einen weiteren nicht notwendigen Cookie setzt, die Zustimmung vorher einholen. Ich bezweifle jedoch, dass hierzu jeder Betreiber in der Lage sein wird, da diese tiefe Eingriffe in den Code bedürfen.

    Aus diesen Gründen bin ich eher für eine Vereinheitlichung und Vereinfachung der Zustimmung-Banner, aber nicht für eine Abschaffung.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Risikobasierter Ansatz: Datenschutz im Internet funktioniert so nicht