Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Cookie Consent Tools auf Webseiten. Darum sollten Sie unbedingt darauf verzichten

0

Anbieter von Cookie Lösungen behaupten gerne, deren Lösung sei DSGVO-konform. Dieses Werbeversprechen hat mit der Realität auf Webseiten nichts zu tun. In Wahrheit enthält nahezu jede Webseite mit Einwilligungsabfrage erhebliche rechtliche Mängel, die abmahnbar sind.

Was ist ein Cookie Consent Tool?

Ein Consent Tool ist eine Einwilligungslösung. Ich verwende hier den Begriff Lösung nur ungern, da er die Tatsachen nicht richtig darstellt. In Wirklichkeit sind Consent Tools Garanten für Unzuverlässigkeit, wie ich zeigen und beweisen werde.

Eine Einwilligung vom Nutzer wird für Datenverarbeitungsvorgänge benötigt, die nicht durch die DSGVO legitimiert sind. Hierfür ist insbesondere Art. 6 DSGVO relevant.

Im Wesentlichen gilt für Webseiten: Tools Dritter dürfen erst nach Nutzereinwilligung geladen werden, wenn ein berechtigtes Interesse ausgeschlossen werden kann.

Ein Consent Tool verspricht nun, alle Einwilligungen vom Besucher einer Webseite einzuholen, bevor die einwilligungspflichtigen Tools geladen werden. Vordergründig geht es um Cookies, weshalb sich der Begriff Cookie Consent etabliert hat. Dieser Begriff ist irreführend und falsch, wie ich nachher zeigen werde.

Eine typische Einwilligungsabfrage sieht so aus:

Typische Consent Abfrage auf einer deutschsprachigen Webseite

Wofür wird eine Einwilligung vom Nutzer benötigt?

Im Wesentlichen gibt es drei Gründe, warum eine Einwilligung auf einer Webseite eingeholt werden muss:

  1. Einsatz eines Tools, das technisch nicht notwendige Cookies verwendet. Dies geht aus § 15 Abs. 3 TMG hervor. Der BGH hatte nämlich im Planet49-Urteil festgestellt, dass das TMG in diesem Punkt gemäß Art. 5 Abs. 3 ePrivacy Richtlinie auszulegen ist.
  2. Technisch nicht notwendige Datentransfer, etwa das Laden eines externen Bildes oder externer Schriften. Vgl. Art. 5 Abs. 1 c DSGVO. Dies gilt nur dann nicht, wenn ein wirksamer AVV o.ä. mit dem Anbieter des eingebundenen Tools geschlossen wurde
  3. Datentransfer in unsichere Drittländer, beispielsweise in die USA. Vgl. Art. 44 DSGVO

Ein Transfer personenbezogener Daten findet auf Webseiten immer statt, weil IP-Adressen personenbezogene Daten sind. Deswegen muss übrigens auch jede Webseite eine Datenschutzerklärung vorweisen.

Was ist das Problem mit Consent Tools?

Die Probleme mit sogenannten Cookie Tools sind vielfältig. Hierzu habe ich diverse Untersuchungen angestellt und Artikel veröffentlicht. Die Gründe sind:

  1. Cookie Scanner können objektiv nicht alle relevanten Cookies zuverlässig erkennnen
  2. Cookie Blocker fokussieren sich nur auf Cookies, nicht aber auf technisch vermeidbare Datentransfers und nicht auf Datentransfers in unsichere Drittländer. Das ist offensichtlich unzureichend
  3. Cookie Blocker können Cookies nicht wirkungsvoll unterdrücken. Vielmehr können Cookies überhaupt nicht direkt unterdrückt werden, sondern nur Tools, welche Cookies setzen. Der Ladevorgang von Tools wiederum kann von einem Consent Script nicht unterdrückt werden. Hierfür gibt es objektive technische Gründe
  4. Die Zwecke von Cookies müssen erklärt werden. Zunächst kennt nur der Anbieter eines Tools die vom Tool erzeugten Cookies und deren Bedeutung. Die Anbieter vieler populärer Tools verraten diese Zwecke meist nicht oder nur unzureichend
  5. Die Anbieter von Consent Tools scheinen Datenschutzregeln oft selbst nicht ausreichend zu kennen. Vgl. Praxistest Borlabs Cookie oder Test UserCentrics oder Test Cookiebot.
  6. Einige Consent Tools initiieren selber einen Datentransfer in unsichere Drittländer, wenn sie eingebunden werden. Demnach wäre eine Einwilligung für die Einwilligungslösung notwendig. Beispiele: OneTrust, Cookiebot, UserCentrics (hier gibt der Anbieter selber zu, dass ein Datentransfer in unsichere Drittländer nicht ausgeschlossen werden kann).
  7. In der Praxis versagen alle Consent Tools. Siehe Cookiegeddon.

Ein Consent Tool teilt Ihnen auch nicht mit, wenn Sie ein YouTube Video ohne erweiterte Datenschutzeinstellungen eingebunden haben. Vielmehr versucht das Consent Tool, das Laden des Videos bis zur Einwilligung zu unterdrücken. Das hat mehrere Probleme zur Folge:

Erstens gelingt das Unterdrücken des Ladevorgangs oft nicht. Zweitens müssen Zwecke von Cookies erklärt werden, die oft nicht ausreichend bekannt sind. Drittens finden beim Laden eines YouTube Video Scripts zahlreiche unnötige Datenübertragungen statt, die von Ihnen kaum erklärbar sind. Viertens stellt sich die Frage, warum eine Einwilligungsabfrage für ein Video, welches nur auf einer Seite der Webseite existiert, dafür sorgt, dass eine Webseiten-weite, globale Einwilligungsabfrage den Nutzer stört, der die Seite mit dem Video wahrscheinlich gar nicht besuchen oder das Video gar nicht abspielen möchte.

Datenschutzverstöße können von jeder Privatperson abgemahnt werden. Eine Abmahnung hat eine Unterlassungserklärung zur Folge, die auf ewig einzuhalten ist. Ansonsten droht eine Vertragsstrafe, und zwar immer wieder, nicht nur einmal.

Wenn Sie Datenschutz ernst nehmen oder wahlweise ruhiger schlafen möchten, verwenden Sie keine Einwilligungsabfragen. Sehen Sie auf dieser Webseite eine Consent Abfrage? Offensichtlich geht es auch ohne.

Für prozentual wenige Webseiten ist ein Cookie Popup erforderlich. Ihre Webseite gehört nach meiner Schätzung mit 90%iger Wahrscheinlichkeit nicht dazu.

Welche Alternativen gibt es?

Wenn Sie unbedingt eine Einwilligungsabfrage vorhalten wollen bzw. müssen, nehmen Sie doch eine kostenfreie Variante. Sie erhalten diese hier:

Diese Lösung hat einen Vorteil gegenüber den populären Tools: Sie ist ehrlich und macht Ihnen bewusst, wo das Risiko liegt. Sie ist außerdem umständlicher als diese angeblichen Wunder-Lösungen. Es gibt keine Wunder. Ein angebliches Wunder ist eine Anti-Lösung, die oft mehr Probleme macht als sie lösen soll.

Zuerst empfehle ich Ihnen allerdings, Ihre Webseite zu prüfen. Das geht sofort und in wenigen Sekunden mit meinem Online Tool

Nun versuchen Sie, alle Tools, die datenschutzfeindlich sind, zu entfernen oder durch datenschutzfreundliche Alternativen zu ersetzen. Geht nicht? Doch! Wenn Sie unbedingt Google Analytics einsetzen wollen, geht es nicht. Die meisten Webseiten brauchen Tools dieser Art nicht. Möchten Sie etwas derartiges tun, kennen Sie hoffentlich die Risiken.

Zusammenfassung

Ich kann nur dazu raten, Einwilligungsabfragen zu vermeiden. Sollten Sie unbedingt einwilligungspflichtige Dienste einsetzen wollen, wäre es besser, wenn Ihnen die rechtlichen Verpflichtungen und die Risiken bekannt sind. Meiner Erfahrung nach ist den meisten Betreibern von Webseiten samt Beraterstab nicht ausreichend bekannt, was die rechtlichen Pflichten sind.

Meiner Erfahrung nach ist es allerdings auch so, dass die meisten Webseiten ohne kritischen Tools auskommen und somit keine Einwilligung benötigen. Denken Sie doch mal drüber nach, warum Sie unbedingt ein bestimmtes Tool benötigen.

Auf meiner Webseite finden Sie zu zahlreichen populären Tools, die meistens datenschutzfeindlich sind, gute Alternativen.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.
Nächster Beitrag

Artikel 33 DSGVO: Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde