Cookiegeddon: Das Versagen aller (?) Consent Tools

Kategorien: Datenschutz, Bullshit Basics, Consent Tools und Tracking

Ein umfangreicher Praxistest populärer Consent Tools für Webseiten mit Testergebnissen. Von mir wurden technische und rechtliche Vorgaben der DSGVO geprüft. Dafür wurden Webseiten getestet, die Consent Tools einsetzen.

Alle getesteten Webseiten, die ein populäres Consent Tool einsetzen, weisen gravierende Mängel auf.

Testergebnis, bezogen auf die getesteten Webseiten, die ein Consent Tool einsetzen. Stand: 31.12.2020

Keine der getesteten Webseiten zeigte ein datenschutzfreundliches Verhalten. Alle getesteten Webseiten konnten mit Hilfe der eingesetzten Consent Tools keine DSGVO-Konformität erreichen. Selbst Webseiten von Consent Tool Anbietern sind unter den Negativbeispielen anzutreffen.

Mögliche Gründe für dieses Ergebnis:

• Die Consent Tools sind ungeeignet, die Vorgaben der DSGVO umzusetzen
• Viele Anbieter von Consent Tools scheinen einschlägige Datenschutzregeln selbst nicht zu kennen
• Das bloße Einbinden eines Consent Scripts ist objektiv nicht ausreichend
• Die Betreiber der Webseiten vertrauen zu sehr auf die Consent Tools und kümmern sich selbst nicht weiter um Datenschutzregeln

Harte Fakten in Kürze:

• Einige Vorschriften sind in einschlägigen Gesetzen bereits verankert und bedürfen keiner nachträglichen Klärung durch Urteile. Beispiele: Widerrufshinweis dort, wo eine Einwilligung abgefragt wird (Art. 7 Abs. 3 DSGVO); Nennung von Risiken bei Datentransfers in unsichere Drittländer (Art. 44 DSGVO)
• Urteile wie das des EuGH zu Cookies besagen, dass die Zwecke und Funktionsdauer von Cookies zu benennen sind (Art. 13 DSGVO).
• Eine Einwilligung muss freiwillig erfolgen. Der gesunde Menschenverstand sagt zur Freiwilligkeit, dass dafür die Ablehnung ebenso einfach wie eine Einwilligung sein muss. Regelmäßig wird dies auch in Urteilen festgestellt. Die ePrivacy Richtlinie besagt es ebenfalls. Sie kommt beispielsweise bei Google Analytics zum Einsatz, wie man schlüssig zeigen kann.
• Anbieter von eingesetzten Diensten müssen benannt werden. Dies steht im Gesetz und auch in Urteilen. Ein Anbieter ist nur benannt, wenn seine Firmierung, Adresse und das Land des Firmensitzes benannt sind.
• Durchgeführte Datenverarbeitungen inkl. eingesetzter Dienste müssen erklärt werden (vgl. etwa Art. 13 DSGVO).
• Den Zweck von Cookies, die durch Dienste Dritter verwaltet werden, kennen ad hoc nur diese Dritten. Oft machen diese Dritten leider keine Informationen zu den Zwecken dieser Cookies. Insofern kann eine ordentliche Nennung der Zwecke durch den Nutzer eines Dritt-Tools schlechterdings erfolgen.
• Für die Intransparenz von Datenschutzinformationen, wie sie etwa der Google Konzern gibt, haftet (zunächst ausschließlich) der Betreiber einer Webseite, der ein Google Tool einsetzt.
• Ein rechtssicheres Cookie-Management ist grundsätzlich nicht möglich. Mein Hintergrund-Artikel nennt fünf Gründe dafür.
• Update Juni 2021: Google gibt selbst zu, dass sämtliche Analytics-Daten von Google Analytics immer in den USA verarbeitet werden. Dies wurde bei meinen Tests noch gar nicht berücksichtigt, führt aber zu noch eindeutigeren Befunden.

Sollte der Inhaber einer der genannten Webseiten meinen, nachgebessert zu haben, möge er sich an mich wenden. Ich werde dann in diesem Artikel ein Update veröffentlichen.

Mir konnte niemand eine Webseite nennen, die ein populäres Consent Tool und mehrere einwilligungspflichtige Dienste einsetzt, die DSGVO-konform ist.

Meine 100 Euro Wette, die nie zur Auszahlung kam.

Manche bringen das Argument, man könne mit den Einstellungen einiger Consent Tools alles regeln. Das ist offensichtlich entweder falsch oder wird in der Praxis nicht umgesetzt, was auf das gleiche hinausläuft. Wer sich die rechtlichen und Nutzungsbedingungen von Google Tools etwas genauer ansieht, wird leicht erkennen, wo ein Teil des Problems liegt.

Einleitung

Als Consent Tools werden Hilfsmittel verstanden, mit denen eine Einwilligung vom Besucher einer Webseite für Datenverarbeitungsvorgänge eingeholt werden kann, bevor eine ansonsten unerlaubte Datenverarbeitung stattfindet. Oft wird fälschlicherweise von Cookie Consents gesprochen, obwohl es neben Cookies auch andere einwilligungspflichtige Datenverarbeitungen gibt.

Getestet wurden Webseiten, die folgende sogenannte Consent Lösungen einsetzen:

• Borlabs Cookie
• CCM19
• consent manager
• Cookiebot (siehe Beschluss des VG Wiesbaden, der Cookiebot für rechtswidrig erklärt)
• Klaro!
• OneTrust / Optanon / Cookie Law
• Usercentrics (seit 01.09.2021 zusammen mit Cookiebot tätig)

Webseiten, die Consent Tools einsetzen (sieben weitere Webseiten sind namentlich nicht genannt):

Von diesen 24 Webseiten plus den sieben weiteren wurden insgesamt 20 Webseiten getestet. Ich muss allerdings sagen, dass eine kurze Sichtprüfung der nicht offiziell getesteten Webseiten keine große Freude wegen besonders guter Umsetzung einschlägiger Datenschutzvorschriften zuließ. Auch nach Veröffentlichung dieses Beitrags zusätzlich in Augenschein genommene Webseiten zeichnen das gleiche Bild. Dies gilt auch mit Stand August 2021.

Alle Consent Tools scheinen Bullshit auf Webseiten zu erzeugen!

Schlussfolgerung aus meinem Testergebnis

Dem Testergebnis nach gelingt es auch größeren Unternehmen nicht, verbindliche Datenschutzgesetze einzuhalten.

Folgende der ein Consent Tool einsetzenden Webseiten erfordern mindestens einen Klick mehr, um einwilligungspflichtigen Vorgängen zu widersprechen als in sie einzuwilligen (Stand: 30.12.2020):

• adac.de
• commerzbank.de
• digitalehelden.de
• euronics.de
• ffh.de
• haendlerbund.de
• heise-regioconcept.de
• hertie.de
• kia.com
• springer.com

Anscheinend halten es die Betreiber dieser Webseiten für wichtiger, Daten von Nutzern zu erhalten, als eine einfache Widerspruchsmöglichkeit gegen einwilligungspflichtige Datenerhebungen anzubieten. Dies ist nach meiner Auffassung eindeutig rechtswidrig. Das sieht auch das LG Rostock so. Spoiler: Der EuGH und der BGH sprechen regelmäßig Urteile, die im Sinne der Verbraucher sind.

Dieser online Artikel ist ein Extrakt aus einem noch etwas umfangreicheren PDF-Dokument, in dem weitere Screenshots und Belege genannt sind.

Testverfahren

Getestet wurden Webseiten, die eines der populäreren Consent Tools einsetzen. Welche Tools populär sind, wurde subjektiv entschieden. Hierbei wurde die Erfahrung aus mehreren 1000 geprüften Webseiten berücksichtigt. Ebenso wurde Klaro! in den Test mit einbezogen, weil es quelloffen ist und der Anbieter aus Deutschland stammt. Einige andere Open Source Lösungen werden seit einiger Zeit nicht mehr weiterentwickelt und wurden daher nicht betrachtet.

Die Tests wurden in der Zeit vom 08.12.2020 bis zum 31.12.2020 durchgeführt. Wie ich täglich feststellen kann, haben die Ergebnisse auch im August 2021 nichts an Aktualität eingebüßt.

Die genannten Webseiten wurden sowohl manuell untersucht als auch mithilfe meines eigenen Tools. Das Tool scannt die jeweilige Webseite und liest für den Test jeweils nur einige Unterseiten ein. Dabei werden die ohne Einwilligung geladenen Tools und Dateien und die ohne Einwilligung gesetzten Cookies festgestellt.

Die automatisiert gewonnenen Ergebnisse wurden manuell verifiziert. Insbesondere manuell wurden die folgenden Kriterien geprüft.

Testkriterien

Folgende Kriterien wurden aus Sicht eines deutschsprachigen Bürgers, der eine Webseite aufruft, wohlwollend geprüft:

• Freiwillige Einwilligung oder Ablehnung
• Laden von Diensten ohne Einwilligung
• Beschreibung eingesetzter Dienste
• Klassifikation eingesetzter Dienste
• Nennung von Dienstanbietern
• Benennung und Beschreibung eingesetzter Cookies
• Nennung der Übermittlung von Daten in Drittländer
• Information zur Widerrufsmöglichkeit
• Widerrufsmöglichkeit nach Einwilligung
• Widerruf nach Einwilligung

Siehe auch meine Checkliste für Einwilligungsabfragen auf Webseiten, in der einige Rechtsgrundlagen genannt sind.

Testergebnisse

Die getesteten Webseiten werden immer in wertungsfreier alphabetischer Reihenfolge angegeben. Die Ergebnisse zu den getesteten Webseiten werden anonymisiert in Form von Buchstaben genannt: Webseite A, Webseite B, etc.

Unter den getesteten Webseiten sind auch die von Anbietern von Consent Tools, die ihr eigenes Tool einsetzen. Weil Anbieter-Webseiten, ebenso wie Drittanwender des Tools, gravierende Mängel hinsichtlich der Einwilligungslösung aufweisen, kann davon ausgegangen werden, dass einige Anbieter die Rechtsgrundlagen nicht ausreichend kennen oder die angebotenen Tools ungeeignet sind, rechtskonforme Webseite zu erhalten.

Die folgenden Testergebnisse sind nach Consent Tool gegliedert.

UserCentrics

Gefundene Webseiten, die UserCentrics einsetzen:

• adac.de
• commerzbank.de
• usercentrics.com
• www-ag.com
• sowie eine weitere (die möglicherweise im Folgenden genannt wird)

Von diesen Webseiten wurde ein Teil getestet und nachfolgend bewertet.

Webseite E

Das Einwilligungsfenster der Webseite sieht so aus:

Nach Klick auf »Informationen & Einstellungen« erscheint folgendes Popup:

Befunde

• Keine freiwillige Entscheidung möglich: Ablehnen nicht so einfach wie Akzeptieren. Die erscheint rechtswidrig (vgl. Urteil des LG Rostock).
• Fehlende Erklärung eingesetzter Cookies: Sehr peinlich für ein Tool, welches als „Cookie Banner“ eingesetzt wird und welches durch Aufruf von „Cookie Einstellungen“ konfiguriert werden kann, ist es, wenn sowohl das Cookie Banner als auch die Cookie-Einstellungen als auch die Datenschutzerklärung keinerlei Informationen zu den eingesetzten Cookies von Google Analytics und anderen auf Webseite E geladenen Diensten enthalten.
• Laden von Tools ohne Einwilligung: Ohne Einwilligung geladen werden Google Tag Manager, YouTube Video, DoubleClick, Google Universal Analytics, GA Audiences. Dabei wird für Google Analytics eine Einwilligung abgefragt. Irreführender geht es kaum, um es höflich zu umschreiben.
• Widerruf wird nicht ausgeführt: Ein Widerruf einer zuvor erteilten Einwilligung führt nicht zum Widerruf. Wie festzustellen war, waren selbst nach dem Widerruf immer noch einwilligungspflichtige Cookies gesetzt.
• Unklare Begrifflichkeiten: Ein Normalbürger, und auch ein promovierter Informatiker, hat Schwierigkeiten zu verstehen, was genau der Unterschied zwischen Tracking, Personalisierung und Marketing sein mag. Unter Tracking ist Google Analytics aufgeführt, was auch ein Marketing-Instrument ist. In der Sparte Personalisierung ist Hotjar aufgeführt, ein Tracking Tool. Dies erscheint, wenn man auf den Kategorienamen im Consent Tool klickt. Ebenso ist Google Optimize erwähnt, ein Tool für A/B-Tests. Damit sollen Inhalte für einzelne Zielgruppen optimiert werden. Dies kann – aus Sicht des einzelnen Nutzers, der eine Webseite besucht – nicht als Personalisierung verstanden werden, sondern höchstens als werbliche Optimierung. Noch verwirrender und gänzlich außerhalb jeder Nachvollziehbarkeit ist die Klassifikation von Google Analytics Statistik in die Kategorie Statistik und von Google Analytics in die Kategorie Tracking. Wo der Unterschied zwischen Google Analytics Statistik und Google Analytics liegt, ist vollständig unklar und erschließt sich selbst einem Experten nicht. Ein Aufruf der Hilfe-Funktion durch Klick auf das Fragezeichen verrät, dass dieses Tool ein „Webanalyse- und Statistikdienst [ist], der zur Analyse der Webseitennutzung und zur Reichweitenmessung eingesetzt wird […]“ und dass dieses Tool „Cookies“ und „Pixel-Tags“ verwende. Zu Google Analytics hingegen werden nur „Cookies“ als „verwendete Technologien“ genannt, also weniger als für das andere (?) Tool, welches angeblich keiner Einwilligung bedarf. Zu Google Analytics wird erklärt, dass es ein „Webanalysedienst“ sein, also nicht auch noch ein Statistikdienst, wie das andere (?) Tool, welches angeblich keiner Einwilligung bedarf.
• Rechtswidrige Vorauswahl: In der Sparte Statistik ist Google Analytics Statistik genannt. Dieses Tool ist vorausgewählt (voraktiviert). Dies ist gemäß EuGH-Urteil zu Cookies rechtswidrig, wenn man berücksichtigt, dass bereits vor Einwilligung Google Analytics Cookies gesetzt werden. Hinzu kommt, dass ein Datentransfer in unsichere Drittländer (wie die USA) ohne vorige Einwilligung und ohne geeignete Garantien rechtswidrig ist (vgl. EuGH-Urteil zum Privacy Shield sowie einen Kriterienkatalog von noyb für eine fallweise Beurteilung der Rechtmäßigkeit von Datentransfers in die USA).
• Falsche Klassifikation: In der Sparte Technisch erforderlich ist Google Tag Manager aufgeführt. Dieses Tool dient zum dynamischen Nachladen von anderen Tools, hat also selbst keine Funktion. Selbstverständlich können alle mit Google Tag Manager indirekt geladenen Tools auch direkt geladen werden.
• Widersprüchliche Erklärungen: Zu Google Analytics Statistik und zu Google Analytics wird gleichermaßen erklärt, dass der „Ort der Verarbeitung“ die „Europäische Union“ sei. Weiterhin wird erklärt, dass „Alphabet Inc.“ einer der Datenempfänger sei. Bekanntlich befindet sich der Sitz von Alphabet Inc. in den USA, also nicht in der Europäischen Union. Zu Google Analytics Statistik wird als Datenempfänger nur „Alphabet Inc.“ angegeben, zu Google Analytics hingegen auch noch „Google LLC“ sowie „Google Ireland Limited“. Dies plausibel zu rechtfertigen, dürfte nahezu unmöglich sein. Warum der Ort der Verarbeitung für den Google Tag Managers mit „Vereinigte Staaten von Amerika“ und für Google Analytics mit „Europäische Union“ angegeben ist, erschließt sich nicht. Diese Angabe wird objektiv als Unsinn entlarvt, da Google Analytics erst durch den Google Tag Manager geladen wird.
• Mangelhafte Anbieterangabe: Datenempfänger werden angegeben mit „Google LLC“ u. ä. Eine Angabe der Adresse fehlt. Die Adressangabe ist lediglich (immerhin!) beim „Verarbeitenden Unternehmen“ angegeben.
• Fragwürdige Erklärung eingesetzter Dienste: Der Google Tag Manager wird wie folgt beschrieben: „Dies ist ein Tag-Management-System zum Verwalten von JavaScript- und HTML-Tags, die für die Implementierung von Tracking- und Analysetools verwendet werden. Es werden keine personenbezogenen Daten verarbeitet. Der Tag Manager ist eine Cookie-freie Domain und erhebt keine personenbezogenen Daten. Der Google Tag Manager kann jedoch andere Tags auslösen, die möglicherweise personenbezogene Daten erheben und verarbeiten.“ Diese Beschreibung ist erstens falsch, weil personenbezogene Daten in Form von IP-Adressen bereits beim Aufruf des Google Tag Manager erhoben werden. Zweitens ist die Beschreibung nicht verständlich. Ein Normalbürger weiß nicht, was JavaScript-Tags sind. Im Übrigen gibt es JavaScript-Tags als feststehenden Begriff nicht.
• Ungenügende Angabe zur Datenübermittlung in Drittländer: Eine Angabe hierzu ist in der Einwilligungsabfrage höchstens indirekt vorhanden, indem Namen und Rechtsformen von Unternehmen gegeben werden, aber deren Adresse und das Land des Firmensitzes nicht erwähnt werden. Beispiel: Alphabet Inc.
• Fehlende Nennung von Cookie-Informationen: Zu nahezu allen eingesetzten Cookies fehlen grundsätzliche Informationen, sowohl im Einwilligungsabfrage der Webseite E als auch in deren Datenschutzerklärung. Eine gesonderte „Cookie Richtlinie“, wie manche Webseiten sie vorhalten, ist nicht zu finden.
• Nicht anklickbare Verlinkungen: In der Datenschutzerklärung der Webseite E sind wichtige Links, etwa zur „Datennutzung durch die Google Inc.“ nicht anklickbar.

 

Webseite F

Das Einwilligungsfenster der Webseite sieht so aus:

Befunde:

• Zurückstellen der Ablehnen-Möglichkeit: Der Ablehnen-Button ist mit „Cookie Einstellungen ansehen und ändern“ beschriftet und visuell erheblich gegenüber dem Akzeptieren-Button zurückgestellt. Dies widerspricht der Rechtsauffassung des LG Rostock (Urteil vom 15.09.2020 – 3 O 762/19).
• Fragwürdige globale Abfrage der Einwilligung: Über das Einwilligungsfenster wird eine Einwilligung nicht nur für Webseite F, sondern auch für andere Websites des Betreibers eingeholt. Ob dies zulässig ist, ist fraglich. Zudem müssten dann auf den anderen Webseiten die gleichen Einwilligungen abgefragt werden bzw. immer auch die Einwilligungen der anderen Webseiten widerrufen werden können.
• Unerlaubtes Laden von Tools ohne Einwilligung: Ohne Einwilligung geladen werden Google Tag Manager, Google Schriften, Google Ads, YouTube Videos und DoubleClick. Für DoubleClick wird eine Einwilligung abgefragt, die allerdings nicht immer berücksichtigt wird, wie eine Analyse der Webseite F ergab. Beim Laden von YouTube Videos ohne Einwilligung werden Drittpartei-Cookies gesetzt, die teilweise eine Lebensdauer von über 18 Jahren haben.
• Teilunverfügbarkeit der Widerrufsmöglichkeit: Die Widerrufsmöglichkeit kann über einen Link in der Fußzeile der Webseite F aufgerufen werden. Dieser Link funktioniert allerdings nicht, wenn die aktuell angezeigte Seite die Datenschutzerklärung ist. Damit ist – streng betrachtet – die Widerrufsmöglichkeit nicht verfügbar.
• Widerruf wird nicht vollständig ausgeführt: Willigt man in alle Vorgänge ein, ruft das Consent Popup danach erneut auf und widerruft dann allen Vorgängen, wird die Webseite nicht neu geladen. Die schon wieder widerrufenen Dienste sind weiterhin aktiv. Mindestens ein einwilligungspflichtiges Cookie eines Drittanbieters, das erst nach Einwilligung gesetzt wurde, ist immer noch vorhanden. Lädt man die Webseite manuell neu, sind immerhin die widerrufenen Dienste nicht mehr aktiv, das eben genannten Cookies aber immer noch vorhanden.
• Nicht funktionierende Widerrufsmöglichkeit zu Google Analytics: Außerhalb des Consent Tools gibt es in der Datenschutzerklärung eine scheinbare Möglichkeit, die Datenerfassung durch Google Analytics zu deaktivieren (über einen Button Google Analytics deaktivieren). Klickt man auf den grünen Button, passiert offenbar nichts, außer, dass ein Bestätigungstext als Popup angezeigt wird. Ein Cookie, wie im abgebildeten suggeriert wird, wird nicht gesetzt. Abgesehen davon ist ein Opt-Out Cookie eine denkbar schlechte Möglichkeit, die Datenerfassung durch einen Dienst Dritter zu unterbinden.
• Fehlende Erklärung eingesetzter Cookies: Möglicherweise ist es Zufall, dass alle untersuchten Webseiten, die UserCentrics einsetzen, keine Cookie-Informationen anzeigen, möglicherweise liegt es an UserCentrics selbst. Sowohl das Cookie Banner als auch die Cookie-Einstellungen als auch die Datenschutzerklärung enthalten keinerlei Informationen zu den eingesetzten Cookies.
• Unklare Cookie-Kategorie: Die Webseite F weist in der Kategorie Technische, funktionale sowie zu Provisions- und Abrechnungszwecken dienende Cookies auch Tech-Cookies aus. Dieser Begriff ist dem im Autor trotz jahrelanger Beschäftigung mit dem Thema Datenschutz im Internet bisher nie begegnet. Der Begriff ist allgemein unverständlich, unklar und soll wohl auf technisch orientierte Cookies hinweisen.
• Fragliche notwendige Cookies: Da die Webseite F keinerlei technische Informationen zu den Cookies wie Name, Zweck, Beschreibung oder Lebensdauer vorhält, kann nur geraten werden, was folgende Erklärung zu angeblich technisch notwendigen Cookies bedeuten soll: Die XYZ Firma verwendet diese Cookies, um die Nutzung der XYZ Firma Websites zu vereinfachen: Mit Hilfe von Cookies kann die XYZ Firma Sie anhand früherer Besuche wieder erkennen, wenn Sie die XYZ Firma Website erneut besuchen. Ein Wiedererkennen eines Nutzers ist an sich erlaubt. Fraglich ist aber, wie dies stattfindet. Das offensichtlich als einziges verwendete Cookie, welches über eine Sitzung hinausgeht, speichert jedenfalls nur die Spracheinstellung. Dies hätte man, zum eigenen Vorteil, erwähnen sollen, sofern das mit der eben genannten Erklärung gemeint ist.
• Fehlende Datenschutzhinweise: In der Datenschutzerklärung von Webseite F fehlen Datenschutztexte zu eingesetzten Diensten, u.a. zu YouTube Videos. Der Google Tag Manager wird nicht explizit erklärt, sondern nur implizit bei Diensten als Hilfskonstrukt erwähnt, die vom Tag Manager ausgespielt werden. Der Grund hierfür ist wahrscheinlich, dass ein Cookie-zentrierter Datenschutzansatz gewählt wurde, der offensichtlich Probleme mit sich bringt.
• Fehlende Angabe zur Datenübermittlung in Drittländer: Eine direkte Angabe hierzu fehlt in der Einwilligungsabfrage, obwohl Dienste eingesetzt werden, die Daten an Drittländer übermitteln. Stattdessen werden Anbieterangaben mit Land gemacht. Es ist fraglich, ob der Sitz des genannten Anbieters gleich dem Land ist, in das (ausschließlich) Daten durch den eingesetzten Dienst übertragen werden.
• Fehlende Nennung von Cookie-Informationen: Anscheinend fehlen nahezu alle Informationen zu eingesetzten Cookies, sowohl im Einwilligungsabfrage der Webseite F als auch in deren Datenschutzerklärung. Eine gesonderte „Cookie Richtlinie“, wie manche Webseiten sie vorhalten, ist nicht zu finden.

Webseite G

Das Einwilligungsfenster der Webseite sieht so aus:

Befunde

• Unzulässiges Zurückstellen der Ablehnen-Möglichkeit: der Ablehnen-Button wurde absichtlich weniger prominent gestaltet als der Button „Akzeptieren und Schließen“. Sowohl die Farbgebung als auch die Größe des Ablehnen-Buttons sind zurückgestellt.
• Falsche Benennung des Datenschutzbeauftragten: Für den Dienst Matomo wird als Email-Adresse des Datenschutzbeauftragten privacy@matomo.org genannt. Die ist offensichtlich Unsinn , da dieser Dienst vom Betreiber der Webseite G selbst gehostet und betrieben wird (wie er auch erklärt). Richtig wäre die Angabe einer eigenen Email-Adresse. Ein weiteres Beispiel für einen falsch benannten Datenschutzbeauftragten ist beim Dienst Google Ads Conversion Tracking zu finden. Dort ist die Mailadresse in Form eines Links auf eine Datenschutzerklärung angegeben. Klickt man auf den Link, geht das Mail-Programm auf, weil der Link als mailto-Link gestaltet ist.
• Laden von Tools ohne Einwilligung: Bereits beim Laden der Webseite G und ohne etwas angeklickt zu haben werden die Tools Lead Feeder, Google Schriften und Google reCAPTCHA geladen. Zu Google reCAPTCHA wird erklärt, dass eine Datenweitergabe an Empfänger weltweit stattfindet.Dies deutet auf einen einwilligungspflichtigen Vorgang hin, der aber nicht anerkannt wird. Noch abstruser wird es, weil ebd. ein Link gegeben wird mit der Beschreibung „Klicken Sie hier, um auf allen Domains des verarbeitenden Unternehmens zu widerrufen“. Erstens ist der Sinn dieser Satz fraglich und zweitens stellt sich die Frage, warum ein Widerruf für eine vorgeblich nicht einwilligungspflichtigen Dienst notwendig ist. Lead Feeder wird immer geladen, egal ob eine Zustimmung erteilt wurde oder nicht. Dies widerspricht der Erklärung im Consent Popup von Webseite G. Zum Google Tag Manager erklärt Webseite G, dass der Ort der Verarbeitung "Vereinigte Staaten von Amerika" sei und eine "Weitergabe an Drittländer = Weltweit" erfolge. Klingt sehr nach einem einwilligungspflichtigen Vorgang.
• Ungenügende Angabe der Datenempfänger: Für den Google Tag Manager weist Webseite G als Datenempfänger Alphabet Inc., Google LLC und Google Ireland Limited aus. Die Adressen und Länder muss man selbst erraten.
• Den Zweck von YouTube Videos erklärt das Consent Popup von Webseite G in ungenügender Weise (Details hier ausgelassen, sie sind belegbar). Für den Dienst „StackPath LLC“ (gemeint ist wohl StackPath, da StackPath LLC die anbietende Firma ist) wird als Beschreibung gegeben: „StackPath ist eine Plattform für Computerinfrastruktur und -dienste.“. Der Autor wagt zu bezweifeln, dass diese Beschreibung aussagekräftig genug ist. Wozu auf einer Webseite ein Dienst eingesetzt wird, der die „Computerinfrastruktur“ fokussiert, erscheint völlig unklar.
• Unverständliche allgemeine Beschreibung: Der einleitende Satz im Consent Popup lautet "Mit diesem Tool können Sie verschiedene auf dieser Website verwendete Tags / Tracker / Analyse-Tools auswählen und deaktivieren.". Offensichtlich ist dieser Satz nicht allgemein verständlich. Niemand muss wissen, was „Tags“ sind und was der Unterschied zwischen „Tracker“ und „Analyse-Tools“ ist. Ein Einwilligungsfenster dem Nutzer gegenüber als Tool zu bezeichnen ist auch nicht die verständlichste aller denkbaren Beschreibungen.
• Widerruf wird nicht vollständig ausgeführt: Willigt man in alle Vorgänge ein, ruft das Consent Popup danach erneut auf und widerruft dann allen Vorgängen, wird die Webseite nicht neu geladen. Die schon wieder widerrufenen Dienste sind weiterhin aktiv. Auch einige einwilligungspflichtige Cookies, die erst nach Einwilligung gesetzt wurden, sind immer noch vorhanden. Lädt man die Webseite manuell neu, sind immerhin die widerrufenen Dienste nicht mehr aktiv, die eben genannten Cookies aber immer noch vorhanden.
• Fehlende Nennung von Cookie-Informationen: Anscheinend fehlen (alle ?) Informationen zu eingesetzten Cookies, sowohl im Einwilligungsabfrage der Webseite G als auch in deren Datenschutzerklärung. Eine gesonderte „Cookie Richtlinie“, wie manche Webseiten sie vorhalten, ist nicht zu finden.

Borlabs Cookie

Gefundene Webseiten, die Borlabs Cookie einsetzen:

• bondzio.de
• braeutigam-hotel.de
• heise-regioconcept.de
• mediana.de
• sowie eine weitere (die möglicherweise im Folgenden genannt wird)

Von diesen Webseiten wurde ein Teil getestet und nachfolgend bewertet.

Webseite A

Das Einwilligungsfenster der Webseite sieht so aus:

Befunde

• Keine freiwillige Entscheidung möglich: Ein direktes Ablehnen ist nicht möglich. Dies erscheint rechtswidrig.
• Laden von Tools ohne Einwilligung: Bereits beim Laden der Webseite A und ohne etwas angeklickt zu haben werden die Tools Google Analytics und Google+ geladen. Geladen werden auch noch Google Schriften von Google Server.
• Fehlende Information zu eingesetzten Tools: Die im vorigen Abschnitt genannten Tools Google Analytics, Google+ und Google Schriften werden im Consent Popup gar nicht genannt, auch nicht in der Kategorie Essenziell (Details zu den Kategorien werden nach Klicken auf den Text Konfigurieren angezeigt).
• Mangelhafte Anbieterangabe: Die Anbieterangabe zu den verwendeten Tools ist mangelhaft. Als Anbieter des Facebook Pixel wird Facebook genannt. Eine Adresse oder Rechtsformangabe fehlt. Hier stellt sich alleine schon die Frage, welche der vielen Facebook Firmen gemeint sein könnte.
• Mangelhafte Beschreibung des Zwecks: Als Zweck zum Facebook Pixel ist genannt: „Das Facebook-Pixel ist ein Analysetool. Du kannst damit die Wirksamkeit deiner Werbung messen, indem du die Handlungen analysierst, die Personen auf deiner Website ausführen.“ Hier wird der Besucher der Webseite so angesprochen, als würde er selbst den Facebook Pixel einsetzen, um Werbung zu optimieren. Die Angabe „Das Facebook-Pixel ist ein Analysetool.“ ist ungenügend, weil nicht allgemein verständlich und nicht vollständig. Der Folgesatz ist falsch, denn: Der Facebook Pixel wird insbesondere eingesetzt, um Besucher als Facebook-Nutzer zu identifizieren, um diesen (später) auf Facebook Werbung einzuspielen (als Retargeting bezeichnet).
• Mangelhafte Cookie-Beschreibung: Der Name des Cookies ist mit Facebook Pixel angegeben. Das ist falsch. Der Name des Cookies lautet in Wirklichkeit _fbp. Die Lebensdauer zum Cookie fehlt. Diese Angabe ist aber laut EuGH-Urteil zu Cookies vorgeschrieben.

Webseite B

Das Einwilligungsfenster der Webseite sieht so aus:

Befunde

• Zurückstellen der Ablehnen-Möglichkeit: Der Ablehnen-Button ist mit „speichern & schließen“ beschriftet und visuell erheblich gegenüber dem Akzeptieren-Button zurückgestellt. Dies erscheint rechtswidrig, zumindest aber absichtlich nachteilig zulasten des Nutzers
• Laden von Tools ohne Einwilligung: Ohne Einwilligung geladen werden Google Schriften und Google Maps. In der Datenschutzerklärung von Webseite B wird hingegen falsch erklärt:„Diese Seite nutzt zur einheitlichen Darstellung von Schriftarten so genannte Web Fonts, die von Google bereitgestellt werden. Die Google Fonts sind lokal installiert. Eine Verbindung zu Servern von Google findet dabei nicht statt.“
• Fragwürdiges notwendiges Cookie mit eindeutiger Nutzer-Identifikation: das Cookie namens _cfduid und mit einem Wert aus einer 43-stelligen Zeichenfolge mit einer Lebensdauer von 30 Tagen wird ohne Einwilligung gesetzt. Die Zeichenfolge ist jedenfalls geeignet, einen Nutzer eindeutig zu identifizieren.
• Fehlende Erklärung zu eingesetzten Cookies: Für einige Cookies wird die Lebensdauer nicht angegeben. Beispielsweise wird für den Dienst „Chat-Funktion über tawk.to“ eine Cookie-Liste ohne Lebensdauerangaben und ohne Zwecke zu den Cookies angeführt: „cfduid, ss, tawkUUID, TawkConnectionTime, TawkCookie, __cfduid“.
• Mangelhafte Anbieterangabe: Die Anbieterangabe zu den verwendeten Tools ist mangelhaft. Offenbar fehlt die Angabe der Adresse zu den genannten Anbietern. Warum Google LLC als Anbieter eines Facebook-Dienstes genannt ist, bleibt unklar, zumal ein Facebook Dienst auf der Webseite nicht zu finden war.
• Mangelhafte und falsche Beschreibung des Zwecks: Als Name für einen Dienst ist „Beiträge aus Facebook darstellen“ genannt, als Zweck „Wird verwendet, um Facebook-Inhalte zu entsperren“. Was damit gemeint sein soll, bleibt unklar, zumal ein Facebook Dienst auf der Webseite nicht zu finden war. Zu Matomo wird der Zweck wie folgt beschrieben: „Cookie von Matomo für Website-Analysen. Erzeugt statistische Daten darüber, wie der Besucher die Website nutzt.“ Ein Dienst wie Matomo ist kein Cookie. Ein Cookie erzeugt keine Daten. Die Ausführung ist somit in jeder Hinsicht falsch und nennt den Zweck von Matomo gar nicht, sondern nur den vermeintlichen Zweck des Matomo-Cookies, das es so nicht gibt (weil Matomo auf Webseite B drei Cookies einsetzt, die im Consent Popup generisch mit _pk_*.* angegeben sind, was als rechtswidrig angesehen werden kann, zumal als Laufzeit pauschal 12 Monate angegeben sind, was falsch ist).
• Widerruf wird nicht vollständig ausgeführt: Willigt man in alle Vorgänge ein, ruft das Consent Popup danach erneut auf und widerruft dann allen Vorgängen, wird die Webseite nicht neu geladen. Die schon wieder widerrufenen Dienste sind weiterhin aktiv. Alle laut Consent Popup einwilligungspflichtigen Cookie, die erst nach Einwilligung gesetzt wurden, sind immer noch vorhanden. Lädt man die Webseite manuell neu, sind immerhin die widerrufenen Dienste nicht mehr aktiv, alle erst nach Einwilligung gesetzten Cookies sind aber immer noch vorhanden.
• Fehlende Information zur Widerrufsmöglichkeit: Im Consent Popup fehlt jeder Hinweis auf eine Widerrufsmöglichkeit.
• Fehlende Angabe zur Datenübermittlung in Drittländer: Eine Angabe hierzu fehlt in der Einwilligungsabfrage, obwohl Dienste eingesetzt werden, die Daten an Drittländer übermitteln.

Webseite C

Befunde

• Fehlende Information zur Widerrufsmöglichkeit: Es fehlt jeglicher Hinweis auf eine Widerrufsmöglichkeit.
• Zurückstellen der Ablehnen-Möglichkeit: Der Ablehnen-Button ist mit „nur essenzielle Cookies akzeptieren“ beschriftet und hat die halbe Höhe des Buttons zum Einwilligen. Zudem ist der Einwilligen-Button mit Pfeilen prominenter gestaltet. Dies erscheint rechtswidrig, auch wenn die Webseite C besser aufgestellt ist als viele andere.
• Falsche Klassifikation von Tools: Google Analytics wird in die Kategorie Statistik eingegliedert. Richtiger wäre die Kategorie Marketing, zumal das Tool mit Cookies betrieben wird und eine eindeutige Client ID pro Nutzer führt.
• Mangelhafte Anbieterangabe: Zum Anbieter Google LLC, der für Google Analytics angegeben ist, fehlt die Angabe der Firmierung. Der genannte Zweck "Cookie von Google für Website-Analysen. Erzeugt statistische Daten darüber, wie der Besucher die Website benutzt" ist ungeeignet, um den Dienst Google Analytics zu beschreiben.
• Fehlende Erklärung eingesetzter Cookies: Es fehlt jegliche Beschreibung zu den drei genannten Cookies _ga, _gat, _gid. Der dort genannte Zweck bezieht sich nur auf ein Cookie (auf welches?). Die genannte „Cookie Laufzeit“ von 2 Jahren bezieht sich nur auf eines der drei Cookies, die anderen beiden haben andere Laufzeiten. Zudem wird ein Cookie namens _gat_gtag_UA_xxxx_1 gesetzt, welches nicht erklärt wird. Dafür wird das Cookie _gat erklärt, obwohl es nicht gesetzt wird.
• Fehlende Datenschutzhinweise: In der Datenschutzerklärung von Webseite C fehlt eine Erklärung zum Google Tag Manager. Der Grund hierfür ist wahrscheinlich, dass ein Cookie-zentrierter Datenschutzansatz gewählt wurde, der offensichtlich Probleme mit sich bringt.
• Widerruf wird nicht vollständig ausgeführt: Willigt man in alle Vorgänge ein, ruft das Consent Popup danach erneut auf und widerruft dann allen Vorgängen, wird die Webseite nicht neu geladen. Die schon wieder widerrufenen Dienste sind weiterhin aktiv. Alle laut Consent Popup einwilligungspflichtigen Cookie, die erst nach Einwilligung gesetzt wurden, sind immer noch vorhanden. Lädt man die Webseite manuell neu, sind immerhin die widerrufenen Dienste nicht mehr aktiv, alle erst nach Einwilligung gesetzten Cookies sind aber immer noch vorhanden.
• Fehlende Angabe zur Datenübermittlung in Drittländer: Eine Angabe hierzu fehlt in der Einwilligungsabfrage, obwohl Dienste eingesetzt werden, die Daten an Drittländer übermitteln.

consent manager

Gefundene Webseiten, die consent manager einsetzen:

• consentmanager.de
• ffh.de
• haendlerbund.de
• mitsubishi-motors.de
• sowie eine weitere (die möglicherweise im Folgenden genannt wird)

Von diesen Webseiten wurde ein Teil getestet und nachfolgend bewertet.

Webseite H

Das Einwilligungsfenster der Webseite sieht so aus:

Befunde

• Übermäßig viele, angeblich rein funktionale Cookies: Genannt sind mehr als 10 Cookies, die laut Einwilligungsfenster der Webseite H angeblich „rein funktional und für den Betrieb der Webseite bzw. bestimmter Funktionen notwendig“ seien.
• Fehlende Erklärung eingesetzter Cookies: Für die erklärten Cookies sind keine Beschreibungen der Bedeutungen aufgeführt. Eine Ablaufzeit mit einem Strich anzugeben, ist höchst fraglich und wahrscheinlich ungenügend. In der Datenschutzerklärung von Webseite H findet sich zu einigen (nicht allen) Cookies eine Beschreibung. Beispiel: „__cmpcpc*“/“__cmppurposes“ – Information zu ausgewählten Zwecken. Diese Beschreibung ist offenbar unverständlich und unvollständig. Warum das Cookie „euconsent_backup“ eine Sicherungskopie des Cookies „euconsent“ sein muss, wird der Anbieter der Webseite H sicher auf Anfrage erklären können.
• Unzureichende Cookie-Nennung: Die Nennung _gat_* für Google Analytics Cookies genügt nicht den Vorschriften, weil der Name unklar ist und die dazu gegebenen Angaben wie die Ablaufzeit für diese generische Angabe falsch sein können. Außerdem ist das Cookie mit dem Namen _ga zweimal angegeben, jeweils mit einer anderen Domäne, die unnötigerweise mit dem englischen Begriff „Domain“ genannt ist (zur Erinnerung: Es handelt sich vor allem um deutsche Besucher der Webseite, die die englische Sprache nicht verstehen müssen). Beim Test der Webseite konnte nur ein Cookie namens _ga festgestellt werden. Auch fehlen für alle genannten Cookies die Beschreibungen. Die Angabe „Typ: Messung“ reicht sicher nicht aus. Was wird gemessen, warum und warum gleich mit fünf Cookies?
• Ungenügende Nennung von Diensten: Die Nennung der eingesetzten Dienste erfolgt in Form von Kategorien und Anbietern. Unter „Alle Anbieter“ ist das aufgelistet, was als „Dienste“ besser bezeichnet wäre: u.a. Google Ads, Google Analytics, Google General, LinkedIn. Liest sich wie Dienste, aber nicht wie Anbieter. Was Google General sein soll, weiß wahrscheinlich niemand.
• Unzureichende Beschreibung eingesetzter Dienste: Zu Google General wird als „Zweck der Datenverarbeitung“ angegeben: „Messung“. Weitere Erklärungen finden sich im Einwilligungsfenster nicht. Für Google Analytics wird das Gleiche erklärt. Weitere Erklärungen finden sich auch hierzu nicht.
• Unzureichende Datenschutzerklärung: Wer wissen möchte, was wohl mit Microsoft gemeint ist, findet als Beschreibung „Messung“. In der deutschsprachigen Datenschutzerklärung der Webseite H findet sich zu Microsoft folgende Beschreibung: Measurement. Jetzt dürfte alles klar sein …
• Widerruf wird nicht vollständig ausgeführt: Willigt man in alle Vorgänge ein, ruft das Consent Popup danach erneut auf und widerruft dann allen Vorgängen, wird die Webseite nicht neu geladen. Die schon wieder widerrufenen Dienste sind weiterhin aktiv. Alle laut Consent Popup einwilligungspflichtigen Cookie, die erst nach Einwilligung gesetzt wurden, sind immer noch vorhanden. Lädt man die Webseite manuell neu, sind immerhin die widerrufenen Dienste nicht mehr aktiv, alle erst nach Einwilligung gesetzten Cookies sind aber immer noch vorhanden.
• Unerlaubtes Laden von Tools und Cookies ohne Einwilligung: Ohne Einwilligung geladen werden YouTube Videos, DoubleClick, Calendly, Google Translate, Google Schriften und ein Script der Domäne google.com. Ebenso wird auf mindestens einer Seite der Webseite H der Dienst etracker ohne Einwilligung geladen, obwohl dafür eine Einwilligung abgefragt wird. YouTube und DoubleClick setzen Drittpartei-Cookies ohne Einwilligung.
• Fehlende Datenschutzhinweise: Für DoubleClick, Calendly und Google Schriften fehlen jegliche Hinweise in der Datenschutzerklärung der Webseite H.
• Fehlende Angabe zur Datenübermittlung in Drittländer: Eine Angabe hierzu fehlt in der Einwilligungsabfrage, obwohl Dienste eingesetzt werden, die Daten an Drittländer übermitteln. Stattdessen werden Anbieterangaben mit Land gemacht. Es ist fraglich, ob der Sitz des genannten Anbieters gleich dem Land ist, in das (ausschließlich) Daten durch den eingesetzten Dienst übertragen werden. Zudem ist der Landesname nicht ausgeschrieben, sondern in Form einer ISO-Abkürzung genannt.

Webseite J

Das Einwilligungsfenster der Webseite sieht so aus:

Befunde

• Keine freiwillige Entscheidung möglich: eine direkte Ablehnung ist nicht möglich. Die erscheint rechtswidrig.
• Unerlaubtes Laden von Tools und Cookies ohne Einwilligung: Ohne Einwilligung geladen werden Google Tag Manager, YouTube Video, DoubleClick, Twitter Widget, Google Schriften, Google reCAPTCHA, eine JavaScript-Bibliothek von der Domäne googleapis.com, mehrere Dateien von cloudflare.com und Dienst namens Giosg. Ebenso wird auf mindestens einer Seite der Webseite H der Dienst etracker ohne Einwilligung geladen, obwohl dafür eine Einwilligung abgefragt wird. YouTube und DoubleClick setzen Drittpartei-Cookies ohne Einwilligung.
• Falsche Kategorisierung von Diensten: Als Kategorien im Einwilligungsfenster der Webseite J sind genannt: „Wesentlich“: „Zweck: Wesentlich“, „Funktion“: „Zweck: Funktion. Dienste, die zur Nutzung von Funktionen der Website notwendig sind.“, „Messung“: „Zweck Messung“, „Marketing“: „Zweck: Marketing“. Die hier genannten Beschreibungen sind die Originalbeschreibung der Webseite J. Offenbar sind diese Beschreibung teilweise falsch. Für die Webseite angeblich notwendige „Funktionen“ sind deaktivierbar. Die Beschreibungen zu „Messung“ und „Marketing“ sind nicht vorhanden, vielmehr wird der Kategoriename zur Zweckerklärung wiederholt.
• Fehlende Erklärung zu eingesetzten Diensten: Offenbar fehlt jegliche Beschreibung dessen, was „Facebook“ für ein Dienst sein soll.
• Fehlende Beschreibung eingesetzter Cookies: Es fehlt die Beschreibung des Zwecks eingesetzter Cookies. Stattdessen erfährt der Leser auf die Minute genau, dass beispielsweise das Cookie namens ATN eine Ablaufzeit von 729 Tagen, 23 Stunden und 50 Minuten hat. Als Typ für das Cookie fr wird [unbekannt] angegeben.
• Fehlende Erklärung zu eingesetzten Cookies: Zu Google Analytics werden – ohne Beschreibung des Zwecks – zwei Cookies aufgeführt: _ga und _gid. In Wirklichkeit werden aber zwei weitere Cookies gesetzt, nämlich _gcl_au und _gat_UI-xxxxx-1. Dafür wird zum ominösen Dienst Facebook erklärt, dass neben dem Cookie _fbp, welches tatsächlich gesetzt wird, auch die Cookies ATN und fr gesetzt werden, die beim Test durch den Autor samt automatisierter Analyse nicht gesetzt wurden. Das ATN-Cookie zumindest ist einer Recherche nach gänzlich in der Öffentlichkeit unbekannt. Da der Zweck nicht beschrieben wird, ist eine weitere Untersuchung nicht möglich. Zu YouTube werden keine Cookies im Einwilligungsfenster genannt, obwohl in Wirklichkeit mit YSC und VISITOR_INFO1-LIVE zwei gesetzt werden.
• Fehlerhafte Anbieterkennzeichnung: Zum Anbieter von „Facebook“ (gemeint sind Facebook Connect und Facebook Audiences, wie eine Analyse zeigt) wird eine spanische Adresse angegeben. Eine solche Firma scheint es nicht zu geben (und falls doch, fragt sich, warum eine deutsche Webseite einen spanischen Vertragspartner bei Facebook hat). Vielmehr scheint die Adresse aus dem Internet zusammengesucht zu sein und von einer Facebook Fan Page eines Taxi Services aus Spanien zu stammen, wie meine Recherche ergab. In der Datenschutzerklärung der Webseite J ist der Facebook Pixel aufgeführt und dem Anbieter Facebook Inc., 1601 S. California Ave, Palo Alto, CA 94304, USA zugeordnet. Damit ist zuvor genannte Angabe des Anbieters widersprüchlich, irreführend und falsch.
• Fehlende Nennung eingesetzter Dienste: Wie zuvor geschildert, werden die Dienste Facebook Connect und Facebook Audiences zu einem Gesamtdienst mit dem angeblichen Namen Facebook subsumiert.
• Widersprüchliche Datenschutzerklärung: In der Datenschutzerklärung von Webseite J wird zum Google Tag Manager erklärt: Wir verwenden auf unserer Website den Google Tag Manager der Google LLC. (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA; „Google“). Soweit Sie Ihren gewöhnlichen Aufenthalt im Europäischen Wirtschaftsraum oder der Schweiz haben, ist Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland) der für Ihre Daten zuständige Verantwortliche. Google Ireland Limited ist demnach das mit Google verbundene Unternehmen, welches für die Verarbeitung Ihrer Daten und die Einhaltung der anwendbaren Datenschutzgesetze verantwortlich ist. Die fett gedruckten Stellen sind vom Autor hinzugefügt, um den Widerspruch zu zeigen. Anscheinend gibt es zwei Anbieter des Dienstes (USA sowie Irland), von denen – aus welchem Grund auch immer – einer (Irland) als relevant ausgesucht wurde.
• Ungenügende Widerrufsmöglichkeit: Ein Widerruf aller erteilten Einwilligungen mit einem Klick ist nicht möglich. Stattdessen müssen alle Kategorien hintereinander angeklickt werden, so dass dann pro Kategorie eine manuelle Deaktivierung stattfinden kann. Hierfür sind acht Klicks notwendig.
• Widerruf wird nicht vollständig ausgeführt: Willigt man in alle Vorgänge ein, ruft das Consent Popup danach erneut auf und widerruft dann allen Vorgängen, wird die Webseite nicht neu geladen. Die schon wieder widerrufenen Dienste sind weiterhin aktiv. Alle laut Consent Popup einwilligungspflichtigen Cookie, die erst nach Einwilligung gesetzt wurden, sind immer noch vorhanden. Lädt man die Webseite manuell neu, sind immerhin die widerrufenen Dienste nicht mehr aktiv, alle erst nach Einwilligung gesetzten Cookies – inklusive Cookies von Drittparteien und Drittdomänen – sind aber immer noch vorhanden.
• Fehlende Angabe zur Datenübermittlung in Drittländer: Eine Angabe hierzu fehlt in der Einwilligungsabfrage, obwohl Dienste eingesetzt werden, die Daten an Drittländer übermitteln. Stattdessen werden Anbieterangaben mit Land gemacht. Es ist fraglich, ob der Sitz des genannten Anbieters gleich dem Land ist, in das (ausschließlich) Daten durch den eingesetzten Dienst übertragen werden. Zudem ist der Landesname nicht ausgeschrieben, sondern in Form einer ISO-Abkürzung genannt.

Webseite K

Das Einwilligungsfenster der Webseite sieht so aus:

Cookiebot

Gefundene Webseiten, die Cookiebot einsetzen:

• cookiebot.de
• werdewelt.info
• techem.de
• sowie eine weitere (die möglicherweise im Folgenden genannt wird)

Von diesen Webseiten wurde ein Teil getestet und nachfolgend bewertet.

Eine kurze Auswertung der IP-Adresse (72.246.29.131), die beim Laden des Cookiebot-Scripts von consentcdn.cookiebot.com aufgerufen wurde, hat gezeigt:

Gemäß Traceroute ist die genannte Netzwerkadresse in den USA beheimatet. Dies kann so sein, muss aber nicht zwingend stimmen, weil IP-Adressen von Zeit zu Zeit wieder freigegeben und neu vergeben werden. Die Wahrscheinlichkeit, dass bei einem von tausend Aufrufen eines Cookiebot Scripts eine Adresse in den USA angesprungen wird, scheint allerdings recht hoch. Aus diesem Grund alleine schon würde ich empfehlen, eine andere Lösung zu suchen.

Webseite X

Das Einwilligungsfenster der Webseite sieht so aus:

Befunde

• Fehlende Information zur Widerrufsmöglichkeit. Es fehlt jeglicher Hinweis auf eine Widerrufsmöglichkeit.
• Laden von Tools ohne Einwilligung: Bereits beim Laden der Webseite X und ohne etwas angeklickt zu haben werden die Dienste Gravatar, Google Analytics und Google Tag Manager geladen. Für beide genannten Google-Dienste wird eine Einwilligung abgefragt. Gravatar wird nirgends erwähnt.
• Falsche Zuordnung von Diensten zu Anbietern: Beispielsweise wird für ein Google Analytics Cookie der Google Tag Manager, ein Dienst und keine Firma, als Anbieter genannt, ebenso wird Google als Anbieter genannt, wer oder was Google auch immer sein mag.
• Fehlende Anbieterangabe: Anbieterkennzeichnungen inkl. Firmenangaben fehlen für sämtliche Dienste!
• Ungenügende Cookie-Information: Für manche Cookies wird als Lebensdauer ein unverständlicher, ungenügend spezifischer Begriff verwendet, nämlich Persistent. Der Begriff »Persistent« ist dem allgemein gebildeten Nutzer nicht verständlich. Er sagt zudem nichts zur tatsächlichen Lebensdauer, weil diese nicht unendlich sein kann. Die Angabe »HTML« zum Cookie-Typ ist unsinnig. Cookies dieser Art gibt es nicht. Gemeint ist wahrscheinlich HTML Web Storage und in diesem Zusammenhang Local Storage (ein Begriff, den ein Normalnutzer nicht verstehen muss).
• Fehlende Datenschutzhinweise: Für die Dienste Google Analytics, Google Tag Manager, YouTube Videos, DoubleClick, Google Dynamic Remarketing, Gravatar und Zendesk fehlen jegliche Beschreibungen in der Datenschutzerklärung. Generell ist gar kein verwendeter Dienst in der Datenschutzerklärung genannt. In einer gesonderten Cookie-Erklärung, die allerdings von einigen Seiten aus nicht verlinkt und somit nicht erreichbar ist, werden Dienste angegeben, aber nur, wenn man mental bereit ist, die Angabe eines Anbieters pro Cookie als Dienst anzusehen.
• Fragliche notwendige Cookies: Als notwendig und somit nicht abwählbar sind 28 Cookies genannt. Es darf bezweifelt werden, ob derart viele Cookies zum Minimalbetrieb der Webseite notwendig sind.
• Schwer auffindbare Widerrufsmöglichkeit: Auf die Widerrufsmöglichkeit wird im Consent Popup nicht hingewiesen. Zudem muss erst die Seite mit der Cookie-Erklärung aufgerufen werden und dort dann mitten im Text der Link Widerrufen Sie Ihre Einwilligung gefunden und angeklickt werden.
• Widerruf wird nicht vollständig ausgeführt: Lädt man die Webseite manuell neu, sind einige der vor dem Widerruf gesetzten Cookies vorhanden. Dies ist offenbar rechtswidrig, weil der Widerruf teilweise ignoriert wurde. Lediglich die nun nicht mehr eingewilligten Dienste werden nicht mehr neu geladen, mit Ausnahme der Dienste Google Analytics, Google Tag Manager und Gravatar, die immer noch geladen werden. Ruft man die Webseite X neu auf und erteilt irgendwann wieder seine Einwilligung, etwa für Google Analytics, kann dieser Dienst auf vorhandene Cookies von einer früheren Sitzung zurückgreifen. Ein Nachverfolgen des Nutzers ist so noch besser möglich. Ansonsten würde derselbe Nutzer in diesen beiden Sitzungen nämlich offiziell (glaubt man Google) als zwei verschiedene Nutzer angesehen werden.
• Unverständliche Cookie-Beschreibung: Zum Cookie _gat [x4] wird als Zweck genannt: „Wird von Google Analytics verwendet, um die Anforderungsrate einzuschränken“. Diese Aussage ist selbst für einen IT-Experten unverständlich. Was die Angabe [x4] hinter dem Cookie-Namen bedeutet, bleibt unklar. Zum Cookie ads/ga-audiences ist als Zweck genannt: “Used by Google AdWords to re-engage visitors that are likely to convert to customers based on the visitor's online behaviour across websites.” . Ein deutscher Nutzer muss kein Englisch verstehen.
• Fragwürdige Klassifikation von Diensten/Cookies: In der Kategorie Marketing ist unter anderem YouTube erwähnt.
• Fokus auf Cookies statt auf Diensten: Es fällt auf, dass Webseite X anscheinend ausschließlich Cookies als datenschutzrelevant ansieht: In der Einwilligungsabfrage finden sich keine Informationen zu eingesetzten Diensten; in der Datenschutzerklärung finden sich keine Angaben zu eingesetzten Diensten; Dienste, die vordergründig keine Cookies setzen, werden gar nicht erwähnt.
• Unübersichtliche Darstellung: Möchte sich der Nutzer alle Informationen im Einwilligungsfenster ansehen, muss er durch einen winzigen Darstellungsbereich scrollen, der selbst bei großen Bildschirmauflösungen winzig bleibt. Dies erscheint unzumutbar und ist somit wahrscheinlich rechtswidrig.
• Fehlende Angabe zur Datenübermittlung in Drittländer: Eine Angabe hierzu fehlt in der Einwilligungsabfrage, obwohl Dienste eingesetzt werden, die Daten an Drittländer übermitteln.

Webseite Y

Das Einwilligungsfenster der Webseite sieht so aus:

Befunde

• Unerlaubte Vorauswahl: Wie die Abbildung zeigt, sind alle Optionen aktiviert. Ein direkter Klick auf die Buttons »Auswahl erlauben« und »Cookies zulassen« ist also gleichwertig und somit nicht datenschutzfreundlich.
• Fehlende Information zur Widerrufsmöglichkeit: Wie die Abbildung zeigt, fehlt jeder Hinweis auf eine Widerrufsmöglichkeit.
• Falsche Nennung von Cookies: Die Detailansicht zeigt eine Erklärung zu Cookies, die falsch ist. Die Cookies mit den angeblichen Namen /fileadmin/razor/Dist und /typo3temp/ gibt es laut Begutachtung der Webseite Y nicht. Die Zwecke sind nicht genannt, sondern mit Anstehend beschrieben. Dies deutet darauf hin, dass dem eingesetzten Tool, Cookiebot, die Zwecke anscheinend nicht bekannt sind. Ein anderes Cookie wird mit dem Namen lang[x2] angegeben. Gemeint sind zwei Cookies, von denen nur eines von Cookiebot genannt wurde, das zweite (laut Cookiebot-Protokoll ist es ads.linkedin.com) wurde unterschlagen.
• Fehlende Angaben zu Cookies: Wie zuvor genannt, fehlen Zweckbeschreibungen zu Cookies.
• Fehlende Nennung von Cookies: Gar nicht genannt, aber laut Test der Webseite Y eindeutig verwendet, sind die Cookies mit den Namen be_typo_user und be_lastLoginProvider.
• Laden von Tools ohne Einwilligung: Bereits beim Laden der Webseite Y und ohne etwas angeklickt zu haben werden die Dienste Google Maps, Facebook Connect, Calendly, Google Schriften, Podigee Podcast Player und Google Tag Manager geladen. Facebook Connect setzt ohne Einwilligung ein Cookie namens fr mit einer Lebensdauer von 3 Monaten für die Domäne facebook.com. Calendly setzt ohne Einwilligung ein Cookie namens _calendly_session mit einer Lebensdauer von 21 Wochen für die Domäne calendly.com.
• Unübersichtliche Darstellung: Möchte sich der Nutzer alle Informationen im Einwilligungsfenster ansehen, muss er durch einen winzigen Darstellungsbereich scrollen, der selbst bei großen Bildschirmauflösungen winzig bleibt. Dies erscheint unzumutbar und ist somit wahrscheinlich rechtswidrig.
• Fehlende Datenschutzhinweise: Auf Webseite Y fehlen jegliche Angaben in der Datenschutzerklärung zu den Tools Cookiebot, Calendly sowie Podigy.
• Falsche Datenschutzhinweise: Auf Webseite Y wird erklärt, dass das consentmanager Tool für Einwilligungsabfragen zum Einsatz kommt. Dies ist falsch. Stattdessen wird Cookiebot verwendet.
• Fehlende Widerrufsmöglichkeit: Auf Webseite Y konnte keine Möglichkeit gefunden werden, den Widerruf der erteilten Einwilligung durchzuführen.
• Datenschutzerklärung nicht direkt aufrufbar: Beim Aufruf der Datenschutzerklärung von Webseite Y erscheint das Einwilligungs-Popup , sofern es zuvor nicht bestätigt wurde. Das direkte Lesen der Datenschutzerklärung ist somit nicht möglich.
• Falsche Klassifikation von Tools/Cookies : Die zu Google Analytics gehörigen Cookies werden fälschlicherweise dem Google Tag Manager zugeschrieben. Diese falsche Zuordnung kommt sicher daher, weil der Google Tag Manager dazu dient, um Google Analytics dynamisch nachzuladen. Der Tag Manager ist also nur Initiator des Ladevorgangs des Tools, welches in Wirklichkeit die Cookies _ga, _gat und _gid setzt und ausliest.
• Ungenügende Anbieternennung: Für die Anbieter der Tools (die hier nur in Form von Cookies genannt sind) wird keine Firmierung angegeben. Dies betrifft sämtliche 29 genannte Cookies auf Webseite Y.
• Fehlende Nennung eingesetzter Dienste: Die eingesetzten Dienste werden in der Einwilligungsabfrage auf Webseite Y nicht erwähnt (und wenn, dann nur teilweise und nur indirekt im angeblichen Zweck zu einem Cookie, vgl. Abbildung 68). Vielmehr konzentriert sich das Cookiebot Tool auf Webseite Y auf Cookies.
• Fehlerhafte Anbieterangabe: Für ein Cookie wird DrawBridge als Anbieter genannt. Drawbridge wurden 2019 von LinkedIn gekauft, wird aber weiterhin als Anbieter in der Einwilligungsabfrage auf Webseite Z genannt. Die Webseite von DrawBridge leitet auf die Webseite von LinkedIn weiter. Klickt man auf den Link zu Drawbridge, der in der Abbildung zu sehen ist, kommt man nicht auf die Datenschutzerklärung, wie intendiert (https://www.drawbridge.com/privacy), sondern auf die Webseite https://business.linkedin.com/de-de/marketing-solutions, die rein werbliche Informationen enthält, aber keine Datenschutzhinweise.
• Unverständliche Beschreibung zu Cookies: Die Beschreibungen zu Cookies sind für den Normalbürger oft nicht verständlich. Beispiel für das Cookie bcookie vom Anbieter LinkedIn: „Verwendet vom Social-Networking-Dienst LinkedIn für die Verfolgung der Verwendung von eingebetteten Dienstleistungen.“ Nirgends ist erwähnt, was genau mit LinkedIn gemeint bzw. wer Anbieter ist.
• Fehlende Angabe zur Datenübermittlung in Drittländer: Eine Angabe hierzu fehlt in der Einwilligungsabfrage, obwohl Dienste eingesetzt werden, die Daten an Drittländer übermitteln.

Webseite Z

Das Einwilligungsfenster der Webseite sieht so aus:

Befunde

• Laden von Tools und Cookies ohne Einwilligung: Bereits beim Laden der Webseite Z und ohne etwas angeklickt zu haben werden die Dienste Google Ads, LinkedIn Analytics, YouTube Video, etracker sowie Dateien von cloudflare.com geladen. Der Dienst etracker setzt ohne Einwilligung zwei Cookies mit einer Lebensdauer von 2 Jahren, eines davon auf der Domäne etracker.com. Der Dienst LinkedIn Analytics setzt ohne Einwilligung sechs Cookies mit einer Lebensdauer zwischen einem Tag und 2 Jahren, alle auf der Domäne linkedin.com.
• Zurückstellen der Ablehnen-Möglichkeit: Der Ablehnen-Button ist visuell erheblich gegenüber dem Akzeptieren-Button zurückgestellt. Dies erscheint rechtswidrig.
• Schwer auffindbare Widerrufsmöglichkeit: In der Fußzeile der Webseite Z befindet sich ein Menüpunkt namens Widerruf. Dieser führt aber nicht zur Widerrufsmöglichkeit für erteilte Cookie-Einstellungen. Vielmehr ist der Aufruf der Widerrufsmöglichkeit in der Datenschutzerklärung in Form eines Textlinks versteckt, der mitten im Fließtext steht.
• Widerruf wird nicht vollständig ausgeführt: Lädt man die Webseite manuell neu, wird das Cookie et_coid erneut gesetzt, obwohl hierfür eine Einwilligung abgefragt wird. Bei einem Test wurde der Widerruf (bis auf den o.g. festgestellten Punkt) ausgeführt. Bei einem anderen Test wurde der Widerruf nicht ausgeführt, nachdem der Widerruf zuvor getätigt wurde und dann alle Cookies zugelassen wurden.
• Unübersichtliche Darstellung: Möchte der Nutzer sich alle Informationen im Einwilligungsfenster ansehen, muss er durch einen winzigen Darstellungsbereich scrollen, der selbst bei großen Bildschirmauflösungen winzig bleibt. Dies erscheint unzumutbar und ist somit wahrscheinlich rechtswidrig.
• Ungenügende Anbieterangabe: Für alle 16 auf Webseite Z genannten Cookies wurde Anbieter nicht korrekt benannt. Eine Firmenangabe fehlte jedesmal.
• Unverständliche Beschreibung zu Cookies: Die Beschreibungen zu Cookies sind für den Normalbürger oft nicht verständlich. Beispiel: „Enthält Base64-kodierte Daten der Besucherhistorie (ist Kunde, Newsletter-Empfänger, Visitor ID, angezeigte Smart Messages) zur Personalisierung (nur bei Cookie-Aktivierung).“ In diesem konkreten Beispiel enthält die Erklärung zudem einen Hinweis darauf, dass sie nur gilt (oder nur für Personalisierung eingesetzt wird?), wenn eine Cookie-Aktivierung gegeben ist. Was mit Cookie-Aktivierung gemeint ist und warum diese konditionale Aussage vorhanden ist, ist unklar.
• Fehlerhafte Anbieterangabe: Für ein Cookie wird DrawBridge als Anbieter genannt (vgl. hierzu Webseite X).
• Fehlende Datenschutzhinweise: Für Drawbridge, Google Tag Manager und Calendly fehlen die obligatorischen Hinweise in der Datenschutzerklärung der Webseite Z.
• Falsche Nennung von Cookies: Ein Cookie wird mit dem Namen et_coid[x2] angegeben. Gemeint sind zwei Cookies, von denen nur eines von Cookiebot genannt wurde, das zweite (laut Cookiebot-Protokoll der Webseite Z ist es etracker.de) wurde unterschlagen.
• Datenschutzerklärung nicht direkt aufrufbar: Beim Aufruf der Datenschutzerklärung von Webseite Z erscheint das Einwilligungs-Popup , sofern es zuvor nicht bestätigt wurde. Das direkte Lesen der Datenschutzerklärung ist somit nicht möglich.
• Fehlende Angabe zur Datenübermittlung in Drittländer: Eine Angabe hierzu fehlt in der Einwilligungsabfrage, obwohl Dienste eingesetzt werden, die Daten an Drittländer übermitteln.

CCM19

Gefundene Webseiten, die CCM19 einsetzen:

• ccm19.de
• crifbuergel.de
• hertie.de
• sowie eine weitere (die möglicherweise im Folgenden genannt wird)

Von diesen Webseiten wurde ein Teil getestet und nachfolgend bewertet.

Webseite L

Das Einwilligungsfenster der Webseite sieht so aus:

Befunde

• Zurückstellen der Ablehnen-Möglichkeit: Der Ablehnen-Button ist visuell erheblich gegenüber dem Akzeptieren-Button zurückgestellt. Dies erscheint rechtswidrig. Was der Unterschied zwischen Ablehnen und Speichern ist, ist nicht ersichtlich und ist insofern irreführend.
• Fehlende Angabe zu Kategorien: Die Webseite L kategorisiert eingesetzte Tools und Cookies in Techn. notwendig / Essentiell, Analyse sowie Personalisierung. Eine Beschreibung dieser Kategorien fehlt gänzlich in der Einwilligungsabfrage.
• Fehlerhafte Angabe zu Diensten: Für Matomo wird u.a. erklärt: „Erfassung von Kennzahlen zur Webanalyse, Daten werden vollständig anonymisiert. Es werden keine rückverfolgbaren Daten gespeichert, IP Adresse wird auf die letzten 3 Zeichen gekürzt.“. Die IP-Adresse wird höchstwahrscheinlich nicht auf die letzten 3 Zeichen gekürzt, sondern so gekürzt, dass nur die letzten 3 Zeichen entfernt werden. Ansonsten gäbe es schließlich nur 256 mögliche Werte (dann könnte man die Erfassung gleich sein lassen). Zudem darf bezweifelt werden, dass Daten bei der Erfassung mit Matomo vollständig anonymisiert werden. Ein Test hat gezeigt, dass auch URL-Parameter auf Webseite L mit Matomo erfasst werden. In URL-Parametern können personenbezogene Daten vorhanden sein. Beispiel:https://www.anonyme-webseite-m.de/aus-versehen-eingefuegte-information
• Laden von Tools ohne Einwilligung: Ohne Einwilligung geladen werden Google Schriften. Nach dem Brexit und ohne Angemessenheitsbeschluss käme auch OpenStreetMap hinzu. OpenStreetMap wird von einer Firma im Vereinigten Königreich (UK) angeboten.
• Fehlende Datenschutzhinweise: Zum Dienst Google Schriften fehlt die Datenschutzerklärung vollständig.
• Widersprüchliche Datenschutzhinweise: Obwohl eine Einwilligung für den Dienst Matomo abgefragt wird, erklärt die Datenschutzerklärung hierzu:„Rechtliche Grundlage: Berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO“.
• Fehlender Link auf die Datenschutzerklärung: Auf mindestens einer Seite der Webseite L fehlt der Link auf die Datenschutzerklärung.
• Für die Webseite gibt es weniger Befunde als für andere Webseiten. Der Hauptgrund ist, dass die Webseite nur wenige Dienste verwendet.

Webseite M

Das Einwilligungsfenster der Webseite sieht so aus:

Befunde

• Keine freiwillige Entscheidung möglich: Wie in der Abbildung zu sehen, ist keine direkte Ablehnung möglich. Die erscheint mir eindeutig rechtswidrig.
• Fehlende Information zur Widerrufsmöglichkeit: Wie die Abbildung zeigt, fehlt ein sichtbarer Hinweis auf eine Widerrufsmöglichkeit. Die Information zum Widerruf ist erst nach Scrollen des dünnen Balkens am rechten Rand des Fensters möglich. Wie die Abbildung zudem zeigt, ist die Darstellung auf Smartphones suboptimal.
• Ungenügende Anbieternennung: Für das eingesetzte Consent Tool gibt Webseite M als Herausgeber „XYZ AG“ an (der echte Firmenname wurde hier durch XYZ ersetzt, um den Webseitenbetreiber unkenntlich zu machen). Die Adresse der Firma wird nicht erwähnt.
• Ungenügende Angaben zu Cookies: Für einige Cookies wird für die Lebensdauer eine englische Angabe gemacht. Beispiele: 30 minutes, Session. Für ein Cookie namens sid wird die Lebensdauer mit der Zahl 1 (ohne Einheit) angegeben, dafür fehlt die Zweckbeschreibung zu diesem Cookie gänzlich. Für einige Cookies erfolgt eine anscheinend generische Nennung. Beispiel: ev_sync_* Da unterschiedliche Cookies unterschiedliche Zwecke haben müssen (sonst bräuchte man nur ein Cookie und nicht mehrere) fehlen genaue Beschreibungen zu den generisch angegebenen Cookies. Vielmehr wird zu dieser generischen Angabe als Zweck erklärt: „Ein Drittanbieter-Cookie speziell für Anzeigenbörsen, das die Surfer-ID in Advertising Cloud mit der Partner-Anzeigenbörse synchronisiert. Das Cookie wird für neue Surfer erstellt und sendet eine Synchronisierungsanforderung, wenn es abgelaufen ist.“ Der tiefere Sinn dieser Erklärung wird den meisten Nutzern unklar sein.
• Laden von Tools und Cookies ohne Einwilligung: Ohne Einwilligung geladen werden Google Tag Manager, Bing Ads, DoubleClick Ad Exchange sowie YouTube Video.
• Fehlende Nennung von Cookies: Einige der verwendeten Cookies werden auf Webseite M gar nicht erwähnt, beispielsweise mehrere First-Party Cookies mit einer Lebensdauer im Bereich von mehreren Wochen bis zu Jahren. Auch wird das Cookie _uetvid nicht erklärt, welches wahrscheinlich von Microsoft Bing Ads gesetzt wird (weil zu diesem Tool das Cookie _uetsid erklärt wird, dessen Name nahezu gleich zu _uetvid ist).
• Ungenügende Klassifikation von Diensten/Cookies: Die Webseite M nennt drei Kategorien: Technisch notwendig, Analyse sowie Anzeigen / Ads. Zu keiner der Kategorien gibt es eine Beschreibung.Google Analytics ist der Kategorie Anzeigen / Ads zugeordnet. Manch einer würde das Tool der Kategorie Analyse zugeordnet wissen wollen. Der Kategorie Analyse ist hingegen Microsoft Bing Ads zugeordnet, welches dem Namen nach besser in die Kategorie Anzeigen / Ads gehört.
• Ungenügende Datenschutzinformationen zu eingesetzten Tools: In der Einwilligungsabfrage wird zum Tool Microsoft Bing Ads der Link zur Datenschutzerklärung gegeben. Der Link lautet https://about.ads.microsoft.com/en-us/resources/policies/remarketing-in-paid-search-policies und verweist auf eine englischsprachige Seite, die offensichtlich für den deutschen Nutzer ungeeignet ist.
• Ungenügende Widerrufsmöglichkeit: Ein Widerruf aller erteilten Einwilligungen mit einem Klick ist nicht möglich. Stattdessen müssen alle Kategorien hintereinander angeklickt werden und danach der Button Speichern. Hierfür sind insgesamt drei Klicks notwendig, nachdem das Einwilligungsfenster geöffnet wurde.
• Ungenügende Beschreibung eingesetzter Tools: Zu Microsoft Bing Ads wird der Zweck wie folgt erklärt: „Dies ist ein Cookie, das von Microsoft Bing Ads verwendet wird und ein Tracking-Cookie ist. Es ermöglicht, mit einem Benutzer in Kontakt zu treten, der zuvor die Website besucht hat.“ Offenbar wird ein Dienst mit einem Cookie verwechselt. Was genau diese Erklärung bedeuten soll, wird den meisten Nutzern offenbar wahrscheinlich klar werden.
• Widerruf wird nicht ausgeführt: Der Widerruf entfernt keines der einwilligungspflichtigen Cookies vom Endgerät des Nutzers, auch nicht nach manuellem Neuladen der Webseite. Außerdem wird die Webseite nicht neu geladen, so dass schon geladene Tools weiter Daten sammeln können.
• Datenschutzerklärung nicht direkt aufrufbar: Beim Aufruf der Datenschutzerklärung von Webseite M erscheint das Einwilligungs-Popup, sofern es zuvor nicht bestätigt wurde. Das direkte Lesen der Datenschutzerklärung ist somit nicht möglich.
• Fehlende Datenschutzhinweise: Für Google Tag Manager und etracker fehlt jeglicher Hinweis in der Datenschutzerklärung der Webseite M. Für manche Dienste ist die Nennung mangelhaft, beispielsweise für Google Analytics: „Zur Webseitenanalyse setzt diese Website Google (Universal) Analytics ein, einen Webanalysedienst der Google LLC (www.google.de). Dies dient der Wahrung unserer im Rahmen einer Interessensabwägung überwiegenden berechtigten Interessen an einer optimierten Darstellung unseres Angebots gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO. Google (Universal) Analytics verwendet Methoden, die eine Analyse der Benutzung der Website durch Sie ermöglichen, wie zum Beispiel Cookies.“ Hier fehlt die Angabe der Adresse von Google LLC. Außerdem wird als Rechtsgrundlage für den Einsatz des Tools das berechtigte Interesse angeführt. Dies widerspricht der Tatsache, dass für das Tool eine Einwilligung abgefragt wird.
• Unbrauchbare Angabe zur Datenübermittlung in Drittländer: Eine brauchbare Angabe hierzu fehlt in der Einwilligungsabfrage für den Facebook Pixel. Zitat: „Ort der Verarbeitung: Facebook stellt keine Informationen zum Ort der Datenverarbeitung zur Verfügung. Vermutlich Europa Irland.“ Die Angabe ist vorgeschrieben.

Webseite N

Das Einwilligungsfenster der Webseite sieht so aus:

Befunde

• Fehlende Information zur Widerrufsmöglichkeit: Wie die Abbildung zeigt, fehlt jeglicher Hinweis auf eine Widerrufsmöglichkeit. Auch im erst nach Scrollen sichtbaren Text gibt es diesen Hinweis nicht.
• Unzureichende Darstellung von Informationen: Wie die Abbildung zeigt, sind Erklärungen zur Einwilligungsabfrage erst nach einem Scrollen zugänglich. Der Scrollbalken am rechten Bildrand ist allerdings so schlecht erkennbar, dass er als nicht verfügbar angesehen werden kann.
• Laden von Tools und Cookies ohne Einwilligung: Ohne Einwilligung werden geladen: YouTube Video, etracker, DoubleClick Remarketing, Twitter Widget, Google Schriften, Google reCAPTCHA, LinkedIn Widget sowie ein IFRAME von einer Drittdomäne. Ohne Einwilligung werden weiterhin Cookies von den Domänen youtube.com und doubleclick.net gesetzt, die eine Lebensdauer haben, die (meist weit) über eine Sitzung hinausgeht.
• Rechtswidriges Zurückstellen der Ablehnen-Möglichkeit: Der Ablehnen-Button ist visuell leicht gegenüber dem Akzeptieren-Button zurückgestellt. Dies erscheint (immer noch) rechtswidrig.
• Fehlender Link auf die Datenschutzerklärung: Auf mindestens einer Seite der Webseite N fehlt der Link auf die Datenschutzerklärung.
• Datenschutzerklärung nicht direkt aufrufbar: Beim Aufruf der Datenschutzerklärung von Webseite N erscheint das Einwilligungs-Popup, sofern es zuvor nicht bestätigt wurde. Das direkte Lesen der Datenschutzerklärung ist somit nicht möglich.
• Fehlende Datenschutzhinweise: Für Google Schriften, DoubleClick Remarketing und Google reCAPTCHA fehlt jeglicher Hinweis in der Datenschutzerklärung der Webseite N.
• Fehlende Widerrufsmöglichkeit: Auch nach längerem Suchen konnte auf Webseite N keine Möglichkeit gefunden werden, einen Widerruf der zuvor erteilten Einwilligung auszuführen.
• Ungenügende Anbieternennung: Für das eingesetzte Consent Tool gibt Webseite N als Herausgeber „Papoo Software & Media Gmbh – CCM19 Cookie Consent Manager“ an. Eine Adresse wird nicht genannt, statt dessen offenbar eine Produktbezeichnung („CCM19 Cookie Consent Manager“) anstelle einer Firmierung.
• Fehlende Nennung von Cookies: Einige der verwendeten Cookies werden auf Webseite N gar nicht erwähnt, beispielsweise mehrere Cookies, die von YouTube Video Scripten gesetzt werden.
• Fehlende Angaben zu Cookies: Manche Cookies werden ohne Angaben, dafür mit der Pseudo-Angabe N.A. für alle Kriterien (Herausgeber, Beschreibung etc.) deklariert.
• Ungenügende Angaben zu Cookies: Für ein Cookie wird für die Lebensdauer gar nicht angegeben, ebenso der Zweck. Für ein Cookie namens ASP.NET_SessionId wird die Lebensdauer mit der Zahl 0 (ohne Einheit) angegeben, dafür fehlt die Zweckbeschreibung zu diesem Cookie gänzlich. Für einige Cookies erfolgt eine anscheinend generische Nennung. Beispiel: _gat_gtag_UA_*. Da unterschiedliche Cookies unterschiedliche Zwecke haben müssen (sonst bräuchte man nur ein Cookie und nicht mehrere) fehlen genaue Beschreibungen zu den generisch angegebenen Cookies. Vielmehr wird zu dieser generischen Angabe als Zweck erklärt: „Wird zum Drosseln der Anforderungsrate verwendet. Wenn Google Analytics über den Google Tag Manager bereitgestellt wird, erhält dieser Cookie den Namen _dc_gtm_ .“. Diese Beschreibung ist offenbar gänzlich ungeeignet, um einem Normalbürger den Zweck des Cookies (oder Tools, das weiß man beim CCM19 Einsatz auf Webseite N nicht so genau) darzulegen.
• Ungenügende Klassifikation von Diensten/Cookies: Die Webseite N nennt drei Kategorien: Technisch notwendig, Analyse, Marketing sowie Anzeigen / Ads. Zu keiner der Kategorien gibt es eine Beschreibung. Dem Normalbürger wird es schwerfallen, den Unterschied zwischen Marketing und Anzeigen / Ads zu erahnen.Google Analytics ist der Kategorie Anzeigen / Ads zugeordnet. Manch einer würde das Tool der Kategorie Analyse zugeordnet wissen wollen.
• Fehlende Angabe zur Datenübermittlung in Drittländer: Eine Angabe hierzu fehlt für manche Tools in der Einwilligungsabfrage. Die Angabe ist vorgeschrieben.
• Fehlendes Impressum: Auf dem Einwilligungsfenster ist ein Link namens Impressum vorhanden. Klickt man auf diesen Link erscheint ein leeres Popup mit der Überschrift Impressum.

Klaro!

Gefundene Webseiten, die Klaro! einsetzen:

• www.dillinger.de
• kiprotect.com
• digitale-helden.de
• sowie eine weitere (die möglicherweise im Folgenden genannt wird)

Von diesen Webseiten wurde ein Teil getestet und nachfolgend bewertet.

Klaro! wird anscheinend überwiegend von Webseiten verwendet, auf denen an sich schon viel Wert auf Datenschutz gelegt wird, in dem nur wenige Tools eingesetzt werden. Die Verbreitung von Klaro! ist zudem nicht besonders hoch. Daher werden im Folgenden nur die Ergebnisse für zwei Webseiten dargestellt. Anscheinend funktioniert ein Update des Kerns von Klaro! nicht oder ist nicht vorgesehen, denn die Ausprägungen von Klaro! Einwilligungsfenstern auf verschiedenen Webseiten sahen erheblich anders aus und wiesen in anscheinend neueren Ausprägungen bessere Ausgestaltungen vor.

Webseite P

Das Einwilligungsfenster der Webseite sieht so aus:

Befunde

• Irreführende Aussage zur Datenerhebung: Wie die Abbildung zeigt, wird so getan, als würde nur die gerade besuchte Webseite Daten über den Nutzer sammeln („… welche Informationen wir über Sie sammeln“) und nicht auch weitere Dritte.
• Fehlende Information zur Widerrufsmöglichkeit: Wie die Abbildung zeigt, fehlt jeglicher Hinweis auf eine Widerrufsmöglichkeit.
• Fehlende Anbieterangabe: Anbieterkennzeichnungen inkl. Firmenangaben fehlen für sämtliche Dienste auf der Einwilligungsabfrage.
• Fehlende Nennung eingesetzter Dienste und Cookies: Wie die Abbildung zeigt, fehlen sämtliche Nennungen eingesetzter Dienste und Cookies. Eine Detailansicht ist offensichtlich nicht aufrufbar.
• Fehlende Beschreibung eingesetzter Dienste: Wie die Abbildung zeigt, fehlen sämtliche Beschreibungen eingesetzter Dienste.
• Fragwürdige Vor-Aktivierung eines Tools: Bevor die Einwilligungsabfrage bestätigt wird, ist Analyse-Dienste etracker bereits aktiv. Dies geht aus der Datenschutzerklärung hervor, in dem dieser Dienst mit einem Schieberegler als aktiv gekennzeichnet ist. Im Einwilligungsfenster selbst kann diese Einstellung allerdings nicht geändert werden.
• Fehlende Datenschutzhinweise: Für den Dienste DoubleClick fehlen jegliche Beschreibungen in der Datenschutzerklärung (auch für Google Ads, ein mögliches Synonym für DoubleClick, werden keine Angaben gemacht). Für den Dienst Eloqua wird der Anbieter in der Datenschutzerklärung ungenügend mit Oracle Marketing Cloud benannt. Auch in der Datenschutzerklärung finden sich keinerlei konkrete Cookie-Hinweise. Stattdessen finden sich dort nur Platzhalter.
• Laden von Tools ohne Einwilligung: Bereits beim bloßen Aufruf der Webseite P und ohne etwas angeklickt zu haben werden die Tools Google Maps, YouTube Video, Eloqua und DoubleClick geladen. Für Google Maps und YouTube Video werden (wahrscheinlich) Einwilligungen über die Kategorien Maps und Video abgefragt – genau lässt sich dies nicht sagen, da jegliche Beschreibungen zu Diensten auf dem Einwilligungsfenster fehlen. Google Maps wird ohne Einwilligung sogar voll funktionsfähig und sichtbar geladen, wobei eingebettete YouTube Videos nicht sichtbar, sondern nur im Hintergrund in Form eines YouTube Video Scripts geladen werden. etracker wird ebenfalls derart geladen. Im Zuge dessen wird u. a. ein Cookie namens _et_coid mit einem Wert, der zur Nutzeridentifikation geeignet ist und eine Funktionsdauer von zwei Jahren sowie der Domäne etracker.com gesetzt. Dies ist ebenfalls einwilligungspflichtig, jedenfalls wird keine Angabe zu einem AVV o. ä. gemacht.
• Datenschutzerklärung nicht direkt aufrufbar: Beim Aufruf der Datenschutzerklärung von Webseite P erscheint das Einwilligungs-Popup, sofern es zuvor nicht bestätigt wurde. Das direkte Lesen der Datenschutzerklärung ist somit nicht möglich.
• Datenschutzerklärung nicht verfügbar: Beim Erstaufruf der Webseite P verdeckt das Einwilligungsfenster auf gängigen Smartphones sämtliche Verlinkungen, auch die zur Datenschutzerklärung. Damit gilt diese sehr wahrscheinlich als nicht verfügbar, weil nach Wegklicken des Einwilligungsfensters zwei weitere Klicks, also insgesamt drei, zum Aufruf der Datenschutzerklärung notwendig sind. Erlaubt sind maximal zwei Klicks.
• Zurückstellen der Ablehnen-Möglichkeit: Der Ablehnen-Button ist mit „Ablehnen“ beschriftet und visuell leicht gegenüber dem Akzeptieren-Button zurückgestellt. Dies ist wahrscheinlich rechtswidrig.
• Fragwürdiger Hinweis auf einwilligungspflichtigem Video: Willigt man nicht in „Videos“ ein und ruft eine Seite mit einem eingebetteten Video auf, erscheint an der Stelle, wo das Video erscheinen würden, der Hinweis Bitte aktivieren Sie Cookies, um das Video anzuzeigen. Hier wird ein Hinweis zu Cookies gegeben. Das Video nutzt aber keine Videos (youtube-nocookie.com). Nirgends auf der Webseite P sind konkrete Angaben zu genutzten Cookies gegeben. Abgesehen davon kann ein Video selbstverständlich grundsätzlich ohne Cookies angezeigt bzw. abgespielt werden.
• Fehlerhafte Funktionalität im Einwilligungsfenster: Im Einwilligungsfenster ist eine Funktion zum gleichzeitigen Aktivieren aller Einwilligungen vorhanden. Diese Funktion ist richtigerweise initial deaktiviert, weil auch die Kategorien Analytics, Video und Maps initial inaktiv sind. Aktiviert man nur beispielsweise Analytics, wird automatisch Alle aktivieren auch aktiv. Dies ist entweder rechtswidrig (wenn dann tatsächlich alle einwilligungspflichtigen Vorgänge aktiviert werden) oder irreführend und nicht erwartungskonform.
• Fehlende Angabe zur Datenübermittlung in Drittländer: Eine Angabe hierzu fehlt in der Einwilligungsabfrage, obwohl Dienste eingesetzt werden, die Daten an Drittländer übermitteln. Die Angabe ist vorgeschrieben.

Webseite Q

Das Einwilligungsfenster der Webseite sieht so aus:

Befunde

• Fehlende Information zur Widerrufsmöglichkeit: Wie die Abbildung zeigt, fehlt jeglicher Hinweis auf eine Widerrufsmöglichkeit.
• Keine freiwillige Entscheidung möglich: Wie in der Abbildung zu sehen, ist keine direkte Ablehnung möglich. Die erscheint rechtswidrig.
• Unerlaubtes Laden von Tools und Cookies ohne Einwilligung: Ohne Einwilligung geladen werden Google Maps, Google Schriften, Google reCAPTCHA, Google AdWords Conversion Tracking, KlickTipp, ein Paypal-Bezahldienst sowie ein Script von betterplace.org und eines von app.acuityscheduling.com.
• Fehlende Datenschutzhinweise: Für Google reCAPTCHA und Betterplace fehlen die obligatorischen Hinweise in der Datenschutzerklärung der Webseite Q.
• Datenschutzerklärung nicht direkt aufrufbar: Beim Aufruf der Datenschutzerklärung von Webseite Q erscheint das Einwilligungsfenster, sofern es zuvor nicht bestätigt wurde. Das direkte Lesen der Datenschutzerklärung ist somit nicht möglich.
• Fehlende Anbieterangabe: Klickt man im Einwilligungsfenster der Abbildung 49 auf Konfigurieren…, erscheint eine Auswahl mit Nennung von Anwendungen. In der initialen Ansicht sind die gezeigten Anwendungen nicht sichtbar. Zu allen Diensten (hier Anwendungen genannt) fehlt die Angabe des Anbieters.
• Fragwürdige Angabe zu notwendigen Datenerhebungen: Im Einwilligungsfenster ist von Speicherung von Einstellungen dieser Anwendung die Rede. Eine Webseite als Anwendung zu bezeichnen ist wohl nicht falsch, aber für den Normalbürger wahrscheinlich nicht verständlich.
• Fehlende Nennung von Cookies: Weder im Einwilligungsfenster noch in der Datenschutzerklärung der Webseite Q existieren konkrete Angaben zu Cookies wie deren Name oder Funktionsdauer.
• Datenschutzerklärung nicht voll verfügbar: Beim Erstaufruf der Webseite Q verdeckt das Einwilligungsfenster auf gängigen Smartphones sämtliche Verlinkungen, auch die zur Datenschutzerklärung. Damit gilt diese womöglich als nicht verfügbar.
• Fehlende Angabe zur Datenübermittlung in Drittländer: Eine Angabe hierzu fehlt in der Einwilligungsabfrage, obwohl Dienste eingesetzt werden, die Daten an Drittländer übermitteln. Die Angabe ist vorgeschrieben.

OneTrust / Optanon / Cookie Law

Optanon wurde von OneTrust übernommen, weshalb beide Tools zusammen betrachtet werden. Das Produkt wird anscheinend auch unter dem Namen Cookie Law geführt, weshalb auch diese Ausprägung zusammen betrachtet wird.

Gefundene Webseiten, die OneTrust einsetzen:

• euronics.de
• springer.com/de
• kia.com/de
• sowie eine weitere (die möglicherweise im Folgenden genannt wird)

Von diesen Webseiten wurde ein Teil getestet und nachfolgend bewertet.

Allgemeiner Befund

Onetrust ist ein Consent Tool, welches Ressourcen aus einem unsicherem Drittland verwendet.

OneTrust lädt Ressourcen von der Domäne onetrust.com. Diese Domäne scheint von einem amerikanischen Unternehmen betrieben zu werden bzw. Inhalte von einem Server in den USA zu liefern. Laut Privacy Statement der Domäne onetrust.com befindet sich der Anbieter sowohl in den USA als auch im Vereinigten Königreich (UK). Sofern der Standort USA zutrifft, ist OneTrust als DSGVO-konforme Consent Lösung an sich schon gänzlich ungeeignet. Denn vor Einsatz von OneTrust müsste eine Einwilligung für das Consent Tool selbst eingeholt werden, was widersinnig erscheint. Laut Datenschutzerklärung der Webseite W befindet sich der Anbieter von OneTrust in UK und somit seit 01.01.2021 nicht mehr innerhalb des Geltungsbereichs der DSGVO. Zum 21.12.2020 lag noch kein Angemessenheitsbeschluss für UK vor, womit UK als unsicheres Drittland gilt (zum 28.12.2020 scheint eine Übergangsfrist von vier oder sechs Monaten ab dem Jahr 2021 zu gelten, nach der UK ohne Angemessenheitsbeschluss o. ä. als unsicheres Drittland gilt).

Da die Webseite onetrust.com kein ordentliches Impressum und keine ordentliche Angabe des Verantwortlichen für die Datenverarbeitung enthält, disqualifiziert sich der Anbieter damit selbst.

Laut WHOIS-Information ist die Domäne onetrust.com bei Namecheap Inc. (mit Angabe der Webseite namecheap.com) registriert. Laut Webseite namecheap.com handelt es sich bei Namecheap Inc. um ein US-amerikanisches Unternehmen. In den WHOIS Informationen findet sich zudem als Registrant ein Unternehmen in Panama, um die Identität des eigentlichen Registranten zu verschleiern:

---

Noch ein Grund mehr, OneTrust nicht einzusetzen.

Webseite U

Das Einwilligungsfenster der Webseite sieht so aus:

Befunde

• Laden von Tools ohne Einwilligung: Bereits beim Laden der Webseite U und ohne etwas angeklickt zu haben, wird das Einwilligungs-Tool OneTrust geladen (vgl. oben). Dabei findet ein Aufruf zur Adresse geolocation.onetrust.com statt, die eine Geolokation des aktuellen Nutzers vornimmt und als Ergebnis Standortdaten zurückliefert. Eine Geolokation im Kontext einer Einwilligungsabfrage könnte höchstens dadurch gerechtfertigt werden, dass die Einwilligung nur von Personen erfragt wird, die laut deren IP-Adresse im Rechtsraum der DSGVO sitzen. Dies ist allerdings falsch, weil das Marktortprinzip gilt, wonach eine Webseite die Richtlinien der DSGVO einzuhalten hat, sobald sie sich an einen Markt richtet, der der DSGVO unterworfen ist. Abgesehen davon ist eine Geolokation anhand der IP-Adresse o.ä. nie zuverlässig möglich. Weiterhin könnte ein Nutzer eine Proxy einsetzen, um seinen Standort (erlaubterweise) zu verschleiern. Nach erfolgter Geolokation wird ein Cookie 30 Tage lang gespeichert, in dem die Ergebnisse der Geolokation festgehalten werden. Diese Information eignet sich um Identifizieren und Nachverfolgen von Nutzern (in Verbindung mit der IP-Adresse und/oder des Device Fingerprints sehr zuverlässig).
• Keine freiwillige Entscheidung möglich: Wie in der Abbildung zu sehen, ist keine direkte Ablehnung möglich. Die erscheint rechtswidrig.
• Mangelhafte Beschreibung von Tools: Im Einwilligungsabfrage der Webseite U sind zahlreiche Angaben unklar, unvollständig oder in englischer Sprache. Folgende Begrifflichkeiten sind unklar, suboptimal oder unverständlich: „Host“: Was bedeutet dieser Begriff?; „Dauer: 4 years“: Was ist damit gemeint?;Art: 3rd Party“: Was ist damit gemeint?; Beschreibung in Englisch: Nicht verständlich für einen deutschen Leser ohne Englischkenntnisse.
• Falsche Klassifikation von Cookies: Cookies sind nicht nach technischen Kriterien, sondern nach fachlichen, für den Nutzer entscheidenden Kriterien zu unterscheiden. Hier versagt OneTrust: Das Cookie mit dem Namen OptanonConsent, welches von OneTrust gesetzt wird, ist rein technisch ein First-Party Cookie. Fachlich handelt es sich offensichtlich um ein Drittpartei-Cookie. Begründung: Das Cookie wird vom OneTrust-Script, welches von einem Dritt-Server geladen wird, gesetzt und ausgelesen.
• Fragliche Beschreibung von Cookie-Kategorien: Eine von OneTrust anscheinend vergebene Kategorie für Cookies ist Leistungs-Cookie. Dieser Begriff ist allgemein nach Kenntnis des Autors nicht weit verbreitet, jedenfalls nicht in den Sprachgebrauch eingegangen. Als Beschreibung hierzu liefert die Einwilligungsabfrage der Webseite U einen langen, recht unverständlichen Text.
• Fehlende Anbieterangabe: Es fehlt jegliche Anbieterangabe zu den eingesetzten Diensten. Ein Dienstanbieter wird mit Awin benannt. Die Angabe, welcher Anbieter und welche Firma sich wohl hinter diesem Kürzel verbirgt, sucht man im Consent Popup vergeblich. Auch die Datenschutzerklärung der Webseite U verrät nichts hierzu. Soweit dem Autor bekannt ist, ist Awin eine Werbeplattform. Diese hat rein gar nichts mit der zugeordneten Kategorie Leistungs-Cookies zu tun.
• Fehlende Nennung von Cookie-Informationen: Für zahlreiche Cookies ist in der Einwilligungsabfrage der Webseite U keine Beschreibung angegeben.
• Fehlende Nennung von Cookies: Mindestens ein Cookie (Facebook-Pixel, Name: _fbp) wird gesetzt, im Cookie Consent der Webseite U aber nicht erwähnt.
• Fehlende Datenschutzhinweise: In der Datenschutzerklärung von Webseite U fehlen zahlreiche Datenschutztexte zu eingesetzten Diensten. Anscheinend wurden die Beschreibungen sämtlicher Dienste „vergessen“ oder vermeintlich in das Cookie Consent Popup ausgelagert, welches über einen Link von der Datenschutzerklärung aus erreichbar ist. Leider fehlen zahlreiche Angaben in diesem Cookie Consent Popup, sodass sie gänzlich fehlen, obwohl vorgeschrieben. Der Grund hierfür ist offenbar, dass ein Cookie-zentrierter Datenschutzansatz gewählt wurde, der offensichtlich Probleme mit sich bringt.
• Ungenügende Widerrufsmöglichkeit: Abgesehen davon, dass die Widerrufsmöglichkeit nur schwer auffindbar ist, enthält sie strukturelle Mängel, die dem Nutzer nicht zumutbar sind. Ein Widerruf aller erteilten Einwilligungen mit einem Klick ist nicht möglich. Stattdessen müssen alle „Cookie-Kategorien“ hintereinander angeklickt werden, sodass dann pro Kategorie eine manuelle Deaktivierung stattfinden kann. Hierfür sind 8 Klicks notwendig. Deaktiviert man eine Kategorie, erscheint allerdings direkt der Button „Alle Cookies zulassen“. Anscheinend wurde mehr Wert darauf gelegt, eine Einwilligung zu erhalten als einen Widerruf oder eine Ablehnung.
• Widerruf wird nicht sofort ausgeführt: Nach Widerruf aller Einwilligungen sind alle vor dem Widerruf gesetzte Cookies immer noch vorhanden. Die Webseite wird nicht neu geladen. Daher ist davon auszugehen, dass die bereits geladenen Dienste wie Google Analytics immer noch aktiv sind.
• Widerruf wird nicht vollständig ausgeführt: Lädt man die Webseite manuell neu, sind immer noch alle vor dem Widerruf gesetzten Cookies vorhanden. Dies ist offenbar rechtswidrig, weil der Widerruf teilweise ignoriert wurde. Lediglich die nun nicht mehr eingewilligten Dienste werden nicht mehr neu geladen. Ruft man die Webseite U neu auf und erteilt irgendwann wieder seine Einwilligung, etwa für Google Analytics, kann dieser Dienst auf vorhandene Cookies von einer früheren Sitzung zurückgreifen. Ein Nachverfolgen des Nutzers ist so noch besser möglich. Ansonsten würde derselbe Nutzer in diesen beiden Sitzungen nämlich offiziell (glaubt man Google) als zwei verschiedene Nutzer angesehen werden.
• Fehlende Angabe zur Datenübermittlung in Drittländer: Eine Angabe hierzu fehlt in der Einwilligungsabfrage, obwohl Dienste eingesetzt werden, die Daten an Drittländer übermitteln. Die Angabe ist vorgeschrieben.
• Datenschutzerklärung nicht direkt aufrufbar: Beim Aufruf der Datenschutzerklärung von Webseite U erscheint das Einwilligungs-Popup, sofern es zuvor nicht bestätigt wurde. Das direkte Lesen der Datenschutzerklärung auf größeren Bildschirmen ist nur eingeschränkt, auf kleineren gar nicht möglich.

Webseite V

Das Einwilligungsfenster der Webseite sieht so aus:

Befunde

• Englischsprachige Texte: Wie die Abbildung zeigt, werden die Hinweise in englischer Sprache gezeigt, obwohl die Webseite V sich ansonsten in deutscher Sprache präsentiert.
• Fehlende Information zur Widerrufsmöglichkeit: Wie die Abbildung zeigt, gibt es keine Hinweise zur Widerrufsmöglichkeit (die englische Ausführung "You can manage your preferences…" wird als für einen deutschen Leser nicht vorhanden betrachtet).
• Keine freiwillige Entscheidung möglich: Wie in der Abbildung zu sehen, ist keine direkte Ablehnung möglich. Die erscheint rechtswidrig.
• Laden von Tools ohne Einwilligung: Bereits beim Laden der Webseite V und ohne etwas angeklickt zu haben, wird das Einwilligungs-Tool OneTrust geladen. Ferner werden derart viele Tools ohne Einwilligung geladen, dass hier nur eine auszugsweise Nennung erfolgt: Google Tag Manager, Facebook Connect, Google Analytics, Hotjar, Twitter Analytics, DoubleClick, Outbrain, Adscale, ShareThrough. Weiterhin werden einige Cookies ohne Einwilligung geladen, darunter Cookies von Google Analytics, Facebook Connect und Hotjar.
• Fehlende Anbieterangabe: Für sämtliche eingesetzte Tools und Cookies fehlt auf der Einwilligungsabfrage von Webseite V eine Nennung der Anbieter. Stattdessen erfolgt die Nennung in Form einer Liste von Cookie-Namen.
• Fehlende Beschreibung von Cookies: Es fehlt jegliche Angabe zu den Cookies (bis auf den Namen).
• Unzulässige Vorbelegung: Obwohl Webseite V aufgerufen wurde, ohne etwas anzuklicken und obwohl die Einwilligungsabfrage noch auf dem Bildschirm zu sehen ist, sind im Einwilligungsfenster bereits Vorbelegungen für einzuwilligende Vorgänge vorgenommen.
• Fehlende Widerrufsmöglichkeit:
• Anstelle einer Widerrufsmöglichkeit, erklärt Webseite V in der Cookie Policy auf Englisch: „The Privacy Preference Centre can be accessed either via the banner displayed when you first visit the site or after clearing deleting cookies. It allows you to view the groups of cookies we store (as outlined above in How We Use Cookies), and manage whether the cookies for those groups are active.“
• Fehlende Datenschutzhinweise: Für einige Dienste, wie etwa für WebTrekk, fehlen jegliche Hinweise in der Datenschutzerklärung der Webseite V. Aufgrund der Vielzahl der auf der Webseite eingesetzten Tools, und der Tatsache, dass die Datenschutzerklärung nur in Englisch vorliegt, wurde auf eine tiefergehende Prüfung verzichtet.
• Fehlende Nennung von Cookies: Mindestens ein Cookie (Google Analytics, Name: _gcl_au) wird gesetzt, im Cookie Consent der Webseite V aber nicht erwähnt.
• Fehlende Angabe zur Datenübermittlung in Drittländer: Eine Angabe hierzu fehlt in der Einwilligungsabfrage, obwohl Dienste eingesetzt werden, die Daten an Drittländer übermitteln. Die Angabe ist vorgeschrieben.

Webseite W

Das Einwilligungsfenster der Webseite sieht so aus:

Befunde

• Keine freiwillige Entscheidung möglich: Wie in der Abbildung zu sehen, ist keine direkte Ablehnung möglich. Die Möglichkeit zur Ablehnung („Ändern“) ist zudem optisch zurückgesetzt. Die erscheint rechtswidrig.
• Fragwürdige Fokussierung auf Cookies: Wie in der Abbildung zu sehen, wird für zustimmungspflichtige Vorgänge auf die Cookie-Hinweise verwiesen. Dies ist an sich falsch, weil Datenverarbeitungen auch ohne Cookies einwilligungspflichtig sein können. Zumal in der Abbildung nicht ersichtlich ist, dass mit dem Text Mehr erfahren die Datenschutzerklärung verlinkt ist, die konsequenterweise wiederum falsch als Datenschutz- und Cookie-Richtlinie bezeichnet ist. In der Datenschutzerklärung wird dann immerhin auf „Cookies und ähnliche Technologien“ hingewiesen, woran erkennbar ist, dass eine Fokussierung auf Cookies sogar vom Webseitenbetreiber als unvollständig angesehen wird.
• Laden von Tools ohne Einwilligung: Bereits beim Laden der Webseite W und ohne etwas angeklickt zu haben, wird das Einwilligungs-Tool OneTrust geladen. Ferner werden mindestens folgende Tools ohne Einwilligung geladen: Google Maps, Facebook Connect, Google AdWords Conversion Tracking, YouTube Video. Weiterhin werden einige Cookies ohne Einwilligung geladen, darunter Cookies von Google AdWords Conversion Tracking und YouTube Video. Zu YouTube Video beispielsweise gibt die Datenschutzerklärung von Webseite W einen amerikanischen Anbieter an.
• Datenschutzerklärung nicht direkt aufrufbar: Beim Aufruf der Datenschutzerklärung von Webseite W erscheint das Einwilligungsfenster, sofern es zuvor nicht bestätigt wurde. Das direkte Lesen der Datenschutzerklärung ist somit nicht möglich.
• Ungenügende Anbieterangabe: Zu zahlreichen Cookies – möglicherweise zu allen, dies konnte wegen der großen Anzahl der Cookies aus Zeitgründen nicht festgestellt werden – ist der Anbieter nicht ausreichend benannt. Eine Anbieternennung ist nicht gegeben. Wohlwollend könnte man die Host-Angabe als unvollständige Anbieternennung ansehen.
• Fragliche Cookie-Angaben: Das Cookie VISTOR_INFO1_LIVE ist mit einem englischen Text beschrieben. Dies ist für den deutschen Markt inakzeptabel. Als Art ist 3rd Party angegeben, ebenso wenig verständlich. Als Dauer sind 7985.5 years angegeben. Neben der hier unzulässigen englische Sprache ist zudem der Dezimalpunkt nicht gemäß deutscher Norm.
• Fragliche Beschreibung von Cookies: Für das NID Cookie wird als Beschreibung folgender Hinweis ohne Aussagekraft gegeben (Auszug): „This domain is owned by Google Inc. Although Google is primarily known as a search engine, the company provides a diverse range of products and services.”. Für das Cookie _ga wird als Zweck angegeben: „Dieses Cookie dient der Besucherunterscheidung.“. Für das Cookie _utma wird als Zweck angegeben: „Mithilfe dieses Cookies können wir feststellen, ob jemand schon einmal auf unserer Webseite war oder nicht.“ Beide Cookies sind in der Datenschutzerklärung Google Analytics zugeordnet. Wieso zwei Cookies für die Erkennung eines Besuchers notwendig sein sollen, bleibt unklar.
• Fehlende Datenschutzhinweise: Mindestens für den Dienst DoubleClick fehlen jegliche Hinweise in der Datenschutzerklärung der Webseite W und im Einwilligungsfenster.
• Fehlende Widerrufsmöglichkeit: Auch nach längerem Suchen konnte auf Webseite W keine Widerrufsmöglichkeit gefunden werden. Stattdessen werden in der Datenschutzerklärungen zu manchen Diensten Links auf die Anbieterseiten gegeben, mit denen angeblich einer Datenerfassung (pro Dienst und Anbieter) widersprochen werden kann.
• Fehlende Angabe zur Datenübermittlung in Drittländer: Eine Angabe hierzu fehlt in der Einwilligungsabfrage, obwohl Dienste eingesetzt werden, die Daten an Drittländer übermitteln. Die Angabe ist vorgeschrieben.

Fazit

Die wirklich zahlreichen genannten Mängel sollten für sich sprechen. Meine Prüfung war nur halbwegs intensiv. Eine genauere Prüfung würde sicher noch mehr Probleme zutage fördern, etwa, wenn man die Datenschutzerklärungen zu den einzelnen Tools, die auf den getesteten Webseiten gegeben sind, mal genauer analysiert.

Sämtliche Consent Tools zeigen beim Praxiseinsatz ganz erhebliche, aus meiner Sicht beschämende Schwächen. Selbst die meisten Anbieter von Consent Tools bekommen es mit ihrem eigenen Tool nicht hin, eine halbwegs ordentlich eine DSGVO-konforme Webseite vorzuweisen.

Am besten kein gängiges Consent Tool verwenden, sondern lieber nur die Tools einsetzen, die keiner Einwilligung bedürfen oder von denen klar ist, welche Daten wie erhoben werden.

Größere Firmen sollten ihre eigene Einwilligungslösung erstellen. Diese kann dann rechtssicher sein, im Gegensatz zu dem meiner Meinung nach ungeeigneten Material, welches tausendfach verkauft wird.

Die 100 Euro Wette

Ich bin mal so mutig und biete dem ersten sich bei mir meldenden Webseitenbetreiber 100 Euro aus meinem Privatvermögen an, der auf seiner Webseite eines der getesteten Consent Tools einsetzt und alle Vorschriften wesentlich einhält (also nicht absolut exakt, sondern nur wesentlich!). Als Bedingung gilt allerdings, dass eine hinreichende Anzahl (mehr als drei) an einwilligungspflichtigen populären Tools auf der Webseite eingesetzt werden muss. Falls es genau drei sind, schaue ich mir diese an und nehme die Wette ggf. doch an. Die Webseite muss seit einigen Monaten in ihrer grundsätzlichen Form bestehen. Schnell eine Webseite für die Wette zu basteln, ist nicht erlaubt.

Ich wette, es gibt niemanden, der eine rechtskonforme Einwilligungslösung für die Art von eben genannter Webseiten vorweisen kann. Um ein fehlendes Komma soll es hier nicht gehen, sondern um größere Mängel. Auch in sozialen Medien habe ich meine Wette verkündet und warte auf Mutige, die irgendeine Webseite, die nicht einmal die eigene sein muss, ins Spiel bringen. Kontakt bitte gerne per Email.

Diese Wette läuft bis zum 30.06.2021

Lösungsvorschläge

Durch die kostenfreien Tools vo Google und anderen wurden wir alle auf die schiefe Bahn gebracht. Funktion super, Datenschutz schlecht, würde ich es nennen.

Mein Vorschlag für DSGVO-konforme Webseiten mit weniger Aufwand, als zu versuchen, das Unmögliche möglich zu machen (siehe Praxistest Consent Tools):

• Bestandsaufnahme aller eingesetzten Tools
• Entfernen aller nicht mehr benötigten Tools
• Schriftarten und JavaScript-Bibliotheken sowie externe Bilder lokal einbinden
• Alternativen für kritische Tools verwenden
• Wer über eine Einwilligungsabfrage nachdenkt, sollte besser nochmal darüber schlafen (siehe meine Checkliste)