Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Datenschutz: Es geht um Liebe und um das Wort, nicht um Cookies

Veröffentlicht am 29. März 2022 von Dr. DSGVO · Zuletzt aktualisiert am 31. März 2022
8

Kategorien: Datenschutz, Cookies und Übersicht

In einem sozialen Netzwerk wurde euphorisch über ein stattgefundenes Webinar zum Thema DSGVO und Cookies berichtet. Der Veranstalter kennt allerdings die Cookie-Regeln und die der DSGVO selber nicht. Was ist das Problem mit der DSGVO und mit Cookies? Welche Lösung gibt es?

Jemand berichtete über das Webinar mit dem Titel "GDPR is a safety belt and much more than Cookies" der Firma XYZ123 (echter Name ist anders). Auf der Webseite von XYZ123 werden

ohne Einwilligung genutzt. Das ist der Stand vom 25.03.2022.

Diese Datenschutzprobleme sind zu finden auf der Webseite, und auch auf der Landing Page, auf der das Webinar mit folgenden Speakern angepriesen wird.

Ankündigung zum Webinar "GDPR is a safety belt and much more than Cookies".

In Wahrheit geht es bei der DSGVO nicht um Cookies, sondern um Liebe und um das Wort. Deswegen müssen Datenschutzgesetze anscheinend auch nicht von jedem befolgt werden. Die Liebe zum Nutzer ist wichtiger als seine Privatsphäre.

Cookies und ePrivacy

Die DSGVO handelt nur indirekt von Cookies, nämlich über das Sondergesetz TTDSG, das die ePrivacy-Richtlinie in nationales Gesetz gießt. Im § 25 TTDSG sind Zugriffe auf Endgeräte bzw. Endeinrichtungen geregelt. Diese Zugriffe sind üblicherweise mit Cookies assoziiert. Es kann sich aber auch um Updates handeln, die Smart Home Geräte ausführen.

Dass Smart Home Geräte tangiert sind, liegt am deutschen Gesetzgeber. Er hat nämlich die ePrivacy Richtlinie in diesem Punkt strenger ausgestaltet, als es die Europäische Kommission wollte. Nur anders herum wäre es nicht möglich gewesen. Regeln zu lockern, ist nicht Aufgabe der Mitgliedsstaaten (so habe ich es jedenfalls als Juristendummie verstanden).

Die DSGVO kümmert sich ansonsten um Datenverarbeitungen, die insbesondere dann verboten sind, wenn sie nicht notwendig sind bzw. es mildere Mittel gibt. Als Beispiele seien Google Fonts (vgl. Urteil des LG München vom 20.01.2022) sowie die anlasslose Protokollierung von Netzwerkadressen in Server Logs genannt. Auch der Datentransfer in die USA ist seit dem Schrems II Urteil hochkritisch und für gewöhnlich nur nach Einwilligung erlaubt, wenn überhaupt. Leider ist diese Erkenntnis anscheinend selbst beim BfDI und bei der DSK noch nicht angekommen, obwohl sie Max Schrems persönlich in Bonn zu Gast hatten. Zu Google Analytics stellte die CNIL aus Frankreich fest, dass ein rechtskonformer Einsatz gar nicht möglich ist, auch nicht mit Einwilligung.

Smart Home Geräte

Deutschland hat statt Endgeräte nun die weiter gefasste Definition der Endeinrichtungen aufgenommen. Und damit sind eben auch Multi-Room Lautsprecher gemeint, oder vernetzte Toaster. Das Toaster-Beispiel halte ich für Unsinn und habe es nur diskutiert, weil es manchen als Argumentation für den § 26 TTDSG dient. Dieser Paragraph handelt von der zentralen Einwilligungsverwaltung (auch PIMS genannt). PIMS ist aber Bullshit und eine Ausgeburt von Lobbyisten. Wer an PIMS glaubt, glaubt an die Verunstaltung der DSGVO und möchte zudem Google und andere durch gewollte Intransparenz unterstützen. Meine explizite Aufforderung etwa an die Stiftung Datenschutz, die diesen Ansatz unterstützt, mir doch ein Beispiel für eine rechtskonforme zentrale Einwilligungsabfrage für das Google Maps Plugin zu liefern, blieb unbeantwortet. Auch mein mehrfach ausgelobtes „Preisgeld“ von 1000 Euro aus meinem Privatvermögen für den ersten, der mir eine rechtskonforme zentrale Einwilligungsabfrage für Google Maps und Google Analytics liefert, musste nicht ausgezahlt werden.

VG Wort Cookie

Weil sich in der Vergangenheit die Stimmen zum VG Wort Zählpixel gehäuft hatten, möchte ich hier etwas klarstellen. Jeder Autor hat einen gesetzlichen Anspruch auf eine Autorenvergütung. Um diesen geltend zu machen, muss für online Texte (üblicherweise) ein sogenannter Zählpixel der VG Wort auf der eigenen Webseite eingebunden werden. Die VG Wort ist die Verwertungsgesellschaft Wort. Sie ist vom Staat instantiiert worden und steht laut Wikipedia unter der Aufsicht des Deutschen Patent- und Markenamtes (DPMA).

Dummerweise nutzt der VG Wort Zählpixel ein Sitzungs-Cookie. Die VG Wort bietet keine andere Möglichkeit an, als diesen Pixel mit Cookie zu nutzen. Die VG Wort hält dies für rechtskonform und mit dem Ausnahmetatbestand des § 25 TTDSG vereinbar. Dies hatte mir die VG Wort auf Rückfrage selbst bestätigt. Für alle, die sich direkt an die VG Wort wegen der Online Zählpixel mit Cookie wenden möchten, hier ist die Mailadresse: metis.support@vgwort.de (Metis steht für „Texte im Internet“).

Nun haben Autoren zwei Möglichkeiten:

  1. Auf sämtliche gesetzlich verankerte Einnahmen aus online Texten zu verzichten.
  2. Die Einnahmen wie bisher erhalten und zu riskieren, gegen den § 25 TTDSG zu verstoßen, weil sich die VG Wort möglicherweise irrt.

Die Option „Pay wall“ halte ich für keine Option. Wer kümmert sich um die rechtskonforme Umsetzung eines Bezahlprozesses? Wie sieht es mit der gesetzlich garantierten Ausschüttung aus? Was ist mit den Lesern, die komplett abspringen? Was ist mit der verfälschten Messung der Zugriffszahlen durch die VG Wort, die Basis für den genannten gesetzlichen Anspruch des Autors sind?

Ich würde mich für Möglichkeit zwei entscheiden und im schlechtesten Fall sehen, wie sich die VG Wort im Gerichtsprozess als Streitverkündete schlägt. Gegebenenfalls könnte man sie stattdessen als Streithelfer hinzuziehen.

Auf dieses Dilemma hatte ich die VG Wort bereits explizit schriftlich hingewiesen. Mein Schreiben kam dort an und wurde schnell beantwortet. Die Kommunikation war zügig und mehrfach. Das Ergebnis jedoch blieb ernüchternd. Ich stehe in Kontakt mit jemandem, der meint, die VG Wort Zählung ohne Cookie hinzubekommen. Bin gespannt, was dabei herauskommt. Immerhin muss auch die Betrugsprävention berücksichtigt werden.

Vielen Dank an Markus Baersch für den Hinweis, dass das VG Wort Sitzungs-Cookie in seinem Browser (und somit in vielen anderen auch) gar nicht erst gesetzt wird. Grund ist, dass die VG Wort dummerweise das Cookie ohne SameSite-Attribut ausspielt, womit einige Browser ein Problem haben.

Hier mein eigener Nachweis für das, was Markus mitteilte:

VGWort Cookie wurde im Chrome blockiert.

Im Chrome (nur zu Testzwecken genutzt, nicht für normale Seitenaufrufe) wurde das VGWort-Cookie also blockiert. Im Firefox (aktuelle Version) wurde das Cookie hingegen gesetzt. Ich hatte hierfür einige Datenschutzeinstellungen ausprobiert.

Cookies und Datenschutzverstöße vermeiden

Für fast alle Plugins, außer solche wie das der VG Wort, gibt es datenschutzfreundliche Alternativen ohne Cookies. Hier ein paar Beispiele:

  • Google Maps: Keine Karte (ja, keine Karte. Wer braucht eine interaktive Karte auf seiner Webseite wirklich?), schönes Vorschaubild ohne Konkurrenten, Button „Anfahrt planen“ mit Absprung auf Routenplaner, interaktive Karte von Dr. DSGVO.
  • Google Fonts, Adobe Type Fonts, Fast Fonts/Monotype: lokal einbinden (ggf. vorher konvertieren, wie bei Fast Fonts). Sicher hilft ein kompetenter Entwickler gegen Entgelt.
  • Google Tag Manager: Weglassen oder Untagmanager verwenden. Sicher hilft ein kompetenter Entwickler gegen Entgelt. Wer keinen Entwickler bezahlen will, sollte dann lieber einen Anwalt bezahlen, der die rechtlichen Rahmenbedingungen zum Tag Manager durchliest.
  • YouTube Videos: Weglassen (ja, weglassen. Oft sind in einem klitzekleinen Fenster eingebettete Videos ohne echten Nutzen, vor allem, wenn sie von Dritten stammen), Vorschaubild mit Absprung auf Videoplattform, Video lokal hosten (wenn klein genug), Video-Proxy nutzen (Entwickler beauftragen). Das YouTube Video Plugin verwendet nach aktuellem Stand übrigens immer Cookies.
  • Google reCAPTCHA (gegen Formularspam): Einfache Rechenaufgabe als Formularfeld, Contact Form 7 Image Captcha für WordPress, PHP Lösung, Honeypot.
  • Google Analytics: Ersatzlos streichen (viele schauen nicht mal auf einfachste Besucherstatistiken), Matomo (lokal), WP Statistics, sonstige Anbieter
  • Facebook Pixel: Über den Sinn und Unsinn von Retargeting nachdenken. Am besten von Facebook abmelden.
  • Google Ads: Hieraus entsteht kein Datenschutzproblem, solange die Aktivitäten außerhalb der eigenen Zuständigkeit stattfinden. Conversion Tracking geht auch datenschutzkonform.

Ich vermute, dass nach diesen Maßnahmen über 95% aller deutschen Webseiten keine (vermeidbaren) Cookies bzw. unnötige oder risikobehaftete Datentransfers mehr nutzen müssten.

Cookie Banner vermeiden

Cookie Banner sind keine Cookie Banner, sondern Einwilligungsabfragen. Es geht nicht um Cookies, sondern um Liebe. Cookie Banner verströmen keine Liebe, sie werfen mit Bullshit um sich. Hier einige Belege:

Wer unbedingt eine Consent Verwaltung braucht, kann eine kostenfreie Lösung verwenden. Aber Achtung: Wie bei der Steuererklärung sollte man wissen, was man tut. Wer es nicht weiß und kein Geld ausgeben will, sollte keine Webseite betreiben. Bei der Steuer funktioniert dieser Ansatz allerdings nicht. Die Steuererklärung nicht abzugeben, ist zwar ein Ansatz, aber kein guter.

Wer jetzt "Lost" ist, sollte sich fragen, warum auf der eigenen Webseite möglicherweise so viel Murks existiert, den niemand braucht. Daran ist weder Europa noch der deutsche Gesetzgeber schuld, sondern… Wer findet die Antwort?

Machen Sie einen Webseiten-Check.

Webseiten prüfen

Webseite eingeben, Start drücken, Ergebnis nach wenigen Sekunden sehen. Für einige Befunde werden sogar Lösungen skizziert. Wer noch etwas weitergehen und dabei auch noch die Ukraine unterstützen will, kann das hier tun:

Voller Website-Check gegen Ukraine-Spende

Weil es um Liebe geht und nicht um Cookies. Wie wäre es, wenn auch Sie Ihre Webseite in den Farben der Ukraine beflaggen würden? Wer das nicht hinbekommt, könnte immerhin ein Bild oder die Ukraine-Flagge einbinden. In dem eben verlinkten Beitrag ist eine frei verwendbare zu finden.

Schlagworte zu diesem Artikel:

Kommentare von Lesern

Die Kommentare drücken die Meinungen der jeweiligen Kommentargeber aus
  1. Jens-Uwe Viehrig

    Hallo Herr Dr. Meffert,
    wie immer wurde mir mal wieder aus der Seele gesprochen.
    Lediglich bei dem Thema "Adobe Typefont" oder "Monotype" ist das Thema m.E. etwas komplexer.
    Die Schriftart an sich ist ggf. überhaupt nicht lizenzrechtlich schützenswert, da die Schöpfungstiefe nicht groß genug ist. Aber als FONT wird auch in Deutschland das Computerprogramm dahinter gesehen. Daher ist ein Lizenzverwertungsmodell prinzipiell auch gerechtfertigt. Aber natürlich nicht anhand einer Third-Party-Request auf den Servern in den USA. Daher habe ich mit MONOTYPE mehrfach in Korrespondenz gestanden und diese haben mir nun tatsächlich auch zugestanden, dass ein händischer Prozess (vierteljährliche Meldung der Nutzungszahlen per E-Mail) möglich ist. Dass ist zwar nervig, aber besser als die ewige Kollission zwischen Datenschutz und Lizenzrecht.
    Eine Proxylösung oder ein "milderes Mittel" im Sinne eines in Europa befindlichen Servers ist dem Lizenzgeber offensichtlich zu aufwändig. (Jaja, CLOUD-Act und FISA sprechen ja auch gegen einen EU-Server.)

    Antworten
    • Dr. DSGVO

      Vielen Dank für Ihre lösungsorientierte Rückmeldung, Herr Viehrig.
      Sehr interessanter Ansatz, den Sie mit dem händischen Prozess erwähnen. Würde ich als "Notnagel" gut finden. Besser finde ich aber das Nichtverwenden von Monotype Schriften, weil dann einfacher (ohne manuelles reporting) und kostenfrei:

      Meiner Kenntnis nach sind einige Fonts von Monotype auch anderswo erhältlich, dann aber lizenzfrei. In diesem Fall kann die Schriftart heruntergeladen und lokal genutzt werden.

      Oft ist vielleicht auch das Verwenden einer anderen, ähnlichen Schrift ein gangbarer Weg. Ich jedenfalls wüsste nicht, warum man für eine Schriftart bezahlen muss, wenn es tatsächlich tausende kostenfreie Schriften gibt, unter denen "sicher" eine ist, die einem selbst zusagt.

      Wie Sie schreiben, wäre eine Proxy wohl zu aufwändig. Die eben genannten Möglichkeiten halte ich für besser und zudem kostenfrei (eine zuverlässige Proxy kostet meist (imemr?) Geld).

      Antworten
  2. Anonymous

    Hallo, ich kenne mich mit der Materie von Schriften garnicht aus, habe deshalb eine Frage zu Adobe TypeKit. eine Firma nutzt von dort eine Schrift und kann sie wegen des Corporate Designs nicht aufgeben. Aber lokal einbinden geht auch nicht wegen der Lizenzen, sagt der Webdesigner. Was kann man da denn tun?

    Antworten
    • Dr. DSGVO

      Man müsste prüfen, ob die gleiche Schriftart auch anderswo erhältlich ist, entweder frei oder gegen Kauf. Eine nicht direkt auf Webseiten einsetzbares Schriftformat würde ausreichen, da man dieses mit einem Hilfsprogramm in ein Web-Format konvertieren kann.
      Wenn es die Schriftart in dieser Form nicht anderswo gibt, sieht es schlecht aus. Über Lizenzbedingungen kann man sich nur schwer hinwegsetzen. Man hatte sie ja anfangs akzeptiert. Man könnte den Anbieter der Schrift fragen, ob man die Zugriffszahlen nicht stattdessen manuell melden darf und die Schrift dann lokal enbindet.

      Antworten
      • Jens-Uwe Viehrig

        Bei Monotype habe ich exakt das (nach mehrfachem Nachfragen) erreicht. Monotype (Myfonts, …) hat mir zugestanden, quartalsweise die Zahlen händisch (also per E-Mail) zu berichten.
        Bei Typekit treffen (wie bei Monotype mit Zählpixel) Datenschutzrecht auf Lizenzrecht. Inwieweit man den Einsatz des Zählpixels (inklusive Abruf von einem US-Server) dann unter "praktischer Konkordanz" verargumentieren kann, ist dennoch zweifelhaft.
        Auch scheint beim Einsatz der Schriftart für die Website nicht die Schriftart als solche lizenzrechtlich verwertbar zu sein (hierfür ist die Schöpfungstiefe zu gering), die Nutzungslizenzen scheinen sich stets nur auf den Font, also das Computerprogramm dahinter zu beziehen. Wer also eine Schriftart in ein eigenes Font "pressen" könnte, würde hier keinen lizenzrechtlichen Bedingungen mehr unterliegen.

        Antworten
  3. Alois Igelspacher

    Übrigens setzen Edge und Brave das VG Wort-Cookie ebenfalls nicht.

    Antworten
  4. René

    Hallo. Habe heute getestet. Chrome setzt das Cookie auch nicht. Es gibt nicht mal nen Hinweis, das ein Cookie blockiert wurde – oder ich sehe ihn nicht.

    Dazu drei Fragen, über deren Beantwortung ich mich freuen würde 🙂

    Frage 1: Muss dennoch ein entsprechender Hinweis in die Datenschutzerklärung?
    Frage 2: Muss mein Consent-Tool dennoch die Möglichkeit bieten, das Zählpixel zu deaktivieren?
    Frage 3: Funktioniert die Besucherzählung trotzdem?

    Antworten
    • Dr. DSGVO

      Es geht nicht nur um Cookies, sondern mindestens auch um
      1) Datentransfers in unsichere Drittländer wie die USA (siehe Art. 49 DSGVO und "Schrems II" Urteil)
      2) Unnötige Datenverarbeitungen (also Erfassen/Verarbeiten von mehr personenbezogenen Daten als nötig oder nicht ausschöpfen von milderen Mitteln)

      Beispiel: Google Fonts, passt in beide Kategorien. Ist m.E. und aus Sicht anderer einwilligungspflichtig.

      3) Explizites Auslesen von Geräteeigenschaften, wie des Viewports (Größe des Browserfensters). Siehe § 25 TTDSG

      Ein Besucherzähler funktioniert auch ohne Cookies und ohne einwilligungspflichtige Endgerätzugriffe

      Antworten

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Google Topics, Google Floc und Cookies sowie Star Trek Computer