Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
Ausprobieren Online Webseiten-Check sofort das Ergebnis sehen
Externe Links sind mit dem Symbol Externer Link Symbol gekennzeichnet. Datenschutzinfo

UserCentrics: Praxistest des Consent Tools für Webseiten

Veröffentlicht von Dr. DSGVO · Zuletzt aktualisiert am 5. Dezember 2024 · Lesezeit: 11 Minuten
6
Dr. DSGVO Newsletter erkannt: Erweiterte Funktionen verfügbar
Artikel als PDF · Mehr Inhalte & kompakte Kernaussagen · Webseiten-Checks · Offline-KI Live
Standardansicht: Dr. DSGVO Newsletter nicht erkannt. Erweiterte Funktionen nur für Abonnenten:
Artikel als PDF · Mehr Inhalte & kompakte Kernaussagen · Webseiten-Checks · Offline-KI Live

Kategorien: Consent Tools, Datenschutz und Empfehlungen

Eines der bekannteren Consent Tools für Webseiten ist UserCentrics. In meinem Praxistest untersuche ich, wie gut es mit diesem sogenannten Cookie Tool gelingt, Webseiten datenschutzkonform zu gestalten.

Einleitung

Ein Beschluss des Verwaltungsgerichts Wiesbaden erklärt Cookiebot für rechtswidrig. UserCentrics und Cookiebot haben sich nach eigenen Angaben am 01.09.2021 zusammengeschlossen. Der Fall läuft immer noch. Wer sich im Rechtssystem unseres Landes nicht auskennt, dem sei gesagt, dass viele Verfahren absichtlich in die Länge gezogen werden, damit die Beklagte (oder Antragsgegnerin) lange Zeit hat, bis möglicherweise ein negatives Urteil (oder Beschluss) zu befürchten ist.

Meiner Wahrnehmung nach ist UserCentrics eines des bekannteren Consent Tools. Andere Tools dieser Art, die ich ebenfalls bereits untersucht habe, sind Cookiebot, Borlabs Cookie, Consent Manager, CCM19, OneTrust (mit den Ablegern CookieLaw und Optanon) und Klaro! (wenngleich nicht so bekannt). Die Ergebnisse zeigt mein Praxistest von Consent Tools.

An dieser Stelle gehe ich näher auf UserCentrics ein und untersuche insbesondere die Schwächen. Die angeblichen Stärken beschreibt der Anbieter auf seiner eigenen Webseite, so wie es jeder andere Anbieter auch tut.

Vorab möchte ich noch erwähnen, was die meisten Anbieter von sogenannten Consent Lösungen verschweigen: Kein Consent Tool dieser Welt ist aktuell und bis auf Weiteres in der Lage, Webseiten zuverlässig datenschutzkonform zu gestalten. Dies gilt bis zu einer grundlegenden Reform des Internet, die wahrscheinlich nie kommen wird. Die Gründe beschreibe ich in einem eigenen Beitrag, der sogar objektive, unwiderlegbare Gründe nennt.

Praxistest

Eigentlich wollte ich zu UserCentrics ein paar beliebige Webseiten raussuchen, die das Tool von UserCentrics verwenden und für diese einen Praxistest machen. Zeitlich davor habe ich den folgenden Abschnitt angefangen zu schreiben, in dem die Webseite von UserCentrics selbst aufgegriffen wird. Dabei habe ich festgestellt, dass UserCentrics es auf seiner eigenen Webseite mit seinem eigenen Consent Tool beschämenderweise selbst nicht hinbekommt, datenschutzkonform zu sein.

Daher habe ich es mir gespart, weitere Webseiten zu untersuchen und nur die von UserCentrics selbst herangezogen. Ich hoffe, es wird besonders deutlich, dass das Consent Tool von UserCentrics nicht besonders wertvoll zu sein scheint, wenn der Anbieter des Tools es nicht einmal mit seinem eigenen Tool hinbekommt, Datenschutzgesetze einzuhalten.

Datenabruf aus den USA

Update: Mittlerweile wurde das Data Privacy Framework (DPA) zwischen der EU und den USA ins Leben gerufen. Dieses Framework erscheint mehr als fragwürdig, wie beispielsweise der Präsidialerlass von Biden zeigt, der diesem Framework zugrunde liegt. Dieser Präsidialerlass enthält zahlreiche fragwürdige Regelungen. Jedenfalls ist bis auf Weiteres der Datentransfer zwischen der EU und den USA nicht generell verboten. Voraussetzung dafür, dass die Datenübermittlung rechtmäßig sein kann, ist die Selbstregistrierung des Anbieters (hier UserCentrics) beim DPA. Danach muss aber immer noch sichergestellt sein, dass die erhobenen Daten auf einer Rechtsgrundlage basieren.

Beim Abruf eines CMP Scripts von UserCentrics kann ein Datenabruf aus den USA nicht ausgeschlossen werden. Jedenfalls deutet das Zertifikat zur genutzten Adresse app.usercentrics.eu auf Google Trust Services LLC in den USA:

Amerikanisches Zertifikat einer UserCentrics Web-Adresse

Ferner kann aufgrund der von UserCentrics genutzten Google Cloud nicht ausgeschlossen werden, dass aufgrund einer Lastverteilung ein Datentransfer in die USA stattfindet. Übrigens schließt UserCentrics das explizit selbst nicht aus, wie mir vorliegende Schriftsätze von UserCentrics zeigen.

Bekanntlich ist dies hochproblematisch, siehe Art. 44 ff DSGVO. Mir scheint es so, dass für die Nutzung von UserCentrics auf einer Webseite selbst eine Einwilligung notwendig ist. Als weitere Stichworte für eine Einwilligungspflicht bei Datentransfer in die USA seien FISA 702, EO 12333 und Cloud Act genannt (mehr Infos dazu). Bekanntermaßen sind IP-Adressen personenbezogene Daten, die beim Abruf von UserCentrics immer übertragen werden.

Was ist mit der Webseite von UserCentrics?

Update: Zum Anfang des Jahres 2024 ist festzuhalten, dass auf usercentrics.com/de/ leider Dinge passieren, die das Gegenteil von Datenschutz sind. Da wird Google Analytics ohne Einwilligung geladen. Dies kann aus meiner Sicht als Todsünde bezeichnet werden. Weiterhin wird der Google Tag Manager (GTM) ohne Einwilligung geladen. Der GTM ist grundsätzlich nicht notwendig. Er wird von vielen aus Bequemlichkeit, Unwissenheit oder beidem eingesetzt. Google forciert zudem den Einsatz des GTM, indem Google Analytics zusammen mit dem GTM angeboten wird, was völlig unnötig ist. Google Analytics kann ohne Weiteres auch ohne GTM eingebunden werden.

Auf der deutschen Version der UserCentrics Webseite wird das eigene Consent Tool eingesetzt. Wie steht es hier um den Datenschutz? Ich finde, dass die Glaubwürdigkeit eines Anbieters sehr stark davon abhängt, ob auf der eigenen Webseite alles richtig gemacht wurde.

Da ich nicht bezahlt werde, kommerzielle Anbieter auf deren eigene Datenschutzfehler hinzuweisen, werde ich an dieser Stelle nicht übermäßig konkret, sondern sage zunächst:

Die deutsche UserCentrics Webseite usercentrics.com/de enthält Datenschutzverstöße

Eigene Untersuchung, Stand: 25.02.2021 (Nachtest am 02.03.2021)

Sicherheitshalber habe ich einen Zeugen eine Aufzeichnung des Istzustands der Webseite von UserCentrics machen lassen, falls sich jemand angegriffen fühlt und behauptet, ich würde die Unwahrheit behaupten.

An dieser Stelle nur einer von mehreren möglichen Belegen, um die nicht wirklich vollständig vorhandene Datenschutzkompetenz von UserCentrics zu belegen. Auf der Startseite befindet sich ein eingebundenes YouTube Video. Das YouTube Script wird nicht direkt geladen (was gut ist). Vielmehr erscheint folgender Dialog, nachdem der Nutzer auf den Play Button gedrückt hat:

Einwilligungsabfrage auf der Startseite der deutschsprachigen UserCentrics Webseite

Dieser Dialog verstößt eindeutig mindestens gegen eine Gesetzesvorgabe. Wer findet die Verstöße? Kleiner Hinweis: Wer sich das DSGVO-Gesetz ansieht, wird fündig.

OK, hier noch ein Problemchen von der UserCentrics Webseite, diesmal mit konkreter Nennung des Mangels. Klickt man im eben gezeigten Dialog auf Mehr Informationen erscheint folgendes Popup:

Popup mit mehr Informationen auf der UserCentrics Webseite zum einzuwilligenden Video

Können Sie mir mal erklären, seit wann eine E-Mail-Adresse kein @-Zeichen mehr enthält, sondern in Form einer Web-Adresse (URL) angegeben wird? Wer auf den Link klickt, wird übrigens auf eine Webseite von Google geleitet, auf der keine Mailadresse ersichtlich ist …

So ernst nimmt UserCentrics den Datenschutz offenbar, dass in meinen Augen irreführende Angaben wie die eben gezeigte gemacht werden.

Auch interessant ist in diesem Zusammenhang die Angabe Verwendete Technologien zum Video:

Angabe zu verwendeten Technologien für YouTube Videos auf der UserCentrics Webseite

Hierzu fallen mir zwei Dinge ein. Im Gesetz steht, dass Angaben

…in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln…

Artikel 12 Abs. 1 DSGVO

sind. Ich bin mir nicht sicher ob jeder weiß, was Privacy-Enhanced Mode bedeutet.

Weiterhin steht im Gesetz:

Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden…

Artikel 5 Abs. 1 b) DSGVO

Eine Angabe wie „Es werden Cookies gesetzt, je nach dem, was Sie auf Ihrem Computer so alles eingestellt haben“ ist demnach nicht erlaubt. Damit beziehe ich mich auf die o.g. konditionale Aussage von UserCentrics, dass Cookies dann eingesetzt werden, falls „Privacy Enhanced Mode“ nicht aktiviert ist. Als Informatiker mit über 30 Jahren IT-Erfahrung weiß ich nicht, was der Privacy Enhanced Mode sein soll. Ich habe eine Idee, die aber nicht ganz zur Aussage passt, weil der Privatmodus von Browsern, falls das gemeint sein soll, an sich nicht grundsätzlich verhindert, dass Cookies gesetzt werden. Mich macht es etwas ratlos, um es höflich zu formulieren, dass anscheinend absichtlich Begriffe erdacht werden, die möglichst wenige Menschen verstehen. Ich könnte diesen Artikel so schreiben, dass ihn genauso viele Menschen verstehen, wie zu Einsteins Zeiten die Relativitätstheorie. Warum mache ich das nur nicht …?

Fazit

Wie bei sehr vielen Webseiten, wird auch Ihre Webseite nicht wirklich datenschutzkonform, wenn sie es vor dem Einsatz von UserCentrics auch nicht war. Die Wahrheit ist, dass Sie selbst sich um den Datenschutz auf Ihrer Webseite kümmern müssen. UserCentrics macht für Sie nicht die Drecksarbeit. Leider arbeiten viele Consent Tool Anbieter mit der Angst und Unwissenheit von Menschen und tun so, als würde deren "Lösung" Ihnen ganz sicher dabei helfen, eine datenschutzkonforme Webseite zu erhalten. Das ist Bullshit. Fallen Sie nicht auf diese Marketing-Lügen herein, sondern erstellen Sie eine Webseite mit Ihren Kerninhalten. Dann benötigen Sie kein sogenanntes "Cookie Popup". Ja, richtig. Eine Webseite benötigt keinen Cookie Banner, wenn dort keine Dinge passieren, die nicht notwendig sind.

Ich denke, die Tatsache, dass die UserCentrics Webseite und das dort eingesetzte eigene Consent Tool in mehrfacher Hinsicht datenschutzrechtlich mangelhaft sind, spricht für sich. Wer noch mehr Belege für die aus meiner Sicht mangelnde Eignung des Tools haben möchte, findet weitere Tests in meinem großen Praxistest zahlreicher populärer Consent Tools.

Wer dieses Tool aus lauter Verzweiflung einsetzen möchte, sollte sich lieber einer kostenfreien Alternative bedienen, die höchstens genauso schlecht, möglicherweise aber besser, sicher aber nicht teurer ist.

Wer gar nicht weiter weiß, kann mich gerne für einen kostenfreien Rat kontaktieren.

Auch interessant

Kernaussagen dieses Beitrags

UserCentrics, obwohl es ein Datenschutz-Tool anbietet, verletzt selbst den Datenschutz auf seiner eigenen Webseite und könnte Daten in die USA übertragen, was problematisch ist.

UserCentrics verspricht Datenschutz-Konformität, aber verwendet unklaare Begriffe und irreführende Angaben.

Man braucht keinen Cookie Banner auf einer Webseite, wenn darauf nur essentielle Inhalte präsentiert werden.

Über diese Kernaussagen

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Ich stehe für pragmatische Lösungen mit Mehrwert. Meine Firma, die IT Logic GmbH, berät Kunden und bietet Webseiten-Checks sowie optimierte & sichere KI-Lösungen an.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/usercentrics-praxistest-des-consent-tools-fuer-webseiten
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.
Schlagworte zu diesem Artikel:

Kommentare von Lesern

Die Kommentare drücken die Meinungen der jeweiligen Kommentargeber aus
  1. Rolf J.

    nach meiner Einschätzung ist dieser Versuch, Webseiten datenschutzkonform zu gestalten, genau der Datenschutzverstoß, den es vorgeblich zu verhindern gilt.
    Jeder Besuch selbst meiner Bankseite führt(e) dazu, dass beim amerik. "Big Brother" die Klingel gedrückt wurde.
    Seit ich in der HOSTS-Datei – unter LINUX /etc/hosts – folgendes eingetragen habe, ist damit Schluss:

    127.0.0.1 analytics.usercentrics.com
    127.0.0.1 api.usercentrics.eu
    127.0.0.1 app.usercentrics.eu
    127.0.0.1 graphql.usercentrics.eu
    127.0.0.1 uct.service.usercentrics.eu

    Kein Verbindungsaufbau in das Land, in dem Datenschutzverletzungen Geschäftsmodell großer Konzerne sind, ein Dialogschritt weniger, und die Seite funktioniert dennoch wie immer.

    Weitere Einträge in der HOSTS-Datei könnten sein:

    127.0.0.1 cdn.cookielaw.org
    127.0.0.1 consentcdn.cookiebot.com
    127.0.0.1 consent.cookiebot.com
    127.0.0.1 cookie-cdn.cookiepro.com

    Gerne stelle ich meine persönliche HOSTS-Datei zur Verfügung.
    Die Netz-Seiten werden dadurch sehr übersichtlich – – datenschutzkonform auf meine Weise.

    Antworten
    • Pete

      Hallo Klaus Meffert — Vielen Dank für die sehr verständlichen Ausführungen!!!
      Hallo Rolf J. — Vielen Dank für Deinen Kommentar und Deine Idee mit der HOSTS-Datei

      Ich bin auch auf diese Seite gestossen beim Suchen nach dem Sinn von usercentrics. Ich habe NoScript auf FireFox auf Windows. Bei Scripts, die ich nicht kenne, suche ich erstmal im Netz nach dem Sinn und Zweck. Dadurch bin ich auf diese Seite gestossen.

      Dein Kommentar, Rolf J., mit dem Eintrag in der HOSTS-Datei hat es mir angetan.
      Ich habe Windows (jaaa – ich bin noch nicht soweit, auf Linux zu wechseln – ich scheue mich vor der Arbeit, mein ganzes Netzwerk von vier PCs mit NAS etc. umzustellen…)
      Nun habe ich mal vorerst Deine 127ner Umleitungen bereits eingetragen.

      Fragen:
      -) Ist es korrekt, dass diese HOSTS-Datei eigentlich leer ist?
      -) Kann ich jetzt im z.B. FireFox im AddOn NoScript diese Scripts aktivieren, ohne dass Daten nun unbedarft abfliessen?
      -) Was meinst Du mit 'Die Netz-Seiten werden dadurch sehr übersichtlich'
      -) Darf ich Deine HOSTS-Date erhalten?

      Ich bedanke mich und grüsse freundlich – Pete

      Antworten
  2. Susanne

    Vielen Dank für den interessanten Newsletter. In dem Zusammenhang ist mir mittlerweile auf mehreren Seiten, die Usercentrics einsetzen eine interessante Rechtsgrundlage bzgl. des Einsatzes aufgefallen. Und zwar Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung)

    Antworten
    • Dr. DSGVO

      Ja, das kann schon sein. Aber die Datenverarbeitung muss dem Zweck angemessen sein.
      Nicht angemessen sind:
      * Datentransfer in die USA oder an Server, die US-Unternehmen im Zugriff haben (macht UserCentrics)
      * Setzen von Cookies, ohne dass etwas angeklickt wurde (macht(e) UserCentrics)
      * Speichern der Nichteinwilligung in einer invasiven Weise (macht(e) UserCentrics)
      * Widerruf nicht ordentlich ausführen (auch hier gibt es Probleme beim Einsatz von UserCentrics, ebenso beim Einsatz anderer Consent Tools).

      Antworten
  3. Dirk W.

    Gibt es eine Aktualisierung hierzu? Viele Details des Artikels sind ja veraltet – zum Beispiel gibt es ja jetzt eine E-Mail-Adresse eines Datenschutzbeauftragten, der zumindest mir auch geantwortet hat. Gerne würden wir den Cookiebot verwenden, sind durch diesen Artikel allerdings abgeschreckt. Da unsere Website WordPress verwendet, unser Webshop nicht, können wir leider kein Boarlabs oder ähnliches verwenden.
    Den Versand der Daten in die USA halten wir für unproblematisch, wobei natürlich das Abkommen unter Trump auch wieder geändert werden könnte.

    Antworten
    • Dr. DSGVO

      Grundsätzlich weiterhin schlecht und entgegen der Marketing-Versprechen ist die Arbeitsweise von Consent Tools wie UserCentrics: Einfach nur diese Tools einzubinden, bringt recht wenig an Rechtssicherheit. Im Gegenteil: Es werden oft neue Baustellen eröffnet.
      Es gibt nur einen guten Weg: Sich bewusst werden, was auf der eigenen Webseite passiert. Hier sollte der gleiche Weg gewählt werden wie bei der Steuererklärung im Unternehmen: Wer es selbst hinbekommt, kann sich dem Thema selbst widmen. Alle anderen sollten einen Berater mit technischem und rechtlichen Wissen engagieren. Ein Consent-Tool alleine löst das Problem nicht.

      Insofern bedarf der Artikel keiner Überarbeitung, auch wenn der US-Datentransfer offiziell für rechtskonform deklariert wurde. Die Pflichtangaben in Consent Popups mögen graduell besser geworden sein (oder auch nicht). Das ändert wenig am Grundproblem, dass einwilligungspflichtige Plugins ohne Einwilligung geladen werden – trotz Consent Tool. Es ist technisch NICHT zuverlässig möglich, Scripte und Plugins automatisch zu unterdrücken, bis eine Einwilligung des Besuchers einer Webseite vorliegt. Genau das versuchen aber Consent Tools zu suggerieren, um möglichst viel Umsatz zu machen.

      Antworten

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Wann ist der Einsatz eines Consent Tools auf Webseiten sinnvoll?