Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

UserCentrics: Praxistest des Consent Tools für Webseiten

0

Eines der bekannteren Consent Tools für Webseiten ist UserCentrics. In meinem Praxistest untersuche ich, wie gut es mit diesem sogenannten Cookie Tool gelingt, Webseiten datenschutzkonform zu gestalten.

Einleitung

Meiner Wahrnehmung nach ist UserCentrics eines des bekannteren Consent Tools. Andere Tools dieser Art, die ich ebenfalls bereits untersucht habe, sind Cookiebot, Borlabs Cookie, Consent Manager, CCM19, OneTrust (mit den Ablegern CookieLaw und Optanon) und Klaro! (wenngleich nicht so bekannt). Die Ergebnisse zeigt mein Praxistest von Consent Tools.

An dieser Stelle gehe ich näher auf UserCentrics ein und untersuche insbesondere die Schwächen. Die angeblichen Stärken beschreibt der Anbieter auf seiner eigenen Webseite, so wie es jeder andere Anbieter auch tut.

Vorab möchte ich noch erwähnen, was die meisten Anbieter von sogenannten Consent Lösungen verschweigen: Kein Consent Tool dieser Welt ist aktuell und bis auf Weiteres in der Lage, Webseiten zuverlässig datenschutzkonform zu gestalten. Dies gilt bis zu einer grundlegenden Reform des Internet, die wahrscheinlich nie kommen wird. Die Gründe beschreibe ich in einem eigenen Beitrag, der sogar objektive, unwiderlegbare Gründe nennt.

Praxistest

Eigentlich wollte ich zu UserCentrics ein paar beliebige Webseiten raussuchen, die das Tool von UserCentrics verwenden und für diese einen Praxistest machen. Zeitlich davor habe ich den folgenden Abschnitt angefangen zu schreiben, in dem die Webseite von UserCentrics selbst aufgegriffen wird. Dabei habe ich festgestellt, dass UserCentrics es auf seiner eigenen Webseite mit seinem eigenen Consent Tool beschämenderweise selbst nicht hinbekommt, datenschutzkonform zu sein.

Daher habe ich es mir gespart, weitere Webseiten zu untersuchen und nur die von UserCentrics selbst herangezogen. Ich hoffe, es wird besonders deutlich, dass das Consent Tool von UserCentrics nicht besonders wertvoll zu sein scheint, wenn der Anbieter des Tools es nicht einmal mit seinem eigenen Tool hinbekommt, Datenschutzgesetze einzuhalten.

Datenabruf aus den USA

Beim Abruf eines CMP Scripts von UserCentrics kann ein Datenabruf aus den USA nicht ausgeschlossen werden. Jedenfalls deutet das Zertifikat zur genutzten Adresse app.usercentrics.eu auf Google trust Services LLC in den USA:

Amerikanisches Zertifikat einer UserCentrics Web-Adresse

Ferner kann aufgrund der von UserCentrics genutzten Google Cloud nicht ausgeschlossen werden, dass aufgrund einer Lastverteilung ein Datentransfer in die USA stattfindet.

Bekanntlich ist dies hochproblematisch, siehe Art. 44 ff DSGVO. Mir scheint es so, dass für die Nutzung von UserCentrics auf einer Webseite selbst eine Einwilligung notwendig ist. Als weitere Stichworte für eine Einwilligungspflicht bei Datentransfer in die USA seien FISA 702, EO 12333 und Cloud Act genannt (mehr Infos dazu). Bekanntermaßen sind IP-Adressen personenbezogene Daten, die beim Abruf von UserCentrics immer übertragen werden.

Was ist mit der Webseite von UserCentrics?

Auf der deutschen Version der UserCentrics Webseite wird das eigene Consent Tool eingesetzt. Wie steht es hier um den Datenschutz? Ich finde, dass die Glaubwürdigkeit eines Anbieters sehr stark davon abhängt, ob auf der eigenen Webseite alles richtig gemacht wurde.

Da ich nicht bezahlt werde, kommerzielle Anbieter auf deren eigene Datenschutzfehler hinzuweisen, werde ich an dieser Stelle nicht übermäßg konkret, sondern sage zunächst:

Die deutsche UserCentrics Webseite usercentrics.com/de enthält Datenschutzverstöße

Eigene Untersuchung, Stand: 25.02.2021 (Nachtest am 02.03.2021)

Sicherheitshalber habe ich einen Zeugen eine Aufzeichnung des Istzustands der Webseite von UserCentrics machen lassen, falls sich jemand angegriffen fühlt und behauptet, ich würde die Unwahrheit behaupten.

An dieser Stelle nur einer von mehreren möglichen Belegen, um die nicht wirklich vollständig vorhandene Datenschutzkompetenz von UserCentrics zu belegen. Auf der Startseite befindet sich ein eingebundenes YouTube Video. Das YouTube Script wird nicht direkt geladen (was gut ist). Vielmehr erscheint folgender Dialog, nachdem der Nutzer auf den Play Button gedrückt hat:

Einwilligungsabfrage auf der Startseite der deutschsprachigen UserCentrics Webseite

Dieser Dialog verstößt eindeutig mindestens gegen eine Gesetzesvorgabe. Wer findet die Verstöße? Kleiner Hinweis: Wer sich das DSGVO-Gesetz ansieht, wird fündig.

OK, hier noch ein Problemchen von der UserCentrics Webseite, diesmal mit konkreter Nennung des Mangels. Klickt man im eben gezeigten Dialog auf Mehr Informationen erscheint folgendes Popup:

Popup mit mehr Informationen auf der UserCentrics Webseite zum einzuwilligenden Video

Können Sie mir mal erklären, seit wann eine E-Mail-Adresse kein @-Zeichen mehr enthält, sondern in Form einer Web-Adresse (URL) angegeben wird? Wer auf den Link klickt, wird übrigens auf eine Webseite von Google geleitet, auf der keine Mailadresse ersichtlich ist…

So ernst nimmt UserCentrics den Datenschutz offenbar, dass in meinen Augen irreführende Angaben wie die eben gezeigte gemacht werden.

Auch interessant ist in diesem Zusammenhang die Angabe Verwendete Technologien zum Video:

Angabe zu verwendeten Technologien für YouTube Videos auf der UserCentrics Webseite

Hierzu fallen mir zwei Dinge ein. Im Gesetz steht, dass Angaben

…in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln…

Artikel 12 Abs. 1 DSGVO

sind. Ich bin mir nicht sicher ob jeder weiß, was Privacy-Enhanced Mode bedeutet.

Weiterhin steht im Gesetz:

Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden…

Artikel 5 Abs. 1 b) DSGVO

Eine Angabe wie “Es werden Cookies gesetzt, je nach dem, was Sie auf Ihrem Computer so alles eingestellt haben” ist demnach nicht erlaubt. Damit beziehe ich mich auf die o.g. konditionale Aussage von UserCentrics, dass Cookies dann eingesetzt werden, falls “Privacy Enhanced Mode” nicht aktiviert ist. Als Informatiker mit über 30 Jahren IT-Erfahrung weiß ich nicht, was der Privacy Enhanced Mode sein soll. Ich habe eine Idee, die aber nicht ganz zur Aussage passt, weil der Privatmodus von Browsern, falls das gemeint sein soll, an sich nicht grundsätzlich verhindert, dass Cookies gesetzt werden. Mich macht es etwas ratlos, um es höflich zu formulieren, dass anscheinend absichtlich Begriffe erdacht werden, die möglichst wenige Menschen verstehen. Ich könnte diesen Artikel so schreiben, dass ihn genauso viele Menschen verstehen, wie zu Einsteins Zeiten die Relativitätstheorie. Warum mache ich das nur nicht…?

Fazit

Ich denke, die Tatsache, dass die UserCentrics Webseite und das dort eingesetzte eigene Consent Tool in mehrfacher Hinsicht datenschutzrechtlich mangelhaft sind, spricht für sich. Wer noch mehr Belege für die aus meiner Sicht mangelnde Eignung des Tools haben möchte, findet weitere Tests in meinem großen Praxistest zahlreicher populärer Consent Tools.

Wer dieses Tool aus lauter Verzweiflung einsetzen möchte, sollte sich lieber einer kostenfreien Alternative bedienen, die höchstens genauso schlecht, möglicherweise aber besser, sicher aber nicht teurer ist.

Wer gar nicht weiter weiß, kann mich gerne für einen kostenfreien Rat kontaktieren.

Auch interessant

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Wann ist der Einsatz eines Consent Tools auf Webseiten sinnvoll?