Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Zentrale Einwilligungsverwaltung statt Cookie Popups: Warum dieses Konzept in der Praxis nicht funktionieren kann und scheitern wird

0

Die zentrale Einwilligungsverwaltung wird auch als Datentreuhänder oder PIMS bezeichnet. Sie wurde vom deutschen Gesetzgeber, unter Beeinflussung durch teils fragwürdige Stellungnahmen, erdacht, um Cookie Popups abzulösen. Anhand einfacher Beispiele kann gezeigt werden, warum dieses Konzept nicht funktionieren kann.

Einleitung

Das neue deutsche Datenschutzgesetz heißt TTDSG. Es gilt ab Dezember 2021. Im TTDSG steht (§ 26 TTDSG), dass eine zentrale Einwilligungsverwaltung einzuführen ist. Eine solche Zentralstelle soll es jeder Person erlauben, Datenschutzvoreinstellungen zu hinterlegen. Wird dann später eine Webseite besucht, soll die Webseite in der Zentrale nachschauen, was der Wunsch des Besuchers ist.

In der obigen Grafik ist das mit folgenden Schritten dargestellt:

  1. Ein Nutzer hinterlegt seine Voreinstellungen in einer Zentrale
  2. Der Nutzer besucht eine Webseite
  3. Daraufhin fragt die Webseite bei der Zentrale die Voreinstellungen des Nutzers ab

So soll ein ansonsten erscheinendes Cookie Popup gar nicht erst erscheinen, sondern unsichtbar weggeklickt werden. Darüber würden sich viele freuen, denn Cookie Popups nerven nicht nur, sie funktionieren zudem nicht richtig. Der letzte Halbsatz ist allerdings dem Gesetzgeber nicht bekannt gewesen, denn ansonsten hätte er sich gar nicht auf den von einigen öffentlich einsehbaren Stellungnahmen und Gutachten lancierten Vorschlag eingelassen, eine zentrale Verwaltung für Datenschutzeinstellungen zu erdenken.

Einige Beteiligte am Beratungsprozess hatten gute Absichten, sind aber wohl nicht in der Lage gewesen, die technische Komplexität des Themas zu erfassen. Genannt sei hier die Verbraucherzentrale (vzbv) oder auch Frau Domscheit-Berg, die ich an sich als Persönlichkeit schätze, nur aus der Berichterstattung kenne, wohl aber ihre Aussage zum Vorhaben.

Mancher Gutachter, der den zentralen Cookie-Popup-Killer im Gesetzgebungsverfahren vorschlug, hatte möglicherweise bei seiner Empfehlung hin zu einem zentralen Datentreuhänder eher eine Empfehlung im Sinn und weniger das Finden einer echten Lösung, die es mit dem Ansatz aus § 26 TTDSG nicht geben wird.

Einige Gutachter haben festgestellt, dass das Vorhaben aus rein rechtlichen Gründen nicht funktionieren könne, etwa weil Europarecht dem entgegensteht.

Eine zentrale Einwilligungsverwaltung gemäß deutschem Datenschutzgesetz TTDSG soll Cookie-Popups vermeiden helfen, ist aber schon vor Inkrafttreten zum Scheitern verurteilt.

Hierfür sprechen objektive und praktische Gründe.

Aus mehreren objektiven und praktischen Gründen kann eine solche zentrale Einwilligungsverwaltung für Datenschutzvorlieben nicht funktionieren. Eine solche Zentralverwaltung wurde auf PIMS genannt. PIMS steht für Personal Information Management System, manchmal auch für Privacy Information Management System. Gelegentlich wird statt System der Begriff Service verwendet.

Liest man sich die Stellungnahmen und Gutachten zum TTDSG durch, die vor der Gesetzgebung eingereicht wurden, fällt ein gewisser Lobbyismus auf, der sogar nachweisbar ist. Offenbar wurde versucht, eine immer wieder genannte, wohl eher nicht gemeinnützige Organisation zu positionieren, die alle Probleme mit Cookie Popups lösen können soll. Dies ist ein unsäglicher Vorgang.

Die folgende Fallstudie gibt eine Idee, warum das Konzept der Zentrale gescheitert ist, bevor vom Gesetzgeber weiter darüber nachgedacht wird. Dieser hat sich nämlich eine zweijährige Frist eingeräumt (§ 26 Abs. 3 TTDSG). Auch, wenn die Zeit viele Wunden heilt: Die durch die DSGVO gegebene Realität kann die Zeit nicht abändern.

Wenn es pro Webseite nicht gelingt, die Informationspflichten für stattfindende Datenverarbeitungen zu erfüllen, kann dies global erst recht nicht gelingen. Die Fallstudie zeigt an Datenschutzhinweistexten, wie aussichtslos das Vorhaben in der Praxis erscheint, über gängige Datenverarbeitungen rechtskonform zu informieren. Eine Einwilligungsabfrage müsste zwar nicht dieselben Ausführungen bieten, ist aber nur möglich, wenn die Details bekannt sind. Zudem müssen die Details irgendwo genannt sein, spätestens in den Datenschutzhinweisen zur Webseite und zur Einwilligungsabfrage.

Als Grundlage für die Fallstudie dient die Annahme, dass der Rechtsrahmen nicht weiter geöffnet wird, eine Verschlechterung des Datenschutzes also nicht stattfinden wird. Eine solche Öffnung könnte zudem nur auf europäischer Ebene erfolgen.

Fallstudie: Inkonsistente Datenschutztexte

Anhand von zwei bekannten Diensten, die auch als Tools bezeichnet werden, soll gezeigt werden, wie unterschiedlich heutzutage versucht wird, die Informationspflichten gemäß Art. 13 DSGVO zu erfüllen. Beim Einholen einer Einwilligung muss ein Teil dieser Informationen gegeben sein, der Rest aber spätestens in der Datenschutzrichtlinie. Dort, wo eine Einwilligung abgefragt wird, müssen also alle Informationen zur Erfüllung der Informationspflicht bekannt sein.

Daher bediene ich mich beispielhaft der Datenschutztexte zu Diensten, die auf Webseiten genutzt werden. Zusätzlich müsste man noch die Texte auf den Einwilligungsabfragen der Webseiten betrachten, was die Komplexität und das Problem einer zentralen Einwilligungsabfrage erheblich erhöht.

Als Beispiele dienen folgend Google Maps und Google Analytics. Beide Dienste sind einwilligungspflichtig, wie man aus DSGVO, TMG (Telemediengesetz) und TTDSG (u.a. Umsetzung der ePrivacy-Richtlinie in Deutschland, gilt ab Dezember 2021) ableiten kann:

Für jeden dieser Dienste habe ich die Datenschutzhinweise von verschiedenen Webseiten extrahiert. Es sei angemerkt, dass bei der Suche nach Webseiten, die diese Tools einsetzen und hierzu etwas erklären, jede gefundene Webseite einen anderen Erklärungstext als die vorigen Webseiten bereitstellt. Das bedeutet, keine der zufällig gefundenen Webseiten verwendete einen gleichen oder direkt vergleichbaren Text wie die anderen. Wären weitere Webseiten berücksichtigt worden, wäre die Wahrscheinlichkeit hoch gewesen, wiederum einmalige Texte zu Google Maps und Analytics vorzufinden.

Google Maps

Google Maps wird auf zahlreichen Webseiten eingesetzt, um einen Standort darzustellen. Der Nutzen dieses Karteneinsatzes erscheint oft fraglich, soll hier aber nicht weiter thematisiert werden.

Datenschutzhinweise auf Webseite 1

Die Hinweise zu Google Maps auf Webseite 1 lauten:

Quelle: https://www.dhl.de/de/toolbar/footer/datenschutz.html (Stand: 30.08.2021).

Offenbar wird hier fälschlicherweise das berechtigte Interesse als Grundlage für das Laden der Karte verwendet, indem auf Art. 6 Abs. 1 lit. f DSGVO verwiesen wird. Hier stellt sich bereits die Frage, ob der Betreiber dieser Webseite bereit wäre, das Signal aus einer zentralen Einwilligungsverwaltung zu respektieren, dass ein Laden der Karte unterdrücken soll.

Datenschutzhinweise auf Webseite 2

Die Hinweise lauten hier:

Quelle: http://www.justiz.nrw.de/Service/datenschutz/index.php (Stand: 30.08.2021).

Im Unterschied zu den vorigen Datenschutzhinweisen zu Google Maps fehlt hier die Angabe der Daten, die an Google übertragen werden. Auch sind die Zwecke andere, zu denen die Karte eingesetzt wird, als bei der vorigen Webseite.

Datenschutzhinweise auf Webseite 3

Die Hinweise zu Google Maps lauten auf der dritten Webseite wie folgt:

Quelle: https://www.bock.net/kontakt/datenschutzerklaerung/ (Stand: 30.08.2021).

Hier findet sich im Gegensatz zu den beiden vorigen Hinweistexten ein Link auf die Google Datenschutzerklärung. Außerdem wird hier darauf aufmerksam gemacht, dass die IP-Adresse des Nutzers zu Google übertragen wird, wo sie von Google, außerhalb der Kontrolle des Verantwortlichen, weiterverwendet werden kann. Was nach einer halbwegs wahrheitsgemäßen Aussage klingt, widerspricht dem berechtigten Interesse aus der Erklärung der Webseite 1 zu Google Maps. Dass eine Datenübermittlung in die USA stattfinden kann, wird nur auf dieser Webseite erwähnt, nicht auf den anderen beiden vorgenannten.

Fazit zu Google Maps

Einige Unterschiede in den Hinweisen zu Google Maps, die die drei angeschauten Webseiten aufweisen, stellt die folgende Tabelle dar.

KriteriumWebseite 1Webseite 2Webseite 3
Angabe übertragener DatenJaNeinNein
RechtsgrundlageBerechtigtes InteresseBerechtigtes InteresseEinwilligung
Abfrage Einwilligung? (Maps nicht gefunden, Webseite zu groß)Nein, aber auch keine Nutzung von MapsJa
Nennung RechtsgrundlageJaNeinJa
Verlinkung Google DatenschutzbestimmungenJa (.com)Ja, aber ohne LinkJa (.de)
ZwecknennungJaJa, minimalNein
Cookie-NennungJa, aber nur hier irrelevanteNeinNein
Hinweis auf Datentransfer in die USANeinNeinJa
Unterschiede in den Datenschutzhinweisen zu Google Maps auf drei ausgesuchten Webseiten.

Drei zufällig herausgesuchte Websites, die Google Maps einsetzen, halten drei gänzlich verschiedene Datenschutzhinweise zum genutzten Dienst vor. Kein einziger Hinweistext enthält die gesetzlich vorgeschriebenen Informationen zu eingesetzten Cookies und deren Zwecken. Die von mir identifizierten Cookies, die von Google Maps geladen oder erzeugt werden, sind:

Von mir festgestellte Cookies, die beim Einbinden von Google Maps in eine Webseite erzeugt oder geladen werden.

Diese Cookies werden auf allen Webseiten nicht gewürdigt. Alle drei Hinweistexte zu Google Maps sind alleine aus diesem Grund bereits rechtswidrig. Bisher konnte mir niemand verraten, welchen Zwecken die gezeigten Cookies dienen. Nur für einige wenige dieser Cookies gibt Google selbst Informationen (beispielsweise zum NID-Cookie, das zum weit reichenden Nachverfolgen von Nutzern verwendet wird).

Eine Vereinheitlichung der drei Texte zum Kartenprodukt von Google mag gelingen (hin zu einem wegen der fehlenden Cookie-Informationen rechtswidrigen Einheitstext). Bereits hier stellt sich die Frage, wie diese Vereinheitlichung stattfinden soll, wer sie vornimmt, wer dafür haftet und wer den Aufwand dafür trägt.

Google Analytics

Datenschutzrechtlich auf den ersten Blick komplexer als Google Maps erscheint Google Analytics.

Mit Google Analytics können Besucher von Webseiten nachverfolgt und deren Verhalten ermittelt werden. Dazu bedient sich Google einer globalen Datenbank, die in Analyse-Ergebnisse eingestreut wird. Somit können für einzelne Besucher sogar anzunehmende Monatsnettoeinkommen und deren wahrscheinliches Geschlecht angezeigt werden. In den USA weist Google Analytics sogar aus, welche Partei ein Nutzer wahrscheinlich wählt.

Google Analytics kann in verschiedenen Konfigurationen betrieben werden. Es handelt sich also um dasselbe genutzte Tool, nur um anderen Einstellungen. Da potentiell viele Einstellmöglichkeiten existieren, erscheint es in der Praxis nahezu unmöglich, für jede Einstellung eine eigene Einwilligungsabfrage zu Google Analytics vorzuhalten. Zudem würden sich viele fragen, was denn eine Consent-Abfrage wie die folgende (rein illustrative) soll:

Stark verkürztes, rein illustratives Beispiel für eine Einwilligungsabfrage für verschiedene Varianten von Google Analytics.

Neben diesen drei dargestellten Varianten sind zahlreiche weitere möglich und im Einsatz. Alleine hieran sollte das Problem einer zentralen Abfrage nach einer Einwilligung für Google Analytics oder vergleichbaren Diensten deutlich werden. Auch für Matomo wäre das Problem gegeben, weil Matomo auch zahlreiche Einstellmöglichkeiten bietet.

Datenschutzhinweise auf Webseite 1

Das erste Praxisbeispiel für konkrete Datenschutzhinweise zu Google Analytics lautet:

Quelle: https://www.bock.net/kontakt/datenschutzerklaerung/ (Stand: 30.08.2021).

Diese Webseite nutzt nicht nur Google Analytics, sondern auch die Remarketing-Funktion von Google Analytics. Diese Konstellation ist besonders spannend, denn eine Einwilligung wird aus technischen Gründen für gewöhnlich nur für Google Analytics mit Remarketing-Funktion eingeholt und nicht getrennt für Google Analytics und für die Remarketing-Funktion. Würde also eine Einwilligung für jeden der beiden Teile abgefragt, müsste eine Webseite (in der Praxis) das Laden von Google Analytics unterbinden, sofern die Remarketing Funktion genutzt wird, für diese aber keine Einwilligung vorliegt. Auch wenn dies technisch lösbar wäre, könnten die meisten es nicht bewerkstelligen, behaupte ich. Ich berufe mich auch darauf, dass viele es nicht einmal hinbekommen, auf den Google Tag Manager zu verzichten, was mir das einfachere Problem zu sein scheint.

Die Datenschutzhinweise für die Remarketing-Funktion lauten auf Webseite 1:

Quelle: https://www.bock.net/kontakt/datenschutzerklaerung/ (Stand: 30.08.2021).

Datenschutzhinweise auf Webseite 2

Die Datenschutzhinweise auf der zweiten Webseite zu Google Analytics lauten:

Quelle: https://www.hosteurope.de/AGB/Datenschutzerklaerung/ (Stand: 30.08.2021).

Diese Hinweise sind völlig unterschiedlich zu denen auf Webseite 1. Nicht nur, dass ein anderer Anbieter angegeben wird (Google LLC statt Google Ireland Ltd.), sondern auch, dass keine Angabe zur Speicherdauer existiert. Außerdem fehlt der Hinweis auf einen abgeschlossenen Auftragsverarbeitungsvertrag. Auch die Remarketing-Angaben fehlen hier. Ob zurecht oder nicht, sei dahingestellt.

Wollte man den Hinweis auf einen AVV bei den Informationen, die zur zentralen Einwilligung gegeben werden, berücksichtigen, hätte man ein Problem. Eine zentrale Einwilligungsabfrage kann nicht wissen, ob ein Anbieter einer erst später besuchten und zum Zeitpunkt der Einwilligungsabfrage unbekannten Webseite einen AVV mit Google geschlossen hat und falls ja, welchen. Immerhin sorgt einn Nennung eines AV-Verhältnisses für Klarheit und vermeidet Fragen betroffener Personen.

Datenschutzhinweise auf Webseite 3

Die Hinweise zu Google Analytics, die Webseite 3 gibt, sind recht umfangreich. Der erste Teil lautet:

Quelle: https://www.commerzbank.de/portal/de/footer1/recht/rechtliche_hinweise.html (Stand: 31.08.2021).

Der zweite Block enthält weitere Informationen, insbesondere zur Rechtfertigung des Einsatzes von Google Analytics durch Nennung mehrerer Zwecke.

Quelle: wie zuvor.

Der dritte Block ergänzt den eben genannten Block und führt zudem Google Optimize ein.

Quelle: wie zuvor.

Im Gegensatz zu Webseiten 1 und 2 wird hier also auch Google Optimize eingesetzt.

Google Optimize wird als Unterdienst von Google Analytics dargestellt. Laut Google Marketing-Plattform trifft dies zu (Quelle: https://marketingplatform.google.com/intl/de/about/optimize/). Dort steht „Optimize ist von vornherein mit Analytics verknüpft, damit Sie schnell analysieren können, wie Ihre Website verbessert werden kann.“

Eine Einwilligung für Google Analytics bei fehlender Einwilligung für Google Optimize führt also auf Webseite 3 dazu, dass keines der beiden Tools geladen werden darf. Immerhin fragt die Webseite selbst nur eine Einwilligung ab und nicht zwei, um diese beiden Tools zu laden, die zusammen technisch als ein Super-Tool betrachtet werden müssen.

Extra: Datenschutzhinweise von Twitter zu Google Analytics

Die Twitter-Plattformbetreiber scheinen es nicht für nötig zu halten, Pflichtangaben zu Google Analytics bereitzustellen. Das entspricht der Einstellung, das Tracking Tool ohne Einwilligung zu nutzen, so wie Twitter es auch bei unangemeldeten Besuchern tut.

Quelle: https://twitter.com/de/privacy (Stand: 30.08.2021).

Der Screenshot zeigt den einzigen Passus zu Google Analytics, der nach endlicher Suche auffindbar war. Genannt ist lediglich der Name des Tools. Die Twitter-Angaben fließen nicht in die Fallstudie ein, weil sie offensichtlich ausgesprochen ungenügend sind.

Für hochgradig flexible Produkte wie Google Analytics ist eine zentrale Einwilligungsabfrage nicht möglich.

Dies gilt faktisch, weil für einen Dienst nicht 100 verschiedene Abfragen erfolgen können.

Fazit

Die Unterschiede in den Hinweisen zu Google Analytics, die die drei genannten Webseiten bereitstellen, sind erheblich. Die Tabelle zeigt einige der Unterschiede:

KriteriumWebseite 1Webseite 2Webseite 3
RechtsgrundlageBerechtigtes InteresseEinwilligung Einwilligung
Verwendet auch Google OptimizeNeinNeinJa
Verwendet auch Google RemarketingJaNeinNein
AnbieternennungGoogle IrlandGoogle USAGoogle Irland
IP-AnonymisierungJa, allgemeine InfoJa, konkret 8 BitJa, allgemeine Info
ZwecknennungNeinMinimalAusgesprochen ausführlich und spezifisch
AVV-NennungJaJaNein
Nennung Browser-PluginJaJaJa, aber für Google Optimize
Nennung weltweite RechenzentrenNeinNeinJa
Verlinkung Nutzungsbedingungen GoogleNeinNeinJa
Verlinkung Datenschutzerklärung Google Ja, aber zu RemarketingNeinJa
Verlinkung Google Website-StatistikenNeinNeinJa
Angabe SpeicherdauerJa, 50 MonateNeinNein
Unterschiede in den Datenschutzhinweisen zu Google Analytics auf drei ausgesuchten Webseiten.

Die Unterschiede sind extrem. Keine der Webseiten hält es für nötig, die vorgeschrieben Angabe zu verwendeten Analytics-Cookies zu machen. Gesucht wurde hierfür in der Datenschutzerklärung selbst sowie auf der Webseite durch Suchen eines Links wie „Cookie Informationen“, der nirgends gefunden werden konnte. Sollten die Cookie-Informationen irgendwie vorhanden sein, sind sie gut versteckt und gelten somit meiner Einschätzung nach als nicht vorhanden.

Was die IP-Anonymisierung anbelangt, sei erwähnt, dass die genannte Angabe „Kürzung um 8 Bit“ falsch ist, weil sie IPv6-Adressen nicht ausreichend würdigt. Dieses Detail ist nur als Randnotiz zu verstehen, um die große Fülle der Probleme zu verdeutlichen.

Gesamtfazit

Die GDD (Gesellschaft für Datenschutz und Datensicherheit e.V.) hat sich nicht mit Ruhm bekleckert, als sie sich für PIMS eingesetzt hat. Die Fokusgruppe Datenschutz erscheint ungeeignet, derartige Fragestellungen kompetent zu betrachten. Zu viele Industrievertreter scheinen einer guten Lösung entgegenzustehen.

Für nicht konfigurierbare Produkte wie Google Maps ist eine Vereinheitlichung mehrerer Datenschutzhinweise denkbar. Rechtskonform werden diese Hinweise aber nur, wenn die genutzten Cookies, die allesamt funktional nicht notwendig sind, konkret benannt werden (vgl. auch EuGH-Urteil zu Planet49). Weil dieses Geheimwissen fehlt, steht der Verantwortliche für die (zentrale) Einwilligungsabfrage direkt voll in der Haftung.

Niemandem sind sämtliche Varianten eines komplexen Dienstes wie Google Analytics oder Matomo bekannt.

Meine Behauptung, die rein mathematisch logisch erscheint.

Auch die rechtskonforme Nennung von stattfindenden Datentransfers, die bei Google Produkten häufig nicht funktional sind, sondern Google zu eigenen Marketing-Zwecken dienen, kann nur erfolgen, sofern dieses Wissen von Google offengelegt wurde. Dies ist aber regelmäßig nicht oder nur in erheblich intransparenter Weise der Fall.

Für Dienste, für die ein AVV abgeschlossen werden kann, wird durch eine zentrale Abfrage eine Unschärfe eingeführt. Denn dort kann auf einen individuell abzuschließenden AVV nicht hingewiesen werden.

Auch das Nennen konkreter, im Einzelfall für jede Webseite potentiell immer anders gegebener Zwecke, kann auf zentraler Ebene nicht erfolgen. Jedenfalls gilt dies bereits für vermeintlich simple Tools wie Google Maps, die für verschiedene Zwecke einsetzbar sind. Beispielsweise kann eine Karte einen eigenen Standort anzeigen, mehrere Standorte anzeigen, eine Route anzeigen oder zur Suche eines Standorts in der Nähe genutzt werden.

Dienste wie Google Analytics, die hochgradig parametrisiert werden können, können nicht zentral eingewilligt werden. Hieran mangelt es alleine schon an der konkreten Nennung der Datenverarbeitung und der im Voraus festgelegten Zwecke, die zentral nicht bekannt sein können. Alleine die verschiedenen konkreten Varianten eines Dienstes wie Google Analytics sind unbekannt. Selbst der Dienstanbieter Google könnte die wahrscheinlich tausenden Kombinationsmöglichkeiten nicht benennen.

Eine zentrale Einwilligungsverwaltung ist Unsinn, weil sie objektiv nicht funktionieren kann.

Begründung: Siehe Beitrag.

Dienste, die Zusatzdienste ermöglichen, wie Google Optimize für Google Analytics, können aus ähnlichem Grund zentral nicht eingewilligt werden. Dies wäre nur möglich, wenn mehrere Einwilligungen abgefragt würden, nämlich eine nur für Google Analytics und eine nur für das Paket aus Google Analytics und Google Optimize. Natürlich müsste dies für jede der an sich möglichen Varianten von Analytics und Optimize stattfinden. Die Übersichtlichkeit wird hierdurch ganz erheblich leiden, was die Rechtmäßigkeit der Einwilligungsabfrage infrage stellt.

Wenn ein Dienst wie Google Analytics tausende von Varianten hat, ergibt sich daraus eine weitere, kaum lösbare Problematik. Die Varianten müssen sauber ermittelt werden, was praktisch kaum möglich ist. Jede Variante muss einen internen Identifizierer erhalten. Jede Webseite, die eine Variante von Google Analytics einsetzt, muss den internen Identifizierer dazu kennen, um die Zentrale zu fragen, ob der Nutzer dafür eine Einwilligung gab. Dieses Vorhaben ist praxisfern.

Wie auch immer man es dreht und wendet: Eine rechtskonforme zentrale Einwilligung scheitert bereits an objektiven Gründen, die in der Praxis nicht heilbar sind. Heilbar wären sie selbst dann nicht, wenn einem Konzern wie Google unterstellt werden würde, Datenschutz auf einmal ausgesprochen ernst zu nehmen und sämtliche Informationen gemäß Art. 13 DSGVO für sämtliche öffentlich verfügbare Google Dienste für Webseiten offenzulegen.

Anbieter melden ihre eigenen Datenschutztexte

Der Google-Konzern hat bisher recht erfolgreich vermieden, eine transparente Information zu den Verarbeitungsvorgängen von Daten von Nutzern bereitzustellen. Dies wird sich anzunehmender Weise nicht ändern.

Sollten sämtliche Diensteanbieter alle Informationen ordentlich offenlegen, gäbe es immer noch das Problem mit den verschiedenen Konfigurationen, etwa für Google Analytics, Google Optimize, Google Remarketing-Funktionen usw.

Weitere Fragen und Anmerkungen

Auch ist oft unklar, wie die Rechtslage für bestimmte Dienste liegt. Ist für Google Maps eine Einwilligung einzuholen? Werden beim Einbinden von Google Maps Daten in die USA übertragen? Ist der Vertragspartner Google (USA) oder Google (Irland) oder beide oder noch weitere? Wer möchte dafür verantwortlich zeichnen, diese Angaben zentral zu hinterlegen, damit eine globale Einwilligungsabfrage möglich wird?

Noch gar nicht betrachtet wurden Dienste wie externe Google Web Fonts. Hier scheidet das berechtigte Interesse meiner Untersuchung nach aus. In einer Einwilligungsabfrage müssten Google Signale, die in einem späteren Beitrag beschrieben werden, noch mit aufgeführt werden.

Neben technischen sprechen auch juristische Gründe eindeutig gegen die Umsetzbarkeit eines Datentreuhänders zur globalen Einwilligungsverwaltung.

Fazit nach Sichtung der Fakten. Details: Siehe Beitrag.

Selbstverständlich gilt all das festgestellte auch für Dienste anderer Anbieter, wie etwa von Facebook, Adobe, Salesforce usw.

Ein Browser, der den Nutzerwunsch berücksichtigen soll, muss an die Zentralstelle angeschlossen sein, die den Nutzerwunsch verwaltet. Ob diese Zentrale direkt im Browser des Nutzers liegt oder anderswo, ist zweitrangig. Das Grundproblem bleibt dasselbe. Somit sind die Ansätze, die Browser-Signale fordern, ebenfalls gescheitert.

Zuletzt sei erwähnt, dass neben diesen technischen Fakten rein juristische Überlegungen zeigen, dass ein Datentreuhänder für globale Consents eine schlechte Idee ist. Siehe hierzu die Stellungnahme von Herrn Assion zum TTDSG. Dort schreibt er u. a. „Dieses Problem kann nur dadurch überwunden werden, dass der Gesetzgeber selbst regelt, dass (bzw. unter welchen Bedingungen) eine PIMS-gestützte Einwilligung immer wirksam sein soll – und zwar unabhängig von der Frage, ob die Anforderungen der DSGVO im Einzelfall erfüllt sind oder nicht.“

Ein Blick in den Art. 5 Abs. 1 b DSGVO zeigt bereits, dass personenbezogene Daten „für festgelegte, eindeutige und legitime Zwecke erhoben werden“ müssen und „nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden“ dürfen. Dies sollte als Argument schon ausreichen, um nach den gezeigten unterschiedlichen Nutzungen einzelner Dienste zu zeigen, dass Rechtskonformität nicht gegeben ist.

Da ich gerne Lösungen vorschlage, sei hier die einzige meiner Meinung nach funktionierende genannt: Datenschutzbehörden sollen endlich anfangen, ihre Arbeit zu machen und Datensünder sanktionieren. Mein Dank gilt aktuell dem Bundesdatenschutzbeauftragten wenigstens dafür, dass er Facebook Fanpages für öffentliche Stellen des Bundes eliminieren will. Der Hamburgische Datenschutzbeauftragte ordnete sogar an, dass WhatsApp-Nutzerdaten durch Facebook nicht weitergeleitet werden dürfen.

Von Bußgeldern zu Web Tracking hört man nichts. Vielleicht haben die Behörden nicht mitbekommen, dass jede zweite Webseite Google Analytics oder andere Tracking-Tools ohne Einwilligung nutzt. Meine Behauptung, dass die Bußgelder für Web Tracking in Deutschland sich auf 0 Euro belaufen, konnte mir noch niemand widerlegen.

Einmal sanktioniert, werden sich zahlreiche Datenschutzprobleme und Cookie Banner plötzlich in Luft auflösen. Auch die Internetkonzerne können so erzogen werden, vor allem durch zielgerichtete Bußgelder, die anscheinend in Deutschland unerwünscht sind.

Auch Privatpersonen rufe ich auf, Abmahnungen gegen Webseitenbetreiber zu erlassen, die sich um Datenschutzgesetze nicht kümmern, sondern meinen, tun zu können, was sie wollen.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Google Chrome Browser: Der Inkognito-Modus, der keiner ist und Tracking ermöglicht