Datenschutzverstöße beim Cookie-Banner
03.09.2021
Datenschutzverstöße beim Cookie-Banner
Das Cookie-Banner ist auf deutschen Websites zur Normalität geworden. Beim ersten Aufrufen einer Seite erscheint ein Banner oder ein Popup-Fenster, welches die Nutzer über die Verarbeitung personenbezogener Daten informiert und ihre Einwilligung zur Nutzung bestimmter, nicht für den Betrieb der Website notwendiger, Cookies einfordert.
„Cookies sind kleine Textdateien, die über eine Webseite im Internetbrowser eines Nutzers gespeichert werden können. Bei Cookies handelt es sich nicht um schädliche Software oder gar einen Virus. Vielmehr wird ein Textprogramm abgelegt, das zu einem späteren Zeitpunkt wieder vom Webserver aufgerufen werden kann. Cookies können von Webseitenbetreibern oder von Dritten gesetzt werden. Bei Cookies, die von Dritten gesetzt werden, handelt es sich um sogenannte Drittanbieter-Cookies. Diese werden häufig von Werbetreibenden gesetzt.“ (Quelle)
Bei den Cookies gibt es technisch-notwendige, die etwa dafür sorgen, dass der Warenkorb beim Online-Shopping zu einem späteren Zeitpunkt erneut aufgerufen werden kann. Diese Cookies sind für den richtigen Betrieb einer Website notwendig und enthalten in der Regel keine personenbezogenen Daten. Technisch nicht notwendige Cookies hingegen dienen beispielsweise dazu, das Surfverhalten von Nutzern über einen längeren Zeitraum hinweg zu verfolgen. Dabei können Verantwortliche umfassende seitenübergreifende Persönlichkeitsprofile erstellen, die für das Online-Marketing eingesetzt werden.
Jedoch wird die Zustimmung im Cookie-Banner gemäß Erwägungsgrund 30 DSGVO nicht nur für Cookies, sondern für jegliche Technologien benötigt, die irgendwie personenbezogene Daten verarbeiten. Dementsprechend müssen im Banner nicht nur Cookies abgefragt werden, um es datenschutzkonform zu gestalten.
Länderübergreifende Prüfung
Diese Cookie-Banner wurden nun in mehreren deutschen Bundesländern einheitlich untersucht. Der Schwerpunkt lag dabei auf dem Nutzertracking zu Werbezwecken. Dabei lieferte das Ergebnis, dass die meisten der geprüften Websites nicht den rechtlichen Anforderungen entsprechen. Dies ist hier genauer nachzulesen.
Die geprüften Websites verwendeten eine sehr hohe Anzahl an Cookies und Drittdiensten, die dem Nutzertracking und der Werbefinanzierung dienen. Dabei waren die differenziert abgefragten Einwilligungen der Nutzer nicht wirksam. Dafür lagen vor allem folgende Gründe vor:
Falsche Reihenfolge: Bereits vor der Einwilligung wurden einwilligungsbedürftige Drittdienste und Cookies eingesetzt.
Fehlende Informationen: Auf der ersten Ebene der Cookie-Banner wurden falsche oder unzureichende Informationen gegeben.
Unzureichender Einwilligungsvorgang: Wenn der Nutzer auf der ersten Ebene nach Möglichkeit alles ablehnt, bleiben allerhand einwilligungsbedürftige Dienste aktiv.
Keine einfache Ablehnung: Bei den meisten Cookie-Bannern kann auf der ersten Ebene relativ einfach eine Zustimmung zu sämtlichen einwilligungsbedürftigen Diensten gegeben werden. Eine ebenso einfache Möglichkeit, das Nutzertracking in Gänze abzulehnen oder das Banner ohne Entscheidung zu schließen, fehlt jedoch.
Manipulation der Nutzer: Nutzer werden unterschwellig zur Abgabe einer Einwilligung gedrängt. Dies geschieht etwa durch die farbliche Hervorhebung der Schaltfläche für die Zustimmung oder durch die unnötige Verkomplizierung der Verweigerung der Einwilligung.
Prüfung durch Datenschutzorganisation NOYB
Ebenso hat die NGO „None Of Your Business” (NOYB) um Max Schrems, der mit dem Urteil Schrems II für Aufsehen sorgte, nach eigenen Aussagen 500 Websites überprüft. Die Unternehmen, die sich dabei nicht an die datenschutzrechtlichen Vorgaben gehalten haben, wurden infolgedessen mit einem Beschwerdeentwurf kontaktiert. Dieser soll, sofern das Cookie-Banner nicht innerhalb von 30 Tagen angepasst wird, an die jeweils zuständige Aufsichtsbehörde als offizielle Beschwerde weitergeleitet werden.
Die Websites wurden nach eigenen Angaben mit einer dafür entwickelten Software überprüft. Dabei nannte NOYB acht Fehlertypen. Dazu gehört etwa das Fehlen eines Ablehnen-Buttons, die Manipulation der Nutzer und die fehlende Möglichkeit, die Zustimmung zu widerrufen.
Unabhängig davon, ob alle von NOYB genannten Verstöße datenschutzrechtlich beanstandungsfähig sind, ist bei einer Beschwerde bei den Aufsichtsbehörden diese dazu aufgerufen, die Sachlage eingehend zu prüfen. Dementsprechend sollten betroffene Unternehmen unbedingt ihren Datenschutzbeauftragten in die Frage einbeziehen, wie mit dem Schreiben umzugehen ist.
Fazit
Bei der Gestaltung eines Cookie-Banners gilt es, datenschutzrechtlich einiges zu beachten, sodass eine gültige Einwilligung der Nutzer besteht.
Mit unserer Lösung, der WebCare, können Sie das Cookie-Banner auf Ihrer Website datenschutzkonform einbinden. Es wird für Sie automatisch ein Cookie-Banner gemäß den Richtlinien erstellt, welches nach Ihren individuell Wünschen gestaltet werden kann. Hierbei werden die Cookies automatisch kategorisiert und blockiert, bis die Nutzer diesen zustimmen. Außerdem können Sie hierdurch die Einwilligung der Websitebesucher nachweisen und erfüllen alle Informationspflichten. Ebenso werden Ihre Datenschutzerklärung sowie Ihr Impressum auf der Website an die geltenden Datenschutzvorgaben angepasst, wodurch sie Prüfungen gelassen entgegensehen können!
Kontaktieren Sie uns!
Sollten Sie zu diesem oder anderen Themen weitergehende Fragen im Bereich des Datenschutzes haben, nehmen Sie gern Kontakt zu uns auf.
Wir betreuen Unternehmen, Vereine oder gemeinnützige Organisationen bei der Umsetzung des betrieblichen Datenschutzes in der Datenschutz-Grundverordnung (DSGVO) und im Gesetz über den Kirchlichen Datenschutz (KDG). Hierzu entwickeln wir auf Ihr Unternehmen, Ihren Verein oder Ihre gemeinnützige Organisation abgestimmte Datenschutzkonzepte und unterstützen Sie aktiv bei der Umsetzung. Gern beraten wir auch Sie bei der Umsetzung Ihres Projektes.
Nehmen Sie gern jederzeit Kontakt zu uns auf.