Sicher haben Sie auf vielen Webseiten diese störende Cookie Banner gesehen. Sind diese überhaupt erlaubt? Oder Sie fragen sich, ob bestimmte Tools Datenschleudern sind oder sorgsam mit Ihren Daten umgehen. Dieser Beitrag beschreibt, was Sie dazu wissen sollten.
Cookie Banner
Es nervt jeden und bringt kaum Datensicherheit. Die Rede ist von Cookie Bannern, die oft auch als Consent Tools, Cookie Popups, Consent Management Plattformen oder Consent Lösungen bezeichnet werden. Ich darf Ihnen verraten: Das Wort Lösung ist meistens unangebracht.
Warum enthalten Webseiten mit Cookie Bannern oft mehrere erhebliche DSGVO-Mängel?
Die Gründe sind vielfältig und treffen oft gehäuft zu. Machen Sie doch selber mal den Test und lesen Sie sich die Erklärungen durch, die in Einwilligungsfenstern gegeben werden. Es ist nämlich Ihr Recht, dass die Erklärungen in einer leicht verständlichen Sprache verfasst sind. Dies steht in Artikel 12 DGSVO.
Wissen Sie, was der Satz „Wird zum Drosseln der Anforderungsrate verwendet“ bedeutet? Ich weiß es nicht. Genau so wird es tausendfach erklärt. Zu allen Diensten und Cookies muss eine Erklärung über deren Zweck gegeben werden, so will es Artikel 13 DSGVO. Es ist Ihr Recht, dass diese Erklärungen verständlich sind. Fragen Sie bei den Webseitenbetreibern nach, wenn Sie etwas nicht verstehen!
Oft erlauben es Cookie Banner nicht, schnell mal eben abzulehnen. Das Einwilligen ist aber direkt möglich. Fragen Sie doch mal den Betreiber der Webseite, was der Grund dafür ist. Es ist Ihr gutes Recht und ist in Artikel 15 DSGVO (Auskunftsrecht) verbrieft.
Hinzu kommt oft, dass ohne Einwilligung Tools wie Google reCAPTCHA, Google Maps oder der Google Tag Manager geladen werden. Dies ist rechtswidrig und verstößt gegen die ePrivacy Richtlinie, weil Cookies aus Ihrem Endgerät an Google übertragen werden. Auch der Tag Manager verwendet Cookies, wie man beweisen kann. Weiterhin verstößt das direkte Laden des Tag Managers gegen Art. 5 DSGVO, die verbindliche Forderung nach Datenminimierung. Kurzum: Webseiten mit Consent Tools schaffen es in großer Anzahl nicht, geltendes Recht einzuhalten.
Haben Sie schon einmal in eine Datenschutzerklärung geschaut und dort gelesen, dass der Google Tag Manager eine cookielose Domain sei? Hierzu zwei Anmerkungen: Erstens: Der Google Tag Manager ist keine Domäne, sondern ein Dienst. Zweitens: Der Google Tag Manager ist nicht cookielos. Er überträgt selbst Cookies, und zwar auch dann, wenn keine weiteren Dienste vom Tag Manager nachgeladen werden.
Sind Tools Datenschleudern?
Ein Tool ist ein Dienst oder eine Software, beispielsweise eine Videokonferenz-Lösung.
Oft berichtet die Presse von Datenschutzproblemen bei bestimmten Tools. Der Anbieter des Tools verspricht danach, dass alle bekannten Datenschutzprobleme behoben seien. Keiner blickt mehr durch.
Wie können Sie entscheiden, ob Sie einem Anbieter einer Lösung vertrauen können?
Der erste Test, den ich empfehle: Besuchen Sie die Webseite des Anbieters. Sind dort Datenschutzprobleme feststellbar? Falls die Antwort Ja lautet, wäre die Frage, warum die angebotene Lösung DSGVO-konform sein soll, wenn schon die Webseite grobe und öffentlich feststellbare Mängel enthält.
Ein online Webseiten-Check bringt erste Klarheit und zeigt direkt belastbare Ergebnisse. Sie müssen kein Experte sein, um die Datenschutzfrage zu beantworten. Nutzen Sie einfach das Checker-Tool.
Wer lieber selber rausfinden möchte, ob eine Webseite eine Datenschleuder ist, dem empfehle ich, ein Plugin wie Ghostery zu installieren. Das Plugin zeigt die Tools an, die beim Aufruf einer Webseite geladen werden:
Haben Sie nach Aufruf einer Webseite noch keine Einwilligungsabfrage angeklickt oder bestätigt, dann werden die von Ghostery genannten Tools ohne Ihre Einwilligung geladen. Das ist im Fall von Google Tag Manager und New Relic verboten. Es verstößt gegen die ePrivacy Richtlinie, gegen Art. 5 DSGVO (Datenminimierung) und gegen Art. 44f DSGVO (Datentransfers in unsichere Drittländer). Die ePrivacy Richtlinie gilt auch für Deutschland, wie der BGH in einem Urteil Mitte 2020 festgestellt hat!
Ein Hinweis zu Ghostery: Das Plugin sammelt selbst Daten. Allerdings geben Sie Ihre Daten dann nur an eine Stelle weiter und nicht an viele.
Ohne Plugin und ohne Website-Check Tool (s.o.) ist es etwas komplizierter, Datenschutzverstöße festzustellen. Das Vorgehen funktioniert im Firefox Browser und vielen anderen. Öffnen Sie Ihren Browser, am besten Firefox. Drücken Sie die Taste F12. Daraufhin öffnet sich die Entwicklerkonsole. Klicken Sie auf den Karteireiter Netzwerkanalyse. Nun geben Sie die Adresse der Webseite in Ihrem Browser ein, die Sie öffnen wollen. Alle beim Aufbau der Webseite geladenen Dateien sehen Sie nun in der Entwicklerkonsole. Klicken Sie am besten auf die Spalte Host. Damit wird die Liste der abgerufenen Dateien nach Domäne (google.com, newrelic.com etc.) sortiert und Sie sehen schneller, ob Dateien dabei sind, die nicht der geladenen Webseite zuzuordnen sind.
All diese Dateien Dritter dürfen per se nicht ohne Ihre Einwilligung geladen werden. Es gibt nur sehr wenige Ausnahmen. Sämtliche Tools von Google inkl. YouTube, Facebook, Vimeo sind keine Ausnahme und bedürfen einer Einwilligung.
Gastartikel von Dr.-Ing. Klaus Meffert
Dr.-Ing. Klaus Meffert ist promovierter Informatiker und beschäftigt sich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie und seit einigen Jahren mit dem digitalen Datenschutz. Er gewinnt seine Ergebnisse durch gemeinsame Betrachtung von technischen und rechtlichen Aspekten. Als Geschäftsführer der IT Logic GmbH bietet er eine Datenschutz-Software an, die gerne von Datenschutzbeauftragten für Kunden-Webseiten genutzt wird.