Schlagwort: Cookie-Banner
22. Dezember 2022
Wie die Verbraucherzentrale NRW berichtet, hat Google im Klageverfahren vor dem Landgericht Berlin eine Unterlassungserklärung abgegeben und seine Cookie-Banner angepasst. Daraufhin wurde das Verfahren für erledigt erklärt und damit beendet.
Klage der Verbraucherzentrale NRW wegen „Dark Patterns“
Die Klage hatte die Verbraucherzentrale NRW im April 2022 erhoben. Darin warf sie Google vor, Nutzerinnen und Nutzer mithilfe sogenannter „Dark Patterns“ dazu zu bewegen, zu mehr Cookies eine Einwilligung zu erteilen als beabsichtigt. Solche Dark Patterns sind darauf ausgelegt, Personen zu Handlungen zu verleiten, die ihren eigenen Interessen entgegenlaufen. Cookies sind kleine Textdateien, die der Webbrowser auf dem Gerät bei einem Webseitenbesuch speichert. Sie ermöglichen es (Dritt-)Anbietern, das Nutzungsverhalten beim Surfen im Internet nachzuverfolgen.
Die Cookie-Banner auf den Webseiten der Suchmaschine von Google waren in einer Weise gestaltet, die es Besucherinnen und Besuchern erheblich schwieriger machte, die Verarbeitung von Cookies abzulehnen als in diese einzuwilligen. Für die Zustimmung genügte ein einziger Klick. Dagegen musste zur Ablehnung auf eine zweite Ebene des Banners gewechselt werden. Um sämtliche nicht technisch erforderlichen Cookies abzulehnen, mussten mindestens drei verschiedene Kategorien von Cookies einzeln abgelehnt werden.
Laut Verbraucherzentrale NRW sei dieses Vorgehen ein Trick, um die Einwilligung zu „erschleichen, um an möglichst viele persönliche Informationen zu gelangen, diese zu sammeln und zu verarbeiten“. Das Ablehnen von Cookies müsse genauso leicht sein wie das Akzeptieren.
Das neue Cookie-Banner von Google setzt diese Vorgabe nun auch um. Es stehen zwei Schaltflächen nebeneinander, mit denen entweder alle Cookies akzeptiert oder abgelehnt werden können.
Der Kampf gegen undurchsichtige Cookie-Banner
Wohl die meisten Internetnutzerinnen und -nutzer sind genervt von der Flut an Cookie-Bannern im Internet. Sie sind das erste, womit sie auf jeder neuen Webseite konfrontiert werden. Grund dafür ist vor allem, dass eine Einwilligung nach dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), welches auf der europäischen ePrivacy-Richtlinie beruht, für alle nicht technisch unbedingt erforderlichen Cookies benötigt wird. Dabei sind die Webseitenbetreiber in der Gestaltung keineswegs frei. So hat der Europäische Gerichtshof 2019 entschieden, dass bestimmte Informationen darin enthalten sein müssen: Der Verantwortliche muss erkennbar sein, die Verarbeitungszwecke und Dauer müssen angegeben werden und auch die Weitergabe der Daten muss klar kommuniziert werden. Darüber hinaus gelten für die Einwilligung die Anforderungen der Datenschutzgrundverordnung (DSGVO). Eine Einwilligung muss freiwillig, bestimmt, informiert und unmissverständlich sein (vgl. Art. 4 Nr. 11 DSGVO). Außerdem müssen die Freiwilligkeit der Einwilligung und ihre jederzeitige Widerrufbarkeit kommuniziert werden.
Infolge von Klagen und Beschwerden von den Verbraucherzentralen und Datenschutzorganisationen wurden bereits auf zahlreichen Webseiten die Cookie-Banner geändert. Um den Umgang mit Cookies zu erleichtern, arbeitet die Bundesregierung derzeit an einer Rechtsverordnung zur zentralen Einwilligungsverwaltung. Damit könnten Nutzerinnen und Nutzer in ihrem Browser ihre Cookie-Präferenzen einmalig angeben, anstatt dies auf jeder einzelnen Webseite zu tun.
11. August 2022
Die gemeinnützige Organisation Europäisches Zentrum für digitale Rechte -Non of your Business- (NOYB) hat diese Woche 226 Beschwerden bei verschiedenen Datenschutzaufsichtsbehörden eingereicht. Der Grund für alle Beschwerden waren datenschutzwidrige Cookie-Banner.
Informelle Beschwerden an 500 Unternehmen
Bereits im Mai diesen Jahres wies NOYB 500 Unternehmen darauf hin, dass ihre Cookie- Banner datenschutzwidrig seien, indem die Organisation Beschwerden an die Unternehmen richtete. Außerdem stellte NOYB allen Unternehmen eine Schritt-für-Schritt Anleitung für die Gestaltung eines rechtmäßigen Cookie-Banners zur Verfügung.
Dabei war ein gemeinsames Merkmal aller untersuchten Webseiten, dass sie die Software „One Trust“ zur Erstellung des Cookie-Banners verwendeten. Deswegen aktualisierte diese Consent Management Platform ihre Standardeinstellungen. Außerdem informierte „One Trust“ die Unternehmen über die Notwendigkeit die Cookie-Banner anzupassen. Dennoch verwendeten ein Teil der im Mai gerügten Unternehmen weiterhin rechtswidrige Cookie-Banner.
Wann ist der Cookie-Banner rechtswidrig?
Im Rahmen der eingereichten Beschwerden stellte NOYB fest, dass die untersuchten Cookie-Banner regelmäßig für die Nutzer von Webseiten irreführend seien. Insbesondere verwendeten einige Webseite sog. Dark-Patterns. Durch ein besonderes Design der Cookie-Banners solle erreicht werden, dass die Nutzer der Webseiten in die Verwendung von Cookies einwilligen. Demnach sei das Ablehnen der Cookie-Verwendung in diesem Fall nur auf eine erschwerte Weise möglich. Laut Ala Krinickytė (Datenschutzjuristin bei NOYB) versuchten einige Webseiten das Zustimmen der Nutzer durch einen entsprechenden „Klickmarathon“ zu erzwingen.
Stattdessen müsse nach den Regelungen der DSGVO der Nutzer unkompliziert zwischen „Ja“ und „Nein“ auswählen können. Auf diese Weise werde dem Zweck der DSGVO Rechnung getragen und die Nutzer der Webseiten behielten die Kontrolle über ihre Daten.
Fazit
Max Schrem (Vorsitzender von NOYB) betonte, dass die Begutachtung durch NOYB einen positiven Effekt zeigte. Unternehmen, deren Webseiten die Organisation nicht untersucht hatte, passten vorsorglich ihre Cookie-Einstellungen an.
18. März 2022
Die belgische Datenschutzbehörde hat einen für die Onlinewerbung zentralen Standard für datenschutzrechtlich unzulässig erklärt. Das System Transparence and Consent (TCF) mit dem Werbetreibende im Internet Einwilligungen für Targeted Advertising einsammeln, entspricht nach Auffassung der Datenschutzbehörde nicht den Grundsätzen von Rechtmäßigkeit und Fairness.
Die Datenschutzbehörde hat die Entscheidung gegen den Werbeverband IAB Europe getroffen, der den TCF-Mechanismus entwickelt und betreibt. IAB muss nun nicht nur alle auf diese Weise gesammelten Daten löschen, sondern auch ein Bußgeld von 250.000 Euro bezahlen.
Das Transparency & Consent Framework (TCF) ist der zentrale Standard hinter Cookie-Bannern und personalisierter Werbung. Wenn ein Nutzer bei einem Cookie-Banner auf “Akzeptieren” klickt, erzeugt das System einen sogenannten TC-String und schickt diesen an alle Partner weiter, die am System teilnehmen. Kernaufgabe des TCF ist damit die Weitergabe der Einwilligung in die Datenverarbeitung zu Werbezwecken an alle Partner des Systems. Der TC-String bildet die Grundlage für die Erstellung von individuellen Profilen jeden Nutzers und für Auktionen, in denen Werbeplätze für die gewünschte Zielgruppe in Echtzeit versteigert werden.
Die Entscheidung könnte nicht nur für belgische Unternehmen möglicherweise schwerwiegende Auswirkungen haben: Nach Art. 56 Abs. 6 DSGVO gilt das “One-Stop-Shop”-Prinzip. Demnach ist bei grenzüberschreitender Datenverarbeitung die sog. federführende Aufsichtsbehörde alleiniger Ansprechpartner des Verantwortlichen bzw. des Auftragsverarbeiters. Dies bedeutet, dass Unternehmen bei grenzüberschreitenden Datenverarbeitungen nur einen Ansprechpartner für die Beurteilung der datenschutzrechtlichen Belange haben. Die Entscheidung dieses Ansprechpartners gilt dann europaweit. Viele Betreiber:innen von Websiten, der Großteil der Online-Medien und auch Google oder Amazon nutzen das System , um die im Cookiebanner erteilte Einwilligung von Nutzer:innen in die Verarbeitung von persönlichen Daten zu verteilen.
Zwar hat IAB angekündigt, gegen die Entscheidung vorzugehen. Die möglichen Auswirkungen für die Werbebranche sind dennoch enorm und könnten das Prinzip personalisierter Werbung grundsätzlich in Frage stellen.
23. Dezember 2021
Am 1. Dezember 2021 ist das Telemedien- und Telekommunikationsgesetz (TTDSG), und somit auch das neue “Cookie-Gesetz”, in Kraft getreten.
Datenverarbeitung innerhalb des TTDSG
Der Begriff der Datenverarbeitung im Sinne der DSGVO geht weit und umfasst die Speicherung, das Ordnen, das Erfassen, die Anpassung oder Veränderung, die Einschränkung, das Löschen oder die Vernichtung personenbezogener Daten.
Datenverarbeitung findet ferner auch statt, indem Unternehmen per Software oder Betriebssystem Daten auf elektronischen Geräten erheben. Erfolgt der Zugriff des Anbieters einer Website oder App auf das Gerät von dem aus die Seite aufgerufen wird nicht, können die Geräte nicht mit den Servern der Anbieter kommunizieren. Damit eine Datenübertragung stattfinden kann, muss eine Kommunikation zwischen den Geräten jedoch vorliegen. Diese zuletzt genannte Art der Datenverarbeitung regelt nicht die DSGVO, sondern eine EU-Richtlinie von 2002, die nun in Deutschland durch das TTDSG umgesetzt wurde. Mit dem TTDSG wurde das unübersichtliche Geflecht von Regelungen, die im Telemedien- und Telekommunikationsgesetz verstreut waren, in einem einheitlichen Gesetzestext zusammengefasst. Das TTDSG ist nicht wie die DSGVO auf personenbezogene Daten begrenzt, sondern erfasst sämtliche im Wege der Nutzung von Telemediendiensten erhobenen Informationen.
Wer muss den Verpflichtungen aus dem TTDSG nachkommen?
Alle Anbieter von Telemedien und Telekommunikationsdiensten sind an das Gesetz gebunden. Unter Anbieter von Telemedien fallen z.B. alle Unternehmen, die eine Webseite betreiben oder bei dem Betrieb einer Webseite mitwirken. Telekommunikationsdienste sind solche, die ganz oder überwiegend Signale über Telekommunikationsnetze übertragen, einschließlich Übertragungsdienste in Rundfunknetzen. Klassischerweise fällt die Telefonie, oder die SMS darunter.
Was bedeutet das TTDSG für die Nutzung von Cookies?
Nutzer sind mit den Anforderungen des Online-Datenschutzes jedes Mal konfrontiert, wenn ein Cookie-Banner auf dem Bildschirm erscheint. Anbieter von Websites und Apps müssen eine Einwilligung vom Nutzer einholen, wenn sie per Cookies Daten zum Zuspielen von Werbung erheben. Dabei sollte so detailliert wie möglich aufgelistet werden, um welche Daten es sich handelt, wozu diese genutzt werden oder auch an wen diese Daten weitergegeben werden. Ob für eine Datenanalyse zur Betrugsprävention, zur bedarfsgerechten Gestaltung oder statistischen Analyse des Seitenaufrufs auch eine Einwilligung erforderlich ist, sagt das Gesetz nichts und muss deshalb noch ausgelegt werden. Für das Setzen von Cookies oder anderen vergleichbaren Technologien (z.B. Pixel oder Browser Fingerprinting) ist die Grundlage der § 25 TTDSG, welcher den Schutz der Privatsphäre bei Endeinrichtungen regelt. Demnach dürfen Informationen auf Endgeräten nur gespeichert oder auf bereits vorhandene Informationen zugegriffen werden, wenn eine Einwilligung, die den Grundsätzen der DSGVO gerecht wird, vorliegt oder eine gesetzlich geregelte Ausnahme von der Einwilligungspflicht gegeben ist. Diese Regelung betrifft typischerweise Cookies, gilt jedoch in gleichem Maße für alle endgerätebasierten Speicherungen von Daten.
Lösung durch Einwilligungsmanagement
Die Anforderungen an die Einwilligung werden im Gesetz beschrieben. Demnach muss die Einwilligung des Endnutzenden auf der Grundlage von klaren und umfassenden Informationen ergehen. Die Information des Endnutzers und die Einwilligung haben gemäß der DSGVO zu erfolgen. Die Einwilligung muss freiwillig, für einen bestimmten Fall, in informierter Weise, durch eine unmissverständliche Willensbekundung und als eindeutige bestätigende Handlung, mit Hinweis auf eine Widerrufsmöglichkeit ausgestaltet sein. Wichtig ist hier, die eindeutige bestätigende Handlung, also die proaktive Zustimmung als “Opt-In“. Unternehmen sollten auf ihrer Webseite daher genau beachten, dass Internetnutzer konkret u.a. die Zwecke der Verarbeitung der personenbezogenen Daten kennt und in diese aktiv durch eine eigene Handlung, wie z. B. durch das Klicken auf einen “Zustimmen”-Button, einwilligen kann. Voreingestellt gesetzte Häkchen sind unzulässig.
Ausnahmen der Einwilligung
Von der Einwilligungspflicht gibt es Ausnahmen, die sich in § 25 Abs. 2 TTDSG finden. Eine Einwilligung ist dann nicht notwendig, wenn die Cookies ausschließlich zur Übertragung einer Nachricht über ein öffentliches Kommunikationsnetz dienen oder wenn Cookies unbedingt erforderlich sind.
Unklarheiten, wann Cookies unbedingt erforderlich sind, bleiben jedoch auch weiterhin bestehen und werden durch das TTDSG nicht gelöst. Notwendige Cookies sind für den Betrieb der Webseite unbedingt (technisch) erforderlich und ermöglichen die Grundfunktionen der Webseite. Andere Cookies sollten in den meisten Fällen als optional betrachtet werden. Beispiele für solche unbedingt erforderlichen Cookies sind Login-, Authentifizierungs- oder Warenkorb-Cookies.
17. September 2021
Die Verbraucherzentralen in Deutschland haben knapp 100 Unternehmen abgemahnt, weil diese sich laut Verbraucherschützer rechtswidrig die Zustimmung zum Datensammeln beim Surfen im Web erschlichen haben. Bei einer Untersuchung von 949 Webseiten hätten zehn Prozent der Firmen mit ihren Cookie-Bannern eindeutig gegen die Vorgaben des Telemediengesetzes und der Datenschutzgrundverordnung verstoßen, erklärte die Verbraucherzentrale Bundesverband (vzbv) am Freitag in Berlin.
Viele Cookie-Banner bewegen sich in der rechtlichen Grauzone
Bei der Aktion wurden Webseiten aus unterschiedlichen Branchen wie Reisen, Lebensmittel-Lieferdienste oder Versicherungen untersucht. Neben den eindeutig rechtswidrigen Bannern, gab es zudem viele Banner, die sich in einer rechtlichen Grauzone bewegten. „Die Banner wirkten auf den ersten Blick zulässig, versuchten aber durch Tricks, die Entscheidung der Seitennutzer und Nutzerinnen zu lenken.“
Die Verbraucherschützer haben 98 Abmahnungen wegen klarer Verstöße gegen das TMG und die DSGVO verschickt. In zwei Drittel der Fälle hätten die Unternehmen inzwischen eine Unterlassungserklärung abgegeben.
Auftakt Cookie-Aktion
Cookies sind kleine Datensätze, die Webseiten hinterlegen, um die Nutzerinnen und Nutzer identifizierbar zu machen. Mit ihrer Hilfe können individuelle Profile erstellt werden, die weitreichende Rückschlüsse über Surfverhalten, Vorlieben und Lebensgewohnheiten zulassen. Dieses Wissen wird dann etwa für personalisierte Werbung herangezogen.
vzbv-Vorstand Klaus Müller sagte, rechtswidrige Cookie-Banner seien kein Kavaliersdelikt. „Die zunehmende Daten-Schnüffelei gefährdet die Privatsphäre der Verbraucherinnen und Verbraucher und führt zum durchleuchteten Bürger.“ Die Verbraucherzentralen und Verbände wollen in Zukunft verstärkt gemeinsam juristisch agieren, um gegen gravierende Probleme des Verbraucherschutzes oder offensichtliches Marktversagen anzugehen. Die Cookie-Abmahnaktion bildet dazu den Auftakt.
30. August 2021
Letzten Donnerstag kündigte die britische Regierung an, sich zukünftig von den wesentlichen Inhalten der DSGVO trennen und ein neues Gesetz einführen zu wollen. Der Datenschutz solle weniger bürokratisch sein und einige Vorschriften sollen abgeschafft werden. Konkret als Beispiele wurden dabei die Cookie-Banner genannt, die von Minister Oliver Dowden in vielen Fällen als ‚sinnlos‘ angesehen werden. Diese Banner, die vom Webseiten-Besucher eine Einwilligung in das Speichern seiner Daten durch Cookies verlangen, sollen nach dem Willen der britischen Regierung zukünftig nur noch erforderlich sein, wenn ein hohes Risiko für die Privatsphäre der Besucher besteht. Dabei sollen vor allem kleine Unternehmen und Wohltätigkeitsorganisationen entlastet werden. Nach der Aussage von Oliver Dowden soll von diesen nicht dasselbe verlangt werden, wie von riesigen Social-Media-Unternehmen.
Auch freiere internationale Datenflüsse sind geplant. Dazu will Großbritannien Datenschutzvereinbarungen mit weiteren Staaten abschließen, u.a. den USA und Dubai. Die Abkommen sollen dabei z.B. Online-Banking und die Strafverfolgung regeln.
Eingerichtet werden soll auch ein ExpertInnen-Rat, der “International Data Transfers Expert Council”. Dieser Rat soll Vereinbarungen treffen und gleichzeitig auf die Einhaltung des Datenschutzes achten.
Der Vorschlag für das neue Gesetz soll im Laufe des Septembers veröffentlich werden. Die EU-Kommission plant dann eine sofortige Überprüfung, ob das geplante Gesetz dem Datenschutzniveau der EU entspricht. Sollte dies nicht der Fall sein, hätte dies Folgen für den erst seit zwei Monaten bestehenden Angemessenheitsbeschluss. Dieser kann jederzeit ausgesetzt und beendet werden, bekräftigte ein Kommissionsprecher. Dann würde die Datenübertragung zwischen Großbritannien und der EU wieder wesentlich komplizierter. Da Datentransfers sodann einer erneuten Überprüfung unterliegen und zum Beispiel Standardvertragsklauseln geschlossen werden müssen. Großbritanniens Minister Dowden versichert hingegen, das Datenschutzniveau der EU würde beibehalten.
Es ist das erste Mal seit dem Austritt Großbritanniens aus der EU, dass die britische Regierung europäische Regeln verwerfen will. Die weitere Entwicklung bliebt abzuwarten und wird maßgeblich von dem Inhalt des Gesetzesentwurfes abhängen.
20. August 2021
Der Datenschutzverein noyb (none of your business) legte am 13.08.2021 Beschwerde gegen die Cookie-Paywalls von sieben großen Nachrichten-Websites (SPIEGEL.de, Zeit.de, heise.de, FAZ.net, derStandard.at, krone.at und t-online.de) ein.
Hinter den Cookie-Paywalls steht ein fragwürdiges Konzept:
Entweder stimmen die Nutzer*innen der Datenweitergabe an mitunter hunderte Tracking-Unternehmen zu oder sie schließen ein Abonnement für bis zu 84,00 Euro pro Jahr ab. Dabei stelle sich die Frage, ob eine Einwilligung freiwillig erteilt werden kann, wenn sonst ein Vielfaches des Marktpreises gezahlt werden müsse, um so die eigenen Daten nicht preiszugeben. Darüber hinaus werde auch gegen das Kopplungsverbot verstoßen. Auch die konkrete Einwilligungsausgestaltung wird angegriffen.
Medien rechtfertigen Abonnements
Die betroffenen Medienhäuser rechtfertigen ihre Abonnements in öffentlichen Statements. Heise.de veröffentlichte dazu: „Für uns war die Einführung des Pur-Abos Anfang 2021 aufgrund der Entwicklung des Online-Werbemarkts notwendig. Die meisten unserer Leserinnen und Leser akzeptieren, dass wir in der aktuellen Situation des Werbemarktes ihre Einwilligung für die Werbevermarktung benötigen.“
Datenschutzaufsicht und Rechtsprechung: Abonnements können DSGVO-konform sein
Die Datenschutzbehörde Österreich entschied bereits 2018 im Fall “Der Standard”, dass die damalige Ausgestaltung nicht zu beanstanden wäre: “Im Ergebnis liegt in den Konsequenzen bei Nichtabgabe einer Einwilligung bei weitem kein wesentlicher Nachteil vor und die betroffene Person ist mit keinen beträchtlichen negativen Folgen konfrontiert.“ Bei noyb sei man jedoch dazu entschlossen, diese Entscheidung zu revidieren. Nach eigenen Angaben wurde dieser Fall von einem Laien vor die Behörde gebracht und basiere auf faktisch falschen Annahmen.
Darüber hinaus verweist beispielsweise auch der Heise Medien Verlag auf die zuständige Datenschutzbehörde Niedersachsen. Dort bestätigte die Datenschutzbeauftragte Barbara Thiel in ihrer Handreichung zur datenschutzkonformen Einwilligung auf Webseiten, dass solche Abonnements DSGVO-konform sein können: „Es wird allerdings nicht gegen die Freiwilligkeit verstoßen, wenn dem Nutzer neben der Einwilligung die Alternative angeboten wird, die Sichtbarkeit der Inhalte durch eine angemessene Bezahlung herbeizuführen.“
Weitere Defizite bei der Freiwilligkeit
Des Weiteren sei die Einwilligung mit einem großen Aufwand und Kosten für die Nutzer*innen verbunden. “Nein” zu sagen, sei äußerst aufwändig. Man müsse seinen Namen, Anschrift und Kreditkartendaten preisgeben. Zusätzlich entständen auch vergleichsweise hohe Kosten für die Nutzer*innen.” Diese ständen in einem groben Missverhältnis zur Weitergabe der Daten. Während diese den Medienhäusern nur ein paar Cent pro Nutzer*in bringe, verlange der SPIEGEL oder die FAZ aktuell je 59,88 Euro pro Jahr um Daten nicht weiterzureichen. Die ZEIT verlange 62,40 Euro und der Standard gar 84,00 Euro pro Jahr für sein “PUR Abo” ohne Werbung, so der Verein.
„Die meisten Nutzer*innen besuchten dutzende Nachrichtenseiten pro Monat, weshalb für sie substanzielle Kosten entstehen würden, um die Weitergabe ihrer Daten zu verhindern“, so der Datenschutzverein.
noyb sieht toxische Abhängigkeit von großen Konzernen
Nach Angaben des Datenschutzvereins erhielten laut einer Studie aus den USA Medien nur etwa 4% der Mehreinnahmen durch die Datenweitergabe. „Viele Medienhäuser haben sich in eine toxische Abhängigkeit von großen Konzernen begeben. Sie verscherbeln die Daten und das Vertrauen ihrer Leser für ein paar Cent. Die großen Gewinne wandern trotzdem zu den großen Unternehmen der Werbeindustrie – genau wie die Daten“, so der Datenschutzjurist Alan Dahi.
Ein Lösungsansatz
Laut noyb liege die Lösung in datenschutzkonformer Werbung. „Wir brauchen ordentlich finanzierte Medien. Es ist jedoch ein Trugschluss, dass die Finanzierung unbedingt durch das Verschleudern von Userdaten an Google und Co. passieren muss. Innovative Werbesysteme, die Medienhäuser selbst betreiben und bei denen sowohl Daten als auch Gewinne bei den Qualitätsmedien bleiben, sind nicht nur rechtlich geboten, sondern wohl auch eine wirtschaftliche Überlebensfrage. Aktuell werden die ehemaligen Flaggschiffe der freien Presse zu Litfaßsäulen und Datensammler für die Werbeindustrie. Wir müssen wieder zu einem System kommen, wo der Leser der Werbung folgt, nicht die Werbung dem Leser”, so Dahi in dem von noyb veröffentlichten Statement.
1. Juni 2021
Die Nichtregierungs-Organisation Non-OF-Your-Business (NOYB) – vor allem bekannt durch ihren Mitgründer Max Schrems – hat über 500 Beschwerden gegen verschiedene Unternehmen aus der EU und den USA eingereicht. NOYB wirft diesen Unternehmen vor, durch rechtswidrige Cookie-Banner Einwilligungen in das Datentracking eingeholt zu haben, die ohne diese unzulässigen Cookie-Banner nicht erteilt worden wären. Um – nach Ansicht von NOYB – rechtswidrige Cookie-Banner identifizieren zu können, nutze die Organisation eine selbst entwickelte Software. Diese spüre nicht nur die fraglichen Cookie-Banner auf, sondern generiere auch automatisch entsprechende Beschwerden, welche an die Unternehmen versendet werden.
“Beschwerdewelle” erst der Anfang
Eigenen Angaben zufolge hat NOYB die größten Webseiten aus 33 verschiedenen Staaten kontrolliert, aber bereits angekündigt, bis zu 10.000 der meistbesuchten Seiten in Europa überprüfen zu wollen. Ziel der Überprüfug sei – anders als bei deutschen Abmahnanwälten – aber nicht der Bezug von Gebühren, sondern die Einhaltung der gesetzlichen Vorschriften. Unternehmen würden laut NOYB die DS-GVO als Sündenbock für komplizierte Cookie-Banner vorschieben, obwohl diese Regelungen klar seien. Aus diesem Grund werde NOYB zunächst auch auf formelle Beschwerden verzichten und stattdessen die Möglichkeit bieten, die Cookie-Banner anzupassen; nur wennn dies nicht innerhalb eines Monats erfolge, würden behördliche Maßnahmen eingeleitet.
Cookie-Banner oft irreführend
NOYB erachtet verschiedene Gestaltungen des Cookie-Banners als rechtswidrig, kritistiert aber insbesondere fehlende Möglichkeiten, bereits auf der erste Ebene der Website funktionelle Cookies abzulehnen. Auch sei es leider üblich, Nutzer durch eine irreführende Farbgebung zum Klick auf den Button zur Zulassung sämtlicher Cookies zu bewegen. NOYB betont diesbezüglich, dass die Ablehnung von Cookies ebenso leicht sein müsse wie die Zustimmmung in die Nutzung.
Bei der durchgeführten Überprüfung habe NOYB auf dem Großteil der geprüften Webseiten Mängel hinsichtlich der Cookie-Banner festgestellt. Für die Unternehmen wird die Nutzung von Cookie-Bannern jedoch auch dadurch erschwert, dass die entsprechenden Anforderungen in den Mitgliedsstaaten der EU teilweise variieren, außerdem sind diese noch nicht abschließend gerichtlich festgestellt. Gleichwohl drohen diesbezüglich empfindliche Bußgelder: Diese bewegen sich regelmäßig im Bereich zwischen wenigen Tausend und einigen Zehntausend Euro, gegen Google wurden wegen der rechtswidrigen Nutzung von Cookies aber auch schon Bußgelder von 35-60 Millionen Euro verhängt.
29. März 2021
Immer wieder zeigt sich in Umfragen, dass sich Internet-Nutzer von sog. Cookie-Bannern in ihrem Nutzungserlebnis eingeschränkt fühlen, oder diese wegen ihrer Komplexität nicht verstehen und deswegen oft ungeprüft akzeptieren. Auch die Politik beschäftigt sich seit dem Aufkommen der Cookie-Banner wiederholt mit der Frage, wie diese in Zukunft gestaltet werden sollen. Nun hat sich auch das Bundesjustizministerium dafür ausgesprochen, dass Cookie-Banner nutzerfreundlicher gestaltet werden sollen.
Auf eine Anfrage des Handelsblatt hin äußerte sich Staatssekretär Christian Kastrop, dass das Problem im Wesentlichen in der Gestaltung der Cookie-Banner liege. Diese würden durch die Anbieter undurchsichtig und kompliziert designed oder mit langen Texten versehen, sodass die Nutzer schnell genervt seien und die Cookie-Nutzung oftmals ungeprüft akzeptieren. Notwendig sei deshalb, die erforderliche Einwilligung “einfach, verständlich und rechtssicher“ auszugestalten.
Unterschiedliche Lösungsansätze
Die Regierungsparteien sind sich über die Art und Weise, wie dies erreicht werden soll, aber scheinbar nicht einig. Während die Union einheitliche Voreinstellungen, welche durch die Dienstanbieter verwaltet werden und dann für alle Webseiten gelten sollen, ins Spiel bringt, verweist die SPD auf eine europäische Lösung: die Regelung der Thematik in der neuen E-Privacy-Verordnung, welche nun bereits seit Jahren auf sich warten lässt. Diesen Weg schlägt auch die Landesbeauftragte für Datenschutz aus Schleswig-Holstein vor.
Verbraucherschützer fordern ebenfalls eine einfachere Regelung zum Schutz der Nutzer. Auch hier wird eine einheitliche Lösung über den Internet-Browser bzw. das Betriebssystem vorgeschlagen, jedoch als Standardeinstellung eine Verweigerung der Cookie-Nutzung gefordert. Der Verwendung von Cookie müsste dann ausdrücklich zugestimmt werden.
Nutzerfreundlichkeit sieht auch der Vorschlag der Hamburger Grünen vor, wonach zwei Schaltflächen für “Cookies akzeptieren” und “Cookies ablehnen” gleichberechtigt nebeneinander stehen sollen, also ohne Unterschiede im Design (wie Farbe oder Größe). Über eine dritte Schaltfläche könnten dann individuelle Einstellungen vorgenommen werden.
Nicht wenige Unwägbarkeiten
Die Diskussion über die Zukunft der Cookie-Banner ist gerechtfertigt. Für Dienstanbieter bedeuten Cookie-Banner Mehraufwand, für Nutzer regelmäßig unübersichtliche Ärgernisse. Eine nationale Regelung trifft jedoch sowohl auf tatsächliche als auch auf rechtliche Hindernisse. Einerseits erscheint es fraglich, welchen Mehrwert eine deutsche Regelung im länderübergreifend operierenden Internet bietet, andererseits müsste das Gesetz die europarechtlichen Vorgaben erfüllen.
Ähnliche Probleme ergeben sich bei der einheitlichen Cookie-Verwaltung. Die Anzahl der im Internet eingesetzten Cookies ist kaum zu überblicken, sodass es nur schwer vorstellbar ist, dass hier eine Auswahl aller in Betracht kommender Cookies möglich ist. Wird dann stattdessen in Kategorien von Cookies eingewilligt? Wenn ja, wie verhält sich dies mit der Vorgabe der Datenschutz-Grundverordnung in die Informiertheit einer Einwilligung? Dies alles sind Fragen, die in diesem Zusammenhang der Klärung bedürften.
10. November 2020
Der Fachverband deutscher Webseiten-Betreiber (FdWB) hat in einer aktuellen Studie 2.500 Webseiten kleiner und mittelständischer Unternehmen unter die Lupe genommen. Dabei wurde die Einhaltung der Rechtsvorschriften aus dem Telemediengesetz (TMG), der Datenschutz-Grundverordnung (DS-GVO) und der ePrivacy-Richtlinie sowie die Beachtung von Urteilen des Bundesgerichtshofs überprüft.
Zu den wichtigsten Voraussetzungen einer rechtskonformen Webseite in Deutschland zählen ein Impressum und eine Datenschutzerklärung. Außerdem hat der BGH in seinem Urteil vom 28.05.2020 (Az. I ZR 7/16) klargestellt, dass für das Setzen von Cookies eine vorherige Einwilligung des Nutzers erforderlich ist (wir berichteten).
Die Studie bemängelte, dass 87 Prozent über kein funktionierendes SSL (Secure Sockets Layer) – Protokoll verfügen. Tatsächlich ist dies auch nicht wortwörtlich im Gesetz vorgeschrieben. Allerdings gilt gemäß § 13 Abs. 7 TMG in Verbindung mit Art. 5 Abs. 1 lit. f und Art. 32 Abs. 1 lit. a DS-GVO, dass Diensteanbieter ihre geschäftsmäßig angebotenen Telemedien gegen Verletzungen des Schutzes personenbezogener Daten angemessen sichern müssen. Daraus ergibt sich eine Pflicht zur Nutzung des SSL-Protokolls.
Zudem war auf zahlreichen Webseiten ein unzureichender Cookie-Banner implementiert. Dieser war entweder nicht vollständig oder bot keine Möglichkeit der Nutzung von Cookies zu widersprechen. Teilweise waren auch Fehler in den Formularen zur Kontaktaufnahme oder zur Newsletter-Anmeldung enthalten.
Eine Missachtung der obigen Vorschriften birgt nicht nur datenschutzrechtliche Risiken für die Webseitenbesucher, sondern kann auch Abmahnungen für die Webseitenbetreiber nach sich ziehen.