Schlagwort: Tracking-Cookies
22. Dezember 2022
Wie die Verbraucherzentrale NRW berichtet, hat Google im Klageverfahren vor dem Landgericht Berlin eine Unterlassungserklärung abgegeben und seine Cookie-Banner angepasst. Daraufhin wurde das Verfahren für erledigt erklärt und damit beendet.
Klage der Verbraucherzentrale NRW wegen „Dark Patterns“
Die Klage hatte die Verbraucherzentrale NRW im April 2022 erhoben. Darin warf sie Google vor, Nutzerinnen und Nutzer mithilfe sogenannter „Dark Patterns“ dazu zu bewegen, zu mehr Cookies eine Einwilligung zu erteilen als beabsichtigt. Solche Dark Patterns sind darauf ausgelegt, Personen zu Handlungen zu verleiten, die ihren eigenen Interessen entgegenlaufen. Cookies sind kleine Textdateien, die der Webbrowser auf dem Gerät bei einem Webseitenbesuch speichert. Sie ermöglichen es (Dritt-)Anbietern, das Nutzungsverhalten beim Surfen im Internet nachzuverfolgen.
Die Cookie-Banner auf den Webseiten der Suchmaschine von Google waren in einer Weise gestaltet, die es Besucherinnen und Besuchern erheblich schwieriger machte, die Verarbeitung von Cookies abzulehnen als in diese einzuwilligen. Für die Zustimmung genügte ein einziger Klick. Dagegen musste zur Ablehnung auf eine zweite Ebene des Banners gewechselt werden. Um sämtliche nicht technisch erforderlichen Cookies abzulehnen, mussten mindestens drei verschiedene Kategorien von Cookies einzeln abgelehnt werden.
Laut Verbraucherzentrale NRW sei dieses Vorgehen ein Trick, um die Einwilligung zu „erschleichen, um an möglichst viele persönliche Informationen zu gelangen, diese zu sammeln und zu verarbeiten“. Das Ablehnen von Cookies müsse genauso leicht sein wie das Akzeptieren.
Das neue Cookie-Banner von Google setzt diese Vorgabe nun auch um. Es stehen zwei Schaltflächen nebeneinander, mit denen entweder alle Cookies akzeptiert oder abgelehnt werden können.
Der Kampf gegen undurchsichtige Cookie-Banner
Wohl die meisten Internetnutzerinnen und -nutzer sind genervt von der Flut an Cookie-Bannern im Internet. Sie sind das erste, womit sie auf jeder neuen Webseite konfrontiert werden. Grund dafür ist vor allem, dass eine Einwilligung nach dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), welches auf der europäischen ePrivacy-Richtlinie beruht, für alle nicht technisch unbedingt erforderlichen Cookies benötigt wird. Dabei sind die Webseitenbetreiber in der Gestaltung keineswegs frei. So hat der Europäische Gerichtshof 2019 entschieden, dass bestimmte Informationen darin enthalten sein müssen: Der Verantwortliche muss erkennbar sein, die Verarbeitungszwecke und Dauer müssen angegeben werden und auch die Weitergabe der Daten muss klar kommuniziert werden. Darüber hinaus gelten für die Einwilligung die Anforderungen der Datenschutzgrundverordnung (DSGVO). Eine Einwilligung muss freiwillig, bestimmt, informiert und unmissverständlich sein (vgl. Art. 4 Nr. 11 DSGVO). Außerdem müssen die Freiwilligkeit der Einwilligung und ihre jederzeitige Widerrufbarkeit kommuniziert werden.
Infolge von Klagen und Beschwerden von den Verbraucherzentralen und Datenschutzorganisationen wurden bereits auf zahlreichen Webseiten die Cookie-Banner geändert. Um den Umgang mit Cookies zu erleichtern, arbeitet die Bundesregierung derzeit an einer Rechtsverordnung zur zentralen Einwilligungsverwaltung. Damit könnten Nutzerinnen und Nutzer in ihrem Browser ihre Cookie-Präferenzen einmalig angeben, anstatt dies auf jeder einzelnen Webseite zu tun.
21. Juli 2022
Der gemeinnützige Verein Digitalcourage hat diese Woche bekannt gegeben, dass er beabsichtigt eine Klage gegen die Deutschen Bahn einzureichen. Konkret will Digitalcourage gegen die „DB Navigator“-App vorgehen. Begründet hat der Verein sein Vorhaben damit, dass durch die App ein umfangreiches und nicht datenschutzkonformes Tracking stattfinde.
Funktionsweise der App
Die „DB Navigator“-App bietet Reisenden der Deutschen Bahn eine Vielzahl von Anwendungen. Der Nutzer kann über die App beispielsweise Zugverbindung suchen, sich Echtzeit-Verspätungen anzeigen lassen, Zugtickets kaufen und diese im Anschluss in der App hinterlegen.
Die Kritik
Digitalcourage e.V. kritisiert an der „DB Navigator“-App die Cookie-Einstellungen. Der Nutzer der App könne zunächst zwischen den Einstellungen „Alle Cookies zulassen“, „Cookie-Einstellung öffnen“ und „Nur erforderliche Cookies zulassen“ wählen. Hierbei ist die vermeintlich datenschutzfreundlichste Wahlmöglichkeit die Letzte. Wenn der Nutzer nur technisch notwendige Cookies auswählt, soll die App nur diejenigen Cookies anwenden, die für ihr ordnungsgemäßes Funktionieren erforderlich sind.
Wählt der Nutzer die letzte Option („Nur erforderliche Cookies zulassen“), so sei diese Wahl laut Digitalcourage aus datenschutzrechtlicher Sicht problematisch, da ein umfangreiches Tracking stattfinde. Wenn der Nutzer nur technisch notwendige Cookies auswähle, wende die App verschiedene Funktionen von rund zehn Unternehmen an. Bei Anwendung der durch die Unternehmen zur Verfügung gestellten Dienstleistungen, können beispielsweise Nutzungsstatistiken erstellt oder dem Nutzer personalisierte Angebote anzeigt werden. Die Folge sei, dass die App personenbezogene Daten ihrer Nutzer an diese Unternehmen übermittle. Zu den übermittelten personenbezogenen Daten zählen beispielsweise die Anzahl der Reisenden, der Beginn der Reise, der Start- und Zielbahnhof.
Indem die Deutsche Bahn die eingesetzten Cookies zu solchen Cookies erkläre, die technisch notwendig seien, könne der Nutzer dieser Übermittlung nicht widersprechen. Außerdem sei für den Nutzer nicht ersichtlich, wann und in welchem Umfang die App seine personenbezogenen Daten übermittle. Hinzukäme, dass der Reisende gezwungen sei die App zu nutzen, da einige Dienstleistungen nur über die App erbracht werden. Beispielsweise könne ein Reisender nach Fahrtantritt Tickets nicht mehr beim Schaffner, sondern nur noch über die App kaufen.
8. Juni 2021
Der Bundestag hat mit den Stimmen der GroKo-Fraktionen den von der Regierung eingebrachten Gesetzentwurf zur Modernisierung des Telekommunikationsrechts (Telekommunikationsmodernisierungsgesetz) beschlossen. Die neuen Regelungen treten am 1. Dezember 2021 in Kraft. Die Datenschutzbestimmungen aus dem Telemedien- und dem Telekommunikationsgesetz (TMG/TKG), die sich neben der klassischen Telefonie etwa auf Online- und Messenger-Dienste beziehen, finden sich zukünftig in einem eigenen Gesetz wieder. Die bisher teils widersprüchlichen Bestimmungen führten zu Rechtsunsicherheiten; sowohl das Telemediengesetz (TMG) als auch das kürzlich novellierte Telekommunikationsgesetz (TKG) haben in gewissen Abschnitten für Verunsicherungen gesorgt.
“Bisher waren Fragen des Datenschutzes und der Privatsphäre auf diese beiden Gesetze aufgeteilt. Diese unterschiedlichen Datenschutzregeln werden nun in einem einzigen Gesetz zusammengeführt, so dass die Rechtslage klarer und einheitlicher wird”, so der SPD-Abgeordnete Falko Mohrs gegenüber EURACTIV.
Ziel der TKG-Novelle ist es unter anderem, den flächendeckenden Glasfasernetzausbau zu beschleunigen und die EU Richtlinie 2018/1972 über den europäischen Kodex für die elektronische Kommunikation umzusetzen. Folglich sollen die Regeln vereinheitlicht und an die EU-Datenschutzgrundverordnung angepasst werden. Durch ein Mobilfunkausbauziel sollen den Netzunternehmen Anreize gesetzt werden, leistungsfähiges Internet zu sichern, so dass Standardanwendungen wie Videocalls oder Social Media Nutzung überall problemlos möglich sind. Es wird beabsichtigt LTE an allen Bundes-, Land- und Kreisstraßen sowie an allen Schienenstrecken „möglichst bis 2026“ anzubringen.
Mit dem neuen Gesetz wird auch die seit 2009 im EU-Recht verankerte “Pflicht zur Zustimmung der Nutzer zu Cookie-Einstellungen” umgesetzt. Die bisherige Regelung galt als defizitär, denn die entsprechende EU-Richtlinie wurde nicht richtig umgesetzt. Nachdem der Bundesgerichtshof davon ausgegangen ist, dass der Einsatz technisch nicht notwendiger Cookies zwingend einer ausdrücklichen Einwilligung der Endnutzer bedarf, soll dieses zwingende Einwilligungserfordernis nunmehr durch das TTDSG gesetzlich normiert werden. Bundeswirtschaftsminister Peter Altmaier erklärt, dass hierdurch ein Kompromiss zwischen dem Schutz der Privatsphäre in der digitalen Welt und den digitalen Geschäftsmodellen, die ja gerade auf der Datennutzung basieren, erzielt werden soll. „Mit Blick auf die viel diskutierten Cookies eröffnet das Gesetz die Möglichkeit, ein nutzerfreundliches und wettbewerbskonformes Einwilligungsmanagement zu entwickeln, das Verbraucherinnen und Verbrauchern, Unternehmen und Startups gleichermaßen nutzt.”
4. Juni 2020
Der Bundesgerichtshof (BGH) hat am 28.05.2020 entschieden, dass eine Opt-Out Regelung nicht ausreicht, um die Zustimmung von Nutzern zur Speicherung von Daten zu erlangen. Dabei hat der BGH in seiner Entscheidung Cookie-Banner für unrechtmäßig erklärt, wenn diese nur weggeklickt werden können (Urt. v. 28.05.2020, Az. I ZR 7/16). Die Nutzer müssen ihre Einwilligung durch aktives Ankreuzen entsprechender Felder erklären. Laut BGH sei das vorformulierte Einverständnis zum Setzen von Cookies sonst unwirksam.
Cookies sind kleine Dateien, die im Rahmen des Besuchs einer Internetseite an den Browser des Endgeräts gesendet und dort gespeichert werden. Sie dienen dazu, um die Navigation im Internet zu erleichtern oder Informationen über das Nutzerverhalten zu erlangen. Große Tracking-Anbieter, wie Google Analytics, nutzen Cookies um auf diese Weise ein Werbeprofil des Nutzer zu erstellen.
Hintergrund der Entscheidung
Das Urteil markiert den Abschluss eines 2014 begonnen Rechtsstreit zwischen der Verbraucherzentrale Bundesverband (vzbv) und dem Gewinnspielanbieter Plant49. Darüber wurde bereits berichtet.
Nun hat der BGH die Rechtsauffassung des EuGH von 2019 bestätigt. Eine aktive und informierte Einwilligung ist für alle technisch nicht notwendigen Cookies auf Webseiten erforderlich.
Ausnahmen für das Einwilligungserfordernis
Eine Ausnahme bilden „zwingend erforderliche“ Cookies. Wann dies genau der Fall sein soll, hängt von dem konkreten Einzelfall ab. Die zwingende Erforderlichkeit kann z.B. bei Nutzereinstellungen wie etwa der Einstellung der Sprache angenommen werden. Das Tracking zu Werbezwecken und zur Profilbildung ist nach Ansicht des BGH jedoch nicht zwingend erforderlich. Hierfür ist eine Einwilligung mittels Opt-In erforderlich. Abzuwarten bleibt, was sich zu dieser Diskussion aus der Urteilsbegründung der BGH-Entscheidung entnehmen lässt.
3. Juli 2018
Nach der DSGVO kommt eine weitere Stufe, die einen angemessenen Verbraucherschutz sicherstellen soll. Mit der in der Vorbereitung befindlichen neuen E-Privacy-Verordnung (EPVO) soll zukünftig der Verbraucherschutz weiter verbessert werden.
Anders als die DSGVO ist die EPVO nicht für jedes Unternehmen relevant, sondern lediglich für solche, die Kommunikationsdienstleistungen anbieten wie z.B. Telefon, Internetzugang, E-Mails, Chats, Messenger-Systeme oder personalisierte Onlinewerbung.
Die mögliche Sprengkraft der EPVO wird deutlich, wenn man bedenkt, dass zahlreiche Online-Medien deshalb kostenlos angeboten werden können, weil diese sich über personalisierte Werbung finanzieren. Durch personalisierte Werbung erhoffen sich Werbungtreibende eine höhere Trefferquote mit den anvisierten Zielgruppen. Kommt es zur einer Einschränkung der Möglichkeiten zur Verfolgung des Nutzerverhaltens, kann dieses Finanzierungsmodell für viele Internetangebote in Zukunft Probleme verursachen.
Die EPVO stellt eine Erweiterung der deutschen Regelungen des Telemediengesetzes und des Gesetzes gegen unlauteren Wettbewerb auf EU-Ebene dar. Durch das TMG und das UWG gibt es derzeit schon zahlreiche Vorschriften, die in der Online-Wirtschaft berücksichtigt werden müssen, dass für die Nutzer deutscher Websites sich nur wenig verändert.
Insbesondere dürfen Tracking-Cookies in Zukunft nicht dazu führen, dass ohne diese Cookies die Website gar nicht genutzt werden kann. Künftig muss explizit danach gefragt werden, ob Tracking-Cookies gesetzt werden dürfen. Wenn Sich der Nutzer dazu entschließt, grundsätzlich keine Tracking-Cookies zu akzeptieren, muss dieser nicht nur die Möglichkeit haben, diese Einstellung im Browser vornehmen zu können, sondern diese muss ebenfalls als Default-Einstellung im Browser vorinstalliert sein. Nicht betroffen von der EPVO sind Cookies, die in einem Online-Shop für den Warenkorb eingesetzt werden, da sonst der ganze Onlinehandel erhebliche Einschränkungen unterlegen wäre.
Diese Erneuerung bedürfen einer Umstrukturierung der Online-Medien, die sich klassischerweise über Webeeinnahmen finanziert haben. Das kann dazu führen, dass Medienangebote in Zukunft nicht mehr kostenlos abrufbar sind oder die Anbieter auf Spenden angewiesen sind.
Wie auch die DSGVO enthält die EPVO erhebliche Strafandrohungen von bis zu 20 Millionen Euro oder viert Prozent des Jahresumsatzes. Anders als bei der DSGVO, bei der es Ausnahmemöglichkeiten für Flüchtigkeitsfehler kleiner Anbieter gibt, gelten diese Strafen ohne Rücksicht für alle kommerziellen Webseiten-Anbieter unabhängig von ihrer Unternehmensgröße.