Drücke „Enter”, um zum Inhalt zu springen.
Auf dieser Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise

Consent Tools für Webseiten im großen Praxistest: Big Fail

· Ein Beitrag von IT Logic

Kategorien: Cookies, Datenschutz, Recht und Tracking

Als Consent Tools werden Hilfsmittel verstanden, mit denen eine Einwilligung für Datenverarbeitungsvorgänge vom Besucher einer Webseite eingeholt werden kann, damit eine ansonsten nicht gerechtfertigte Datenverarbeitung stattfinden kann. Oft werden solche Tools auch als Cookie Consents bezeichnet, obwohl Cookies von Diensten verwaltet werden und Cookies nur eine von vielen Möglichkeiten des Trackings darstellen.

Alle getesteten Webseiten, die ein Consent Tool einsetzen, zeigen gravierende Mängel.

Untersuchung von 20 Webseiten und 7+ Consent Tools durch die IT Logic GmbH, Stand: 30.12.2020.

Die Consent Tools, die in der Praxis beurteilt wurden, sind:

  1. Borlabs Cookie
  2. consent manager
  3. Cookiebot
  4. CCM19
  5. Klaro!
  6. OneTrust (Synonyme: Optanon, Cookie Law)
  7. Usercentrics

Der Test wurde durchgeführt, indem Webseiten, die diese Consent Tools einsetzen, gegen verschiedene Kriterien geprüft wurden.

Die Webseiten, von denen insgesamt 20 im Praxistest berücksichtigt wurden, sind:

adac.de, bondzio.de, braeutigam-hotel.de, ccm19.de, commerzbank.de, consentmanager.de, cookiebot.com, crifbuergel.de, digitale-helden.de, dillinger.de, euronics.de, ffh.de, haendlerbund.de, heise-regioconcept.de, hertie.de, kia.com, kiprotect.com, mediana.de, mitsubishi-motors.de, springer.com, techem.de, usercentrics.com, werdewelt.info, ww-ag.com, sowie sieben weitere.

Die fett gedruckten Webseiten sind welche von größeren oder bekannteren Firmen, die über genügend Ressourcen zum Einhalten von Datenschutzregeln verfügen sollten.

Getestet wurden jeweils konkrete Benutzungen der Einwilligungs-Tools. Dabei wurde auf eine Mischung bekannterer und weniger bekannter Webseiten geachtet.

Auch Webseiten von Anbietern, die ihr eigenes Tool verwenden, wurden getestet. Weil auch dort gravierende Mängel jeweils in erheblicher Anzahl festzustellen waren, liegt der Schluss nahe, dass einige Anbieter von Consent Tools selbst keine ausreichende Kenntnis von Datenschutzvorschriften haben und deren Motivation eine andere als der Datenschutz zu sein scheint.

Ob sich die Webseiten-Verantwortlichen jeweils an die Vorgaben der Consent Tools gehalten haben, sofern es welche gibt, wurde nicht weiter geprüft. Die Consent Tool Anbieter legen teilweise anscheinend keinen großen Wert darauf, mitzuteilen, was genau getan werden müsste, um mithilfe derer Tools DSGVO-konforme Webseiten zu erhalten.

Die Ergebnisse stammen vom 31.12.2020 und wurden teilweise auch am 12.01.2021 erneut nachgeprüft. Auch am 08.04.2021 waren zahlreiche der Befunde immer noch aktuell. An der allgemeinen Mangelhaftigkeit populärer Consent-Tools hat sich auch bis August 2021 nichts geändert.

Ergebnis pro Consent Tool

Die Ergebnisse pro Consent Tool sind eine Zusammenfassung der weiter unten dargestellten Tests von Webseiten, die diese Consent Tools einsetzen. Die Ergebnisse sind nicht repräsentativ, aber man braucht nicht viel Phantasie, um zu erkennen, dass die Ergebnisse wahrscheinlich auf wirklich viele Webseiten zutreffen, die diese sogenannten Einwilligungslösungen, die meist keine datenschutzkonformen Lösungen zu sein scheinen, einsetzen.

Consent ToolProbleme
Borlabs Cookie
  • Laden von Tools ohne Einwilligung
  • Zurückstellen der Ablehnen Möglichkeit
  • Fehlende Information zur Widerrufsmöglichkeit
  • Ungenügende Erklärungen zu Tools und Cookies
  • Ungenügende Erklärungen zu Datentransfers
  • Widerruf nur mit mehreren Klicks möglich
  • Widerruf wird nicht vollständig ausgeführt
consent manager
  • Laden von Tools ohne Einwilligung
  • Fehlende Datenschutzhinweise
  • Ungenügende Erklärungen zu Tools und Cookies
  • Ungenügende Erklärungen zu Datentransfers
  • Widerruf nur mit mehreren Klicks möglich
  • Widerruf wird nicht vollständig ausgeführt
CCM19
  • Laden von Tools ohne Einwilligung
  • Zurückstellen der Ablehnen Möglichkeit
  • Fehlende Datenschutzhinweise
  • Ungenügende Erklärungen zu Tools und Cookies
  • Ungenügende Erklärungen zu Datentransfers
    Widerruf wird nicht immer vollständig ausgeführt
Cookiebot
  • Zurückstellen der Ablehnen Möglichkeit (2/3)
  • Wahrscheinlicher Datentransfer in unsichere Drittländer durch Laden des Consent Tools
  • Laden von Tools ohne Einwilligung
  • Fehlende Datenschutzhinweise
    Widerruf nicht einfach möglich
  • Ungenügende Erklärungen zu Tools und Cookies
  • Ungenügende Erklärungen zu Datentransfers
Klaro!
  • Laden von Tools ohne Einwilligung
  • Fehlende Information zur Widerrufsmöglichkeit
  • Fehlende Datenschutzhinweise
  • Widerruf nicht einfach möglich
  • Ungenügende Erklärungen zu Datentransfers
  • Datenschutzerklärung nicht direkt lesbar
OneTrust Optanon CookieLaw
  • Laden von Tools ohne Einwilligung
  • Wahrscheinlicher Datentransfer in unsichere Drittländer durch Laden des Consent Tools
  • Ablehnen erfordert einen Klick mehr als Einwilligen
  • Fehlende Datenschutzhinweise
  • Ungenügende Erklärungen zu Tools und Cookies
  • Ungenügende Erklärungen zu Datentransfers
  • Widerruf gar nicht oder nicht einfach möglich
  • Widerruf nicht ausführbar oder nicht vollständig ausgeführt
UserCentrics
  • Datentransfer in unsichere Drittländer durch Laden des Consent Tools (1/3)
  • Zurückstellen der Ablehnen Möglichkeit
  • Laden von Tools ohne Einwilligung
  • Ungenügende Erklärungen zu Tools und Cookies
  • Ungenügende Erklärungen zu Datentransfers
  • Datenschutzerklärung nicht direkt lesbar
  • Widerruf wird nicht vollständig ausgeführt
Komprimierte Ergebnisse als Querschnitt aus den getesteten Webseiten.

Die eben genannten Ergebnisse sind ein Extrakt aus dem Querschnitt der Testergebnisse. Für Details dazu siehe die einzelnen Tests der Webseiten mit den verwendeten Consent Tools.

Ergebnisse zu den Webseiten

Die Ergebnisse zu den Webseiten, die die o.g. Consent Tools einsetzen, sind gruppiert nach Consent Tool. Zu den Tools werden Webseiten genannt, die diese Tools einsetzen. Den Ergebnissen werden die Webseiten aus rechtlichen Gründen nicht zugeordnet.

Die Ergebnisse werden aufgrund der Menge an Befunden nur kurz dargestellt. Ausführliche Ausführungen enthält unser Dokument mit allen Ergebnissen, welches wir bei Bedarf nach Abstimmung bereitstellen.

Für alle Consent Tools wurden auf den getesteten Webseiten im Durchschnitt mehr als 10 problematische Befunde pro Webseite ermittelt.

Ergebnis des Praxistests.

Borlabs Cookie

Dieses Consent Tool ist ausschließlich für WordPress-Webseiten geeignet.

Gefundene Webseiten, die Borlabs Cookie einsetzen:

  • bondzio.de
  • braeutigam-hotel.de
  • heise-regioconcept.de
  • mediana.de
  • sowie eine weitere (die möglicherweise im Folgenden genannt wird)

Von diesen Webseiten wurde ein Teil getestet und nachfolgend bewertet.

Webseite A

Nach dem Aufruf der Webseite stellt sich das Consent Popup wie folgt dar:

Einwilligungsabfrage der Webseite A

Es gibt 15 problematische Befunde zur Webseite. Diese werden nur für Webseite A in Kürze genannt. Für alle weiteren Webseiten erfolgt keine Nennung auf dieser Seite. Vielmehr sind die Details zu den Befunden im Dokument an Ende dieser Seite zu finden.

  • Ablehnen nicht direkt möglich: Dies erscheint rechtswidrig.
  • Fehlende Information zur Widerrufsmöglichkeit.
  • Laden von Tools ohne Einwilligung: Bereits beim Laden der Webseite A und ohne etwas angeklickt zu haben werden die Tools Google Analytics, Google Schriften vom Google Server und Google+ geladen.
  • Fehlende Information zu eingesetzten Tools: Die im vorigen Abschnitt genannten Tools Google Analytics, Google+ und Google Schriften werden im Consent Popup gar nicht genannt, auch nicht in der Kategorie Essenziell.
  • Mangelhafte Anbieterangabe: Beispiel: Als Anbieter des Facebook Pixel wird Facebook genannt. Eine Adresse oder Rechtsformangabe fehlt. Hier stellt sich alleine schon die Frage, welche der vielen Facebook Firmen gemeint sein könnte.
  • Mangelhafte Beschreibung des Zwecks: Beispiel: Als Zweck zum Facebook Pixel ist genannt: „Das Facebook-Pixel ist ein Analysetool. Du kannst damit die Wirksamkeit deiner Werbung messen, indem du die Handlungen analysierst, die Personen auf deiner Website ausführen.“
  • Mangelhafte Cookie-Beschreibung: Der Name eines Cookies ist mit Facebook Pixel angegeben. Das ist falsch. Der Name des Cookies lautet in Wirklichkeit _fbp. Die Lebensdauer zum Cookie fehlt. Diese Angabe ist aber vorgeschrieben.
  • Falsche Klassifikation von Tools: Beispiel: Die zu Google Analytics gehörigen Cookies werden fälschlicherweise dem Google Tag Manager zugeschrieben; zudem ist der Google Tag Manager fälschlicherweise als Statistik klassifiziert, eine Kategorie, die Tools enthalten soll, die Informationen von Besuchern anonym erfassen. Der Google Tag Manager hat (offiziell) aber gerade nicht diesen Zweck, sondern dient zum dynamischen Laden anderer Tools.
  • Verwirrende Angaben ohne Mehrwert: Beispiel: Unter dem Namen Matelino und dem gleichnamigen Anbieter ist ein Tool ausgewiesen. Mit diesen Informationen lässt sich nichts anfangen.
  • Fehlender Tool-Bezug: Anstelle auf Tools geht Borlabs Cookie auf Webseite A auf eine undefinierbare Mischung aus Cookies und unbekannten Kategorisierungen ein. Richtig wäre eine Unterscheidung nach Diensten wie Google Tag Manager, Google Analytics, Facebook Pixel, Facebook Plugin usw. Pro Dienst ist eine saubere Angabe aller jeweils zum Dienst gehöriger Cookies erforderlich. Pro Cookie ist die Angabe des Namens, der Lebensdauer, des Zwecks und der Domäne vorzuhalten.
  • Fehlende Widerrufsmöglichkeit: Anstatt einer Möglichkeit, die Einwilligung anzupassen oder zu widerrufen, findet man in der Datenschutzerklärung folgenden ungenügenden Hinweis: „Möchten Sie diese Einwilligungen widerrufen, löschen Sie einfach das Cookie ein Ihrem Browser. Wenn Sie die Website neu betreten/neu laden, werden Sie erneut nach Ihrer Cookie-Einwilligung gefragt.“
  • Fehlende Angabe zur Datenübermittlung in Drittländer: Eine Angabe hierzu fehlt in der Einwilligungsabfrage, obwohl Dienste eingesetzt werden, die Daten an Drittländer übermitteln. Die Angabe ist gesetzlich vorgeschrieben.

Webseite B

Nach dem Aufruf der Webseite stellt sich das Consent Popup wie folgt dar:

Es gibt 10 problematische Befunde zur Webseite.

Webseite C

Nach dem Aufruf der Webseite stellt sich das Consent Popup wie folgt dar:

Es gibt 9 problematische Befunde zur Webseite.

UserCentrics

Gefundene Webseiten, die UserCentrics einsetzen:

  • adac.de
  • commerzbank.de
  • usercentrics.com
  • www-ag.com
  • sowie eine weitere (die möglicherweise im Folgenden genannt wird)

Von diesen Webseiten wurde ein Teil getestet und nachfolgend bewertet.

Webseite E

Nach dem Aufruf der Webseite stellt sich das Consent Popup wie folgt dar:

Es gibt 15 problematische Befunde zur Webseite.

Webseite F

Nach dem Aufruf der Webseite stellt sich das Consent Popup wie folgt dar:

Es gibt 13 problematische Befunde zur Webseite.

Webseite G

Nach dem Aufruf der Webseite stellt sich das Consent Popup wie folgt dar:

Es gibt 9 problematische Befunde zur Webseite.

consent manager

Gefundene Webseiten, die consent manager einsetzen:

  • consentmanager.de
  • ffh.de
  • haendlerbund.de
  • mitsubishi-motors.de
  • sowie eine weitere (die möglicherweise im Folgenden genannt wird)

Von diesen Webseiten wurde ein Teil getestet und nachfolgend bewertet.

Webseite H

Nach dem Aufruf der Webseite stellt sich das Consent Popup wie folgt dar:

Es gibt 11 problematische Befunde zur Webseite.

Webseite J

Nach dem Aufruf der Webseite stellt sich das Consent Popup wie folgt dar:

Es gibt 13 problematische Befunde zur Webseite.

Webseite K

Nach dem Aufruf der Webseite stellt sich das Consent Popup wie folgt dar:

Es gibt 17 problematische Befunde zur Webseite.

CCM19

Gefundene Webseiten, die CCM19 einsetzen:

  • ccm19.de
  • crifbuergel.de
  • hertie.de
  • sowie eine weitere (die möglicherweise im Folgenden genannt wird)

Von diesen Webseiten wurde ein Teil getestet und nachfolgend bewertet.

Webseite L

Das Aussehen des Consent-Popups nach dem Aufruf der Webseite ist nachfolgend abgebildet:

Es gibt 7 problematische Befunde zur Webseite.

Webseite M

Nach dem Aufruf der Webseite stellt sich das Consent Popup wie folgt dar:

Es gibt 14 problematische Befunde zur Webseite.

Webseite N

Nach dem Aufruf der Webseite stellt sich das Consent Popup wie folgt dar:

Es gibt 15 problematische Befunde zur Webseite.

Gefundene Webseiten, die Klaro! einsetzen:

  • dillinger.de
  • kiprotect.com
  • digitale-helden.de
  • sowie eine weitere (die möglicherweise im Folgenden genannt wird)

Von diesen Webseiten wurde ein Teil getestet und nachfolgend bewertet.

Webseite P

Nach dem Aufruf der Webseite stellt sich das Consent Popup wie folgt dar:

Es gibt 14 problematische Befunde zur Webseite.

Webseite Q

Nach dem Aufruf der Webseite stellt sich das Consent Popup wie folgt dar:

Es gibt 11 problematische Befunde zur Webseite.

OneTrust / Optanon / Cookie Law

Optanon wurde von OneTrust übernommen, weshalb beide Tools zusammen betrachtet werden. Das Produkt wird anscheinend auch unter dem Namen Cookie Law geführt, weshalb auch diese Ausprägung zusammen betrachtet wird.

Gefundene Webseiten, die OneTrust einsetzen:

  • euronics.de
  • springer.com/de
  • kia.com/de
  • sowie eine weitere (die möglicherweise im Folgenden genannt wird)

Von diesen Webseiten wurde ein Teil getestet und nachfolgend bewertet.

Allgemeiner Befund:

OneTrust lädt Ressourcen von der Domäne onetrust.com. Diese Domäne scheint von einem amerikanischen Unternehmen betrieben zu werden bzw. Inhalte von einem Server in den USA zu liefern. Laut Privacy Statement der Domäne onetrust.com befindet sich der Anbieter sowohl in den USA als auch im Vereinigten Königreich (UK).

Webseite U

Nach dem Aufruf der Webseite stellt sich das Consent Popup wie folgt dar:

Es gibt 14 problematische Befunde zur Webseite.

Webseite V

Nach dem Aufruf der Webseite stellt sich das Consent Popup wie folgt dar:

Es gibt 11 problematische Befunde zur Webseite.

Webseite W

Nach dem Aufruf der Webseite stellt sich das Consent Popup wie folgt dar:

Es gibt 10 problematische Befunde zur Webseite.

Cookiebot

Gefundene Webseiten, die Cookiebot einsetzen:

  • cookiebot.com
  • werdewelt.info
  • techem.de
  • sowie eine weitere (die möglicherweise im Folgenden genannt wird)

Von diesen Webseiten wurde ein Teil getestet und nachfolgend bewertet.

Allgemeiner Befund

Eine kurze Auswertung der IP-Adresse (72.246.29.131), die beim Laden des Cookiebot-Scripts von consentcdn.cookiebot.com aufgerufen wurde, hat gezeigt:

Aufrufkette für das Laden eines Cookiebot-Scripts

Gemäß Traceroute ist die genannte Netzwerkadresse in den USA beheimatet. Dies kann so sein, muss aber nicht zwingend stimmen, weil IP-Adressen von Zeit zu Zeit wieder freigegeben und neu vergeben werden. Die Wahrscheinlichkeit, dass bei einem von tausend Aufrufen eines Cookiebot Scripts eine Adresse in den USA angesprungen wird, scheint allerdings recht hoch. Aus diesem Grund alleine schon scheint es ratsam, eine andere Lösung zu suchen.

Webseite X

Nach dem Aufruf der Webseite stellt sich das Consent Popup wie folgt dar:

Es gibt 14 problematische Befunde zur Webseite.

Webseite Y

Nach dem Aufruf der Webseite stellt sich das Consent Popup wie folgt dar:

Es gibt 17 problematische Befunde zur Webseite.

Webseite Z

Nach dem Aufruf der Webseite stellt sich das Consent Popup wie folgt dar:

Es gibt 12 problematische Befunde zur Webseite.

Die Nutzung eines Consent Tools bringt große Gefahren mit sich und sorgt oft für rechtswidrige Webseiten

Ergebnis auf dem Praxistest von 20 Webseiten, die Consent Tools Nutzen

Die Studie im PDF-Format hat einen Umfang von über 90 Seiten.

Relevante Gesetze und Urteile

Für die Beurteilung der eingesetzten Consent Tools wurden insbesondere folgende Rechtsgrundlagen herangezogen:

Information zur Widerrufsmöglichkeit

Auf der Einwilligungsabfrage muss ein Hinweis zur Widerrufmöglichkeit vorhanden sein. Idealerweise wird genannt, wie genau der Widerruf erfolgen kann. Dies ist gemäß Art. 7 (3) DSGVO vorgeschrieben.

Weiterhin muss gemäß dieser Rechtsgrundlage der Widerruf so einfach wie die Einwilligung sein.

Auch die [ePrivacy Richtlinie] enthält in Art. 5 Abs. 3 zum Hinweis auf den Widerruf eine Ausführung: „[…] durch den für diese Verarbeitung Verantwortlichen auf das Recht hingewiesen wird, diese Verarbeitung zu verweigern.

Informierte Einwilligung

Gemäß Art. 5 Abs. 1 lit. a DSGVO muss die Verarbeitung der personenbezogenen Daten nach dem Grundsatz der Transparenz in einer für den Betroffenen nachvollziehbaren Weise geschehen.

Vgl. auch [BGH-Urteil zu Cookies] Abs. 50 (Fettdruck hinzugefügt):„(2) Nach Art. 2 Buchst. h der Richtlinie 95/46/EG, auf den Art. 2 Buchst. f der Richtlinie 2002/58/EG für die Definition (auch) der nach Art. 5 Abs. 3 Satz 1 dieser Richtlinie erforderlichen Einwilligung verweist, ist unter Einwilligung jede Willensbekundung zu verstehen, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, dass personenbezogene Daten, die sie betreffen, verarbeitet werden.“

Freiwillige Einwilligung oder Ablehnung

Eine Einwilligungsabfrage muss so gestaltet sein, dass die Einwilligung freiwillig erteilt werden kann. Wirklich freiwillig kann dies nur sein, wenn die Ablehnung ebenso einfach möglich ist wie die Einwilligung.

Die dänische Datenschutzaufsichtsbehörde hat entschieden, dass eine Ablehnung ebenso einfach möglich sein muss wie eine Einwilligung und sieht es insbesondere für rechtswidrig an, wenn eine Ablehnung mehr Klicks erfordert oder gar nur optisch zurückgestellt ist. Vgl. eine Veröffentlichung der Datenschutzorganisation von NOYB unter https://gdprhub.eu/Datatilsynet_-_2018-32-0357

Siehe auch das Urteil des LG Rostock vom 15.09.2020 – 3 O 762/19 zum Ablehnen-Button: „Zudem tritt er auch neben dem grün unterlegten und damit als vorbelegt erscheinenden ‚Cookie zulassen‘-Button in den Hintergrund. Diese Möglichkeit wird von einer Vielzahl der Verbraucher deshalb regelmäßig gar nicht als gleichwertige Einwilligungsmöglichkeit wahrgenommen werden. Daran ändert auch der Einleitungstext nichts […]

Auch der Europäische Datenschutzausschuss (EDSA) hat klargestellt, wie eine Einwilligungsabfrage gestaltet zu sein hat. Der EDSA hob hervor, dass das an eine Zustimmung gekoppelte Anzeigen von Inhalten an sich nicht erlaubt sei. Zumindest erscheint diese Position haltbar, wenn ansonsten kein Zugang (etwa ein bezahlter) zum Angebot möglich ist. Dies sieht auch der Bundesdatenschutzbeauftragte so.

Oft wird das Zurückstellen einer Funktion, die der Nutzer nicht wählen soll, als Nudging oder Dark Pattern bezeichnet. Dark Pattern ist ein irreführender Begriff, weil er voraussetzt, dass die absichtlich zurückgestellte Ablehnen-Funktion in dunkler Farbgebung gestaltet ist. Regelmäßig findet man allerdings hell gedruckte Elemente auf weißem Hintergrund für die Ablehnen-Funktion.

Datenminimierung

Gemäß Art. 5 (1) c) DSGVO müssen personenbezogene Daten „[…]dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);“. Werden beispielsweise Google Schriften nichtlokal von einem Google Server geladen, wird dieser Grundsatz verletzt, solange nicht glaubhaft gemacht wird, dass ein CDN schneller als ein lokaler Speicher ist und dass diese wenige Millisekunden nachzuweisender Geschwindigkeitssteigerung erheblich sind.

Beschreibung eingesetzter Tools

Alle eingesetzten Tools (Dienste) sind zu benennen und zwar zumindest in der Datenschutzerklärung (vgl. Art. 12 und 13 DSGVO). Die Dienste, für die eine Einwilligung erfragt werden muss, sind in geeigneter (Kurz-)Form auch in der Einwilligungsabfrage zu nennen.

Zwecke der Verarbeitung von Tools

Gemäß Art. 13 (1) c DSGVO ist zu jedem Tool der Zweck zu beschreiben. Siehe hierzu auch das [EuGH-Urteil zu Cookies], Abs. 74:„Wie der Generalanwalt in Nr. 115 seiner Schlussanträge hervorgehoben hat, müssen die klaren und umfassenden Informationen den Nutzer in die Lage versetzen, die Konsequenzen einer etwaigen von ihm erteilten Einwilligung leicht zu bestimmen, und gewährleisten, dass die Einwilligung in voller Kenntnis der Sachlage erteilt wird. Sie müssen klar verständlich und detailliert genug sein, um es dem Nutzer zu ermöglichen, die Funktionsweise der verwendeten Cookies zu verstehen.“.

Anbieterangabe zu einem Tool

Die Rechtsgrundlage für die Anbieterangabe kann aus Art. 13 (1) e abgeleitet werden. In der Praxis können Dienstanbieter als Empfänger von Daten nicht in Form von Kategorien angegeben werden, sondern sollten durch Nennung der Firmierung der Dienstanbieter kategorisiert werden.

Rechtsgrundlage der Verarbeitung

Gemäß Art. 13 (1) c DSGVO ist die Rechtsgrundlage der Verarbeitung zu benennen. Alle einem Tool zugeordneten Cookies unterliegen dieser Rechtsgrundlage. Ein Tool kann schließlich nicht nur teilweise für die Nutzung freigegeben werden. Auch wenn dies theoretisch möglich wäre, ist dies in der Praxis nicht festzustellen.

Übermittlung von Daten in Drittländer

Gemäß Art. 13 (1) f DSGVO ist zu erklären, wenn Daten an ein Drittland übermittelt werden sollen. Außerdem ist gemäß Art. 13 (1) f DSGVO darauf hinzuweisen, ob ein Angemessenheitsbeschluss für dieses Drittland existiert oder nicht.

Außerdem ist im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 DSGVO ein Verweis auf geeignete oder angemessene Garantien samt Nennung einer Bezugsmöglichkeit zu geben.

Lebensdauer (Funktionsdauer) von Cookies

Die Lebensdauer pro Cookie ist zwingend anzugeben, siehe [EuGH-Urteil zu Cookies], Abs. 81.

Zugriff Dritter auf Cookies

Pro Cookie ist zwingend zu anzugeben, ob Dritte Zugriff auf das Cookie haben. Siehe hierzu das [EuGH-Urteil zu Cookies] (81):

„Nach alledem ist auf die zweite Frage zu antworten, dass Art. 5 Abs. 3 der Richtlinie 2002/58 dahin auszulegen ist, dass Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zu den Informationen zählen, die der Diensteanbieter dem Nutzer einer Website zu geben hat.“

Die Nennung der Domäne zu einem Cookie reicht nicht aus, um diese Anforderung zu erfüllen, da auch First-Party Cookies von Drittpartei-Tools beschrieben und ausgelesen werden können und diese Drittpartei-Tools den Wert dieser Cookies an eine beliebige Adresse senden können. Dass dies faktisch und objektiv möglich ist, hat technische Gründe, die hier nicht näher betrachtet werden können.

Auch die Nennung des Anbieters reicht u.U. nicht aus, um auszudrücken, dass Dritte Zugriff auf ein Cookie haben. Schließlich kann entweder ein Drittanbieter einen Dienst bereitstellen, ohne selbst Zugriff darauf zu haben – oder eben doch; oder ein Webseitenbetreiber kann einen Dienst bereitstellen, der Daten an Dritte sendet – oder eben nicht.

Zweck der Verarbeitung von Cookies

Pro Cookie ist der jeweilige Zweck gemäß Art. 13 DSGVO anzugeben. In der Praxis ist dies oft nicht möglich, wie unser Test gezeigt hat.

Niemand kennt den tatsächlichen Zweck von Drittpartei-Cookies, außer der Drittpartei, also dem Anbieter eines Dienstes, selbst. Natürlich haftet der Betreiber einer Webseite bzw. der Verantwortliche für die Datenverarbeitung dafür, dass er den Zweck eines Cookies nicht korrekt angeben wollre, unabhängig davon, dass dies in der Praxis oft nicht möglich ist.

Laden von Tools ohne Einwilligung

Tools dürfen ohne Einwilligung geladen werden, sofern sie bestimmte Voraussetzungen erfüllen. Insbesondere dürfen Dienste von Dritten (ohne AVV und ohne sonstige sichere Garantien) nicht ohne Einwilligung geladen werden, sofern das berechtigte Interesse nicht angeführt werden kann, es also insbesondere keine Alternativen gibt.

Das Laden von Google Schriften von einem Server der Firma Google (USA, Irland oder sonstwo) ist einwilligungspflichtig, alleine schon, weil diese Schriften auch lokal auf dem eigenen Server gehalten werden könnten. Beim Laden von Diensten Dritter wird zudem immer die IP-Adresse als personenbezogenes Daten übertragen, ebenso der Browser Fingerprint.

Der Test auf geladene Dienste wurde mit Hilfe unserer Datenschutz-Software wwwschutz automatisiert vorgenommen. Daran anschließend fand eine manuelle Überprüfung der Befunde wie folgt statt:

  1. Aufruf Firefox Browser
  2. Entwicklerkonsole mit Taste F12 aktivieren
  3. Karteireiter Netzwerkanalyse anklicken
  4. Aufruf der Webseite
  5. Analyse des von Firefox aufgezeichneten Netzwerkverkehrs

Einwilligungspflichtige Vorgänge

Gemäß Absatz 48 (1) des [BGH-Urteils zu Cookies] ist eine Einwilligungspflicht gegeben, wenn Informationen, die bereits im Endgerät des Nutzers gespeichert sind, gespeichert oder zugegriffen werden sollen, sofern dieser Vorgang nicht den „alleinigen Zweck” hat, um „dem Nutzer den von ihm ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen“.

Gemäß Absatz 47 bb) des [BGH-Urteils zu Cookies] sind Vorgänge, die der Erstellung von Nutzerprofilen für werbliche Zwecke dienen, einwilligungspflichtig.

Die Einwilligung ist damit auch dann erforderlich, wenn Dienste Dritter eingebunden werden und beim Aufruf dieser Dritt-Dienste die aktuelle Adresse der Webseite übermittelt wird. Begründung: Die aktuell aufgerufene Adresse (URL) ist (sogar ausschließlich!) im Endgerät des Nutzers gespeichert. Wie zu erkennen ist, tauchte in diesem Abschnitt bisher nicht ein einziges Mal das Wort „Cookie“ auf.

Ausgesuchte einwilligungspflichtige Dienste

Dienste, für die im Allgemeinen– ohne Betrachtung des Einzelfalls – eine Einwilligungspflicht gesehen wird:

  • YouTube Videos
  • Vimeo Videos
  • OneTrust Consent Tool (weil Daten potentiell in unsichere Drittländer gesendet werden)
  • Social Media Plugins von Facebook, LinkedIn, Twitter
  • Dateien von cloudflare.com
  • Dateien von Domänen, die potentiell auf Servern von Anbietern aus unsicheren Drittländern betrieben werden oder deren IP-Adressen einem Registrar aus unsicheren Drittländern zuzuordnen ist
  • Dateien von Anbietern, die eine globale Organisationsstruktur besitzen und deren Hauptsitz in einem unsicheren Drittland ist
  • Google Analytics (in den allermeisten Konfigurationen oder immer, wenn man den Google-Konzern als weltweit tätig ansieht)
  • Google Maps
  • Google reCAPTCHA
  • Google Ads
  • Google Tag Manager
  • Google Schriften
  • Fonts.com (Fast Fonts)
  • SoundCloud Audio Player

Abhängig von der Konfiguration und der Art des Betriebs (lokal versus Cloud) kann eine Einwilligungspflicht auch für Dienste wie die folgenden bestehen:

  • etracker
  • Matomo

Lösungsmöglichkeiten

Consent Tools sind offensichtlich nicht geeigent, rechtssichere Webseiten zu erzeugen. Alleine die Anforderungen an Einwilligungsabfragen sind so hoch, dass Werbeversprechen von einige Anbietern dieser Tools, sie seien “DGSVO-konform” nicht haltbar sind.

Es mag nicht jedem gefallen, dass es keine allgemeine Komfortlösung gibt und auch keine geben kann. Es bietet sich an, soweit wie möglich auf einwilligungspflichtige Tools zu verzichten.

Dazu empfehlen wir folgendes Vorgehen:

1) Umfangreiche Bestandsaufnahme der Webseite vornehmen

2) Nicht benötigte Tools entfernen

3) Für “kritische” Tools wie die von Google stattdessen Alternativen verwenden. Beispiel Google Analytics: Matomo (lokale Installation, etwa über WordPress-Plugin). Für externe Bilder und Schriften können lokale Versionen verwendet werden. Auch für Karten und Videos gibt es sinnvolle Möglichkeiten.

4) Für alle Tools, die verbleiben, die Einwilligungspflicht prüfen. Für die einwilligungspflichtigen Tools je nach Tool eine spezifische Lösung umsetzen. Eine Lösung kann nur fallweise gefunden werden

Punkt 4 kann vor allem für Klein-Webseiten oft vermieden werden.

Weitere Punkte, die nichts mit Einwilligungen zu tun haben:

5) Die Datenschutzerklärung muss von jeder (!) Seite aus mit max. 2 Klicks erreichbar sein. Hierzu gehören auch Login-Seiten. Ein Link auf sie darf nicht durch ein Popup verdeckt sein

6) Das SSL-Zertifikat muss durchgängig vorhanden sein, also auch bei Aufrufen der Webseite über http statt https

Für eine erste Bestandsaufnahme Ihrer Webseite steht unser online Tool kostenfrei zur Verfügung.

Webseite testen

Kostenfreies Online Seminar mit Ergebnissen des Praxistests

Nehmen Sie an unserem kostenfreien Webinar Praxistest: Consent Tools für Webseiten teil. Das Webinar findet am Dienstag, den 09. März von 15:00 bis 16:45 Uhr statt. Wir beantworten dort auch gerne Ihre Fragen.

Das Webinar ist nur für Mitglieder der Allianz für Cyber-Sicherheit (ACS) zugänglich. Eine ACS-Mitgliedschaft ist kostenfrei möglich.

Das könnte Sie auch interessieren:
Künstliche Intelligenz: Eine Chance für den Datenschutz
Google Fonts: Schreiben wegen Datenschutzverstoß erhalten. Was tun?
Google Analytics Webinar: Das sollten Datenschutzberater über das Tracking-Tool wissen
Web Tracking: Wann einwilligungspflichtig?
Seminar in Frankfurt: Datenschutz auf Webseiten, unter Mitwirkung der Hessischen Datenschutzaufsicht
Wie man DSGVO-konform die eigene Webseite tracken kann
Schlagworte zu diesem Artikel: