WWWSchutz versus Cookie-Lösungen2019-10-15T08:40:36+02:00

Was ist das Problem mit sogenannten Cookie Bots oder Cookie Consent Lösungen und wie sieht eine gute Lösung aus?

Fallstudie

Das Screening einer recht bekannten deutschen Webseite mit einer sogenannten Cookie Consent Lösung hat folgendes Ergebnis gebracht:

Ergebnis von Cookiebot zu einem eingebundenen YouTube-Video für die Datenschutzerklärung

Wie man sehen kann, wurden für ein YouTube-Video vom Tool drei Cookies gefunden. Ebenfalls erkennen kann man im Screenshot, dass die dazu generierten Hinweistexte technisch und nicht nutzerfreundlich sind. Vom Einbinden eines Videos wird nicht direkt gesprochen, das wäre aber notwendig. Für die Datenschutzerklärung ist diese Form der Information nicht ausreichend.

Das Cookie Popup Banner enthält zu YouTube Videos folgenden Hinweis:

Ergebnis von Cookiebot zu einem eingebundenen YouTube-Video für das Cookie Popup

Dieser Hinweis enthält keine Information dazu, dass es sich um ein eingebundenes Video hält und von welcher Kategorie von Empfängern das Cookie ausgewertet wird. Dies ist rechtlich fragwürdig.

Die Darstellung auf einer Webseite in Form einer Cookie Bar enthält folgende Informationen:

Von Cookiebot generierte Beschreibungen zu eingesetzten Cookies

Die dargestellten Cookies werden nach unserer Recherche für die analysierte Webseite gar nicht erstellt. Vielmehr scheint es so zu sein, dass die genannten Cookie-Namens einer internen Datenbank entstammen, in der auch die genannten Zwecke statisch abgelegt sind. Man kann übrigens auch sehr schön daran erkennen, dass die Namen (höchstwahrscheinlich) erfunden sind, weil Cookie-Namen von Trackern immer kryptische, kurze Namen haben und nicht aussagekräftig sind oder sein wollen!

Probleme mit Cookie Consent Lösungen

Das oben gezeigte Ergebnis eines Cookie Consent Tools liefert nur eine scheinbare Lösung im Sinne einer Rechtssicherheit und DSGVO-Konformität. Die Probleme mit dem Cookie Consent, wie er oben gezeigt ist:

  • Es spielt beim Consent Banner keine Rolle, wie viele Cookies gesetzt werden, wenn ein YouTube-Video eingebunden wird
  • In der Cookie Bar muss erwähnt werden, dass Cookies gesetzt werden, weil ein YouTube Video eingebunden wird, dass die Firma Google als Betreiber von YouTube diese Daten erhält und auswertet
  • Welche Auswertungen von Nutzerdaten von Drittparteien vorgenommen werden, muss kategorienbezogen erklärt werden
  • Die ausgegebenen Cookie-Namen gibt es (zumindest teilweise) gar nicht
  • In der Datenschutzerklärung reicht die Information über Cookies nicht aus, wenn man ein YouTube Video oder ein Tracking Tool einbindet
  • Fachliche Informationen, die zur Aufklärung des Nutzers geeignet sind, fehlen
  • Der Webseitenbetreiber wird nicht informiert, dass er ein YouTube-Video ohne erweiterte Datenschutzeinstellungen eingebunden hat
  • Die im Cookie Banner genannten Anbieter müssen namentlich genannt werden. Die Nennung der abrufenden URL reicht nicht aus
  • Der Typ des Cookies sollte in allgemein verständlicher Sprache genannt werden. Eine Nennung wie HTTP Local Storage scheint nicht geeignet für eine Nutzerinformation
Gefahr durch Cookie Consent
Gängige Cookie Consent Tools bieten nur eine gefühlte Rechtssicherheit, weil sie kompliziert anmutende Formulierungen generieren. Diese Formulierungen sind unvollständig, irreführend und somit rechtswidrig. Cookie Consent Tools berücksichtigen nur Cookies, die nur einer von vielen Aspekten des Datenschutzes auf Webseiten sind. Sie vernachlässigen u.a. das korrekte Einbinden von YouTube-Videos.

Das Ergebnis mit WWWSchutz

Die o.g. Probleme werden von WWWSchutz thematisiert. WWWSchutz führt einen Datenschutz-bezogene Analyse von Webseiten durch und konzentriert sich nicht auf Cookies. Siehe hierzu: Tracking ist auch ohne Cookies möglich.

Im Leistungsumfang von WWWSchutz enthalten ist

  • Datenschutz-Analyse der Webseite
  • Abgleich mit eigener Wissensdatenbank
  • Fachlich getriebenes Ergebnis
  • Prüfung auf fehlende Rechtstexte
  • Prüfung auf schädliche Rechtstexte
  • Impressumsprüfung
  • Datenschutzbericht, enthält:
    • Statistik
    • positive und negative Befunde
    • Datenschutzerklärung mit Rechtstexten vom Fachanwalt für IT-Recht
    • Lösungsempfehlungen für gefundene Probleme

Die Datenschutz-Analyse

Mit Hilfe einer eigenen smarten Software wird ein Screening der Webseite vorgenommen. Das Ausfüllen eines Fragebogens ist nicht erforderlich. Für das Screening muss lediglich die Webseite genannt werden.

Die Software fragt aus der WWWSchutz-Wissensdatenbank ab, um welches Tool es sich bei gefundenen Ressourcen auf einer Webseite handelt. Zu jedem Tool ist gespeichert, um welchen Typ (Tracker, Video, Karte, Newsletter-Service etc.) es sich handelt.

Ferner weiß WWWSchutz, ob ein Tool einer Einwilligung bedarf oder nicht und ob es einer Abwahlmöglichkeit bedarf oder nicht.

Zu allen populären Tools sind in WWWSchutz die Rechtstexte für die Datenschutzerklärung von unserem Anwalt hinterlegt worden.

Das Ergebnis des Webseiten-Checks, welches der Kunde oder der Datenschutz-Dienstleister des Kunden erhält, ist der Datenschutzbericht.

Der Datenschutzbericht

Im Datenschutzbericht sind die Informationen enthalten, die für eine DSGVO-konforme Webseite benötigt werden. Anfangs zeigt eine Statistik übersichtlich die Befunde in Kategorien an:

Datenschutzbericht: Statistik zu einer Webseite

Für alle genannten Warnungen und kritischen Punkte sind im Bericht weiterführende Informationen sowie Erklärungen, Lösungen und Anleitungen zu finden.

Gefundene Tools & Komponenten

Im Bericht werden alle im Scan der Webseite gefundenen Komponenten namentlich genannt und mit Datenschutztexten und Hinweisen bei falscher Konfiguration versehen:

Von WWWSchutz gefundene Tools auf einer Webseite

Für komplexe technische Probleme, wie für das sichere Einbinden eines Facebook Pixels werden Code-Beispiele genannt

Unerlaubte Tools

Ein ohne erweiterte Datenschutzeinstellngen eingebundenes YouTube Video etwa ist in der Statistik unter dem Punkt Unerlaubtes Tool verwendet vermerkt. Weiter unten im Bericht findet sich dann eine Anleitung, um das Video mit besseren Datenschutzeinstellungen einzubinden. Ferner liefert der Bericht Empfehlungen, welche Alternativen anstelle von YouTube-Videos in Frage kommen und an sich schon DSGVO-konform sind, ohne eine Einwilligung abzufragen.

Zu den erkannten unerlaubten Tools liefert der Bericht Lösungen, oft in Form von bebilderten Anleitungen:

Anleitung bei falsch eingebundenen YouTube-Videos

Weiterhin werden Alternativen genannt, die DSGVO-konform sind.

Auch externe Schriftarten (wie Google Fonts) erkennt WWWSchutz und weist sie im Bericht aus.

Für WordPress führt WWWSchutz zahlreiche Zusatzprüfungen durch. Beispielsweise wird erkannt, ob Gravatare eingesetzt werden. Gravatare sind nicht DSGVO-konform und müssen daher entfernt werden. Im Bericht zeigt eine Anleitung, wie das geht.

Datenschutzerklärung

Da mit WWWSchutz eine umfassende Bestandsaufnahme aller relevanten Datenströme durchgefüht wird, kann die Datenschutzerklärung daraus abgeleitet werden. Die notwendigen Rechtstexte werden allesamt ausgegeben und können mit einem Klick in die Zwischenablage kopiert werden. Verlinkungen auf Datenschutzhinweise von Drittanbietern (3rd Party) sind ebenfalls enthalten und werden mit in die Zwischenablage kopiert:

Datenschutzerklärung mit allen Rechtstexten: Copy & Paste fähig

Third Party Ressourcen

Dateien, die von Drittanbietern nachgeladen werden, sind im Bericht ausgewiesen:

Externe Dateien von Drittanbietern

Sofern es sich um populäre Ressourcen handelt, wird für diese eine Lösungsmöglichkeit genannt. Für unbekannte Ressourcen wird darauf hingewiesen, dass diese möglichst durch eine lokale Kopie zu ersetzen sind. Oft werden Bilder unnötigerweise von Dritten geladen, anstelle sie von der Webseite direkt als lokale Kopie zu laden.

Kontaktformulare

Mit WWWSchutz werden auch Kontaktformulare geprüft. Insbesondere werden folgende Merkmale gecheckt:

  • Datensparsamkeit
  • Abfrage einer Einwilligung
  • Verlinkung der Datenschutzerklärung
  • Nennung des Widerrufsrechts

Im Bericht sind fehlerhaft ausgeprägte Formulare konkret mit einer Adresse (URL) benannt. Der Verantwortliche erhält Hinweise, wie die Formulare anzupassen sind:

Konkrete Hinweise zu Kontaktformularen im WWWSchutz-Bericht

Impressum

Für das Impressum wird das korrekte Vorhandensein von Pflichtangaben bescheinigt (bzw. gibt es einen Hinweis, wenn dies nicht der Fall ist).

Ferner werden Empfehlungen für zusätzliche Impressumstexte gegeben, die die Rechtssicherheit erhöhen. Schädliche Rechtstexte (wie ungültige Disclaimer) werden mit einer Erklärung, warum diese schädlich sind, ausgewiesen.

Hinweise zum Impressum im WWWSchutz-Bericht

Weitere Details

Cookies sind nicht das Hauptproblem

Zahlreiche Lösungen stellen Cookies in den Vordergrund der Betrachtung. Auch wenn nach dem EuGH-Urteil zu Cookies vom 01.10.2019 viele von Cookies als dem Datenschutz-Bösewicht sprechen: DSGVO-Sicherheit bedarf zahlreicher weiterer Betrachtungen als „nur“ Cookies. Tracking etwa ist auch ohne Cookies möglich.

Eingebundene externe Ressourcen & Dateien

Rein technisch kann man einfach feststellen, welche externen Dateien wie Bilder, Scripte oder Stylesheets eine Webseite einbindet. Es reicht nicht aus, eine externe Datei zu kennen. Man muss auch deren Zwecke und Gefahrenpotential hinsichtlich der DSGVO kennen sowie die Datenschutztexte und Opt-In & Opt-Out Erfordernisse dafür kennen und idealerweise gute Alternativen benennen können.

Genau dies tut WWWSchutz:

  • Identifizieren von zahlreichen Tools Dritter
  • Passende Datenschutztexte pro Tool
  • Kenntnis über rechtliche Anforderungen und Ausgabe einer entsprechenden Empfehlung
  • Benennung von Alternativen bei kritischen Tools
  • Anleitungen für häufige Probleme

Wichtig zu verstehen ist, dass Cookies nicht das Problem auf Webseiten sind. Vielmehr sind die Probleme:

  • Erkennung von Datenströmen
  • Tracking
  • Falsch konfigurierte Tools und Videos
  • Unerlaubte Tools
  • Falsch ausgeprägte Kontaktformulare
  • Cookie Banner, die entweder unwirksam sind oder wichtige Links verdecken
  • Unvollständige Datenschutzerklärungen
  • Fehlerhafte Angaben im Impressum (kein Datenschutzthema, aber in einem Zuge damit genannt)

Um diese Probleme zu vermeiden, wurde WWWSchutz entwickelt.