Zum Inhalt springen Zur Navigation springen
Datenschützer attackieren Cookie-Banner

Datenschützer attackieren Cookie-Banner

Artikel von Dr. Datenschutz·12. August 2021

Die Gestaltung von Cookie-Bannern ist vielfältig, nicht selten suggestiv oder gar verwirrend – und Datenschützern immer öfter ein Dorn im Auge. Innerhalb weniger Wochen kamen nun Maßnahmen von internationalen wie nationalen Datenschutzaufsichtsbehörden und -organisationen zusammen, die alle ein Ziel haben: Das Ablehnen von Tracking-Maßnahmen so einfach zu machen wie die Zustimmung hierzu.

Die CNIL geht in die zweite Runde

So hat zuletzt u.a. die französische Datenschutzaufsichtsbehörde CNIL (Commission Nationale de l’Informatique et des Libertés) nach eigener Mitteilung vom 23.07.2021 (auf Englisch) ca. 40 Unternehmen dazu aufgefordert hat, ihre Praxis beim Einsatz von Cookies an die „geltende Rechtslage“ anzupassen.

Dieses Vorgehen ist Teil der Maßnahmen der CNIL zur Durchsetzung seiner im letzten September angepassten „Leitlinien und Empfehlungen zum Einsatz von Cookies und anderen Trackingtechnologien“ (auf Französisch). In Anspruch genommen wurden nach Angaben der CNIL u.a. vier bedeutende Plattformen der Digitalwirtschaft, sechs große Soft- und Hardware-Hersteller und sechs Versandhandelsunternehmen. Diese haben nun bis zum 6. September Zeit, die erforderlichen Maßnahmen zu ergreifen.

Unternehmen passen Cookie-Banner an

Bereits Ende Mai hatte die CNIL 20 andere Unternehmen wegen ebensolcher Verstöße angeschrieben. Alle Angeschriebenen hätten daraufhin ihre Cookie-Banner den Anforderungen entsprechend angepasst, so die CNIL. Wenn sich dieser Erfolg auch in der aktuellen Runde wiederholen sollte, wäre dies durchaus beachtlich.

Eigener „Ablehnen“-Button gefordert

Ein wesentlicher Kritikpunkt der CNIL ist, dass Cookies durch den Nutzer nicht so einfach abgelehnt werden können, wie sie akzeptiert werden. Die CNIL führt dazu an anderer Stelle (französisch) aus, dass nur:

„die Integration einer Schaltfläche „Alle ablehnen“ auf derselben Ebene und im selben Format wie die Schaltfläche „Alle akzeptieren“ es ermöglicht, dem Internetnutzer eine klare und einfache Wahl zu bieten“.

Das bloße Vorhandensein einer Schaltfläche „Einstellungen“ zusätzlich zur Schaltfläche „Alle akzeptieren“ führe in der Praxis dazu, dass eine Ablehnung faktisch verhindert und damit gegen die Anforderungen der DSGVO verstoßen werde.

„Garante“ gibt Hinweise zu rechtmäßigen Cookie-Bannern

Damit geht die französische Aufsichtsbehörde grundsätzlich konform mit dem italienischen „Garante“. In den kürzlich erlassenen Guidelines (englisch) der italienischen Datenschutzaufsichtsbehörde (unter Ziff. 7.1) spricht diese sich ebenfalls dafür aus, dass die Ablehnung durch Anklicken einer intuitiv verständlichen Schaltfläche auf der ersten Ebene eines Cookie-Banners erfolgen können muss. Diese dürfe nicht weniger sichtbar sein als die Schaltflächen anderer Auswahlmöglichkeiten.

Bei der konkreten Umsetzung wird der „Garante“ kreativ. Er rät dazu, dass die Ablehnung durch einfaches Schließen des Cookie-Banners erteilt werden soll. Natürlich bedürfe es dann eines deutlich sichtbaren Hinweises, welche Auswirkungen (nämlich die Ablehnung bzw. das Fortbestehen der bisherigen Einstellungen), dass Drücken auf das – ebenfalls deutlich sichtbare – „X“ in der rechten Ecke des Cookie-Banners hätte.

Unter Ziff. 7.1 heißt es aber auch noch weiter:

„In order to ensure that users are not influenced or affected by design arrangements such as to lead them to prefer one option over the other, it is fundamental additionally to rely on commands and characters of the same size, emphasis and colours and that all such commands and characters are equally easy to view and use.”

Zusammengefasst: Nicht nur die Praxis, das Tracking nur über den Umweg meist unübersichtlicher „Cookie-Einstellungen“ ablehnen zu können, ist einzustellen. Auch das so gern exerzierte Nudging (engl. für Anstupsen), das Drängen des Nutzers zu einer unbewussten Entscheidung durch Einsatz von Farbe, Schriftgröße und Platzierung von Buttons, wird nicht länger geduldet.

Auch Max Schrems macht Ernst

Am 10. August verkündete dann auch Max Schrems, dass seine Datenschutz-Organisation noyb (Akronym für „none of your business“) ganze 422 formelle Beschwerden bei 10 europäischen Aufsichtsbehörden eingelegt habe. Der Grund: unzureichende Cookie-Banner. Aufgrund dessen hatte noyb Ende Mai über 500 Unternehmen angeschrieben und zu Anpassungen ermahnt. Nun gibt es die Quittung für diejenigen Unternehmen, die der Aufforderung zur „datenschutzkonformen Anpassung“ ihrer Cookie-Banner nicht nachgekommen waren.

Dabei hatte knapp die Hälfte der Angeschriebenen zwischenzeitlich immerhin einen Ablehnen-Button auf dem „1st Layer“ installiert. Einige globale Marken wie Mastercard, Procter & Gamble, Seat oder Nikon waren sogar in Gänze auf die Forderungen von noyb eingegangen. Dennoch blieben insgesamt zahlreiche Beanstandungen bestehen, wie etwa:

  • irreführende Farben bei Zustimm- und Ablehn-Buttons,
  • die Behauptung eines angeblichen „berechtigten Interesse“, auf welches das Tracking (auch ohne Zustimmung) gestützt werden könne, oder auch
  • vorangekreuzte Kästchen.

noyb sah sich daher veranlasst, in 82% der Fälle nun Beschwerden bei den zuständigen Datenschutzaufsichtsbehörden einzureichen.

Bis zu 10.000 Consent-Manager im Fokus

Da die Ermittlung der betroffenen Consent-Manager und Erstellung der Beschwerden automatisch über eine eigens programmierte Software erfolgt, könnten auf diese Weise bis zu 10.000 Überprüfungen innerhalb eines Jahres erfolgen, so noyb. Aufgrund der jetzt eingelegten offiziellen Beschwerden erhofft sich noyb jedenfalls einiges an Bewegung:

„Wir gehen davon aus, dass mit den ersten Entscheidungen der Behörden auch die meisten anderen Cookie-Banner eine klare Ja- oder Nein-Option bekommen. Mit den ersten Entscheidungen ist wohl Ende des Jahres zu rechnen.“

Max Schrems

Neues auch aus Berlin

Nicht nur das europäische Ausland ergreift Maßnahmen gegen die Gestaltung von Cookie-Bannern. Aktuell geht auch die Berliner Beauftragte für Datenschutz und Informationsfreiheit gegen Unternehmen vor, die rechtswidriges Website-Tracking betreiben. In einer Pressemitteilung vom 09. August kündigte die Aufsichtsbehörde an, dass sie in diesen Tagen etwa 50 Berliner Unternehmen postalisch dazu auffordern würde, „das Tracking auf ihren Webseiten in Einklang mit den geltenden Datenschutzregeln zu bringen“.

Zu den zu behebenden Mängeln gehört nach Ansicht der Berliner Datenschutzbeauftragten insbesondere auch die, auf verschiedene Weisen, erschwerte Ablehnung eines Trackings. So äußert sie in der Pressemitteilung:

„Aus dem Datenschutzrecht ergibt sich, dass es ebenso einfach sein muss, Tracking abzulehnen, wie darin einzuwilligen. Die Ablehnung darf nicht aufwendiger oder gar versteckt sein. Zudem werden die Einwilligungsabfragen gerne eingebettet in unvollständige oder missverständliche Angaben und Beschriftungen. Wie die Webseitenbetreibenden bei solch einer Gestaltung nachweisen wollen, dass die Nutzer*innen freiwillig und informiert zugestimmt haben, ist mir ein Rätsel.“

Ein Stups in die richtige Richtung

All diese Maßnahmen „stupsen“ Websitebetreiber in Richtung Einhaltung datenschutzrechtlicher Vorgaben, und zwar ziemlich nachdrücklich. Es werden immer mehr Datenschützer, die sich ausdrücklich dafür stark machen, dass es in Cookie-Bannern eine klare Schaltfläche zum „Ablehnen“ jeglichen Trackings geben muss. Und diese muss (bzw. darf) sich hinter dem „Zustimmen“-Button nicht verstecken. Mit den jüngsten Maßnahmen von noyb und den Aufsichtsbehörden wird es zunehmend enger für Websitebetreiber, die ihren Nutzern gar nicht ernsthaft die Wahl lassen wollen, ungetrackt zu surfen.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

  • Man sollte in dem Zusammenhang nicht unerwähnt lassen, dass man auf Cookie-Banner gänzlich verzichten und trotzdem rechtlich einwandfrei tracken kann. Klar scheiden die US Tools hier wg. Schrems II allesamt aus. Aber z.B. die deutsche etracker.com kann im „cookieless“ Standard unter dem berechtigten Interesse und damit ohne Einwilligung eingesetzt werden. Von Aufsichtsbehörden bestätigt.

    Wenn es nach der CNIL geht, kann sogar *mit Cookies* auch ohne Einwilligung tracken. Dem Tracking sind dann aber sehr enge Grenzen gesetzt. Professionelle Tracking-Tools haben daher einen CNIL-zertifizierten „CNIL-Mode“. So können Publisher Reichweitenmessungen mit Wiederkehrhäufigkeiten und echten „unique visitors“ vornehmen, ohne Nutzer mit Bannern zu nerven. Das wird wohl die Zukunft auch im Rest der EU.

    Vielleicht wäre das mal einen eigenen Artikel wert? „Wo die Reise im Tracking hingeht.“ Denn klar ist, mit <20% Einwilligungsrate bei Bannern mit „Ablehnen“-Button kann man Websites nicht mehr steuern…

    • Über die Guidelines der CNIL, die einen restriktiven Einsatz von Tracking unter unbedingt erforderlich im Sinne der ePrivacy-Richtlinie subsumiert, und einen ersten Versuch der Auslegung dieses Begriffs hatten wir im Januar 2020 geschrieben. Übrigens in den in diesem Beitrag angesprochenen Guidelines (Punkt 7.2) geht die italienische Aufsichtsbehörde bei dem Thema sogar noch weiter als die CNIL. Leider finden sich in beiden Ausführungen keine rechtliche Begründung oder Erklärung, wieso man sich von der im Working Paper 194 gemeinsam gefassten Ansicht aller europäischen Aufsichtsbehörden zur Auslegung der unbedingten Erforderlichkeit verabschiedet. Zudem haben sich die deutschen Aufsichtsbehörden zu dem Thema und dem kommenden § 25 TTDSG unseres Wissens nach noch nicht geäußert.

      Geht man davon aus, dass die deutschen Aufsichtsbehörden die Auffassung im WP 194 weiterhin für verbindlich halten, dass auch First-Party-Analysecookies einwilligungsbedürftig sind, ist es fraglich, ob man mit dem etracker durch die cookieless Variante ohne Einwilligung rechtskonform tracken kann. Denn für die ePrivacy-Richtlinie ist es erstmal irrelevant, ob Cookies gesetzt werden oder nicht. Es geht vielmehr um den Zugriff auf Informationen im Endgerät. Deren Erhebung kann dann zunächst zum Ausspielen der Website durch den Server als unbedingt erforderlich gelten. Ob danach eine Weiterverarbeitung dieser vom Server gesammelten Informationen zu Marketingzwecken aufgrund eines überwiegenden berichtigten Interesse nach der DSGVO rechtmäßig ist, ist rechtlich umstritten. Gegen ein überwiegendes Interesse könnte man sowohl die Schutzrichtung des Grundrechts der informationellen Integrität des Endgeräts, als auch die Einheit der Rechtsordnung anführen, da die ePrivacy-Richtlinie nach dem WP 194 für die direkte Erhebung der gleichen Informationen zur Erstellung von aggregierten Statistiken eine datenschutzrechtliche Einwilligung nach der DSGVO fordern würde.

      Wenn Ihnen aber etwas Schriftliches von den Aufsichtsbehörden zu dieser Problematik vorliegt oder etwas, indem sich die Behörde explizit zum cookieless tracking äußert, können Sie uns das gerne zukommen lassen. Das wäre auf jeden Fall einen Beitrag wert, wie man das Tracking zukünftig gestalten könnte. Andernfalls müssen wir uns abseites von eruopäischen Betrachtungen wie in diesem Beitrag wohl noch bis zur Anwendbarkeit des TTDSG und ersten Auslegungsversuchen gedulden, um einigermaßen vernünftige Vorhersagen für die Rechtslage in Deutschland zu treffen.

      • Mir (und Ihrem Kollegen Herrn Dr. Haag) liegt eine diesbezügliche E-Mail der Hamburger Aufsichtsbehörde vor. Einfach mal den Chef fragen ;-)
        Es geht im Übrigen nicht, wie Sie ausführen, um „Marketingzwecke“, sondern um eine Reichweitenmessung!
        Zum Thema Cookieless vielleicht ein Praxisbeispiel für Nicht-Techniker: Genau wie bei einer Verkehrszählung, werden die Fahrzeugtypen (=Browser/OS) und deren Anzahl „Cookieless“ erfasst. Denn es klebt eben niemand einen Barcode (=Cookie) auf das Fahrzeug oder versucht die Fahrgestellnummer (=Fingerprint) zu erfassen.
        Eben wie das Merkmal „Audi A4, schwarz“ nicht eindeutig ist, ist es auch der UserAgent, der den Browser & Betriebssystemtyp übermittelt auch nicht. Mehr kann Cookieless gar nicht erfasst werden. Alleine deswegen ist es überhaupt fraglich (und die Frage stellt sich selbst die Aufsichtsbehörde), ob das Tracking von etracker überhaupt unter die DSGVO fällt. Es gibt keinerlei Möglichkeit auch nur im entferntesten einen Personenbezug herzustellen, da auch die IP vor einer Verarbeitung schnellstmöglich gekürzt wird.
        Aber wie gesagt: Einfach mal im eigenen Hause nachfragen. Der Punkt ist lange diskutiert und auch nicht mehr strittig.
        Kurz: Ihre obigen Ausführungen sind nicht haltbar, Cookieless ist anerkannt unbedenklich und vom berechtigten Interesse gedeckt.

    • Mich würde das auch interessieren. Warum sollte überhaupt ein Nutzer einwilligen, wenn er keine Vorteile davon hat und es auch nicht schneller geht als ablehnen. Die meisten Nutzer würden übrigens liebend gern immer in alle Cookies einwilligen, wenn dadurch nur diese nervigen Banner verschwinden würden. Könnte man nicht im Browser eine Art persönliches Datenschutzbedürfnis hinterlegen (hoch, mittel, niedrig), das automatisiert übermittelt wird und bei hoch immer alles ablehnt und bei niedrig immer alles zulässt?

      • Ihre letzte Frage haben wir in dem Beitrag „Sind wir lästige Cookie-Banner bald los?“ angeschnitten. Das ab dem 01.12 anwendbare deutsche Recht sieht vor, dass Cookie-Einwilligungen in sogenannten Personal Information Management Systemen (PIMS) hinterlegt werden können. Wie diese in der Praxis konkret ausgestaltet sind, ist aber noch nicht bekannt. Ebenso ist es fraglich, ob diese Lösung mit höherrangigem europäischen Recht vereinbar ist.

  • Ich finde es sehr besorgniserregend, dass dieses Thema so überspitzt wird.

    Fakt ist: eine Websiteoptimierung ohne Datengrundlage ist nicht möglich.

    Bewegen wir uns hier nicht um ein bis zwei Jahrzehnte zurück, wo Websitebetreiber blind ihre Seiten gestaltet haben? Wo der ganze Geschäftszweig des Affiliate Marketings in Vergessenheit gerät? Wo alles wie wild blinkt und blitzt, weil mehr noch besser als weniger ist?

    Meines Erachtens bilden sich leider immer mehr Geschäftsfelder und Datenschutz Organisationen (bitte nicht falsch verstehen Dr. Datenschutz), welche aus dieser Entwicklung Geld machen wollen und die Bewegung weiter vorantreiben. Den Ablehnen Button nicht mal farblich von dem Akzeptieren Button abzugrenzen ist absoluter Humbug. Dann wäre eine logische Schlussfolgerung ebenfalls, dass Supermarktketten keine Videomaterial Analysen zu dem Besucherverhalten machen dürfen, und die daraus gewonnenen Erkenntnisse für ihre Warenaufstellung nutzen. Es wäre ebenfalls eine ähnlich sinnfreie Diskussion, Preise wie X,95 € oder X,99 € zu verbieten, weil sie sich psychologische Effekte (nudging) zu nutze machen.

    Beide Punkte sind nicht vorstellbar, jedoch erscheinen mir hier viele Menschen im digitalen Raum als zu verängstigt.

    Wo soll diese Bewegung aufhören? Erst sind es die Cookies, dann sind es Datenbankverbindungen, welche Funktionen und Darstellungen auf der Website ermöglichen. Auch hier werden Elemente mit dem Browser des Nutzers ausgetauscht.

    Wie soll ein Websitebesitzer denn eine gute Nutzererfahrung seiner Seite gegen den internationalen Wettbewerb sicherstellen, wenn China und USA weiterhin das Datentracking ausbauen?

    Sehr amüsant daher auch die Stellungnahme aus Berlin:
    […] sondern ist auch ein Indikator, wie viele Webseitenbetreibende sich nach wie vor damit schwertun, den rechtlichen Rahmenbedingungen gerecht zu werden.

    Das liegt meiner Ansicht daran, dass die rechtlichen Rahmenbedingungen seit 2 Jahren regelmäßig angepasst und unzureichend kommuniziert werden. Es muss ein Blogbeitrag von dem Dr. Datenschutz (und anderen schreibenden Kollegen) her, um hier für Aufklärung zu sorgen. Die Vorauswahl der Einstellungen ist auch erst seit Oktober 2020 als unzureichend eingestuft worden.

    Meiner Ansicht nach gehen wir sehr stark in die falsche Richtung, bremsen unsere deutschen Start-Ups und Kleinunternehmen und blicken auf eine stärkere Zukunft von Kundenlogins auf jeder Seite.

    • Eine Website-Optimierung ist doch heute gar kein Problem, wenn man wie oben ausgeführt, die Daten cookieless mit einem Datenschutz-konformen System erfasst.

      Problematisch sind doch nur Website-übergreifende Profile, wie sie beispielsweise über Cookies möglich sind und z.B. von Google-Analytics stets erhoben werden. Dort werden die Daten dann auch noch mit den Google Kontodaten (sofern der Nutzer eins hat) abgeglichen und der Personenbezug praktisch immer hergestellt. Das sagt Google selbst in seinen Datenschutzbestimmungen!

      Um beim Beispiel des Supermarkts zu bleiben, wäre das so, als wenn das Einkaufsverhalten jeder einzelnen mit Namen bekannten Person in ALLEN Geschäften erfasst, zusammengeführt und zentral durch einen Dritten profiliert wird. DAS ist doch das Problem.

      Es geht am Ende um die informationelle Selbstbestimmung: Wer sich so durchleuchten lassen will, kann ja gerne zustimmen, wenn er entsprechend transparent darüber informiert wurde. Ich finde es persönlich richtig und gut, dass wir Bürger hoffentlich endlich der personenbezogenen Massenüberwachung von Google & Co. durch „Ablehnen“ entkommen können.

      Der Supermarkt und der Websitebetreiber haben natürlich ihr „berechtigtes Interesse“ und können beliebig optimieren, sofern die Daten NUR sie selbst erhalten und der Nutzer (durch Cookies, bzw. Aufkleber auf der Schulter) nicht profiliert und wiedererkannt wird.

  • Interessant, dass ich keinen „Ablehnen“ Button beim betreten dieser Seite gefunden habe. ????

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.