Nur zwei Wochen nach Bekanntgabe der automatisierten Überprüfung von Cookie-Bannern veröffentlicht die von dem Datenschutz-Aktivisten Max Schrems gegründete Organisation „noyb“ nun einen Vorschlag für ein neues automatisches Browser-Signal, das Cookie-Banner zukünftig obsolet machen könnte.
Der Inhalt im Überblick
Größte Beschwerdewelle seit dem Inkrafttreten der DSGVO
Am 31.05.2021 startete die gemeinnützige Datenschutz-Organisation noyb die größte Beschwerdewelle seit Inkrafttreten der DSGVO und übermittelte bereits an diesem Tag über 500 Beschwerden an Unternehmen, die auf ihrer Webseite nach Ansicht von noyb rechtswidrige Cookie-Banner verwenden. Die Webseiten werden durch eine eigens entwickelte Software überprüft, die im Falle eines rechtswidrigen Cookie-Banners automatisch Beschwerden generiert und an die betroffenen Unternehmen versendet. Der Datenschutzaktivist Max Schrems führt hierzu aus:
„Nach der DSGVO müssen Nutzer:innen eine simple Ja/Nein-Option haben. Da die meisten Banner diesen Anforderungen nicht entsprechen, hat noyb eine Software entwickelt, die verschiedene Arten von rechtswidrigen Cookie-Bannern erkennt und automatisch Beschwerden generiert.“
Nach Erhalt der formlosen Beschwerde sollen die Unternehmen einen Monat Zeit haben, um die Cookie-Banner an die gesetzlichen Anforderungen anzupassen. Als Hilfestellung erhalten die Unternehmen eine Schritt-für-Schritt-Anleitung, die die Änderung von Softwareeinstellungen erleichtern soll. Im Falle des Untätigbleibens wird noyb die Beschwerden an die Aufsichtsbehörden weiterleiten. Ziel der Organisation ist es, die größten europäischen Webseiten zu untersuchen und bis zu 10.000 Beschwerden zu generieren.
Nach Angaben der Organisation hat bereits die erste Überprüfung der Webseiten ergeben, dass 81 % der Cookie-Banner nicht einmal einen „Ablehnen-Button“ beinhalten und bei 73 % irreführende Farben und Kontraste eingesetzt werden. Max Schrems erklärt hierzu:
„Nur 3 % aller Nutzer wollen die Cookies tatsächlich akzeptieren, aber mehr als 90 % können dazu verleitet werden, auf den Akzeptieren Button zu klicken.“
Hat der Cookie-Banner Wahnsinn bald ein Ende?
Anfang dieser Woche veröffentlichte noyb zusammen mit dem Sustainable Computing Lab („CSL“) der Wirtschaftsuniversität Wien nun einen Vorschlag für ein automatisches Browser Signal, das den Cookie-Bannern ein Ende setzen könnte.
Das sogenannte Advanced Data Protection Control („ADPC“) soll flexibler und spezifischer werden als die bisher bekannten Ansätze, wie bspw. das aus den USA bekannte Projekt „Do not track“. Mit dem Einsatz dieses Cookie-Kontrollcenters soll es Nutzern künftig möglich sein durch einheitliche und simple Pop-up Fenster Ihre Daten zur Verarbeitung freizugeben. Dabei ermöglicht ADPC vor allem auch ein intelligentes Management von Anfragen und deren automatische Beantwortung. Gleichartige Anfragen könnten in diesem Fall einheitlich für alle Webseiten positiv oder negativ beantwortet und bestimmte Anfragen von vornherein ausgeschlossen werden. Maximilian Schrems führt hierzu aus:
„ADPC erlaubt intelligentes Management von Datenschutzanfragen. Ein Nutzer könnte etwa sagen, ‚bitte frage mich erst, wenn ich auf der Seite mehrmals war‘ oder ‚frag mich nach 3 Monaten wieder‘. Ebenso ist es möglich, gleichartige Anfragen zentral zu beantworten. ADPC ermöglicht, die Flut von Datenanfragen sinnvoll zu managen.“
In der Pressemitteilung heißt es zudem, es sei in Artikel 21 Abs. 5 der DSGVO und der ePrivacy-Verordnung gesetzlich vorgesehen, das automatische Signale des Browsers Webseiten im Hintergrund mitteilen, ob Nutzer:innen einer Datenverarbeitung zustimmen, aber solche technische Verfahren seien nicht existent.
Das TTDSG setzt für das Einwilligungsmanagement auf PIMS
Am 20.05.2021 verabschiedete der Bundestag das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG). Damit führt man die bereichsspezifischen Datenschutzregeln aus dem Telekommunikationsgesetz (TKG) und dem Telemediengesetz (TMG) in einem Gesetz zusammen und hat sie in diesem Zuge aktualisiert. So wurden etwa die Vorgaben des Art. 5 Abs. 3 ePrivacy-Richtlinie, dessen Umsetzungsstand in Deutschland den BGH im Cookie-Einwilligung II Urteil beschäftigte und das vermehrte „Aufploppen“ von Cookie-Bannern zur Folge hatte, nun ausdrücklich in § 25 TTDSG geregelt.
In § 26 TTDSG wird es der Bundesregierung ermöglicht, durch eine Rechtsverordnung die Anforderungen an technische Anwendungen zur Einholung und Verwaltung der Cookie-Einwilligung sowie die Akkreditierungsvoraussetzung derer Anbieter festzulegen. Unter die Definition könnten z.B. Personal Information Management Systeme“ (PIMS) oder Single-Sign-on-Lösungen fallen. Je nachdem wie die technischen Anforderungen ausfallen, ist es durchaus denkbar, dass PIMS auf die aktuell veröffentlichten technischen Spezifikationen des Advanced Data Protection Control von Noyb aufbauen oder die NGO später ein ausgereiftes System selber bereitstellt.
Doch die Sache hat einen Haken. Zu Recht wies Dr. Simon Assion in seiner Stellungnahme (S.10 – 11) zum Entwurf des TTDSG auf folgendes Problem hin:
„Zunächst ist fraglich, ob und wie PIMS-Anbieter überhaupt die Anforderungen an eine wirksame Einwilligung erfüllen können. Art. 4 Nr. 11 DSGVO und Art. 7 DSGVO stellen an eine wirksame Einwilligung eine Vielzahl von Anforderungen, darunter „für den bestimmten Fall“, „in informierter Weise“ und „in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung“. Aus Erwägungsgrund 32 DSGVO folgt außerdem, dass Pauschaleinwilligungen unwirksam sind. […] Dieses Problem kann nur dadurch überwunden werden, dass der Gesetzgeber selbst regelt, dass (bzw. unter welchen Bedingungen) eine PIMS-gestützte Einwilligung immer wirksam sein soll – und zwar unabhängig von der Frage, ob die Anforderungen der DSGVO im Einzelfall erfüllt sind oder nicht. Dies wäre jedoch eine Abweichung von Anforderungen der DSGVO bzw. ePrivacy-RL. Da diese Rechtsakte zum Recht der EU gehören, kann dies nur der EU-Gesetzgeber erreichen.“
Die Zukunft der Cookie-Banner
Wie es um die Zukunft der Cookie-Banner steht, ist zum jetzigen Zeitpunkt noch unklar. Die Idee, auf Personal Information Management-Systeme zu setzen, könnte eine mögliche Alternative zum lästigen Cookie-Banner darstellen. Dies würde nicht nur die ständige Abfrage der Einwilligung verhindern, sondern auch Rechtsklarheit für die Webseitenanbieter schaffen. Am Ende bleibt es jedoch abzuwarten, ob die Behörden eine solche Lösungen als wirksame Einwilligung und tatsächliche Alternative zum Cookie-Banner sehen.
Endgültig könnte man das Thema Cookie-Banner nur mit dem Verabschieden einer entsprechenden Regelung in der ePrivacy-Verordnung beerdigen. Doch bei dieser gesetzgeberischen „Dauerbaustelle“ ist immer noch kein Ende in Sicht. Die slowenische Ratspräsidentschaft bereitet sich gerade darauf vor, die im Anfangsstadium befindlichen Trilog-Verhandlungen zu übernehmen.
„Wir respektieren Ihre Privatsphäre“ heißt es auf vielen Cookie Bannern. Dass nur 3% der Nutzer rechtskonformen Einwilligungen zum Tracking zustimmen würden, ist ein Fakt, der nicht erst in diesem Beitrag artikuliert wurde.
Daher braucht es keine neue Technologie oder PIMS, denn die technische Lösung, um 97% der Nutzer den Respekt zu zollen, existiert seit Jahren: Das Do-Not-Track (DNT) Browser-Signal.
Erste Websites, die verstanden haben, dass „Respekt“ keine leere Worthülse ist, gibt es bereits: der Preisvergleichsdienst geizhals.de begrüßt DNT-Nutzer mit einem entsprechenden Hinweis nicht zu tracken. Datenschutzkonforme Tracking-Systeme wie etracker.com erkennen DNT dank „Privacy by Default“ Einstellungen und unterlassen automatisch ein Tracking.
Nur dass gerade Apple als angeblicher Datenschutz-Verfechter die DNT-Wahlmöglichkeit bereits vor Jahren aus Safari entfernt hat, gibt sehr zu denken.
In allen anderen Browsern kann DNT gesetzt werden. Was fehlt, ist schlicht der viel betonte Respekt der Unternehmen – und keine weitere Technologie oder gesetzliche Regelung!
Klar, es ist begrüßenswert, wenn Webseiten Do-Not-Track respektieren und es wäre toll wenn mehr Seiten dies tun würden. DNT ist aber kein geeignetes Mittel, um Cookie-Bannern ein Ende zu bereiten. Aus rechtlicher Sicht schon, weil es nur einen Widerspruch gegen Datenverarbeitungen auf berechtigtem Interesse darstellt, aber keine Einwilligungsfunktion erfüllen kann. Aber auch aus praktischer Sicht lässt DNT zu wünschen übrig. Das Alles-oder-Nichts Prinzip greift mir in vielen Fällen zu kurz. Was ist, wenn ich meinem Lieblingsblog das Erheben von Daten für Nutzungsstatistiken erlauben möchte, der Website des Schnelltestzentrums aber nicht oder wenn ich personalisierte Werbung bei meinem Lieblings-Content-Creator als Gegenleistung ok finde, nicht aber beim Onlinemagazin, auf dem ich über die Suchmaschine für einen Artikel gelandet bin. Einstellungsmöglichkeiten dahingehend bietet DNT aktuell nicht, wären aber auf Basis von ADPC möglich.
Aller Individualisierung zum Lobe, aber wird das wirklich ernsthaft wer tun? Bis auf eine Handvoll Nerds kann ich mir kaum einen vorstellen, der sich die Mühe macht/machen wird, das wirklich zu individualisieren, egal wie aufwendig das ist. Auch Adblocker sind in der Regel entweder komplett an oder aus. Und die Cookie-Banner, warum sind wohl Extensions wie „I don’t care about cookies“ so erfolgreich. Es nervt einfach nur. Sinnvoll und datenschutzsauber wäre daher eine zentrale Einstellmöglichkeit im Browser, die dann von den Websites übernommen wird. Hier kann dann ja jeder selbst entscheiden, was er will oder was nicht.
Das Problem dabei ist, worauf der Beitrag hinweisen wollte, dass das Datenschutzrecht aktuell solche generell abstrakten Verfügungen für zukünftige Datenverarbeitungen nicht kennt. Es bedürfte dazu eine Änderung der Gesetzeslage auf europäischer Ebene (vgl. Stellungnahme oben).
Sollte dieses Problem gelöst werden, wären wir bei der Frage, nach der nutzerfreundlichsten Ausgestaltungsmöglichkeit dieser generellen Einwilligungs- und Widerspruchsmöglichkeiten. Ich gebe Ihnen Recht, dass wohl ein Großteil der Nutzer, selbst wenn dies an einem zentralen Verwaltungsort möglich ist, keine individuellen Datenschutzeinstellungen vornehmen wird. Aber das Vorhalten einer solche Möglichkeit schließt ja nicht zwingend aus, dass es weiterhin die Möglichkeit „Alle annehmen/ablehnen“ gibt. Das ist der Grund, wieso ich einen Mehrwert in technischen Ansätzen wie ADPC, die diese Mehr an Flexibilität versprechen, gegenüber dem bisherigen DNT-Standard sehe.
Ich frage mich heute noch, warum das Spionieren in meiner Privatsphäre (PC) ein „berechtigtes“ Interesse darstellen soll. Es gibt unter keinen Umständen eine Berechtigung meine privaten Date auf die eine oder andere Weise auszuspähen. Die können mich fragen und wenn ich nein sage, dann heißt das nein. Dann will ich aber auch bitte schön nicht alle 14 Tage wieder gefragt werden. Das durchzusetzen wäre im Interesse aller, außer der Politik, die danke Lobbyisten sehr viel davon hat, wenn es so bleibt wie es ist. Ich blockiere übrigens Websiten komplett und permanent, die meinen sie müssten diese Perma-Belästigung nur nervig genug machen, damit man entnervt die Einwilligung gibt. Geht ganz einfach im BS. Auf diese Weise schießen sich die nämlich selbst ins Knie. Wer will schon Werbeblättchen mit ein bisschen Info haben? Übrigens gab es das früher gar nicht und trotzdem hatten alle Unternehmen Websites ohne daran gleich pleite zu gehen – darüber sollte man mal nachdenken.