faithie - stock.adobe.com
Cookie-Banner: Was immer noch falsch gemacht wird
Die Europäischen Datenschutz-Aufsichtsbehörden haben einen Bericht über Fehler bei Cookie-Bannern veröffentlicht. Unternehmen sollten prüfen, ob diese Mängel bei ihnen vorliegen.
Viele Internetnutzerinnen und Internetnutzer stören sich an den Cookie-Bannern, die man bei dem Besuch der meisten Websites inzwischen sieht. Die Internetnutzenden ärgern sich dann über die „lästigen Datenschutzvorgaben“. Dabei ist es letztlich gar nicht der Datenschutz, der die Cookie-Banner haben will.
„Eine gut gemachte und faire Internetseite benötigt kein Cookie-Banner, weil sie nur technisch notwendige Cookies verwendet“, erklärt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber. „Wenn Webseiten-Betreibende aber unbedingt personenbezogene Daten sammeln wollen, dann dürfen sie sich eine Einwilligung dafür nicht mit unfairen oder rechtswidrigen Mitteln holen.“
Damit weist der Bundesdatenschutzbeauftragte auf sogenannte „trügerische Designmuster“ bei Cookie-Bannern hin, die zu dem eigentlichen Ärger über Cookie-Banner führen und die einen Datenschutzverstoß darstellen können.
Mängel bei Cookie-Bannern
Auch der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat sich zu diesem Thema zu Wort gemeldet: „Nutzerinnen und Nutzer sollen beim Besuch einer Webseite oder Nutzung einer App davon ausgehen dürfen, dass ungefragt nur solche Daten verarbeitet werden, die zur Erbringung des nachgefragten Dienstes auch tatsächlich erforderlich sind. Wollen Diensteanbieter weitere Daten erheben und verarbeiten, müssen sie die Nutzerinnen und Nutzer dazu vorab in informierter Art und Weise um ihre freiwillige Einwilligung ersuchen.“
Diese Vorgaben würden mittlerweile von vielen Betreibern in der Regel durch vorgeschaltete „Einwilligungsbanner“ umgesetzt, so der Datenschutzbeauftragte. Aber: Nicht immer erfolgt dies rechtskonform. Der Hamburger Beauftragte macht deutlich: „Bei Verstößen können nun Verwarnungen oder Anordnungen ausgesprochen sowie Geldbußen verhängt werden. Wir werden im ersten Quartal 2023 beginnen, Telemedienangebote von Hamburger Unternehmen auf deren Vereinbarkeit mit den Vorgaben des TTDSG zu prüfen.“
Die Bürgerschaft hatte die Kompetenzen des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit bei der Anwendung des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) erweitert. Damit wird der HmbBfDI in die Lage versetzt, Abhilfemaßnahmen und Bußgelder gegenüber Telemedienanbietern in Hamburg zu erlassen, wenn diese zum Beispiel Cookies in rechtswidriger Art und Weise verwenden.
Doch auch andere Datenschutzaufsichtsbehörden in der EU haben auf Abweichungen hingewiesen, die bei Cookie-Bannern zu finden sind.
Hinweise der Task Force Cookie-Banner
Der Europäische Datenschutzausschuss (EDSA) hatte eine Task Force zur Untersuchung von Cookie-Bannern eingesetzt, die inzwischen einen Ergebnisbericht vorgelegt hat. Daraus lassen sich insbesondere häufige Fehler bei Cookie-Bannern ablesen, auf die Datenschutzaufsichtsbehörden aufmerksam geworden sind.
Unternehmen sollten dringend prüfen, ob bei den von ihnen eingesetzten Einwilligungsbannern diese oder ähnliche Fehler gemacht wurden, denn die Aufsichtsbehörden für den Datenschutz können darin Abweichungen von den Datenschutzvorgaben sehen und entsprechend sanktionieren.
Beispiele für Fehler bei Cookie-Bannern
Die Task Force hat insbesondere auf diese Punkte hingewiesen:
Keine Schaltfläche zum Ablehnen der Cookies. Einige Cookie-Banner, die von Website-Betreibern angezeigt werden, enthalten eine Schaltfläche zum Akzeptieren der Speicherung von Cookies und eine Schaltfläche, die es der betroffenen Person ermöglicht, auf weitere Optionen zuzugreifen, aber keine Schaltfläche zum Ablehnen der Cookies.
Vorab angekreuzte Kästchen. Betreiber von Websites stellen den Benutzern mehrere Optionen dar (typischerweise jede Kategorie von Cookies, die der Controller speichern möchte) mit vorab angekreuzten Kästchen auf der zweiten Ebene des Cookie-Banners, dies wird sichtbar, nachdem der Benutzer auf die Schaltfläche „Einstellungen“ des Cookie-Banners geklickt hat.
Umständliche Ablehnung. Cookie-Banner, die von mehreren untersuchten Website-Betreibern angezeigt werden, enthalten einen Link und keine Schaltfläche, um die Hinterlegung von Cookies abzulehnen (zum Beispiel einen Link zu einer zweiten Ebene, wo ein Benutzer die Hinterlegung von Cookies ablehnen kann).
Hervorhebung des Akzeptieren-Buttons. Die Konfiguration einiger Cookie-Banner in Bezug auf Farben und Kontraste der Schaltflächen („Kontrastverhältnis zwischen der Schaltfläche „Akzeptieren“ und dem Hintergrund“) führt zu einer deutlichen Hervorhebung der Schaltfläche „Alle akzeptieren“ gegenüber der Schaltflächen für das Ablehnen oder andere Optionen.
Verstecken des Ablehnen-Buttons. Website-Betreiber platzieren ein Banner, das die Möglichkeit hervorhebt, die Cookies auf der ersten Ebene (des Banners) zu akzeptieren, aber keine Option enthält, auf dieser Ebene abzulehnen, was den durchschnittlichen Benutzer glauben lässt, dass er überhaupt keine Widerspruchsmöglichkeit gegen das Setzen von Cookies und im Übrigen auch die daraus resultierende weitere Verarbeitung hat.
Falsche Einstufung der Cookies. Website-Betreiber bezeichnen Cookies und Verarbeitungsvorgänge, die personenbezogene Daten verwenden und Zwecken dienen, die nicht als „unbedingt erforderlich“ im Sinne des Datenschutzes gelten, als „wesentlich“ oder „unbedingt erforderlich“.