Cookie-Banner und die DSGVO: Was muss man, wann, wo, wie und warum beachten?

Seit der allgemeinen Panik zum Start der DSGVO im Mai letzten Jahres wimmelt es auf Webseiten nur so von Cookie-Bannern in den verschiedensten Formen. Mal tauchen sie oben auf, mal unten oder versperren gleich die ganze Seite. Mal verschwinden sie von selbst, wenn man scrollt oder klickt, mal muss man sie aktiv wegklicken und manchmal kommt man überhaupt nicht weiter, ohne irgendetwas explizit akzeptiert zu haben.

Sinn des ganzen Rummels soll sein, den Nutzern die Möglichkeit zu geben sich zu informieren, ob und in welcher Form auf einer Webseite persönliche Daten erhoben und möglicherweise weitergegeben werden. Aber so richtig sicher, wie man dies denn wirklich rechtssicher macht, ist sich anscheinend keiner. Und so richtig zu interessieren scheint sich für diese Informationen auch keiner! Also viel Lärm um nichts?

Hier einige interessante Zahlen:

  • 88 Prozent der Webseiten holen eine Zustimmung zur Speicherung von Cookies ein
  • 65 Prozent der Nutzer stimmen zu
  • 1.8 mal sieht ein Besucher die Zustimmungsabfrage im Schnitt bevor er eine Entscheidung fällt
  • (Nur) 0,1 Prozent der Besucher schauen sich die Informationen an.
  • (Nur) 0,07 Prozent der Nutzer rufen die Cookie-Einstellungen auf

Quelle: Datenschutz-Barometer Commanders Act basierend auf den Daten von 10,5 Millionen Website-Besuchern https://www.commandersact.com/de/datenschutz-barometer/

So gut wie alles ist (noch) möglich

Die hohe Zustimmungsrate ist je nach Branche allerdings sehr unterschiedlich, was einerseits vielleicht vom Vertrauensbonus des jeweiligen Seitenbetreibers abhängt aber vor allem auch von der Art und Weise, wie man eine solche Zustimmung einholt.

Zur Zeit gibt es noch verschiedene “Zustimmungsmodi”:

  • direkt (explizit): der Nutzer muss direkt und explizit zustimmen, meist durch Klicken auf einen “Einverstanden”-Button
  • indirekt: Die Zustimmung wird als erteilt betrachtet, wenn der Besucher die Webseite weiter nutzt, z. B. indem er per Klick eine weitere Seite öffnet
  • implizit: Hier gilt schon als Zustimmung, wenn der Besucher einfach weiterscrollt (also nicht einmal irgendwohin klickt)

Eine direkte Zustimmung geben naturgemäß die wenigsten Nutzer, weil sie hier aktiv die Entscheidung treffen müssen: “Ja, ich gebe denen meine Daten!” Eine indirekte oder implizierte Zustimmung wird wohl oft so nebenbei erteilt, weil man das nervige Banner einfach weghaben will.

Welche Methode eingesetzt wird, hängt dabei stark von der jeweiligen Branche ab. Bei allem, was mit Geld und Verträgen zu tun hat und wo deshalb besonders sensible Daten abgefragt und gespeichert werden (müssen), setzen die Firmen meist auf die direkte – weil sicherste – Variante.

In Bereichen wie Medien oder Affiliate-Marketing dagegen, wo die Webseite meist mit Werbung monetarisiert wird, will man die Hürden für eine Zustimmung zur Speicherung, Weitergabe bzw. Nutzung der Daten naturgemäß möglichst gering halten und tendiert deshalb aktuell noch in die entgegengesetzte Richtung. Das Risiko von Daten- und damit Geldverlust, weil man die gesammelten Daten irgendwann vielleicht nicht mehr nutzen darf, ist hier eben deutlich geringer als in der Finanzbranche, wo jeder Lead über einen längeren Zeitraum auch mal einige hundert Euro wert sein kann.

Aber Achtung: Ob es sich bei der indirekten oder der impliziten Zustimmung um eine wirkliche Zustimmung, wie mit Einführung der DSGVO ja beabsichtigt, handelt, ist noch überhaupt nicht geklärt. Im Moment ist dies ein “rechtsfreier Raum”. Die DSGVO ist so schwammig formuliert, so dass man, wie man an den doch sehr unterschiedlichen Interpretierungen sieht, dort alles mögliche “herauslesen” kann.

So gut wie nichts ist konkret geklärt

Die DSGVO schreibt vor, dass der Nutzer in der Datenschutzerklärung über die rechtlichen Grundlagen der Verwendung von Cookies auf einer Webseite informiert werden müssen und dass dem Nutzer die Möglichkeit eingeräumt werden muss, dem zu widersprechen.

“Cookies sind laut Art. 4 Nr. 1 DSGVO auf jeden Fall “personenbezogene Daten” weil über die darin explizit als Beispiel aufgeführten “Cookie-Kennungen” Profile von natürlichen Personen erstellt werden oder diese Personen sogar identifiziert werden können.”

Man nutzt Cookies normalerweise ja auch dafür um Nutzerprofile anzulegen (z.B. Google Analytics) oder den Nutzer später zu identifizieren (z. B. Affiliate-Tracking).

Werden Cookies eingesetzt, werden also immer auch “persönliche Daten” erhoben, egal wie verschlüsselt und anonymisiert die auch sein sollten. Dies ist aber nur zulässig, wenn es die DSGVO auch ausdrücklich erlaubt! Man muss also nicht nur darauf hinweisen, dass man “Daten sammelt”, sondern darf dies auch nur dann tun, wenn man die Erlaubnis dazu hat (Erlaubnistatbestand).

Die Erlaubnis Daten über Cookies zu sammeln kann man in der Regel nur bekommen

  • indem die betroffene Person einwilligt
  • oder der “Datensammler” ein berechtigtes Interesse hat.

Punkt eins ist einfach: Man muss die Einwilligung der Person haben, bevor man Daten sammelt, also bevor man Cookies setzt. Kommt die Person auf die Webseite, darf man Daten erst sammeln, wenn man die Person über die Verwendung von Cookies aufgeklärt hat und sie danach z. B. auf “Ich stimme zu” geklickt hat. (Achtung, diese Zustimmung muss man unbedingt auch dokumentieren, denn der Datensammler ist in der Pflicht diese Zustimmung notfalls zu beweisen.) Das ist die sogenannte direkte oder explizite Einwilligung.(siehe oben)

Punkt zwei dagegen ist (noch) umstritten. Man kann auf die Einholung der expliziten Einwilligung verzichten, wenn man ein “berechtigtes Interesse” an der Erhebung und Verwendung der Daten hat. Nur, was genau sind denn “berechtigte Interessen”? Wohl jeder Webseitenbetreiber hält sein Interesse an den Daten des Nutzers für berechtigt.

Dazu die DSGVO (Erwägungsgrund 47 DSGVO):

“Die Rechtmäßigkeit der Verarbeitung kann durch die berechtigten Interessen eines Verantwortlichen, auch eines Verantwortlichen, dem die personenbezogenen Daten offengelegt werden dürfen, oder eines Dritten begründet sein, sofern die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen; dabei sind die vernünftigen Erwartungen der betroffenen Personen, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen.”

Das hört sich für Webseitenbetreiber doch eigentlich ganz gut an! Jedoch: Im gleichen Erwägungsgrund 47 steht auch:

“Insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, könnten die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen.”

Jetzt wägen Sie einmal ab:

  • Wann überwiegen die Grundrechte des Besuchers Ihr berechtigtes Interesse?
  • Wann kann (oder muss) eine Person damit rechnen, dass Daten verarbeitet werden?

Wenn Werbung eingeblendet wird oder vielleicht schon, wenn sie die Webseite nur aufruft? Das könnte man wohl nur in jedem konkreten Einzelfall bestimmen:

  • Welche Vorkenntnisse hat die Person, welche Ausbildung?
  • Wie oft hat die Person schon gesurft, gechattet, online eingekauft?
  • Oder reicht es, dass in den Medien ständig davor gewarnt wird, dass Webseiten auch Daten sammeln?

Letztlich klären könnte dies dann wohl immer erst im Einzelfall ein Richter nach intensiver Befragung der Person – und fünf Richter würden hier wahrscheinlich zu fünf unterschiedlichen Urteilen kommen.

Die DSGVO ist in vielen Teilen völlig unverbindlich – und deshalb ein umso gefährlicherer “Papiertiger”. Hehre Ziele verpackt in einen Wust vieler komplizierter Worte und allgemeiner Phrasen – aber ohne jeden Zusammenhang mit der Realität. Die letztliche Verantwortung wird aber hier – wie bei so vielen anderen Regeln und Gesetzen, das Internet betreffend – einfach auf die Dummen (die Webseitenbetreiber) abgeschoben. Kleinen Unternehmen, Selbstständigen und Existenzgründern drohen hier schon bei kleinsten Verstößen, existenzbedrohende Konsequenzen – die Großen leiten das an ihre Rechtsabteilung und zahlen mögliche Strafen aus der Portokasse. Man fragt sich immer wieder: “Ist das einfach nur “Nichtkönnen” oder macht man das mit Absicht?”

Und, was die Sache nur noch schlimmer macht: Die DSGVO ist (zumindest in den Teilen, die Einwilligung betreffend) absolut wirkungslos! Laut der oben bereits zitierten Commanders Act – Analyse interessieren sich nur 0,1 Prozent der Besucher (also einer von Tausend) überhaupt für die Informationen bzw. die Datenschutzerklärung – und nur kaum wahrnehmbare 0,07 Prozent (sieben von Zehntausend) rufen die individuellen Cookie-Einstellungen auf. Es interessiert einfach niemanden – Hauptsache das nervige Banner verschwindet!

Was wird die Zukunft bringen?

Die Regulierungsbehörden greifen (noch) nicht ein, weil sie auf die schon vor Jahren angekündigte (und immer wieder verschobene) E-Privacy-Verordnung warten, die klare Bestimmungen zur Umsetzung der DSGVO enthalten soll.

Die Tendenz geht aktuell allerdings dazu, dass die E-Privacy-Verordnung hier eher strenge Anforderungen an die Art und Weise der Erteilung der Zustimmung stellen wird, so dass am Ende wohl nur die direkte Zustimmung als rechtlich sicher gilt. Das aber bedeutet auch, dass alle Zustimmungen, die bis dahin auf eine andere Art (also indirekt oder implizit) erteilt wurden, rechtlich nicht (mehr) gültig sind. Hier gilt es deshalb die Augen und Ohren offen zu halten, um auf dem Laufenden zu bleiben und nicht eines Tages kalt erwischt zu werden.

Es gibt aber noch eine andere Passage der DSGVO, die momentan aufgrund der (noch) laxen Auslegung noch keine größere Aufmerksamkeit erfahren hat:.

“Es sollte nur dann davon ausgegangen werden, dass sie ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden.”

Die Einwilligung bzw. Zustimmung muss laut DSGVO immer freiwillig sein. Man darf sie nicht an irgendwelche Bedingungen knüpfen. Eine wirklich freie Wahl hat der Webseitenbesucher aber nur dann, wenn er auch keine Nachteile “zu erleiden” hat. Ein solcher Nachteil wäre es, wenn man den Zugriff zur Webseite an die Einwilligung knüpft:

Keine Einwilligung = kein Zugriff = Nachteil!

Für einen Webseitenbesucher ist es also völlig egal, ob er zustimmt oder nicht – er hat keine Nachteile zu befürchten. Warum sollte er dann aber überhaupt zustimmen? Aus reiner Dankbarkeit vielleicht, wie man es schon heute auf einigen Webseiten versucht: “Bitte stimmen Sie zu, weil wir sonst kein Geld verdienen!” Das klingt irgendwie nach Bettelei, oder?

Gerade bei Affiliate-Webseiten und anderen, die mit Werbung ihr Geld sauer verdienen, kann dies beträchtliche Folgen haben: Man gibt sich als Webseitenbetreiber alle Mühe um den tollsten Content auf die Beine zu stellen, damit die Besucher die Webseite in Scharen besuchen. Diese jedoch verweigern in Scharen einfach die Zustimmung zur Nutzung oder Weitergabe ihrer Daten: “Warum sollte ich meine persönlichen Daten preisgeben, wenn ich doch auch so die Inhalte nutzen kann?” Die ganze Arbeit war für die Katz!

Andererseits aber bleibt die Entwicklung auch nicht stehen und wenn es denn irgendwann einmal klare, verständliche und eindeutige Regeln geben wird, kann es gut sein, dass es auch bereits entsprechende Browser-Technologien geben gibt, die uns bei der Umsetzung dieser Regeln unterstützen. Wir bleiben Optimisten – und Sie auf dem Laufenden!

Quellen:

https://www.commandersact.com/de/datenschutz-barometer/

https://datenschutz-hamburg.de/dsgvo-information/dsgvo-german/

 

Weitere Informationen zur DSGVO: https://www.internetunternehmerakademie.de/dsvgo-die-zeit-wird-langsam-knapp/

 

 

Kommentare

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

  1. Hallo Sandra,
    können Sie irgendeinen Cookie Banner besonders empfehlen? Welchen setzen Sie z.B. selbst hier auf dieser Website ein?
    Herzlichen Gruß, Uwe H.