Experten schätzen dass mehr als 90% der aktuell eingesetzten Cookie-Banner gegen die DSGVO verstoßen. Darunter sind nicht nur kleine Webseitenbetreiber, die sich mit der Materie nicht auskennen, sondern auch große Firmen. Wenn Sie diesen Artikel gelesen haben, werden Sie sich selbst wundern, wie viele illegale Cookie-Banner einem im Internet tagtäglich über den Weg ploppen. Ist vielleicht auch Ihres darunter?

Der Sheriff ist nicht in der Stadt! Noch nicht!

Haben sie sich auch schon mal gewundert, wie viele Varianten von Cookie-Bannern so im Umlauf sind? Irgendwie hat man das Gefühl, jeder kann hier nach Wildwestmanier machen, was er will. Hauptsache er lässt den Nutzer auf einen riesengroßen, bunt leuchtenden, prominent platzierten “Akzeptieren”-Button klicken. Zur Vereinfachung werden die Auswahl-Häkchen schon mal an die richtige Stelle platziert, damit ja keine Verwirrung entsteht. Der Rest (“mehr Informationen” oder gar “Ablehnen”) ist irgendwie Nebensache oder wird gleich komplett “unter den Tisch gekehrt”. Schließlich wollen ja Webseitenbetreiber und Nutzer gleichermaßen das leidig-lästige Thema so schnell wie möglich hinter sich bringen.

Laut Umfragen sind zwei Drittel der Deutschen genervt von Cookie-Bannern bzw. deren Wegklicken und knapp die Hälfte tut auch nur letzteres ohne sich Hinweise oder Informationen durchzulesen. Das aber ist nicht im Sinne des Erfinders, also der EU, denn das Ziel war es ja, mit Einführung der Datenschutzgrundverordnung (DSGVO) den Nutzern grundsätzlich mehr Kontrolle über ihre persönlichen Daten zu geben und nicht, nutz- und sinnlosen Klickparcour zu veranstalten. Und in diesen grundsätzlichen Dingen ist die DSGVO ziemlich konkret.

Was haben wir uns nicht alle aufgeregt, als die DSGVO vor einigen Jahren eingeführt wurde. Keiner wusste so richtig, was jetzt richtig und was gefährlich falsch war. Von riesigen Abmahnwellen war die Rede und vom Ende des Internets, wie wir es kannten. Geschehen ist bis heute eher wenig. Von Abmahnwellen bezüglich DSGVO ist mir persönlich zumindest nichts bekannt. Das liegt aber wahrscheinlich eher daran, dass lange nicht klar war, wer denn überhaupt wegen DSGVO-Verstößen abmahnen kann (nur Daten- und Verbraucherschützer oder auch Abmahnvereine oder gar die lästige Konkurrenz?) und wenn ja, was überhaupt abmahnberechtigt ist.

In diesen Fragen (und vielen anderen mehr) ist die DSGVO eher allgemein formuliert. Die Details sollten die Gerichte klären – und das tun sie immer häufiger. Die Mühlen der Justiz arbeiten zwar langsam aber kommen zu immer klareren Ergebnissen. Der Sheriff ist also doch in der Stadt, nur er ist keiner von der schnellen Sorte.

Ab dem 01. Dezember tritt zudem das neue deutsche “Telekommunikation-Telemedien-Datenschutz-Gesetz” (TTDSG) in Kraft, welches einige Regelungen der DSGVO präzisiert (z.B: bezüglich Cookies und Tracking) und auch Neuerungen für Webseitenbetreiber und Agenturen enthält.

Fangen wir aber mit dem Grundsätzlichen an:

Warum braucht man überhaupt Cookie-Banner?

Die Grundlage von allem ist Artikel 5 der DSGVO.

Personenbezogene Daten müssen …

“auf rechtmäßige Weise, nach dem Grundsatz von Treu und Glauben und in einer für die betroffene Person nachvollziehbare Art und Weise verarbeitet werden. …”

Was eine rechtmäßige Verarbeitung ist regelt Artikel 6, Absatz 1 der DSGVO

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine bestimmte Bedingung erfüllt ist.

1. Die betroffene Person gibt ihre Einwilligung.
2. Die Verarbeitung ist notwendig zur Erfüllung eines Vertrag oder vorvertraglicher Maßnahmen.
3. Die Verarbeitung ist notwendig zur Erfüllung rechtlicher Verpflichtungen.
4. Die Verarbeitung ist notwendig um lebenswichtige Interessen von Personen zu schützen.
5. Die Verarbeitung ist notwendig um öffentliche Aufgaben zu erfüllen.
6. Die Verarbeitung ist möglich, wenn sie zur Wahrung von berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich sind, sofern nicht Grundrecht und Grundfreiheiten der betroffenen Person überwiegen.

Für einen durchschnittlichen Webseitenbetreiber kommen Punkt d und e wahrscheinlich nie, Punkt c in seltenen Fällen (wenn es ein Gesetz explizit vorschreibt) und Punkt b nur in Zusammenhang mit einem Vertragsabschluss oder einem entsprechenden Angebot in Frage. Bleiben also a und f.

A ist konkret und eindeutig: Willigt die betroffene Person ein, kann ich die Daten nutzen. Natürlich nur zu den Zwecken, für die die Einwilligung gegeben wurde. Das muss man deshalb vorher ganz klar kommunizieren und auch nachweisen können.

F dagegen ist eine sehr allgemeine Formulierung, weil es keine klar festgelegte Grenze gibt, die definiert, bis wohin das berechtigte Interesse des Verantwortlichen überwiegt und ab wann die Grundrechte und- Freiheiten der betroffenen Person. Aber es setzt nicht zwingend eine explizite, nachweisbare Einwilligung voraus!

Kurz gesagt: A ist das Cookie-Banner.

F geht auch ohne Banner, wenn man

• sein berechtigtes Interesse nachvollziehbar begründen kann,
• die Verarbeitung der Daten für dieses Interesse und zum Erreichen des bestimmten Zwecks wirklich erforderlich ist,
• und man geprüft hat, dass die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen.

Das Tracking zu Werbezwecken oder zur Bildung von Kundenprofilen (z.B: Google Analytics) fällt nach Ansicht des Bundesgerichtshofs (BGH) nicht unter F. Hierzu ist immer eine Einwilligung mittels Opt-in, also A, einzuholen.

Wichtig ist aber auch, dass man beides nicht durcheinander bringt! Wenn man sich in seiner Datenschutzerklärung darauf beruft, persönliche Daten aufgrund von F nutzen zu wollen aber im Cookie-Banner A als Grund angibt, kann das unter Umständen auch als Verstoß gewertet werden, weil man den Nutzer, wenn auch unbewusst, in die Irre führt.

So verstreuen Sie mit einem Klick ihre persönlichen Daten in der ganzen Welt!

Die meisten Menschen haben keine blasse Ahnung, was eigentlich passiert, wenn sie auf einer völlig harmlosen, halbwegs vertrauenswürdigen deutschen Webseite auf den Button “Alles akzeptieren” klicken.

Hier ein Beispiel:

Ich rufe die Webseite einer großen Hamburger Regionalzeitung auf. Zuverlässig erscheint das Cookie-Banner. Es gibt eine Menge Erklärtext in schwarz-weiß aber auf den ersten Blick sehe ich nur rechts oben in knallrot den “Akzeptieren & Schließen”-Button. Gut, man kann scrollen und findet dann unten zwei weitere Buttons: links in grau-weiß “Einstellungen”, rechts wieder in knallrot “Alle akzeptieren” . Darunter zwei Links (nicht als Button und nicht in knallrot) “Mehr erfahren” und “Impressum”.

Ich bin neugierig, klicke auf “Mehr erfahren” und lande auf einer fast leeren Seite, auf der lediglich steht: “Seite nicht gefunden. Auf dieser Seite befindet sich kein Inhalt.” Hmm, Sackgasse also wieder zurück. Vielleicht finde ich ja unter “Einstellungen” mehr Informationen, was denn so mit meinen persönlichen Daten passieren soll.

Diesmal keine Sackgasse aber wieder der prominente knallrote “Alle akzeptieren” -Button, wenn ich wieder nach unten scrolle. Daneben “Speichern + Beenden” in grau-weiß. Links einige Kacheln mit denen ich eine Vorauswahl treffen kann, welche Sorte Anbieter ich angezeigt haben möchte. Oben im Text der Hinweis, dass ich einige Anbieter wegklicken muss, wenn ich nicht möchte, dass diese aufgrund von berechtigtem Interesse meine Daten sammeln. Dann wähle ich doch mal links die Kachel “Alle Anbieter”. Das rechte Feld wird entsprechend aktualisiert und bekommt einen ziemlich langen Scrollbalken. Oh ha, es gibt hier anscheinend jede Menge Anbieter. Mal nachzählen:

Wenn ich mich nicht verzählt habe, sind es genau 503 Anbieter! 

Darunter alle üblichen Verdächtigen wie Amazon, Facebook, Google, Twitter, Instagram, eBay und Co. aber auch Parship, Bose, Conrad, Deutsche Post, IBM, Netflix, und solche wie Clever Push, Commanders Act, DeepIntent, GumGum, HUAWEI, hurra.com oder Rockerbox. Man kann zu fast allen Anbietern weitere Informationen aufrufen, allerdings meist auf Englisch, was uns Normalmenschen nicht wirklich weiterhilft. Zum Glück, muss man sagen, sind hier keine Kästchen vorausgewählt, die man wegklicken müsste. Wäre eine Menge Arbeit! Aber wenn ich irgendwo auf den Button “Alle akzeptieren” geklickt hätte, hätte ich 503 Firmen, – von denen ich die meisten nicht kenne, geschweige denn, seriös erfahren könnte, was die (vor allem in den USA) mit meinen Daten machen, – die Einwilligung erteilt, meine persönlichen Daten zu sammeln, zu analysieren, wahrscheinlich auch weiterzuverkaufen – nur um einen billigen Online-Zeitungsartikel zu lesen!

Gut, einige von den 503 werden Firmen sein, die Werbung auf der Seite schalten oder die tatsächlich als Dienstleister irgendwie nützlich sind aber bei einer großen Zahl stand “im Kleingedruckten” lediglich so etwas wie Datenanalyse, Tracking oder Dienstleistungen rund um die Optimierung der Nutzung von Kundendaten.

Ich bin mir ziemlich sicher, würden die Leute wissen, was sie mit dem schnellen Klick auf “Akzeptieren” auslösen würden, würden sie dies niemals tun. Die Zustimmung zu solch einer massenhaften Weitergabe von persönlichen Daten an irgendwelche Firmen irgendwo auf der Welt würde kein halbwegs intelligenter Mensch zustimmen. Eine solche aktive Zustimmung kann man nur bekommen, wenn man aktiv verschleiert, was wirklich passiert. Und genau dieses aktive Erschleichen von Zustimmungen wird jetzt von den Gerichten zunehmend wahrgenommen und – abgestraft!

Eine kleine Auswahl häufig vorkommende Cookie-Banner-Fails:

Cookie-Banner blockiert wichtige Informationen

Cookie-Banner sind ja dazu da, schon vor dem Besuchen der Webseite die Einwilligung des Nutzers für die Nutzung von Daten einzuholen. Allerdings muss der Nutzer sich auch vor der Erteilung der Zustimmung informieren können, wozu er seine Einwilligung erteilt. Blockiert jetzt aber das Cookie-Banner den kompletten Bildschirm inkl. Link zu Impressum und Datenschutzerklärung, kann der Nutzer dies nicht vorher, sondern erst hinterher tun, wenn er das Banner weg geklickt hat. Autsch, leider durchgefallen!

Beeinflussung der Nutzerentscheidung

Der “Akzeptieren”-Button ist groß und grün oder knallrot. Alle anderen Optionen sind klein und grau (siehe Beispiel oben). Im Fachjargon nennt man so etwas neuerdings “Dark Patterns”oder “Nudging”. Letzteres bedeutet so viel wie “Abschubsen” oder “in eine Richtung lenken”. “Dark Patterns” ist ein in der Webdesigner-Welt entstandener Begriff, der Benutzerschnittstellen-Designs (wie z.B. Cookie-Banner) beschreibt, die darauf ausgelegt sind, den Benutzer zu Handlungen zu verleiten, die eigentlich nicht in seinem Interesse sind (wie z.B: die massenhafte Herausgabe von persönlichen Daten).

Auch der BGH hat sich schon dieses Themas angenommen: Wird eine Auswahlmöglichkeit bewusst in den Vordergrund gestellt und “drängt” somit alle anderen Einwilligungsmöglichkeiten optisch in den Hintergrund, nimmt eine Vielzahl von Verbrauchern diese nicht als gleichwertige Einwilligungsmöglichkeiten wahr. Solche Konstrukte sind grundsätzlich technisch ungeeignet irgendeine Rechtswirkung zu entfalten.

Auf gut Deutsch: Legt man einem Nutzer eine bestimmte Entscheidung optisch oder grafisch besonders nahe, ist dies eine unzulässige Beeinflussung des Nutzers – und somit nicht erlaubt!

Jetzt achten Sie einmal darauf, wie viele Cookie-Banner genau auf diese Art und Weise “konstruiert” sind.

Häkchen sind schon gesetzt

Das einfache Akzeptieren einer schon vorher festgelegten Auswahl (Häkchen sind schon gesetzt) reicht als Zustimmung nicht aus, weil die konkrete Einwilligung in dieser Form nicht aktiv ist. Häkchen setzen ist aktiv, Häkchen wegklicken zwar auch, aber man wählt dann ja nur die Einwilligungen ab, die man nicht erteilen möchte und wählt eben nicht aktiv die Einwilligungen aus, die man erteilen möchte. Das ist ein kleiner aber feiner (und rechtlich bedeutsamer) Unterschied!

Und es gibt noch eine kleine Feinheit: Sind standardmäßig die Häkchen für alle nicht notwendigen (also einwilligungspflichtigen) Gruppen oder Anbieter nicht vorausgewählt, braucht man keinen “Ablehnen”-Button, sondern kann sich die Zustimmung für die übrigen, ja technisch notwendigen Cookies über einen “Nur Auswahl bestätigen”-Button einholen. Dann können “Alles akzeptieren” und “Nur Auswahl bestätigen” nebeneinander stehen. Sie müssen dann aber auch grafisch gleichwertig sein! (siehe vorherigen Punkt aber auch weiter unten “Falsche Einordnung” in Gruppen)

“Ablehnen”-Button erst nach mehreren Klicks (bzw. Scrollen) erreichbar

Manchmal findet man den Ablehnen-Button erst nach längerem Scrollen ganz unten auf der Seite oder gar erst auf einer weiteren Unterseite, zu der man sich erst Durchklicken muss. Auch das verstößt gegen die Regel dem Nutzer eine im Vergleich zur Zustimmung gleichwertige Möglichkeit der Abwahl zu bieten. Bietet man die Möglichkeit zur Zustimmung an, muss man direkt daneben und gleichwertig in der Optik auch die Ablehnung zur Wahl anbieten. Ausnahme siehe oben.

Deshalb immer “Akzeptieren” und gleich daneben “Ablehnen” (oder “Nur Auswahl bestätigen”) – und das auf der ersten Ebene, also immer im ersten Fenster welches aufploppt!

“Wir verwenden Cookies” – “Okay”

Diese Konstellation findet man auch noch oft. Der Webseitenbetreiber informiert zwar darüber, dass er Cookies verwendet und bittet um das Okay des Nutzers. Dieses “Okay” ist rechtlich irrelevant. Natürlich kann man als Nutzer dem Webseitenbetreiber gern das Okay geben Cookies zu nutzen aber das ist rechtlich noch lange keine aktive und informierte Einwilligung in die Nutzung persönlicher Daten. Ganz zu schweigen davon, dass meist der Ablehnen-Button fehlt, kommt man so auch seinen Informationspflichten in keinster Weise nach.

Noch schlimmer ist es natürlich, wenn man dem Nutzer noch mit dem Spruch kommt: “Mit dem weiteren Nutzen der Webseite stimmen Sie … zu.” Aktives Nutzen einer Webseite ist kein aktives und informiertes Einverständnis im Sinne der DSGVO.

Erst sammeln, dann um Erlaubnis fragen

Diesen Fehler sieht man als normaler Nutzer zwar nicht auf den ersten Blick aber ein halbwegs versierter Programmierer (bzw. Abmahnanwalt) erkennt dies innerhalb von Sekunden. Das Cookie-Banner ist zwar vorhanden, aber nicht richtig in die Webseite integriert, so dass zwar nach den erforderlichen Einwilligungen gefragt wird aber das Datensammeln schon vorher beginnt. Ein Cookie-Banner muss nämlich nicht nur Einwilligungen abfragen und nachweisbar dokumentieren. Es muss auch das Datensammeln so lange blockieren, bis die Einwilligung auch tatsächlich erteilt wurde, bzw. wenn diese nicht erteilt wurde, das Datensammeln dauerhaft unterbinden.

Wichtig in diesem Zusammenhang ist auch, dass man wirklich alle Cookies, die bei einem Besuch der eigenen Webseite gesetzt werden, erfasst, denn es sind nicht nur die großen Firmen wie Google oder Facebook, deren Services oder Plugins Cookies setzen. Anscheinend harmlose WordPress-Plugins setzen ebenfalls Cookies. Auch diese muss man natürlich in seinen Einwilligungen benennen und notfalls blockieren.

Falsche Nutzung

Man benötigt lediglich eine Einwilligung für Cookies, wenn damit personenbezogene Daten verarbeitet werden und auch dann in manchen Fällen nicht. Sind Cookies essentiell wichtig für das Funktionieren der Webseite (z.B. Warenkorb-Cookies in Onlineshops) benötigt man dafür keine Einwilligung.

Allerdings sollte man mit dieser Ausnahme nicht allzu großzügig umgehen. Man darf auch in diesem Falle nur die persönlichen Daten nutzen, die für den ganz speziellen Zweck unbedingt erforderlich sind und diese eben auch nur für diesen einen Zweck. Sind entsprechende persönliche Daten auch absolut notwendig für das Funktionen des Bestellablaufs dürfen diese Daten nicht gleichzeitig zum Beispiel an Google Analytics oder ein anderes Analysetool weitergegeben werden, nur weil man sie ja sowieso sammelt und man ein Interesse daran hat, herauszufinden, wo der Nutzer abgeblieben ist, der seinen vollen Warenkorb letzte Woche “direkt an der Kasse” hat stehen lassen, also den Bestellvorgang in letzter Sekunden abgebrochen hat.

Falsche Einordnung

Ähnlich wie im vorigen Fall (falsche Nutzung) verhält es sich mit der Einteilung der Cookies. Man muss sich genau überlegen, welche Cookies man als so essentiell ansieht, dass man sie ohne Einwilligung nutzen möchte.

Irgendwie hat es sich durchgesetzt, dass man Cookie in Cookie-Bannern in die Gruppen essentiell, technisch, funktionell, Marketing und/oder sonstiges oder ähnliche Begriffe einordnet.

Essentiell oder technisch (also ohne Einwilligung nutzbar) sind wirklich nur die Cookies (und auch nur die persönlichen Daten), ohne die die Webseite nicht funktioniert.

Auch wenn man mit Werbebannern , Affiliate-Links u. ä. auf der Webseite sein Geld verdient, die dafür benötigten Cookies (und Daten) sind vielleicht essentiell für das Business aber nicht für das Funktionieren der Webseite.

Genauso sind Tracking-Daten oft sehr hilfreich um zu verstehen, was auf der Webseite so läuft aber sie sind technisch gesehen nicht zwingend notwendig, damit die Webseite funktioniert.

Auch hier sollte man bei der Einordnung der vorhandenen Cookies nicht allzu sorglos vorgehen und mal eben das eine oder andere großzügig in die essentielle oder technische Gruppe einsortieren. Vor allem nicht, wenn man die “Nur Auswahl bestätigen”-Variante nutzen möchte! Interessierte Nutzer bemerken solch “kleine Nachlässigkeiten” sofort.

Fehlende Informationen

Oft wird übersehen, dass die DSGVO nicht nur einfach die Einholung der Einwilligung eines Nutzers zum Verarbeiten seiner persönlichen Daten fordert, sondern eine aktive und informierte Einwilligung. Was aktiv ist und was nicht haben wir weiter oben schon angesprochen aber auch das “informiert” hat es in sich. Es ist nämlich nicht damit getan, mal eben den Namen eines Cookies zu nennen, das die Daten sammelt. Es muss auch genau beschrieben werden

• von wem die Daten verarbeitet werden (inkl. Link zur Datenschutzerklärung des Anbieters)
• wie lange die Cookies auf dem fremden Rechner gesetzt und vom Anbieter gespeichert werden (Zeitraum)
• und zu welchem Zweck diese genutzt werden.

Erst wenn ein Nutzer auf diese Informationen schnell und einfach zugreifen kann, ist seine Einwilligung, wenn sie denn erfolgt, informiert. Dies muss allerdings nicht zwingend direkt im Cookie-Banner erfolgen aber man darf dem Nutzer die Suche auch nicht zu schwer machen. Normalerweise gehen Gerichte davon aus, dass auch der Nutzer davon ausgeht, dass er solche Informationen in den Datenschutzhinweisen findet. Auf diese sollte man deshalb gut sichtbar verlinken.

Fehlende Gruppen-Informationen

Auch wenn man über das Cookie-Banner die Einwilligung gleich gruppenweise einholt, muss der Nutzer vorher klar informiert werden, was mit seinen Daten im Einzelnen passiert, wenn er einer ganzen Gruppe von Anbietern zusammen zustimmt. Im Zweifelsfall muss man sich alle eingruppierten Cookie-Anbieter selbst genau ansehen, entsprechende Informationen zusammenstellen und gut sichtbar in Gruppennähe zur Verfügung stellen. Das man als Laie hier schnell juristisch an seine Grenzen kommen kann, liegt auf der Hand, gerade, wenn man ausländische Dienste in Anspruch nimmt, deren Datenschutzerklärung (so sie denn überhaupt eine haben) nur auf englisch vorliegt und auch noch an die Gesetze eines Landes außerhalb der EU angepasst ist.

Generell gilt auch hier: Informationen, die auf Englisch bereitgestellt werden (siehe das Zeitungsbespiel oben) dürften in keinster Weise die Vorgaben der DSGVO in Sachen einfache und leicht verständlich Information des Nutzers erfüllen.

Einwilligung nicht ausreichend dokumentiert

Ein Cookie-Banner hat vier wesentliche Aufgaben:

• Den Nutzer über die Verarbeitung informieren
• Die Erlaubnis (technisch) einzuholen
• Die Verarbeitung solange zu blockieren, bis die Erlaubnis vorliegt
• und eben: Diese Erlaubnis auch zu dokumentieren

Der Webseitenbetreiber ist verpflichtet, diese Einwilligung zu beweisen, nicht der Nutzer. Und das ganze 5 Jahre lang! Das ist die sogenannte Darlegungspflicht (Art. 15 DSGVO).

Dafür ist es wichtig, ein Cookie-Banner einzusetzen, dass dies auch macht – und regelmäßig Backups der Webseite zu machen! Fünf Jahre sind eine lange Zeit.

Daten bzw. Cookies nicht löschbar

Viele Webseitenbetreiber übersehen: Eine Einwilligung, einmal erteilt, gilt nicht für die Ewigkeit. Der Nutzer hat jederzeit das Recht der weiteren Nutzung seiner Daten zu widersprechen und deren Löschung zu verlangen. Tut er dies muss man nicht nur schnellstmöglich dafür sorgen, dass sämtliche Daten (bei allen Anbietern) gelöscht werden, sondern auch, dass sämtliche auf dem Rechner des Nutzers gespeicherte Cookies spurlos wieder verschwinden (soweit technisch möglich).

Das im Nachhinein von Hand zu machen bzw. irgendwelche Anbieter (oder gar Nutzer!) darum zu bitten (inkl. rechtlich sicherem Nachweis) ist nahezu unmöglich, vor allem, wenn man an die engen gesetzlichen Fristen denkt. Deshalb sollte man schon bei der Auswahl des Cookie-Banners darauf achten, dass dies alles ohne Aufwand mit möglichst einem Knopfdruck möglich ist. Der Webseitenbetreiber hat das Setzen der Cookies zu verantworten, also ist auch er (und nur er) für das Verschwinden selbiger verantwortlich!

Daten nicht auf dem eigenen Server

Zusätzlich muss man prüfen, wo die erhobenen Daten verarbeitet werden:

• auf dem eigenen Server
• oder auf dem Server eines Anbieters (Cloud Cookie Banner)

Beides hat Vor- und Nachteile. Rechtlich wichtig aber ist vor allem, dass, wenn die Daten an einen Dritten zur Verarbeitung gehen, man mit diesem einen Auftragsdatenverarbeitungsvertrag abschließen muss, in dem auch geregelt ist, dass die Daten dort DSGVO-konform verarbeitet und geschützt werden. Sonst darf man persönliche Daten eines Nutzers nicht einfach Dritten überlassen. Auch hier gilt wieder: Der Webseitenbetreiber ist dafür verantwortlich, dass diese Daten überhaupt erhoben wurden, also ist er auch für ihre weitere rechtskonforme Nutzung verantwortlich, egal, wen er im Einzelnen damit beauftragt.

Viele Anbieter haben für diesen Fall schon Standardverträge aber, weil sich die Rechtssprechung gerade in Sachen DSGVO sehr schnell ändert, ist man auch damit nicht immer (schnell genug) auf der sicheren Seite.

Aktuelles Beispiel: Lange galt es als rechtlich ausreichend, dass man bei Nutzung von Google Analytics einfach einen Auftragsdatenverarbeitungsvertrag mit Google abschließt und schon läuft die Sache. Das Landgericht Rostock hat jetzt aber geurteilt, dass es sich beim Einsatz von Google Analytics nicht um eine Auftragsdatenverarbeitung handelt, weil Google die übermittelten Daten nicht nur nach Vorgabe des Webseitenbetreibers verarbeitet, sondern sie auch zu eigenen Zwecken nutzt. Deshalb handelt es sich hierbei um eine gemeinsame Verantwortlichkeit. Man ist als Webseitenbetreiber also auch immer mitverantwortlich dafür, was Google so tut. Na, viel Spass!

Google wird wahrscheinlich zeitnah reagieren, aber die wunderbar allgemein gehaltene Formulierung sich ausdrücklich auch “die Verarbeitung der Daten zu eigenen Zwecken” vorzubehalten finden sich auch bei vielen anderen Datenverarbeitern. So kann man diese Daten dann gezielt zur Erstellung von Nutzerprofilen verwenden (Facebook) oder ganz einfach weiterverkaufen. Welcher Webseitenbetreiber möchte da gern mitverantwortlich sein?

Das Urteil ist (Stand: 26.11.21) noch nicht rechtskräftig aber die Datenschutzbehörden des Bundes und der Ländern haben sich inzwischen schon der Sicht des Gerichts angeschlossen. Deshalb sollte man diese Sache weiter auf dem Schirm haben um notfalls schnell entsprechende Maßnahmen ergreifen zu können.       

Was kann man tun?

Leider hat sich die aktuelle Rechtssprechung noch nicht zu allen Cookie-Banner-Plug-In-Anbietern durchgesprochen, so dass man nicht einfach empfehlen kann: Nutzen Sie einen professionellen Anbieter. Man muss sich leider persönlich um dieses Thema kümmern. Am besten ist es, man sammelt so wenige Daten wie möglich und klärt seine Besucher so gut wie möglich darüber auf, wenn man es doch macht. Dabei muss man dann aber auch in Kauf nehmen, dass Nutzer ihre Einwilligung eventuell nicht erteilen. Das ist übrigens genau im Sinne der DSGVO.

Ich glaube, wenn man klar und verständlich informiert, warum man welche Daten nutzen möchte und es nicht so dermaßen übertreibt, wie im Beispiel oben, geben einem viele Menschen auch ganz bewusst ihre Zustimmung. Wieso sollte man einem Webseitenbetreiber nicht erlauben, zu analysieren, was so auf seiner eigenen Webseite los ist und wo es (auch im Interesse des Nutzers) noch Optimierungspotenzial gibt.

Wenn aber die meisten Webseitenbetreiber (ob ganz bewusst oder fahrlässig) versuchen die Nutzer auszutricksen um Datenmassen abzugreifen, nur, um sie weiterzuverkaufen (und/oder uns Nutzer zu manipulieren) und so das Vertrauen in alle Webseitenbetreiber ruinieren, dann muss man sich nicht wundern, wenn die Nutzer (mit Unterstützung der Gerichte) anfangen sich dagegen zu wehren. Damit geht der Trend in die richtige Richtung, nämlich zum Wohle von uns allen!

Im Übrigen arbeiten große Datenfirmen wie Google schon an Lösungen, in denen persönlichen Daten soweit anonymisiert werden, dass sie nicht mehr auf eine einzelne Person zurückzuführen sind. Im Gespräch sind auch Lösungen, bei denen ein Internetnutzer an einer zentralen Stelle einmalig seine Einwilligungen “konfiguriert” und diese Einstellungen dann automatisch auf allen Seiten angewandt werden, die er besucht. Das würde die Einholung der Zustimmung für jede eine Webseite unnötig machen und somit auch die lästigen Cookie-Banner.