08 – Über Cookiebanner und die Freiheit im Internet

29.10.2020

Ich bin der Meinung, dass die Cookie-Banner nicht das erreichen, was sie eigentlich sollen. Ich bin vielmehr der Meinung, dass durch Cookie-Banner und deren unübersichtliche Aufmachung viele dazu verleitet werden, allein schon aus Bequemlichkeit, einfach auf „Zustimmen“ zu klicken.

Die Folge: weiterhin werden die Nutzer*innen überwacht und deren Bewegungen im Internet getrackt. Das gefährdet die Freiheit des Internets und die Freiheit der Auswahlmöglichkeiten ganz erheblich.

Besonders fällt einem das auf bei sogenannten Cookie-Walls. Und ärgerlich ist natürlich auch, wenn in Portalen wie LinkIn, Twitter oder Diskussionsforen auf etwa journalistische Inhalte verlinkt wird und man dort den Inhalt erst dann sieht, wenn man die dortige Cookie-Wall durchbrochen hat.

Ganz ehrlich: Mir macht das keinen Spaß. Man kann es eigentlich auch gleich lassen.

Cookie-Banner: was soll das?

Eigentlich ist das kein neues Thema mehr, sondern ein alter Hut. Bereits vor einem Jahr, genauer gesagt am 1.10.2019, hat der Europäische Gerichtshof in seiner Entscheidung im Verfahren „Planet 49“ (EuGH, Urteil vom 1. 10. 2019, Az. C-673/17 – Planet49 GmbH ) festgehalten, dass eine Einwilligung, mit der Internetnutzer*innen das Speichern und Auslesen von Informationen (z.B. Cookies) auf ihren Geräten erlauben sollen, nur dann wirksam ist, wenn die Nutzer*innen aktiv die Einwilligung erklärt haben.

Zudem liegt nach der Meinung es EuGH keine wirksame Einwilligung vor, wenn die Felder schon vorab angekreuzt sind oder die Einwilligung wegen des Weiternutzens der Webseite einfach unterstellt wird.

Hintergrund ist der, dass man ja im Normalfall nicht will, dass Profile über das eigene Nutzungsverhalten angelegt oder ausgewertet werden oder Dritten ermöglicht wird. Hierbei ist an externe Tools zur Reichweitenanalyse zu denken.

Ohne Einwilligung ist das Speichern verboten

Daher gilt der Grundsatz, dass ohne Einwilligung für das Speichern oder verarbeiten von jeglichen Informationen aus den Endgeräten der Nutzer*innen untersagt ist.

Hiervon gibt es nur 2 Ausnahmen:

  • die Cookies werden gesetzt aus Komfortfunktion also zur Erleichterung der Handhabung der Webseite oder
  • es ist zwingend erforderlich, um den Nutzern diesen Dienst auch zur Verfügung zu stellen. Erforderlich heißt aber nur im technischen Sinne und nicht aus Gründen der späteren Vermarktung dieser Daten, um etwa eine Seite zu betreiben.

Beispielsweise hierzu Einkaufswagen auf Internetshops oder die erleichterte Navigation auf einer Website.

Einwilligung

In allen anderen Fällen benötigt man eine Einwilligung. Und hier kommen die Cookie-Banner ins Spiel. Denn eine Einwilligung ist nur dann im Sinne des Datenschutzes auch wirksam, wenn sie informiert erklärt wird. Zum anderen müssen die Webseitenbetreiber auch die Einwilligung dokumentieren können, falls einmal die Aufsichtsbehörde nachfragt.

Daher ist die Idee der Cookie-Banner auch eigentlich ganz gut, in dem man mir ganz kurz erläutert, das eine Datenverarbeitung über das erforderliche Maß hinaus erfolgt und das die Daten auch zum Zwecke der Analyse selbst oder von Dritten verwendet werden.

Und das betrifft alle Analysetools oder Social Media Plugins. Bei den Social-Media-Plugins ist es in etwa so als hätte man ständig eine Tür, offen, durch die dann Daten abfließen.

Damit die Information als Voraussetzung für die sogenannte informierte Einwilligung auch rechtlich einwandfrei ist, muss sie verschiedene Voraussetzungen erfüllen:

  • es muss erklärt werden, was Gegenstand der Einwilligung sein soll. Was passiert mit den Daten? Wer hält darauf Zugriff? Was ist der Zweck dahinter?
  • Daher darf die Beschriftung auch nicht irreführend sein.
  • Es geht ja um meine Einwilligung. Daher muss auch der Hinweis erfolgen, dass die Einwilligung freiwillig ist und jederzeit widerruflich ist. Hierbei muss der Widerruf so einfach sein wie die Einwilligung.
  • Wichtig und insoweit eigentlich auch nachvollziehbar ist, dass Daten nicht weitergegeben werden dürfen, bevor die Einwilligung auch erteilt worden ist. Das ist eigentlich ein No-Brainer. Tatsächlich gibt es aber zukaufbare Cookie-Banner, bei denen das der Fall ist. Also darauf ist immer zu achten.
  • Die Einwilligung darf nicht voreingestellt sein. Es muss also ein sogenanntes opt-in erfolgen. Jeder Cookie-Banner, bei dem man die Verwendung und Verarbeitung von Daten erst abwählen musst ist illegal. Davon gibt es ganz viele.
  • Auf das Impressum einer Webseite und die Datenschutzerklärung muss ein Zugriff immer erfolgen können. Ist das nicht der Fall, verstoßen die Webseitenbetreiber gegen das Datenschutzrecht. Hiervon gibt es leider genug Beispiele. Denn häufig verdecken die Cookie Banner genau diese Informationen. Man bekommt dann erst Zugriff auf diese Information, indem man sich durch den Cookie Banner durchgeklickt hat. Das darf nicht sein.

Hier sieht man schon, dass es sehr viele Vorgaben gibt, die zu erfüllen sind und auf die man hinweisen muss im Cookie-Banner.

Unter der Stelle muss man sich einmal verdeutlichen, warum man das ganze macht als Webseitenbetreiber: Es ist nämlich kein Selbstzweck, sondern dient allein dazu eine Einwilligung zur Datenverarbeitung rechtssicher abzubilden.

Aktuell kommt noch ein neues Thema hinzu:

Nach der Entscheidung des EuGH vom Juli diesen Jahres zum Ende des EU-US-Privacy-shield muss man sich auch immer als Webseitenbetreiber die Frage stellen, ob man eine Datenverarbeitung dieser mit den Cookies ermittelten Daten auch in den USA durchführen muss und ob man US-amerikanische Anbieter auch verwenden muss. Ich denke da an Google Analytics oder im Bereich von Facebook an Facebook-Pixel.

Die Frage ist also, gibt es auch europäische Anbieter? Dies ist deswegen relevant, weil die Datenverarbeitung in den USA zwar nicht verboten ist aber nach der Entscheidung des EuGH das Datenschutzniveau in den USA nicht demjenigen entspricht, wie es in der EU gegeben ist.

Daraus folgt, dass in den allermeisten Fällen eine Datenverarbeitung in den USA höchst problematisch ist. Je nach Art der verarbeiteten Daten. Da bei der Verwendung von aus Cookie generierten Daten Persönlichkeitsprofile und Nutzerprofile erstellt werden können bzw. auch tatsächlich erstellt werden, wäre hier ein hohes Datenschutzniveau zu fordern.

Ich vertrete die Auffassung, dass eine Datenverarbeitung mit Tools wie Google Analytics oder Facebook Pixel wenn überhaupt nur dann zulässig ist, wenn man hierzu eine weitere gesonderte Einwilligung dann nach Art. 49 DSGVO erteilt. Auch dies wäre im Cookie-Banner abzubilden. Wichtig hierbei ist, dass auch hierzu erläutert wird, was es mit dem Risiko der Datenverarbeitung in den USA auf sich hat. Dies dürfte eigentlich in der Regel den Rahmen sprengen, weil es nicht genügt, dass man erklärt, dass das Datenschutzniveau in den USA nicht ausreicht.

Ich halte es für erforderlich, dass man in dem Fall detailliert erklärt, welche Risiken tatsächlich bestehen und dass man weder als Webseitenbetreiber noch als Nutzer der Webseite eine Möglichkeit hat effektiv zu erfahren, welche Risiken genau bestehen. Die Angabe, dass man das Schlimmste befürchten muss reicht aber auch nicht.

Hinzu kommt, dass die deutschen Aufsichtsbehörden sich hierzu noch nicht konkret verhalten haben. Der Landesdatenschutzbeauftragte von Baden-Württemberg beispielsweise vertritt die Auffassung, dass eine solche Einwilligung überhaupt nicht möglich ist, weil kein Ausnahmefall vorliegt, wie das Gesetz fordert. Es bleibt also an dieser Stelle spannend. Für die Nutzer*innen heißt das, sich noch mehr darüber klar zu werden, was eigentlich mit den Daten passiert und tatsächlich sehr vorsichtig zu sein.

Kommen wir nun zum Schluss:

Durch die Verpflichtung zur Einholung von Einwilligungen für die auf der Webseite Passieren der Datenverarbeitung mit den Nutzerdaten tritt das Problem erst recht zu Tage. Aus Sicht der Nutzer*innen möchte man sich damit am liebsten nicht auseinandersetzen müssen. Zumindest sollte es komfortabel sein und so einfach wie möglich händelbar sein.

Und es zeigt sich, dass die Cookie-Banner immer intransparenter werden. Man kann den Eindruck gewinnen, dass dies Absicht ist. Jedenfalls werden so oder auch aus anderen Gründen die Nutzer dazu verleitet, unbesehen den Button mit der „Einwilligung“ zu klicken, nur damit man den gewünschten Inhalt der Webseite auch (endlich) einsehen kann.

Aus Sicht der Zeitungsverlage kann ich verstehen, dass man es den Nutzenden so schwierig wie möglich macht, freie Inhalte zu bekommen. Schließlich möchte man ja Zeitungen bze die Inhalte verkaufen.

Es macht aber einfach keinen Spaß und hemmt die Nutzung des Internets als freiheitlichen Raum wenn man sich alle Nase lang durch ein Cookiebanner „durcharbeiten“ muss.

Lösung

  • Die Lösung könnte hier sein, dass man ähnlich wie bei der GEZ für den Rundfunkbeitrag einen pauschalen oder im Einzelfall anfallenden Beitrag zahlt für die Nutzung der redaktionellen Inhalte von Zeitungsverlagen. Das würde es erheblich vereinfachen.
  • Hier kommt noch ein weiterer Aspekt hinzu: weiß ich wirklich was mit meinen Daten passiert? Kann ich wirklich nachvollziehen, welche zweit oder Drittverwertung mit den Daten erfolgt? Kaufe ich eine Quelle Inhalte, kostet das Geld, aber mehr nicht.

Für die andere Kategorie der Webseiten, wie der zuvor besprochenen Gesetzesseite rate ich an, dass man sich Alternativen sucht und nur diese nutzt. Die Nutzer haben es hier in der Hand. Auch sie haben eine gewisse Marktmacht. Ich empfehle auch den Webseiten immer zurück zu spiegeln, wenn die übermäßige Datenverarbeitung als zu störend empfunden wird. Nur komfortable Webseiten werden überhaupt eine Chance haben am Markt zu bestehen. Das gilt übrigens auch für Webseiten, bei denen man ständig „im Kreis geführt wird“. Ein anderes Thema.

Ich bin sogar der Meinung, dass es zukünftig eine USP ist, wenn Webseiten allenfalls zum Betrieb der Webseite erforderliche Cookies verwenden und sonst keine Datenverarbeitung zu Spionage vornehmen. Mich würde das jedenfalls ansprechen. Ähnlich wie bei Bio-Produkten eine „Bio -Webseite“ also: frei von schädlichen Inhalten.

Hinzu kommt auch, dass in den allermeisten Fällen die ganze Nachverfolgung bei den Nutzer*innen nur Frust auslöst, gleichzeitig man die Tools meist gar nicht braucht. Daher sollten Webseitenbetreiber tatsächlich genau überlegen, welche Tools man verwendet und ob das nicht sogar die Kunden abschreckt. Ich jedenfalls suche mir immer Alternativen, wenn die Cookie-Banner zu kompliziert werden.

Beispiele und Quellen:

https://dejure.org/

https://www.gesetze-im-internet.de/

https://www.sueddeutsche.de/

https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf

https://www.datenschutzkonferenz-online.de/media/dsgvo/edpb_statement_on_eprivacy_en.pdf

Herr Koch hat Recht. Der Digitalrecht-Podcast mit Rechtsanwalt Henning Koch. Erscheint alle 2 Wochen und befasst sich mit dem Digitalrecht, Themen aus den Querschnittsbereichen des Datenschutzrecht, Arbeitsrecht und IT-Recht – im Zusammenhang mit digitalen Anwendungen. Mal alleine, mal mit Gesprächspartnern. Aktuell, kompetent und mit einem Augenzwinkern.

Henning Koch ist Rechtsanwalt, Fachanwalt für IT-Recht, Fachanwalt für Arbeitsrecht sowie zertifizierter (auch behördlicher) Datenschutzbeauftragter. Herr Koch ist Rechtsanwalt in der Wetzlarer Wirtschaftskanzlei Ruhmann Peters Altmeyer (www.rpa-kanzlei.de) und übernimmt als Geschäftsführer der RPA Datenschutz+Compliance GmbH (www.rpa-datenschutz.de), operativ Aufgaben als Datenschutzbeauftragter für Unternehmen und kommunale Einrichtungen.

SIe können Herrn Koch auch folgen unter:

www.twitter.com/kochhatrecht

www.instagram.com/herrkochhatrecht

https://www.linkedin.com/in/rechtsanwalt-henning-koch-digitalrecht/