Cookie Consent Banner! Oder doch besser Cookie Verbanner?
Jetzt ist es also soweit. Das TTDSG ist da, beglückt uns mit neuen Auflagen zum Datenschutz, so ‘ne Art DSGVO 2.0 und schafft endlich Klarheit, wie das eine oder andere EuGH Urteil auszulegen ist. Schluss mit den Grauzonen im Datenschutz, mehr Transparenz. Tschüss ihr Cookie-Opt-Outs in der Datenschutzerklärung, mit dem das Ablehnen von technisch nicht notwendigen Cookies versteckt wurde. Good Bye ihr Verweise auf die Standardvertragsklauseln oder auf das zwischenzeitlich ohnehin gekippten Privacy Shield zur Rechtfertigung der Datenübertragung an Server außerhalb der EU. Geht alles nur noch mit einer - Achtung juristisches Kauderwelsch - “freiwilligen, aktiven, informierten und vorherigen” Einwilligung.
Anbieter von Cookie Consent Manager bzw. Cookie Banner Generatoren, die das Setzen der Kekse bei fehlender Zustimmung wirksam unterbinden, gibt’s zum Glück genug. Prima, mag man denken: “Auch wenn’s die Besucher nervt, wir setzen einfach so ‘n Banner-Tool mit all den nervtötenden Informationen auf die Seite, Thema beendet.” Logisch, niemand hat auf eine Abmahnung Bock und die Tools versprechen schnelle Abhilfe. Doch leider, leider, ganz so einfach ist es nicht.
Um das Ergebnis gleich mal vorweg zu nehmen, wer auf nicht technisch zwingend notwendige Cookies verzichten kann, sollte besser um den Consent Banner Kram einen gaaaanz großen Bogen machen.
Warum? 5 Gründe, warum diese Banner nicht nur den Besuchern auf den Keks gehen, sondern kaum Probleme lösen.
1. Ohne Banner keine Cookies, oder?
Websites brauchen Cookies. Ein paar wenige zumindest. Aber auch nicht zwingend.
Da geht’s schon los: Will man keine Cookies und klickt deshalb den Ablehnen Button, dann muss diese Information irgendwo gespeichert werden. Das geht halt nur in einem Cookie oder im local storage, sonst ploppt der Cookie-Banner ja auf jeder Seite wieder auf. Gut, das mag man als technisch notwendig ansehen, dann ist es ohne Einwilligung okay. Gleiches gilt für ein Cookie, das die Sprachauswahl speichert oder die Session aufrecht erhält. Aber alles andere ist ohne Banner plus Zustimmung passé. Insbesondere wenn Erkenntnisse über den Besucher und dessen Verhalten gespeichert werden sollen. Aber braucht man diese Infos überhaupt? Sie werden vermutlich innerlich schon glühen, “Websiteanalyse aufgeben? Geht definitiv nicht fit, ich brauch die Daten doch!”. Cool down, die Statistik kann trotzdem weiterlaufen, Matomo beispielsweise lässt sich auch ohne Cookies datenschutzkonform betreiben.
2. Banner einbinden geht ja flott
Da sind sich sogar Klar- und Querdenker einig: Cookie Consent Banner sind mega lästig.
Immer das gleiche: Nach der Eingabe der URL warten, bis der Banner geladen ist, dann schauen, wie man das Ding wieder los wird. Meistens sind die Einstellungen zum Ablehnen gut versteckt, also stimmt man halt zu. Baaam, Abmahnfalle #1. Mit freiwilliger Einwilligung hat das nix zu tun, der Ablehnen Button muss also direkt zugänglich sein. Abmahnfalle #2, der Banner verdeckt den Link zur Datenschutzerklärung oder im Cookie-Banner selbst wird nicht ausführlichst über die Cookies informiert. Mal ehrlich, haben Sie sich jemals die Texte im Banner durchgelesen? Jede Wette, nein. Btw. Sie müssen nicht nur ausführlich informieren, sondern dem Nutzer auch ermöglichen, dass dieser gezielt einzelne Cookies an- und abwählen kann. Und schließlich, einfach nur den Satz “Diese Seite verwendet Cookies” mit einem Geht-klar Button einbauen, eventuell mit bereits vorab angehakten Klickfeldern zur Zustimmung, ist auch nicht gesetzeskonform. Abmahnfalle #3.
3. Widerruf und das Löschen aller Cookie
Ein Klick und schwupps, die Einwilligung ist weg. Oha, und dann?
Jetzt wird’s noch krasser. Der Nutzer hat nämlich jederzeit das Recht, seine Zustimmung zu widerrufen, und das muss genauso einfach gehen wie das Zustimmen. Also von wegen irgendwo in der Datenschutzerklärung einen Link einbauen... Der Nutzer muss mit nur einem Klick in die Einstellungen kommen. Und wenn der Besucher davon Gebrauch macht, dann darf ab diesem Zeitpunkt kein Script mehr ausgeführt werden, welches eine Zustimmung erfordert. Und die bereits gesetzten Cookies müssen vom Rechner des Besuchers wieder entfernt werden (sofern das technisch überhaupt möglich ist). Liebe Entwickler, viel Spaß bei der Umsetzung.
4. Nachweise und Dokumentation
Oh yes, muss man haben, aber darüber macht sich ja kaum jemand Gedanken.
Was machen Sie denn, wenn jemand Cookies von Ihrer Webseite auf seinem Rechner vorfindet und behauptet, nicht eingewilligt zu haben? Dann müssen Sie das Gegenteil beweisen können oder Sie stehen ziemlich blöd da. Echt jetzt. Weil der Nutzer ja ein Auskunftsrecht hat. Ganze drei Jahre lang. Noch kurioser wird es, wenn Kinder im Netz unterwegs sind. Denn diese dürfen erst mit 16 Jahren auf den Akzeptieren-Button klicken, so will es die DSGVO, ernsthaft. Sind sie jünger, müssen Sie als Websitebetreiber sicherstellen, dass ein Erziehungsberechtigter den Knopf drückt. Wie das in der Praxis funktionieren soll weiß der Geier.
5. Wehe, der Benutzer willigt nicht ein
Hoffentlich haben Sie keine externen Dienste eingebunden, sonst wird’s doof.
So. Bis jetzt haben wir nur aufgezeigt, was man mit den Cookie-Bannern und den Einwilligungen alles falsch machen kann. Zugegeben, viele der Fallstricke kann man berücksichtigen und es technisch sauber umsetzen, wenn man viel Zeit hat. Aber die Vorstellung, dass man damit das Thema Datenschutz erschlagen hat, ist leider völlig falsch. Nehmen wir mal an, der Benutzer klickt auf Ablehnen. OK, dann gibt’s halt kein Google Analytics Tracking, keine Hotjar-, Hubspot oder Adsense-Integration, weil der Cookie-Banner wirksam das Speichern von personenbezogenen Daten auf dem Rechner des Besuchers unterbindet.
Aber das ist ja nur die halbe Miete. Denn dann fand ja auch keine Zustimmung zur Datenübertragung personenbezogener Daten an Dritte statt. Okay, kein Problem, solange Sie ausschließlich lokal gehostete Elemente nutzen oder einen AV Vertrag mit dem Anbieter abschließen. Aber kommen außerhalb der EU gehostete Dienste zum Einsatz, wird’s kritisch. Cloudinary, Imgix, Youtube, Vimeo, Adobe Typekit, Google Maps, Google reCaptcha, um mal ein paar zu nennen. Denn was machen Sie dann, wenn jemand die nicht haben will? Einfach nicht laden. Hmm, dann haben Sie aber Löcher in der Website. Oder Sie laden stattdessen einen alternativen Content, arbeiten mit Proxys oder implementieren für jede Komponente eine 2-Klick Lösung.
Und selbst wenn der User einwilligt, bleibt bei manchen externen Diensten streng genommen immer noch ein Restrisiko. Hää, wieso? Einige Anbieter zünden bewusst Nebelkerzen. Winden sich um Aussagen, was mit den gesammelten personenbezogenen Daten passiert, bleiben intransparent. Da können Sie Ihre Nutzer gar nicht richtig informieren. Autsch, dann wäre die Einwilligung sogar unwirksam. Google’s reCaptcha 3 könnte so’n Beispiel dafür sein.
Fazit
Glaubt man den Anbietern von DSGVO konform gestalteten Consent Tools (sogenannte Consent Management Provider, Kurzform CMP), liegt die Einwilligung je nachdem, um welches Thema es auf der Seite geht, bei etwa 20% bis 40%. Manche behaupten, durch “Optimierungen” auch deutlich höhere Einwilligungsquoten zu erreichen bis zu 80% (genauer: durch nudging, also den Benutzer auf den richtigen Button stupsen, was der Datenschutz Aktivist Max Schrems von noyb berechtigt als Cookie Banner Terror bezeichnet und unter anderem deshalb knapp 500 Unternehmen mit Abmahnungen gedroht hat), das Märchen kann man glauben oder auch nicht. Heißt, für alle anderen Nutzer muss man trotzdem Alternativen anbieten, deren Marketingdaten fehlen sowieso. Save. Dann aber stellt sich doch die Frage, ob der Aufwand für die rechtskonforme Nutzung von Cookies & Co und nicht-EU Diensten auf der Webseite überhaupt lohnt. Bekennende Cookie Verbanner verzichten besser gleich auf alle nicht notwendigen Cookies, ersparen dem User das Popup mit dem lästigen Datenschutzgedöhns und verbrennen sich somit nicht selbst die Finger. Apropos auf Cookies verzichten, den Dad Joke mit den Kalorien schenken wir uns an dieser Stelle.
Ein Dankeschön an Larissa Stöhr, sie hat durch ein gemeinsames Projekt (da ging's um Cookie-Consent-Banner und die Datenschutzerklärung für eine Webseite) die Inspiration zu dem Artikel gegeben.