Datenschutz und die DSGVO sind etwas sehr abstraktes, Cookie-Banner hingegen konkret. Und sie nerven viele Menschen. Es besteht die Gefahr, dass darunter die Akzeptanz für Datenschutz leidet. Schuld sind neben der Politik auch die realitätsferne Rechtsprechung.
Anfänglich nervte die DSGVO vor allem Firmen, die dortigen Datenschutz-Beauftragten und ganz generell Webseitenbetreiber. Die umfassenden Dokumentationspflichten verursachten Arbeit. Weil die DSGVO aber vor allem eine europäische Umsetzung des deutschen Datenschutzrechtes war, hielt man sich mit Kritik doch lieber zurück, denn viel von den Anforderungen hätte man schon lange umsetzen müssen.
Cookie-Banner nerven! Nicht nur Entscheider in Firmen oder Webseitenbetreiber, sondern jeden. Das erlebe ich nicht nur selbst, sondern auch mein berufliches und privates Umfeld berichtet regelmäßig davon. Die Corona-Pandemie bot durch zahllose Videokonferenzen die Gelegenheit, auf viele geteilte Bildschirme zu blicken und Kollegen „über die Schulter“ zu schauen. Neue Internetseiten wurden dabei gerne mit genervten Kommentaren zu Cookie-Bannern kommentiert.
Das ist nun leider kein Nischenphänomen, sondern die Berichterstattung darüber hat längst die Mainstream-Presse erreicht. ZEIT ONLINE titelte im vergangenen November „Gehen Ihnen Cookies auch so auf den Keks?“ und im Februar gab es tiefen Blick in die Untiefen der AGBs.
Dabei halte ich die DSGVO im Grunde für den größten Datenschutz-Erfolg der letzten Jahrzehnte. Die Datenverarbeitung kennt nun klare Leitplanken und die europäischen Richtlinien haben eine weltweite Signalwirkung. Diese Leistung drohen Auswüchse wie Cookie-Banner zu gefährden, weil sie den Boden bereiten für jene, die Datenschutz aus ganz anderen Motiven gerne zurückschrauben würden.
Die Probleme liegen meiner Meinung nach sowohl im Politikversagen als auch in weltfremden Urteilen von Richtern. Politikversagen, weil die DSGVO nur eine Seite der Medaille sein sollte. Die andere Seite, genannt ePrivavy-Verordnung, kam aber bisher nicht, weshalb die DSGVO Dinge regelt, die sie nicht regeln sollte.
Das andere ist eine völlig am Ziel vorbeigehende Rechtsprechung. Die Gralshüter des Datenschutzes in Deutschland, die Beauftragten der Bundesländer, hatten nämlich phasenweise eine sehr pragmatische Einstellung eingenommen. In einer Handreichung vom März 2019 wurden wichtige Positionen zusammen gefasst. Man stellte sogar explizit auf Seite 9 klar, dass Cookies nicht per se einwilligungsbedürftig seien und Cookie-Banner nur bei einwilligungsbedürftigen Datenverarbeitungen geschaltet werden sollten. Das Ziel dürfte klar gewesen sein: Schaltet jede Webseite ein Cookie-Banner, verliert es seine Warnfunktion auf den Verbraucher. Im April 2019 veröffentlichte der Beauftragte für Baden-Württemberg noch eine FAQ mit einigen Klarstellungen. Hier wurde sogar ein Dienst wie Matomo unter gewissen Umständen als nicht einwilligungspflichtig eingestuft, weil keine Übertragung an Dritte erfolgte und diese datensparsam konfiguriert werden können.
Dann kamen EuGH und BGH und urteilten, dass Cookies per se zustimmungspflichtig wären. Lediglich technisch unbedingt erforderliche Cookies seien davon ausgenommen. Das stellt Webseitenbetreiber vor ein Dilemma, denn es gibt kein Lexikon der technisch unbedingt erforderlichen Cookies. Hardliner mögen behaupten, gar keine Cookies sind technisch unbedingt erforderlich. Solche Extrempositionen haben sich bisher nicht durchgesetzt, aber deutsche Webseitenbetreiber neigen aus tief sitzenden Ängsten vor Strafzahlungen und Abmahnwellen zu vorsichtigen Auslegungen des Rechts. Unbedingt erforderlich sind daher bei vielen Seiten wirklich nur sehr wenige Cookies.
Da kann man sich auch nur an die eigene Nase fassen. Eigentlich bin ich nämlich auch der Ansicht, dass ich gar kein Cookie-Banner bräuchte. Genutzt werden hier nämlich nur die Cookies für die Einwilligung im Banner (welch Ironie!), die Session und den Loginstatus. Externe Medien nur nach entsprechender Freigabe durch den Leser, wodurch gleichzeitig die Einwilligung erfolgt. Gehe ich das Risiko ein und verzichte auf ein Banner? Nein, natürlich nicht! Damit reihe ich mich ein in eine lange Liste von deutschen Seiten, die ihre Leser mit einem streng genommen vermutlich nicht unbedingt erforderlichen Cookie-Banner nerven.
Die wirklichen „schwarzen Schafe“ können sich hier bequem in der Masse verstecken. Ganz vorne mit dabei: Die Internetpräsenzen deutscher Medien. Dazu einfach mal auf ZEIT ONLINE oder im SPIEGEL die Liste der Drittanbieter in den Einwilligungsbannern anklicken. Da ist wirklich eine Einwilligung erforderlich, dazu braucht es keine weiterführende Datenschutz-Expertise Mal abgesehen davon, dass ich ernsthaft bezweifle, ob jemand in den besagten Verlagshäusern wirklich durchblickt, wohin die Leserdaten abfließen. Im allgemeinen „Cookie-Banner Klick ich einfach weg“-Automatismus gehen solche Seiten dann vollständig unter.
Die Cookie-Banner drohen somit den Verbraucher abstumpfen zu lassen, gefährden die Akzeptanz für Datenschutz und unterminieren die eigentlich tolle Idee der Einwilligungspflicht. Und alles nur, weil die Politik die ePrivacy-Verordnung verschleppt und die Richter an EuGH und BGH das entstandene Vakuum in die denkbar ungünstigste Richtung ausgelegt haben, die man sich vorstellen konnte. Die FAQ und Handreichung von 2019 zeigt schließlich, dass auch eine andere Interpretation möglich gewesen wäre.
So klicken wir uns weiter fröhliche durch die Cookie-Banner.
Hallo und danke,
(wie immer) gut und ausführlich zusammen gefasst. Ja man ist/ich bin abgestumpft!
Akzeptanz bröckelt? Gab es den eine Akzeptanz? Ich meine bei dehnen, die Cookies auch kannten bevor die netten Banner auftauchten?
Schade das es nicht der Ehrgeiz ist, einfach eine Webseite ohne Cookies (und seien es „nur“ Session-Cookies) im Frontend zu betreiben. Glaube nicht das es wirklich nötig ist z.B.
> Speichern Sie meinen Namen für die nächste Ergänzung in diesem Browser.
Na den schaffe ich gerade noch 😉
Wobei ich zugebe das hier das Wort „einfach“ irreführend ist, man muss, als Webseitenbetreiber aktiv eingreifen, um ohne Cookies z.B. in einer WordPressseite auszukommen.
Schade, weil ich als regelmäßiger Leser (seit mitte Januar) der Webseite entnehme, dass das technische Know-how ja vorhanden ist und ein Schwerpunkt dieser Webseite auch im Bereich Information zu Datenschutz etc. sehe.
Hätte mir hier eher Tipps gewünscht, wie man Cookies (ohne echten Mehrwert) vermeidet.
Mich haben die Cookies (die bei mir eh automatisch gelöscht werden) bzw. die Banner so genervt, das ich mein kleines „Blogsystem“ komplett gewechselt habe, bzw. als Laie eine große Portion Ehrgeiz aufbringen musste da überhaupt etwas zu finden, was von Haus aus ohne Kekse auskommt.
Es geht ja auch ohne Cookies, wer braucht dann noch ein Banner 😉
Gruß – Paul
Ich bin kein Webentwickler, d.h. letztlich stehe ich bei WordPress vor den gleichen Herausforderungen wie jeder andere Blogger (mit vielleicht etwas mehr Affinität zu IT).
Ich bemühe mich ja im Sinne des Datenschutzes durchaus um Minimalismus aber manches geht nicht ohne. Zumal es ja nicht nur um Cookies geht, sondern allgemein den Datenabfluss an Dritte.
Fakt ist, dass ich um einige Cookies nicht umhin komme. Z.B wenn jemand aus versehen über eine Anmeldeseite stolpert oder wenn jemand ein eingebettetes Video aufruft. Wie gesagt: Eigentlich meine ich dieses Banner nicht zu brauchen, weil das auch über berechtigtes Interesse begründbar wäre, aber letztlich traue ich mich wie viele andere Webseitenbetreiber auch nicht es abzuschalten.
> Glaube nicht das es wirklich nötig ist z.B. Speichern Sie meinen Namen für die nächste Ergänzung in diesem Browser.
Ja, für sowas gibt es localStorage. Da braucht es keinen Cookie für. Ich staune aber selbst, für welchen Quatsch manche WP-Plugins Cookies anlegen.
Ich selbst bin eher auf der Seite der Cookie-Ablehner. Es ist generell eine gute Technologie, nur leider wurde sie so brutal mißbraucht, daß ich mir das Internet ohne diese Dinger besser vorstelle. Ist aber nur meine subjektive Meinung…
LocalStorage löst nach meinem Verständnis das Problem aber nicht, weil es kein „Lex Cookie“ gibt. D.h. vergleichbare Technologien mit lokaler Speicherung brauchen ebenso eine Einwilligung oder ein berechtigtes Interesse.
Obwohl die Daten meinen Rechner nicht verlassen soll ich eine Einwilligung mit einer Webseite treffen? Das klingt ja merkwürdig!
Der Cookie verlässt den Rechner ja auch nicht. Ich habe das jetzt nur oberflächlich recherchiert, aber konnte keinen Unterschied zwischen Cookie und LocalStorage aus rechtlicher Sicht feststellen.
„Der Cookie verlässt den Rechner ja auch nicht. Ich habe das jetzt nur oberflächlich recherchiert, aber konnte keinen Unterschied zwischen Cookie und LocalStorage aus rechtlicher Sicht feststellen.“
Das versteh ich anders – kann natürlich sein, daß ich mich irre!
So wie ich das verstehe, wird localStorage nur innerhalb des DOM verwendet. Man könnte das natürlich per JavaScript/XmlHttpRequest auch verschicken, aber von solchen Dingen rede ich erstmal nicht.
Im Unterschied dazu wird aber ein Cookie bei jedem Request zur Mutterseite auch übertragen, so daß sein Inhalt im PHP/was-auch-immer verarbeitet werden kann.
Wie gesagt, vllt ist das auch Halbwissen von vorgestern…