Am 28.05.2020 hat der Bundesgerichtshof ein Urteil in Bezug auf die Verwendung von Cookies gefällt, nachdem im letzten Jahr der Europäische Gerichtshof bereits diesbezüglich entschieden hatte. Allgemein gesprochen hat der Europäische Gerichtshof eine Opt-In-Pflicht für Werbemaßnahmen beschlossen, die dem geltenden deutschen Recht zuwiderlief. Deshalb hat der BGH nun nachgezogen und sich dem Urteil vom letzten Jahr angeschlossen.
Unselige Praxis: Es geht nicht (nur) um Cookies!
Es ist leider gängig, im Zusammenhang mit diesen beiden Urteilen immer nur von Cookies zu sprechen. Wie Dr. Schwenke in seinem lesenswerten aktuellen Blogbeitrag zum Thema schreibt, geht es aber keineswegs nur um Cookies, und definitiv auch nicht um alle Cookies, die es gibt.
Der Kontext der Urteile ist der Datenschutz. Gefordert wird ein erhöhter Schutz der Daten von Webseiten-Besuchern. So weit, so gut. Der korrekte Überbegriff für die eingesetzten Techologien, um deren Einschränkung es hier geht, ist Tracking zu Werbezwecken. Tracking bedeutet, dass Informationen über den Besucher der Webseite und seine technische Ausstattung gesammelt werden, und zwar seitenübergreifend. Das kann mit Cookies erfolgen, muss es aber nicht. Und bei weitem nicht alle Cookies dienen diesem Zweck.
Sinnvoller wäre es also, statt über Cookies über Trackingtechnik zu sprechen. Immerhin schaffen es viele Berichterstatter, wenigstens den Begriff „Tracking Cookies“ zu verwenden, obwohl auch das zu einseitig ist. Schon lange vor der Einführung der DSGVO kannte man sogenannte Fingerprinting-Techniken, die sich sogar viel besser als Cookies zum Tracking von Benutzern eignen.
Was ist Tracking?
Beim Tracking, zu Deutsch „Verfolgen“, geht es darum, möglichst viel über einen bestimmten Internet-Benutzer zu erfahren. In der Regel werden diese Informationen anschließend dazu benutzt, die Werbung im Internet, über die sich viele Plattformen und Webseiten letztendlich finanzieren müssen, möglichst passend zu der jeweiligen Person auszuwählen und anzuzeigen.
In der Praxis heißt das, dass der Internet-Benutzer z.B. durch seinen Besuch in einem Shop mit Tierzubehör und -je nach Einstellungen dort- den Kauf eines bestimmten Produkts als Hundebesitzer erkannt wird. Diese Information wird seinem Profil hinzugefügt. Interessiert er sich zudem für Autoinserate, Fahrzeugersatzteile, Urlaube in der Karibik, bestimmte Konzertkarten usw., fließen all diese Informationen beim übergreifenden Tracking in diesem Profil zusammen. Dazu können auch Bewegungsdaten (Handy-GPS) und darüber besuchte Örtlichkeiten wie Geschäfte usw. beitragen, auch zum Teil freiwillig gemachte Angaben wie der Arbeitsplatz und der Beruf und so weiter. All diese Daten, obwohl sie an verschiedenen Stellen und auf verschiedene Weisen gesammelt werden, fließen in dieses Profil ein und ergeben so mit der Zeit eine recht genaue Beschreibung des Internet-Benutzers. Es geht dabei nicht um persönliche Identifizierung, z.B. das Anlegen einer Akte über Lieschen Müller, sondern um eine als Konsument betrachtete Person X mit bestimmten Eigenschaften. Die DSGVO fordert zu Recht, dass die Erstellung solcher Profile einer Einwilligung bedarf, ohne die keine Profilerstellung erlaubt sein kann.
Solches Tracking erfolgt oft, aber bei weitem nicht ausschließlich, über Cookies. Cookies sind kleine Textdateien, die über den benutzten Browser gespeichert werden und für den Intenetverkehr häufig unerlässliche Informationen enthalten. Wenn Sie sich beispielsweise bei einer Webseite einloggen, muss diese Sie für die Dauer Ihrer Verbindung wiedererkennen können, und das passiert mittels eines oder mehrerer Cookies. Auch die Warenkorbfunktion von Online-Shops beruht darauf, Ihre Auswahl während Ihres Besuchs und gegebenenfalls für Ihre Rückkehr zu einem späteren Zeitpunkt auch darüber hinaus, aufzubewahren. Dies geschieht mittels Cookies.
Was Sie sich hierbei vor Augen halten müssen, ist die Tatsache, dass Computer unbeschreiblich dumm sind. Wenn Sie und ich uns auf der Straße begegnen würden und ein Gespräch beginnen würden, müssten wir uns nicht alle paar Sekunden neu vorstellen und uns vergewissern, dass der andere noch da ist. Aber Computer müssen das. Ein Großteil der Kommunikation zwischen Computern (also Ihrem Browser auf Ihrem Computer und der Webseite im Internet auf irgend einem oder gar mehreren Servern) besteht aus gegenseitigen Bekundungen, dass man immer noch da ist. Stellen Sie sich vor, in einem Gespräch mit einem Menschen müssten sie jede Äußerung zusätzlich kommentieren mit „bist du noch da?“, „das war eine Frage“, „jetzt kommt eine Antwort“, „ich verlagere mein Gewicht jetzt auf das andere Bein“ (analog zu „Sie wechseln zu Hause vom Kabelnetz zum WLAN, weil Sie Ihr Notebook mitten in der Transaktion von der Docking Station trennen“), und sie bekommen eine Ahnung von der Kommunikation zwischen Computern. Da leisten Cookies einen unschätzbaren Hilfsdienst.
Alle Browser bieten die Möglichkeit, Cookies abzulehnen oder zwischen den Sitzungen zu löschen, was immer mit einem Verlust an Komfort bei der Internetbenutzung einhergeht. Manches wird sogar bei kategorischer Cookie-Ablehnung unmöglich. Alle Cookies bei der Tracking-Regelung in Sippenverantwortung zu nehmen, ist also Unsinn und stiftet Verwirrung. Allerdings unterbinden die modernen Browser zunehmend die Verwendung von Tracking ganz von selbst, so dass das eigentliche Problem da gelöst wird, wo es stattfindet, wodurch eigentlich der Wildwuchs an Cookie-Einwilligungen gar nicht in diesem Umfang nötig wäre. Übrigens muss die Cookie-Einwilligung Ihre Anwort auf Ihrem Rechner in einem Cookie speichern, ob Sie nun annehmen oder ablehnen.
Was Webseitenbetreiber jetzt beachten müssen
Leider wälzen die Datenschützer und die Gerichte die Last der Einschränkung des Trackings auf die Betreiber von Webseiten und sogar Fanpages bei Facebook ab. Betreiben Sie z.B. eine Seite für eine Firma auf Facebook, wenden sich Datenschutzbehörden gegebenenfalls an Sie in Bezug auf den Umgang mit den Besucherdaten für Ihre Seite, und nicht etwa an Facebook. Ebenso sind Sie als Betreiber einer Webseite wie meiner verantwortlich für Tracking, welches darauf möglicherweise stattfindet. Das verkennt, dass bei weitem nicht jeder (lies: praktisch kein) Webseitenbetreiber die volle Kenntnis über die Technik, die seine Webseite benutzt, hat. Ich habe z.B. schon WordPress-Themes gesehen, sogar kommerzielle, die automatisch ein Facebook-Pixel setzen, über das Facebook trackt. Das können Sie vergleichen mit einem in neue Kleidung eingenähten Chip, der ohne Ihr Wissen Daten über Ihre Bewegung und die Geschäfte, die Sie aufsuchen, zu irgend einem Profilersteller funkt, und dafür werden Sie selbst verantwortlich gemacht.
Leider ist es aber nun mal so, dass die Webseitenbetreiber in die Verantwortung genommen werden, also müssen sie reagieren. Dazu sollten Sie zunächst einmal herausfinden, ob auf Ihrer Webseite überhaupt Tracking erfolgt. Wie das geht, insbesondere im Hinblick auf Cookies, habe ich bereits früher beschrieben.
Des weiteren müssen Sie bedenken, dass manche typischen Einfallstore für Tracking, vor allem Google Analytics, bei konformem Gebrauch ihren Sinn verlieren. Sie müssen den Besucher bei Betreten der Webseite um Erlaubnis bitten und die Antwort speichern und bearbeitbar halten; und die Aufklärung muss sofort und detailliert erfolgen, jede einzelne Trackingmaßnahme muss erläutert und einzeln einschaltbar sein. Ein Knopf für die kategorische Einwilligung darf zwar existieren, aber es darf keine dementsprechende Vorauswahl stattfinden und eine kategorische Ablehnung muss genau so deutlich möglich und sichtbar sein. Es sollte offensichtlich sein, dass Google Analytics auf einer solchen Basis keine sinnvollen Daten mehr sammeln kann, also sollte man sich eine andere Alternative suchen.
Bei der Open Source-Lösung Matomo, die man selbst auf seinem Server betreibt, fließen z.B. keine Daten an Dritte. Sie können damit Besuche, Bewegungen auf der Webseite, Downloads von bestimmten Angeboten usw. ebenso wie gewisse technische Informationen (Browser, Betriebssysteme, Funktionalitäten der Computer der Besucher) zur Verbesserung Ihres Angebots nutzen, aber eine Profilerstellung findet nicht statt, sofern Sie dies nicht durch nachzuinstallierende Funktionalität bewusst einrichten. Dr. Schwenke kommt in seinem eingangs verlinkten Beitrag zu dem Schluss, dass man hier bei reiner Webanalyse nur ein geringes Risiko eingeht. Eine Erwähnung in der Datenschutzerklärung und ein Opt-Out dort ist dennoch vonnöten (siehe z.B. meine Datenschutzerklärung).
Andere Statistiken wie z.B. das WordPress-Plugin Statify sammeln nur oberflächliche Daten: woher kommt ein Besucher, welche Seiten wurden geöffnet. Es ist nicht einmal möglich, die Navigation eines Besuchers durch die Seite zu verfolgen, was bei Shops z.B. eine wichtige Funktion ist, um Abbruchorte und -gründe festzustellen. Aber wenn nur der Wunsch besteht, zu erfahren, wie viele Benutzer von Google kamen und welche Seiten die meistgelesenen sind, reicht so etwas völlig aus. Hier wird nichts getrackt, nicht einmal IP-Adressen (die ja nach deutschem Recht auch persönliche Daten darstellen).
Was Webseitenbesucher nun erwarten können
Bei alldem geht es um den Schutz der Daten von Webseitenbesuchern. Welche Auswirkungen hat das aktuelle Urteil auf sie?
Als Besucher von Webseiten dürfen Sie davon ausgehen, dass Ihnen in Zukunft noch mehr, noch größere und noch lästigere Cookie-Einwilligungen im Internet begegnen werden, als jetzt schon, und das auch dort, wo es mangels Tracking gar nicht nötig wäre. Da, wo es nötig ist, wird es bislang oft nicht oder unzureichend umgesetzt. Nur sehr selten sehe ich eine Cookie-Einwilligung, die korrekt umgesetzt wurde. Die Einwilligung, die Sie sehen, wenn Sie den verlinkten Beitrag von Dr. Schwenke öffnen, dürfte regelkonform sein, obwohl selbst da die kategorische Ablehnung weniger deutlich als die Annahme zu sehen ist.
Wenn eine Einwilligung korrekt umgesetzt wurde, sollte sie eine genaue Beschreibung jedes einzelnen Tracking-Werkzeugs enthalten und jedes einzeln einschaltbar machen. Alle müssen standardmäßig ausgeschaltet sein. Es wird in der Regel eine pauschale Einwilligung möglich sein, und es sollte genau so eine pauschale Ablehnung möglich sein. Es muss anschließend möglich sein, diese Einstellungen weiterhin zu erreichen und zu ändern. Und wenn Sie die Einwilligung nur schließen oder einfach offenlassen und ignorieren, weil Sie an ihr vorbei lesen können, was auf der Seite steht, darf kein Tracking erfolgen.
Wie man es nicht machen sollte, lesen Sie hier: Cookie-Banner aus der Hölle
Ich bin gespannt, inwieweit sich in Zukunft die Beispiele für solche Einwilligungen mehren werden. Inzwischen reicht mir aber die Verhinderung des Trackings durch meinen Firefox-Browser, das Plugin Ghostery und meinen AdBlocker. Denn letztendlich werden sicher viele reflexartig zustimmen, weil der Button dafür so günstig liegt, wovon ich mich auch nicht immer freisprechen kann, und der Browser wird das Tracking dennoch einschränken.
Hauptproblem der Webseitenbesucher ist es doch, dass bei vielen (den meisten) Webseiten überhaupt nicht die Möglichkeit besteht, alles abzulehnen. .Man muss entweder Cookies und/oder Tracking hinnehmen oder verzichten.
Das kann doch nicht im Sinne der Rechtsprechung sein, im Sinne der User schon mal gar nicht.
Ganz davon abgesehen, dass ich beim Versuch die jeweiligen Einstellungsmöglichkeiten zu untersuchen, schon am notwendigen Zeitaufwand verzweifle.
Die einzig sinnvolle und userorientierte Möglichkeit besteht aus 2 Buttons: alles akzeptieren und alles ablehnen! – Aber das findet man ausgesprochen selten.
Das sehe ich nicht so. Ich denke eher, dass sowohl Legislatur als auch Rechtsprechung mit der DSGVO und anderen Maßnahmen in der IT immer wieder beweisen, dass hier Beschlüsse ohne Sachkenntnis getroffen werden. Eine böse Absicht würde ich darin aber nicht sehen.
Zum einen sieht man, dass es praktisch niemandem gelingt, gültige Einwilligungstechnik vorzuschalten, auch und vor allem nicht den großen Seiten, die es sich problemlos leisten könnten. Wirklich regelgerechte oder regelgerecht konfigurierte Einwilligungssysteme sind äußerst selten.
Zum anderen hat eine Vernichtung kleiner Seiten, die sich diese Technik nicht leisten können, aber auch nicht aufs Tracking verzichten wollen, kaum einen Vorteil für die großen, denn kleine Seiten bieten keine Konkurrenz.
Ein Geschäftsmodell, bei dem 20 Domains im Jahr nur je hundert Euro erwirtschaften, ist schlicht nicht tragfähig. Da macht ein Cookieverstoß dann auch nicht mehr viel aus.
Es geht doch nicht um Cookies sondern um zwei bis 3 Millionen kleine Seiten platt zu machen. Was stört es große Unternehmen 20 Euro im Monat für die Cookieeinbindung bzw. das Auswahlmenü auszugeben. € 240 im Jahr sind aber für viele kleine Seitenshops nicht finanzierbar. Manche unterhalten 20 Domains und erwirtschaften 50.00 – 100.00 Euro pro Domain im Jahr.
Hier wird der Datenschutz vorgeschoben (ähnlich wie in China) und die kleinen werden an die Wand gestellt.,