Wie bereits berichtet, ist es für Webseitenbetreiber, die Tracking von Besuchern und damit meist auch die Weitergabe von persönlichen Daten der Besucher an Dritte betreiben, seit Mai 2020 endgültig Pflicht, eine eindeutige und wirksame Cookie-Einwilligung vorzuschalten. Das dürfte wohl kaum einem Internetbenutzer noch nicht aufgefallen sein, und die Einwilligungen nerven sicher nicht nur mich.
Dass viele Cookie-Einwilligungen oder die zuvor üblichen Cookie-Banner und -Hinweise nicht ausreichen, habe ich ebenfalls bereits dargelegt. Mittlerweile haben aber sehr viele kommerzielle Anbieter in Deutschland auf diesem Gebiet nachgebessert. Das wurde auch höchste Zeit, denn die Datenschutzbehörden der Bundesländer wollen nun verstärkt gerade bei Verlagen darauf achten, ob gegen die DSGVO verstoßen wird. Das war zuvor eindeutig eher die Regel als die Ausnahme.
Haben die Verlage nun ihre Hausaufgaben gemacht? Es scheint zumindest seit ein paar Wochen so, dass die vorgeschalteten Einwilligungen nun zumeist den Regeln entsprechen. Aber sind sie auch verständlich? Kann der Besucher wirklich eine gut informierte und eigenständige Entscheidung treffen? In Artikel 7 der DSGVO heißt es unter anderem:
Wie klar und einfach ist die Einwilligung denn? Ich habe mir mal die Cookie-Einwilligung eines führenden Nachrichtenmagazins angeschaut. Zu diesem Zweck habe ich die Hauptseite des Angebots in einem privaten Fenster meines Browsers aufgerufen, um keine früheren Einstellungen zu triggern.
Noch bevor die Einwilligung als solche überhaupt gelesen werden kann, beobachte ich bereits Aktivität im Ghostery-Plugin. Dieses Plugin listet Tracker auf. Auf dieser Seite sind es 11. Darunter, wie das Bild zeigt, sogar Google Analytics:
Nun wird man sicher sagen können, dass Ghostery hier die Definition von „Tracker“ sehr eng fasst. Firefox, der selbst ja auch bereits manche Tracker automatisch blockiert, hat hier zumindest nicht eingegriffen.
Aber es springt schon ins Auge, dass ausgerechnet das übliche Paradebeispiel für eine Tracking-Software, die eine Einwilligung benötigt, bevor sie überhaupt starten darf, nämlich Google Analytics, hier bereits aktiv ist. Der bekannte Rechtsanwalt Dr. Schwenke scheint der Ansicht zu sein, dass man Google Analytics unter sehr bestimmten Voraussetzungen auch weiterhin noch nur mit einem Opt-Out verwenden kann. Endgültiges wird man sicher erst sagen können, wenn es entsprechende Gerichtsurteile gibt,
Die eigentliche vorgeschaltete Einwilligung sieht wie folgt aus:
Ich habe einige der Felder, die hier angeboten werden, aufgeklappt. Wenn Sie diese Angaben lesen, fühlen Sie sich dann bereits ausreichend informiert? Ist wirklich klar, worum es geht? Es stehen auch noch ein paar weitere Felder weiter unten, die aber nur durch Scrollen zu erreichen sind.
Wenn Sie den Schutz Ihrer Daten ernst nehmen und damit die Weitergabe persönlicher Daten auf ein Minimum beschränken wollen, werden Sie sicher den beiden Personalisierungs-Angaben widersprechen wollen. Das können Sie hier aber gar nicht. Es gibt nur eine Schaltfläche „Akzeptieren“ und eine graue, weniger auffällige Schaltfläche „Einstellungen“.
So etwas nennt man ein „Dark Pattern“: man stellt Auswahlmöglichkeiten in einer Form vor, die nicht alle Möglichkeiten gleichwertig präsentiert. Die vom Anbieter gewünschte Auswahlmöglichkeit ist hervorgehoben, die weniger wünschenswerten sind weniger deutlich und erfordern zusätzlichen Aufwand.
Wir nehmen diesen Aufwand auf uns und klicken auf „Einstellungen.“
Holla, die Waldfee. Ich habe mir hier erlaubt, das eigentlich zu scrollende Fenster zu einer kompletten Grafik zusammenzustellen. Und dabei sind die unteren Punkte nicht einmal ausgeklappt!
Ich finde ja, dass es aussieht, als seien die Schalter auf „An“, weil „Aus“ deutlich weniger auffällig wirkt, aber immerhin steht da in rot „alle abgelehnt“. Wenn man auf ein „An“ klickt, wird es grün. Man kann also erkennen, dass die beschriebenen Personalisierungs-Funktionen tatsächlich ausgeschaltet sein sollten.
Klappt man die unteren drei Zeilen (Sicherheit gewährleisten, Anzeigen oder Inhalte technisch bereitstellen, Technisch notwendig) auf, bekommt man zunächst kurze, wenn auch nicht leicht zu lesende Informationen darüber, was mit der jeweiligen Gruppe eigentlich gemeint ist. Des weiteren werden drei Anbieter angezeigt, in den beiden oberen Gruppen in diesem Fall übrigens dieselben drei. Und darunter kann man die Liste ausklappen. Machen Sie das mal, wenn Sie so einer Einwilligung begegnen, da sind hunderte von Anbietern hinterlegt. Ich bin sicher, dass die gar nicht alle hier zum Einsatz kommen. Es handelt sich vermutlich bloß um eine komplette Auflistung von allem, was möglich ist.
Besonders auffällig ist, dass man hier gar nicht widersprechen kann: man kann lediglich, wenn man bis zur Rente nichts mehr zu tun hat, dem Link zu jeder einzelnen Datenschutzerklärung des jeweiligen Anbieters folgen.
Ganz besonders die letzte Gruppe ist aber einen Blick wert, die sogenannten „technisch notwendigen“ Inhalte.
Oha, Google Analytics soll technisch notwendig sein? Auch bei den anderen Einträgen bin ich mir nicht in jedem Fall sicher. Die Abbildung ist übrigens vollständig, der unterste Punkt passt nicht ganz ins Fenster, aber es liegen keine weiteren Einträge darunter.
Natürlich kann man auch diese „notwendigen“ Techniken nicht abwählen. Man ist also auf die Einstellungen ganz oben angewiesen. Immerhin sollte es nun möglich sein, durch „Auswahl Speichern“ die eingeschränkte Einwilligung zu geben. Tut man dies, zeigt Ghostery 13 platzierte Tracker an. Diesen 13 Trackern kann man also nicht entgehen. Im Webspeicher befinden sich sogar 20 gesetzte Cookies. Eine „Cookie-Einwilligung“ bedeutet also auch bei maximal möglicher Ablehnung nicht, dass keine Cookies gesetzt werden. Ohnehin müsste ja zumindest die Tatsache, dass man abgelehnt hat, in einem Cookie auf dem System gespeichert werden. Sonst wäre es nicht möglich, dass bei einem späteren Besuch die getroffenen Einstellungen weiterhin beachtet werden und zudem geändert werden können.
Ich habe dann die Seite noch einmal in einem neuen privaten Fenster geöffnet und diesmal alles erlaubt. Außerdem habe ich Ghostery angewiesen, ebenfalls alles zuzulassen. Dies öffnet ungeahnten Tracking-Möglichkeiten Tür und Tor.
45 Tracker stürzen sich nun auf meine Daten. Nach Wiedereinschaltung von Ghostery bleiben davon immer noch 14 Tracker. Davon werden 10 blockiert.
Man sieht also, dass es hier nicht möglich ist, alle Trackingmechanismen vollständig zu unterbinden. Höchstmögliche Privatheit erreicht man, indem man immer die individuellen Einstellungen öffnet und dort alles ablehnt, was möglich ist. Eine konforme Einwilligungserklärung darf nichts Ablehnbares vorab auswählen, es sollte also im Grunde genügen, nach dem Öffnen der Einstellungen und einem kurzen Blick, ob auch wirklich alles abgewählt ist, die Einstellungen zu speichern. Eine Beschäftigung mit dem ganzen Rest frisst nur unglaublich viel Zeit und führt zu nichts. Wer noch mehr blockieren möchte, muss zu Plugins wie Ghostery greifen oder auf die immer strenger werdenden Browser-Einstellungen hoffen.
Als Anbieter einer normalen gewerblichen Webseite mit regionalem Bezug und einer überschaubaren Menge an Besuchern muss man sich fragen, ob die Panik, die gerade auf dieser Ebene von der DSGVO ausgelöst wurde, wirklich gerechtfertigt war. Wenn das, was dieses Nachrichtenmagazin hier treibt, datenschutztechnisch so in Ordnung ist, dann weiß ich nicht, wie viel Aufwand solch ein kleiner Anbieter wirklich treiben muss, um seinen Einsatz von Tracking per Google Analytics oder Matomo zu rechtfertigen.