Cookies & mehr (Part II): Das Datenschutz-Problem
Und weiter geht’s in unserer Klugscheißerecke. 😊 In unserem letzten Beitrag haben wir Ihnen einige Infos zum Thema Cookies verklickert. Er stellt somit die Grundlage für den folgenden Text dar. Falls Sie Teil 1 also noch nicht gelesen haben, schicken wir Sie mal kurz dorthin zurück: Cookies Part I: Die Grundlagen. Ansonsten kommt hier nun die Fortsetzung, die sich mit der Rolle von Cookies (und mehr 😉 ) im Datenschutz befasst.
Cookies hier, Cookies dort, Cookies überall
Vermutlich sind Sie beim stundenlangen Surfen durchs Netz schon dem ein oder anderen Cookie-Banner begegnet. Sie wissen schon: Diese lästige Hinweis-Box, die bei fast jedem Website-Besuch aufploppt und einem die Sicht auf die heiß begehrten Informationen versperrt. Genervt sucht man den Weg des geringsten Widerstandes und klickt einfach auf den buntesten Button – wird schon richtig sein.
Doch auch, wenn besagtes Cookie-Banner wirklich nervig ist, ist es durch die DSGVO (Datenschutz-Grundverordnung) eben zur Pflicht für jeden Website-Betreiber geworden, der auf seiner Internetpräsenz Cookies verwendet. Nur kommt es dabei oft zu Ungereimtheiten. Denn was viele scheinbar nicht wissen (oder einfach ignorieren): Sobald technisch nicht zwingend erforderliche Cookies zum Einsatz kommen, reicht nur eine kurze Info á la „Wir verwenden Cookies.“ schon lange nicht mehr aus. Die Rechtslage verlangt eine aktive Zustimmung des Website-Besuchers. Technisch notwendige Cookies, ohne die die Website nicht funktioniert, sind die einzige Ausnahme. Eine explizite Zustimmung ist für diese nicht erforderlich. Auf sie muss man dann aber trotzdem hinweisen. Für alle anderen Cookies gilt: Der Nutzer muss sie selbst aktivieren und diese Aktivierung darf in dem Hinweis auch nicht vorausgewählt sein. Bei der Ablehnung der Cookies bzw. ohne die explizite Zustimmung dürfen diese auch nicht gesetzt werden.
Das große Problem mit den Cookie-Hinweisen
Das mit der aktiven Zustimmung haben einige Website-Betreiber scheinbar noch nicht so ganz verinnerlicht. Denn oft erfolgt die Speicherung der kleinen Datensätze sofort beim Aufruf der Seite – also bevor der Nutzer überhaupt eine Auswahl treffen kann. Und was sogar noch schlimmer ist: Viele Cookie-Hinweise sind nur eine Attrappe, ohne tatsächliche Funktion. Bei diesen Bannern kann man dann zwar „Ablehnen“ anklicken, aber im Hintergrund passiert gar nichts. Bzw. passiert genau genommen viel zu viel, denn die Speicherung der Cookies erfolgt einfach trotzdem. Das ist nicht nur dem Website-Nutzer gegenüber unfair, sondern auch rein rechtlich betrachtet (bezüglich Datenschutz) sehr bedenklich. Besonders Cookies von Drittanbietern sind dabei problematisch. In diesen Fällen weiß man meistens nicht so genau, welche Daten erhoben werden und wie diese dann weiterverarbeitet werden. Die Folge: Man begeht mit seiner Website eine Datenschutzverletzung und ist dementsprechend abmahngefährdet.
Externe Inhalte und Datenschutz
Eventuell haben Sie die Diskussionen zum Thema Google Fonts mitbekommen. Dabei handelt es sich um eine ähnliche Problematik, die auch im Zusammenhang mit dem Thema Cookie-Hinweis steht. Daher möchten wir einen kleinen Exkurs in diese Richtung machen, um nochmal aufzuzeigen, wie komplex diese ganze Datenschutz-Thematik wirklich ist und dass es nur mit dem Blockieren von Cookies noch nicht getan ist.
Google Fonts
Bei der Verwendung von Google Fonts verbindet sich die Website mit den Google-Servern, um so die jeweiligen Schriften zu holen. Dabei fragt Google die IP-Adresse des Websitebesuchers ab – was genau dann mit den Daten passiert, weiß am Ende nur Google selbst. Folglich kam es zu dem Gerichtsbeschluss, dass ohne Einwilligung des Nutzers grundsätzlich keine Schriften von den Google-Servern auf Websites geladen werden dürfen. Ohne Zustimmung müssen die Schriften anders, unabhängig von den Google-Servern, bereitgestellt werden. Dieser Beschluss hat eine ganze Abmahnwelle losgetreten, die regelrecht für Schlagzeilen sorgte. Vor allem, weil manche dies als Anlass sahen, sich durch Betrugsmaschen und Massenabmahnungen zu bereichern – und das ist nicht rechtens. Es sind also nicht nur externe Cookies, sondern generell extern geladene Inhalte problematisch.
Übrigens: Für alle, die jetzt triumphierend mit der Faust wedeln und sagen: „Ja ja, diesem bösen Google habe ich eh noch nie vertraut!“ – Wenn man von anderen Servern Inhalte lädt (egal ob nun Schriften, Videos oder ähnliches), weiß man genauso wenig, welche Daten abgegriffen werden und was dann mit denen veranstaltet wird. 😉
Cookie-Hinweis oder Consent Manager?
Obwohl nach wie vor von Cookie-Bannern gesprochen wird, steckt tatsächlich noch deutlich mehr hinter dem Hinweis als nur das Blockieren von Cookies. Laut DSGVO muss der Nutzer nämlich die Möglichkeit haben, über alle Inhalte und Dienste zu entscheiden, die personenbezogene Daten erfassen. Um genau zu sein, handelt es sich also um eine umfassende Zustimmungseinholung für verschiedene Dienste. Dazu zählt auch das Laden von externen Inhalten (wie z. B. ein Video von YouTube o. Ä.) oder der Verbindungsaufbau zu Servern von Drittanbietern. Deshalb hat sich an vielen Stellen auch der Begriff Consent Manager etabliert. Denn dieser beschränkt sich nicht nur auf das Thema Cookies, sondern umfasst sämtliche Einwilligungen des Nutzers. Wenn Sie also dem Ausdruck Consent Manager oder Consent Banner begegnen, wissen Sie jetzt, dass damit das Gleiche wie ein Cookie-Blocker gemeint ist.
Kleiner Fun Fact: Viele Websites nutzen Cookie-Banner von externen Anbietern. Das heißt, in dem Moment, in dem der Nutzer die Seite aufruft, wird sofort ein Inhalt (das Cookie-Banner oder zumindest Teile davon) von einer externen Quelle geladen und somit ein fremder Server kontaktiert. Es passiert also genau das, was beim Thema Google Fonts als problematisch gilt und wozu der Nutzer mit dem Klick auf den „Zustimmen“-Button überhaupt erst sein Einverständnis erteilen soll. Das heißt nicht zwingend, dass in diesem Moment tatsächlich etwas Unrechtes stattfindet (wie die Erhebung von Daten oder das Setzen von Cookies), paradox ist es dennoch, oder? 😉
Vorsicht ist geboten
Doch nur, weil Massenabmahnungen und offensichtlicher Betrug (wie bei dem Google-Fonts-Fall) vor Gericht nicht standhalten, sollte man die Themen Cookies und Datenschutz trotzdem nicht unbedingt auf die leichte Schulter nehmen (na ja, außer man hat Geld zu verschenken). Schließlich verstößt man mit einem nicht funktionierenden oder nicht rechtskonform eingerichteten Cookie-Hinweis/Consent Manager gegen geltendes Recht. Ja ja, das klingt jetzt vielleicht alles sehr kleinkariert – aber dafür sind wir ja hier schließlich in unserer Klugscheißerecke. 😉 Und wir möchten auch gar nicht den Finger heben und die Leute ausschimpfen, deren Cookie-Banner nicht rechtskonform und/oder funktionsfähig ist. Es fällt uns einfach nur vermehrt auf. Viele wissen es eventuell gar nicht. Deshalb möchten wir ein wenig Sensibilität für das Thema schaffen. Denn Fakt ist: Eine Website, die rechtlich nicht in Ordnung ist und gegen Datenschutzbestimmungen verstößt, ist abmahngefährdet.
Probieren geht über studieren
Wie findet man nun heraus, ob die eigene Seite betroffen ist? Im World Wide Web existieren einige Websites, mit deren Hilfe man die Korrektheit der Datenschutz-Einstellungen verschiedener Seiten überprüfen kann. Manche funktionieren besser, manche schlechter – wie das eben immer so ist. Wenn Sie also sichergehen möchten, prüfen Sie Ihre Website mit mehreren Tools. Oder fragen Sie auch gerne uns. 🙂 Falls Sie Auffälligkeiten entdecken, ist der nächste Schritt die Kontaktaufnahme zur Agentur, die Ihre Website betreut. Denn nur zu wissen, dass etwas nicht in Ordnung ist, löst das Problem natürlich noch nicht.
Unser Fazit: Die Themen Cookies, externe Inhalte und Datenschutz stellen ein weites Feld dar. Außerdem sind es sehr sensible Bereiche. Daher sollten Websites sowie Consent Manager stets auf dem aktuellsten Stand gehalten werden, um eine rechtliche Prüfung zu bestehen. Eine Abmahnung wünscht sich schließlich wohl niemand.
So, nun haben wir eine ganze Weile über Cookies geschwafelt. Die logische Konsequenz: Erstmal ein paar Kekse zu futtern. 😉 🍪🥛
- Veröffentlicht am: 23.03.2023
Neueste Beiträge
- Barrierefreie Websites – Pflicht ab 2025
- 5 + 1 weitere Anzeichen dafür, dass es Zeit ist für ein Website-Redesign
- 5 Anzeichen dafür, dass Ihre Website eine Neugestaltung braucht
- Schnittstellenprogrammierung: Was soll das sein und wozu braucht man sie?
- photomaker.ONE – Unsere Website zum Thema Businessfotografie