EU Datenschutzbehörden:
Erstellt von Redaktion am Mittwoch 25. Januar 2023
Schon wieder keine klaren Regeln für Cookie-Banner
Welche Cookies dürfen es denn heute sein?
Quelle : Netzpolitik ORG.
Von : Ingo Dachwitz
Gegen tricksende Cookie-Banner gehen die europäischen Datenschutzbehörden bisher eher zögerlich vor. Jetzt veröffentlichen sie einen Bericht, der eigentlich Klarheit bringen soll, aber das Gegenteil bewirkt. Das schadet dem Datenschutz. Ein Kommentar.
Da hat der europäische Datenschutzausschuss schon extra eine „Task Force“ eingesetzt – und dann so etwas! Task Force klingt nach schnellem Handeln und einer klaren Agenda. Herausgekommen ist aber nur ein Bericht mit kleinstem gemeinsamen Nenner. Statt einheitlichen Regeln gegen manipulative Cookie-Banner, die wir als Nutzer:innen Tag für Tag wegklicken müssen, gibt es nur etliche Verweise auf notwendige Einzelfallprüfungen. So werden die Aufsichtsbehörden die Cookie-Krise wohl kaum lösen können.
Seit vielen Jahren sind Cookie-Banner ein Ärgernis für alle, die im Netz unterwegs sind. Besonders nervig sind jene Banner, die uns die Einwilligung mit Designtricks abluchsen wollen. Dazu setzen sie etwa versteckte Ablehn-Optionen oder unnötig komplizierte Auswahlmenüs ein. Das sehen eigentlich auch die europäischen Datenschutzbehörden kritisch. In einer lesenswerten Richtlinie haben sie 2022 diese sogenannten Dark Patterns analysiert und angemahnt, dass diese häufig gegen das europäische Datenschutzrecht verstoßen. Eine ergaunerte Einwilligung ist unwirksam.
Auf ein entschiedenes Vorgehen der Aufsichtsbehörden gegen diese noch immer weitverbreitete Praxis warten wir bis heute. Erst im September 2022 zeigten wir in einer umfassenden Recherche, dass ein Großteil der 100 reichweitenstärksten Websites hierzulande bei ihren Cookie-Bannern auf Tricksereien setzen. Ein Nachhaken bei deutschen Datenschutzbehörden hatte damals ergeben: Es gibt viele Beschwerden über rechtswidrige Cookie-Banner – die aber bislang meist folgenlos bleiben, die Verfahren dauern an.
Das große Zögern
Das mag der Grund dafür sein, dass der Europäische Datenschutzausschuss (EDPB), in dem alle nationalen Aufsichtsbehörden zusammenarbeiten, sich nun erneut zum Thema äußert. Konkret veröffentlichte der EDPB den Abschlussbericht einer Cookie-Banner-Task-Force. Dieser soll einen „kleinsten gemeinsamen Nenner“ abbilden und so für ein einheitliches Vorgehen gegen Einwilligungsschwindeleien im Netz sorgen.
Ein Blick in das Dokument offenbart jedoch, wie klein dieser gemeinsame Nenner ausfällt. Man könnte auch sagen: Die europäischen Datenschutzbehörden können sich nicht auf klare Regeln für das Design von Cookie-Bannern einigen.
Wer als Bürger:in oder Website-Betreiber:in das Dokument liest, um zu verstehen, wie die Einwilligungsdialoge denn nun aussehen oder nicht aussehen sollen, bleibt ratlos zurück. Und zwar nicht nur, weil der Bericht in einer Sprache gehalten ist, die an Unverständlichkeit locker mit den Datenschutzbestimmungen der Tech-Konzerne mithalten kann, sondern weil offenkundig der geeinte politische Wille fehlt, gegen den Missbrauch vorzugehen.
Fehlende Klarheit
Immerhin: Zu offensichtlichen Einwilligungsbetrügereien wie vorausgewählten Checkboxen oder im Design bewusst abseits platzierten Ablehn-Buttons findet der Datenschutzausschuss klare Worte. Beides führe dazu, dass die Einwilligung ungültig sei.
Doch dann endet die Eindeutigkeit auch bereits. So sind beispielsweise nicht alle europäischen Datenschutzbehörden der Meinung, dass es auf der ersten Seite eines Cookie-Banners einen Button mit der Aufschrift „Alles ablehnen“ brauche. Lediglich eine „große Mehrheit“ sehe in dessen Fehlen eine Verletzung der Vorgaben für Einwilligungen, heißt in dem Bericht. „Einige“ Datenschutzbehörden beharren gar darauf, dass die europäischen Datenschutzgesetze nicht vorsähen, dass auf jeder Dialog-Ebene eines Cookie-Banners, die einen „Akzeptieren“-Button einblendet, auch einer mit der Option „Ablehnen“ hingehöre.
In dieser Frage kann man sich immerhin noch an der Mehrheit der Aufsichtsbehörden orientieren. In anderen Fragen kommt der Datenschutzausschuss aber nicht einmal mehr zu eindeutigen Entscheidungen, sondern verweist stattdessen auf die Notwendigkeit einer Prüfung im Einzelfall. So etwa bei der Frage nach der farblichen Gestaltung der Cookie-Banner. Zwar problematisieren die Behörden einmal mehr, dass die Auswahloptionen häufig farblich so angelegt seien, dass der Ablehn-Button weniger gut sichtbar ist. Eine klares Urteil, dass diese Praxis datenschutzwidrig ist, sucht man jedoch vergebens.
Stattdessen verweist die Task Force darauf, dass Anbieter:innen beim Design der Cookie-Banner Spielräume benötigen würden. Übrig bleibt ein einziges Beispiel für unsaubere Farbgestaltung. Demnach sei eine Einwilligung ungültig, „wenn der Kontrast zwischen dem Text und dem Hintergrund des Buttons so minimal ist, dass der Text praktisch unleserlich für nahezu alle Nutzer:innen ist.“
Das ist so banal, dass es fast schon lustig ist. Datenschutzbehörden stellen klar: Nicht erkennbare Ablehn-Buttons gehen nicht. Nein? Doch! Ohh! Bei tatsächlich fiesen Tricks wie etwa dem fälschlichen Deklarieren von Tracking-Cookies als „notwendige Cookies“ vermisst man hingegen klare Ansagen.
Konstruktionsfehler der DSGVO beheben
Wenn das aber der kleinste gemeinsame Nenner ist, wie positionieren sich dann einige der Aufsichtsbehörden in diesen für sie qua Amt hochrelevanten Fragen? Und wenn sie sich auf nichts Relevantes einigen können – warum veröffentlichen sie das dann auch noch in einem Bericht?
Das Scheitern des EDPB an einheitlichen Standards für Cookie-Banner wäre weniger schlimm, wenn man den Eindruck hätte, dass in fast fünf Jahren seit Bestehen der DSGVO große Fortschritte bei der Datenschutzdurchsetzung im Netz erzielt worden wären.
Zwar gibt es bei manipulativen Cookie-Bannern inzwischen deutliche Verbesserungen. Doch diese sind weniger auf das energische Vorgehen der Datenschutzbehörden zurückzuführen, als vielmehr auf Analysen, Aufklärung und Verfahren der Zivilgesellschaft – die vor allem die österreichische Datenschutz-NGO None of Your Business (NOYB) um den Juristen Maximilian Schrems betrieben hat. Mit Hunderten Beschwerden hat NOYB überhaupt erst den Anstoß dazu gegeben, dass sich der Europäische Datenschutzausschuss des Themas Cookie-Banner annimmt.
Allzu gerne betonen Datenschützer:innen wie jüngst der Bundesdatenschutzbeauftragte Ulrich Kelber in seiner Pressemitteilung zum Bericht der Task Force, dass sie gut ohne die nervigen Cookie-Banner leben könnten. Schließlich würden diese nur dann gebraucht, wenn Seitenbetreiber:innen Daten zu Geld machen. Trotzdem sind die Banner heute ein alltäglicher Berührungspunkt für hunderte Millionen Menschen mit dem Datenschutz. Dass manipulatives Design und offensichtliche Rechtsbrüche bei Cookie-Bannern weiterhin an der Tagesordnung sind, ist ein Armutszeugnis für die Aufsichtsbehörden – und schadet der Akzeptanz des Datenschutzes.
Der peinliche Bericht der Task Force erinnert deshalb einmal mehr an einen zentralen Konstruktionsfehler der DSGVO: Die Einwilligung gilt immer noch als heiliger Gral der Datenverarbeitung. Mit nur einem Klick willigen Menschen potentiell in alle möglichen Datenverarbeitungen ein. Das aber setzt falsche Anreize für Seitenbetreiber:innen, solch umfassenden Einwilligungen zu ergaunern und führt damit on- wie offline zu millionenfacher Pseudo-Legitimation ungewünschter Datensammlungen. Besser wäre es, wenn wir gesetzlich endlich klar definieren würden, wofür Daten genutzt werden dürfen – und wofür nicht. Dafür darf es gerne auch ein Task Force geben, die diesen Namen verdient.
Lizenz: Die von uns verfassten Inhalte stehen, soweit nicht anders vermerkt, unter der Lizenz Creative Commons BY-NC-SA 4.0.
********************************************************
Grafikquellen :
Oben — Biscuits Location: Netherlands Keywords: — nl: Koekjes in koekjestrommel Locatie: Nederland Trefwoorden: