Praktisch alle Cookie-Einwilligungen ungültig: Bußgeldbewährt und abmahnwürdig
Inhalt dieses Artikels
Was kommt dabei heraus, wenn Gesetze von Leuten gemacht werden, denen Fachkompetenz und Weitblick in der Sache fehlen? Mist kommt dabei heraus.
So geschehen mit dem brandaktuellen Urteil des EuGH vom 1. Oktober 2019, Az.: C‑673/171)https://curia.europa.eu/juris/document/document.jsf?text=&docid=218462&pageIndex=0&doclang=de&mode=req&dir=&occ=first&part=1&cid=1399125. Es geht, wieder einmal, um die Frage inwiefern Cookies erlaubt sind oder nicht.
Was sind Cookies?
Cookies sind kleine Textdateien, die auf dem Endgerät des Benutzers gespeichert werden und im Wesentlichen zwei Dinge ermöglichen:
- Optimierung der Webseitendarstellung, so z. B. um die eingestellte Sprache zu speichern oder die Bildschirmauflösung nicht bei jedem Aufruf neu abfragen zu müssen (und somit die Ladezeiten für den Benutzer zu verkürzen);
- oder aber auch um die Benutzeraktivität zu verfolgen, das Surfverhalten zu analysieren und in der Folge eigentlich immer werbliche Maßnahmen damit zu verfolgen.
Etwas knifflig wird das, wenn der Betreiber der Webseite gar keinen Einfluss darauf hat, was fremdgeladene Inhalte so machen.
Ein Cookie-Beispiel
Wir nutzen den Streamingdienst Youtube zur Darstellung von Schulungsvideos auf unserer Webseite. Youtube ist sehr gut verfügbar und bietet eine ordentliche Verwaltung für uns als Verantwortliche unserer eigenen Webseite. Es erfordert keinerlei Installation von Zusatzsoftware auf Ihrem Rechner oder Smartphone als Betrachter, um die Videos darstellen zu können. Einen vergleichbaren Dienst eines deutschen Anbieters, der es mit Datenschutz vielleicht etwas ernster nimmt als Google (Youtube), haben wir nicht gefunden. Deshalb nutzen wir Youtube.
Dummerweise speichert Youtube zwangsweise Cookies auf dem Rechner desjenigen, der die Videos abspielen möchte. Das lässt sich nicht abschalten. Ist einfach so. Aus dem Grund sehen Sie bei jedem Aufruf unserer Webseite dieses hässliche, fette, endlos lange Banner und können das nicht einfach weg klicken. Sie müssen sich entscheiden, ob Sie Cookies zulassen möchten oder nicht. Und dann passiert eines der folgenden beiden Dinge:
- Sie lassen Cookies zu: dann funktioniert alles auf unserer Webseite oder
- Sie lassen Cookies nicht zu: dann haben Sie auf jeder Seite irgend welche Fehler. Und die Videos gehen gar nicht. Pech für Sie, hat Sie ja keiner gezwungen.
So ist es aber dem Gesetz nach die einzig richtige Variante, befand ich zumindest vor knapp zwei Jahren als ich die Seite datenschutzrechtlich überarbeitet und an die DS-GVO angepasst habe.
Wir sind aber nach wie vor der einzige Anbieter, bei dem ich das so gesehen habe. Kunden haben mich oft danach gefragt, ob das wirklich sein muss.
Meine Antwort:
„Machen Sie es so, wie Sie es für richtig halten. Ich mache es so, wie ich es dem Gesetz nach für korrekt interpretiere“.
Werbliche und technische Cookies
Bisher wurde oft unterschieden, ob es sich um werbliche Cookies handelt oder um rein technisch notwenige. Ich habe die Grenze so nie gesehen, denn mir konnte noch niemand erklären wieso ein Cookie tatsächlich und ernsthaft technisch notwendig sein müsse. Es ging auch immer ohne, es ist halt sehr bequem für den Entwickler wenn er Cookies nutzen darf. Denn die speichern alles mögliche zwischen, ohne, dass sich der Entwickler um ein richtiges Sessionsystem kümmern muss.
Nun aber hat sich der EuGH mit dem Thema beschäftigt und nimmt damit wohl so einiges aus der bevorstehenden ePrivacy-Verordnung2)https://www.bvdw.org/themen/recht/kommunikationsrecht-eprivacy/ vorweg.
Unter Einbeziehung des Bundesverbands der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V.3)https://www.vzbv.de/, der deutschen4)https://www.bundesregierung.de/breg-de, italienischen und portugiesischen Regierungen sowie natürlich der Europäischen Kommission5)https://ec.europa.eu/info/index_de kommt man dort nämlich nun zu dem Schluss, dass allen Cookies eine vorherige, mündige und wirksame Einwilligung vorausgehen muss.
Es ist dabei unerheblich, ob es sich um werblich genutzte Cookies handelt oder um rein technische. Das macht nun objektiv keinen Unterschied mehr (hat es wie gesagt meiner Meinung nach noch nie, wurde aber bisher anders in der Praxis gehandhabt).
So gesehen ist dann auch das Cookie mit der Information „Dieser Benutzer möchte keine Cookies erlauben.“ rechtlich auch nicht mehr zulässig.
Wirksame Einwilligung
Das heisst also in der Kurzform, dass der Nutzer der Webseite über eine etwaige Speicherung eines Cookies ausdrücklich darüber informiert werden muss, noch bevor das Cookie gesetzt wird. Und er muss dazu wirksam einwilligen, das bedeutet, ein Feld mit vorausgefülltem Kreuzchen ist auch nicht erlaubt.
Und die heute weit verbreiteten und üblichen Banner, die nur über die Speicherung eines Cookies informieren und dem Benutzer gar keine Wahl lassen, die sind damit endgültig vom Tisch. Diese funktionieren nicht mehr (ich habe auch da sowieso nie verstanden, auf welcher Basis das mit der DS-GVO vereinbar hätte sein sollen).
Das Urteil des EuGH
Im Wortlaut heisst es in diesem neuen Urteil,
…dass keine wirksame Einwilligung im Sinne dieser Bestimmungen vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.
vgl. URTEIL DES GERICHTSHOFS (Große Kammer) 1. Oktober 2019, In der Rechtssache C‑673/176)https://curia.europa.eu/juris/document/document.jsf?text=&docid=218462&pageIndex=0&doclang=de&mode=req&dir=&occ=first&part=1&cid=1399125
Für Webseitenbetreiber hat das weitreichende Konsequenzen, bedeutet es doch, dass praktisch jede Webseite überarbeitet werden muss um dieser Anforderung gerecht zu werden. Denn ignoriert man die Anforderungen weiterhin, dann dürtfe das wohl mindestens bußgeldbewährt sein wenn nicht gar abmahnwürdig. Rollt die nächste Abmahnwelle unaufhaltsam auf uns zu?
Marketingleute wird das ganz besonders freuen, denn wenn es die ersten Bußgelder und Abmahnungen hagelt wird bald endgültig Schluss sein mit voreingestellten Antworten.
Oder vielleicht auch nicht?
Nun, ich bin mir da nicht so sicher wenn ich ehrlich bin. Ich halte diese Entscheidung für mehr als fragwürdig.
Auch die Verbraucherschützer waren dabei, aber ob sich die ganzen alten Leute die da zu entscheiden haben überhaupt darüber im Klaren sind, was das bedeutet?
Nein, ganz offensichtlich nicht.
Grund für Zweifel an der Entscheidung
Diese Entscheidung bedeutet, dass künftig jede Seite die gewünschten Einstellungen über so ein dämliches Banner abfragen muss. Oder über ein Pop-Up Fenster. Oder welche separate Abfrage auch immer. Und der Benutzer, mal im Ernst, wird auch weiterhin nicht kapieren um was es geht. Er möchte nur die Seite anschauen. Wenn es ohne Häkchen nicht geht, dann wird das Häkchen eben gesetzt und die Meldung bestätigt.
Künftig sind es also nicht mehr die nervigen Banner, die man schon kennt und einfach weg klickt, nein, künftig sind es ständige Einwilligungen, die man bei jedem Besuch auf jeder Webseite abgeben muss. Permanent. Ununterbrochen.
Wie auch bei den bisherigen Bannern ist zu erwarten, dass die Benutzer künftig die Häkchen setzen werden und im Blindflug Willensentscheidungen abgeben, über deren Inhalt sie sich nicht im Klaren sind. Wirklich etwas ändern tut sich also zunächst einmal gar nichts. Wer beim EuGH glaubt man könne Benutzer dazu bewegen jedes Mal neu und sinnvoll zu entscheiden über etwas, das er nicht versteht; durch Wiederholung und Penetranz von Bannern… der hat wirklich nicht verstanden, wie User im Internet unterwegs sind.
Rein rechtlich ist so eine Willenserklärung nun sicherlich wegen Irrtums anfechtbar7)https://www.gesetze-im-internet.de/bgb/__119.html, wenn nicht sogar auf vorübergehende Störung der Geistestätigkeit8)https://www.gesetze-im-internet.de/bgb/__105.html plädiert werden könnte. Zwinkersmiley. Darum geht es mir aber nicht.
Diese ganze Datenschutzthematik soll doch eigentlich den Verbraucher schützen. Das funktioniert aber nur durch Sensibilisierung und eben nicht durch permanente De-sensibilisierung.
Nichts anderes passiert aber, wenn man den Benutzer mit immer mehr vollkommen sinnfreien, ja vollkommen idiotischen Einwilligungsfenstern und Bannern zuscheisst.
Praxisbeispiel für Irreführung, die keiner merkt
Sehen wir uns doch einmal an, was heute bereits für ein Unfug getrieben wird. Auf der Webseite der wohl mehr als renommierten schweizer Fluglinie SWISS werde ich schon heute danach sehr schön gefragt, ob ich der Verwendung von Cookies zustimmen möchte und falls ja, wie und für welche Fälle. Schaut auf den ersten Blick richtig schick aus. Vorausgewählt sind nur die technisch notwendigen (inwiefern das künftig noch geht sei dahingestellt). Die anderen Cookies für die Statistik, Komfort und Personalisierung – was immer das sein mag – sind nicht vorausgewählt. Nun, irgendwo wird da wohl die Werbung drin versteckt sein. Also lasse ich die Kästchen alle auf nicht angehakt und bestätige die Meldung. Doch schauen Sie noch einmal etwas genauer hin…
Wohlgemerkt, dass ist heute schon so auf deren Seite. Es wird in den nächsten Monaten noch viel schlimmer werden.
Falls Ihnen noch nicht klar ist, was an dem Banner der SWISS so irreführend ist, sehen Sie es sich noch einmal genauer an. Oder klicken Sie mal auf den Link https://www.swiss.com/ und schauen Sie sich das im Original ganz genau an. Dann erkennen Sie, worauf ich hinaus will und dürfen weiterlesen.
Praxisbeispiel für gut gemeint, aber schlecht umgesetzt
Etwas „richtiger“ macht es da heute schon die Seite der Künstlerin Lea. Hier wird zumindest nicht vorgegaukelt, dass nichts angehakt ist und beim Bestätigen plötzlich doch alles angehakt wird.
Die erste Schwierigkeit ist nur leider, dass man hier praktisch nichts mehr erkennen kann bei der Menge an Informationen, die natürlich auch bei der mobilen Darstellung auf den Bildschirm gequetscht werden muss.
Zweites Problem sind die vorausgewählten Haken bei den werblichen Cookies. Das geht nach neuem Urteil auch nicht mehr.
Drittens: Das noch viel größere Problem ist, dass dieses Banner nur augenscheinlich den rechtlichen Anforderungen genügt. Für den normalen Benutzer und vermutlich für die überwiegende Mehrheit selbsternannter Webdesigner sieht alles gut aus.
Technisch unter die Lupe genommen stellt man aber fest, dass die Webseite – wie praktisch alle anderen Webseiten ebenfalls – noch bevor ich eingewilligt habe bereits zahlreiche Cookies setzt. Fünf eigene und zwölf von Youtube, um präzise zu sein. Nach dem jüngsten Urteil des EuGH ist das ausdrücklich nicht zulässig.
Alles richtig zu machen ist also leichter gesagt als getan. Die meisten Webseitenbetreiber dürfte das auf eine ziemlich harte Probe stellen, denn auch das Beispiel dieser Künstlerwebseite ist bewusst gewählt. Auch hier wird Youtube für die Darstellung von Video-Inhalten verwendet und der Hersteller Google interessiert sich herzlich wenig dafür, ob der Webseitenbetreiber eine wirksame Cookie-Einwilligung hat. Nicht, weil es technisch nicht anders machbar ist, sondern weil dem Rest der Welt herzlich egal ist was Europa für eigene Brötchen backt.
Die logische Konsequenz auch für so eine Künstlerseite wäre: Banner drauf wie bei uns und wer nicht einwilligt bekommt auf der Webseite keine Videos zu sehen. Womit Sinn und Zweck der Künstler-Webseite („Präsentation von Musikvideos“) dahin ist.
Alles im Sinn des Endverbrauchers. Ja nee, is‘ klar.
Tag der offenen Tür für Schadsoftware
So wirklich viel Nutzen für den Endverbraucher kann ich diesem Urteil also rein praktisch gesehen nicht abgewinnen. Es gibt aber auch noch ganz andere Kritikpunkte.
So wie es dieses Urteil erzwingt, öffnet man nur noch mehr Einfallstore für die Installation von Schadsoftware. Von klassischen Phishing-Möglichkeiten (Abgreifen von Passwörtern) ganz zu schweigen. Denn kein normaler Benutzer wird künftig noch lesen, was er da eigentlich bestätigt, wenn er auf jeder einzelnen Webseite erst einmal lauter Fenster bestätigen muss.
Moderne Software benötigt heute keine administrativen Rechte mehr, um auf Windows Rechnern „installiert“ und ausgeführt zu werden. Sogenannte AppX Programmpakete kann der Benutzer einfach aus dem Internet laden und selbst starten.
– Artikel hierzu folgt in Kürze –
Dadurch kann der Benutzer durchaus völlig ohne es zu bemerken auch schädliche Dateien herunterladen und Viren auf seinem Rechner installieren.
Schnell ist da der Klick für die Installation einer Schadsoftware bestätigt, wenn der Benutzer nicht mehr sensibel auf Abfragen reagiert sondern blindlings alles bestätigt. Und das, obwohl er doch einfach nur „schnell“ alles bestätigen wollte um eine Webseite anschauen zu können.
Ich bin absolut Pro-EU. Nicht, dass hier ein falsches Bild entsteht. Aber wie diese Entscheidung im Sinne des Verbrauchers sein soll, das möge man mir mal bitte erklären, Herren Damen EU-Entscheider. Das ist einfach nur vorschnell, dumm und unüberlegt.
Update 21.10.2019: Die erste auf den ersten Blick „richtige“ Cookie-Benachrichtigung sehe ich ausgerechnet auf der Webseite eines amerikanischen Nachrichtendienstes 13)https://www.fool.com/investing/2019/10/15/slack-fires-back-at-microsoft-on-user-metrics.aspx?source=iedfolrf0000001 … nichts vorangehakt, man kommt nicht weiter ohne sich zu entscheiden und man kann auch entscheiden, gar nichts anzuhakeln.
Quellenverzeichnis
