Wertvolle Tracking-Daten und mangelhafte Cookie-Banner

Webseiten sind für zahlreiche Unternehmen der erste und häufig der wichtigste Kontakt zu ihren Kunden. Eine Webseite dient als virtuelle Visitenkarte der Firma. Sie liefert dem Kunden die nötigen Informationen über Angebote und Produkte einerseits, dient dem Unternehmen andererseits jedoch auch als mögliches Sammelbecken für eine große Menge an personenbezogenen Daten.

Dafür nutzen Unternehmen beispielsweise Tracking-Daten wie Cookies. Mit deren Hilfe können sie zum Beispiel das Verhalten von Besuchern auf der eigenen Webseite analysieren, Zugriffszeiten dokumentieren und wiederkehrende Besucher erkennen. Bestimmte Cookies können sie darüber hinaus auch durch umfangreiche Dokumentation der besuchten Seiten durch das Internet „verfolgen“, um beispielsweise gezielt Werbung für bereits besuchte Produkte zu schalten. Daten aus Cookies können also genutzt werden, um unter anderem das eigene Web-Auftreten und Angebot zu analysieren und anzupassen um letztlich auch potentielle neue Kunden anzusprechen. Der Wert dieser Daten ist für Unternehmen daher enorm hoch. Doch mit welchem Recht werden Ihre personenbezogenen Daten durch Unternehmen vielfältig und täglich erhoben und genutzt?  

Europäische Datenschutz-Grundverordnung (EU DS-GVO)

Neben den individuellen Maßnahmen, die jeder Anwender selbst befolgen kann, stellt nun die seit zwei Jahren bestehende Europäische Datenschutz-Grundverordnung (EU DS-GVO) Vorgaben an die Verarbeitung von Daten durch Unternehmen, die am europäischen Markt teilnehmen (Marktortprinzip). Diese verlangt unter anderem, dass Betreiber von Webseiten über alle Verarbeitungen von personenbezogenen Daten zum Zeitpunkt der Erhebung informieren. Dies umfasst unter anderem auch Informationen darüber, welche Daten gesammelt und wie diese verwendet werden.

Für den Fall einer Webseite wird hierzu die Datenschutzerklärung genutzt. Diese muss von jeder Seite aus erreichbar sein und soll dem Besucher transparent und in einfacher Sprache über die Verarbeitung seiner Daten informieren. Doch wieso bekommen Besucher immer häufiger ebenfalls Cookie-Banner angezeigt, in denen sie eine Auswahl treffen sollen, welchen Tracking-, Marketing- und Analyse-Cookies zugestimmt wird? Hat ein Unternehmen keine andere Rechtsgrundlage oder geht davon aus, dass eine Einwilligung des Nutzers für die Verarbeitung der Daten notwendig ist, muss der Besucher nach seiner Erlaubnis gefragt werden. Sie haben in diesen Fällen also die Wahl, welche Daten von Ihnen erhoben, verarbeitet und weitergegeben werden dürfen und welche nicht.

Viele Unternehmen haben Nachholbedarf beim Datenschutz

Obwohl die EU DS-GVO seit zwei Jahren in Kraft ist und bei Verstößen hohe Bußgelder vorsieht, haben viele Unternehmen und Webseiten-Betreiber noch Nachholbedarf, was die transparente und sichere Sammlung von Tracking-Daten betrifft. Das zeigt auch die Analyse des bayerischen Landesamtes für Datenschutz im vergangenen Jahr deutlich. Im Rahmen des Safer Internet Day 2019 wurden 40 bayerische Webseiten analysiert und das Ergebnis war ernüchternd: Während die Inhalte der Seiten variierten – von Online-Shops über Sport zu Auto oder Elektronik – hatten sie gemeinsam, dass alle Tracking-Tools nutzten, um Daten ihrer Besucher zu sammeln. 75 Prozent der Seiten versäumten es jedoch, die Anwender angemessen zu informieren, wie es die EU DS-GVO eigentlich vorschreibt. 20 Prozent der Seiten verzichteten trotz fehlender anderweitiger Rechtsgrundlage auf die Erlaubnis der Besucher – die anderen 80 Prozent taten dies zwar, allerdings nicht ausreichend konform. Insgesamt erfüllte keine der betrachteten 40 Webseiten alle Anforderungen der EU DS-GVO.

Wie wichtig es ist, die Sammlung und Verwendung der personenbezogenen Daten korrekt zu gestalten und wiederzugeben, zeigt auch die Pressemitteilung eines anstehenden Urteils des Bundesgerichtshofes (BGH). Dieser griff in einigen Fragen sogar vorweg auf die Unterstützung des Europäischen Gerichtshofs (EuGH) zurück. In besagtem Urteil wurde das Cookie-Banner und die damit verbundene Einverständniserklärung als ungenügend eingestuft. Eine Einwilligung durch ein voreingestelltes Ankreuzkästchen besitzt keine Gültigkeit und stellt eine unangemessene Benachteiligung dar. Auch lässt der BGH in seiner Pressemitteilung bereits durchscheinen, dass eine gewollte Überforderung des Nutzers beispielsweise durch ein aufwendiges Auswahlverfahren gegen die Anforderungen einer Einwilligung für den konkreten Fall spricht und damit nicht konform ist.

Cookie-Banner bleiben Gegenstand von Diskussionen

Abgesehen von der mangelhaften Information über die Verarbeitungen könnte in Zukunft daher wohl ein weiterer Aspekt der Cookie-Banner prominent diskutiert werden: die Beeinflussung von Besuchern durch sogenannte indikatorische Hilfsmittel. Manche Unternehmen klären die Besucher ihrer Webseite zwar ausreichend auf, wollen die Einholung des Einverständnisses aber so gut es geht provozieren.

Um an die wertvollen Daten zu kommen, werden die Cookie-Banner daher so gestaltet, dass die Aufmerksamkeit des Nutzer hin zu dem Knopf für das Akzeptieren der gesamten Datensammlung gelenkt wird – sei es durch entsprechende Farbgebung, durch Größenunterschiede der Felder, durch grauere und dadurch schwieriger lesbare Texte. Letztlich möchten die meisten Webseitennutzer nur die großflächigen und vermeintlich nervigen Banner aus dem Sichtfeld haben. Angeklickt wird daher der offensichtlich große grüne Knopf. Dieses Verhalten machen sich Unternehmen vermehrt zu Nutzen.

Das BGH Urteil stellt fest, dass eine Einverständniserklärung nur dann gültig ist, wenn sie in Kenntnis der Sachlage und durch eine eindeutige Handlung getätigt wurde. Wenn nun aber Nutzer durch psychologische Tricks, wie Farben oder die irreführende Anordnung von Schaltflächen dazu verleitet werden, der Sammlung ihrer Daten ‚blind‘ zuzustimmen, so ist die Erfüllung der Anforderungen zur Abgabe des Einverständnisses fraglich.

Es wird deutlich: Personenbezogenen Daten, die über Tracking-Tools gesammelt werden, sind wertvoll – für Unternehmen und Betroffene. Es ist als Unternehmen äußerst wichtig, die datenschutzrechtlichen Anforderungen und Pflichten zu kennen und entsprechend konform umzusetzen. Unternehmen, die es vernachlässigen, ihren Internet-Auftritt unter anderem mit korrekten Cookie-Bannern zu versehen laufen Gefahr beispielsweise von einer Aufsichtsbehörde mit einem Bußgeld versehen zu werden. Dadurch könnte einerseits ein wirtschaftlicher Schaden bei der Firma entstehen und andererseits ein schwerwiegender Vertrauensverlust seitens der Kunden die Folge sein, denn wer vertraut jemandem mit einer dubiosen Visitenkarte?

Mareike

Vogt

Fachexpertin Datenschutz

TÜV SÜD Sec IT GmbH

Artikel zu diesem Thema

Weitere Artikel