Cookie-Banner weiterhin im Visier

Jeder kennt sie und jeder ist genervt: Cookie-Einwilligungsabfragen. Doch nach Ansicht der europäischen Datenschutzorganisation NOYB sind viele rechtswidrig gestaltet. [...]

Foto: Tumisu/Pixabay

Es sind besonders wertvolle Kekse für Webseiten-Betreiber: Cookies, kleine Datensätze, die genutzt werden, um Besucher einer Webseite identifizierbar zu machen. Mit ihrer Hilfe können individuelle Profile erstellt werden, die weitreichende Rückschlüsse über Surfverhalten, Vorlieben und Lebensgewohnheiten zulassen.

Dieses Wissen wird etwa für personalisierte Werbung herange­zogen – ein lukratives Geschäftsmodell. Doch was im Marketing attraktiv ist, ist datenschutzrechtlich nicht immer zulässig.

Zwar greift die Datenschutz-Grundverordnung (DSGVO) das Thema Cookies selbst nicht auf, dennoch ist die Rechtslage in Deutschland eindeutig: Werden „Informationen in der Endeinrichtung des Endnutzers gespeichert“ oder wird „der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind“, ermöglicht, so geht das nur, wenn hierfür die Einwilligung des Nutzers vorliegt (so geregelt in § 25 TTDSG). Ausnahmen sind nur für die Technologien erlaubt, die zwingend zum Bereitstellen der Webseite erforderlich sind.

Nicht immer rechtskonform

Rechtssicherheit für Webseiten-Betreiber sollen sogenannte Cookie-Einwilligungsabfragen bringen. Doch mit der Umsetzung dieser Cookie-Banner tun sich viele Unternehmen schwer. Im Mai 2021 schickte die Organisation NOYB von Max Schrems 422 Beschwerdeschreiben an Unternehmen in Europa und in den USA – weitere 226 folgten bei 18 Aufsichtsbehörden im August.

Und das wird wohl nicht das Ende sein: Auf der Website des Vereins heißt es, dass „in den kommenden Monaten bis zu 10.000 Websites gescannt, geprüft, verwarnt und schließlich das Gesetz durchgesetzt“ werden sollen. Während der Fokus hierbei bislang nur auf der Consent-Management-Plattform (CMP) von OneTrust liegt, sollen künftig auch andere CMP-Marktteilnehmer unter die Lupe genommen werden.

Anforderungen an eine CMP

Auch die französische Aufsichtsbehörde CNIL geht gegen unzureichende Cookie-Banner vor: Erst kassierte Google ein Bußgeld in Höhe von 100 Millionen Euro und dann Amazon eines von 35 Millionen Euro. Grund dafür waren das Setzen von Werbe-Cookies ohne vorherige Einwilligung und unzureichende sowie intransparente Cookie-Banner.

Dabei ist es recht simpel: Nach dem Gesetz müssen die Anbieter ihre Systeme fair gestalten und den Nutzern eine echte Wahlmöglichkeit bieten – Cookies ja oder nein. Schaut man sich die Praxis an, sieht man diese Option recht selten. Stattdessen wird versucht, Nutzer zur Abgabe ihrer Einwilligung etwa durch geschickt gewählte Farb- und Schriftgestaltung (sogenanntes Nudging) zu verleiten.

Das Einmaleins für ein Cookie-Banner, das nicht zu einer Beschwerde oder gar einem Millionen-Bußgeld führt, ist gar nicht schwer: Zunächst dürfen bei Aufruf der Website keine Tracking- oder Werbe-Cookies gesetzt werden.

Im Cookie-Banner sollte kurz und verständlich erläutert werden, zu welchen Zwecken Cookies genutzt werden. Hier kann eine Kategorisierung sinnvoll sein, zum Beispiel erforderliche Cookies, Analyse, Marketing.

Daneben ist bei einer Einwilligung auf das jederzeitige Widerrufsrecht zu verweisen. Zudem sollten die Datenschutzerklärung und, falls vorhanden, die Cookie-Richtlinie verlinkt werden.

Und, wie erwähnt, muss am Ende der Nutzer eine echte Wahlmöglichkeit haben – also muss es je eine Schaltfläche zum Annehmen und Ablehnen von Cookies geben.

*Melanie Ludolph ist Rechtsanwältin bei Fieldfisher, einer inter­nationalen Wirtschaftskanzlei mit besonderer Expertise im Technologie-, IT- und Datenschutzrecht. Zuvor hat sie mehrere Jahre für ein spezialisiertes Beratungsunternehmen gearbeitet und dort Unternehmen und internationale Konzerne aus unterschiedlichen Branchen zu allen Themen des Datenschutzrechts und angrenzender Rechtsgebiete beraten. Für com! professional stellt Melanie Ludolph jeden Monat aktuelle Themen aus dem IT- und Datenschutzrecht vor.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*