Europäische DatenschutzbehördenSchon wieder keine klaren Regeln für Cookie-Banner

Gegen tricksende Cookie-Banner gehen die europäischen Datenschutzbehörden bisher eher zögerlich vor. Jetzt veröffentlichen sie einen Bericht, der eigentlich Klarheit bringen soll, aber das Gegenteil bewirkt. Das schadet dem Datenschutz. Ein Kommentar.

Bunte Macaron-Kekse gestapelt
Welche Cookies dürfen es denn sein? (Symbolbild) – Alle Rechte vorbehalten IMAGO / Westend61

Da hat der europäische Datenschutzausschuss schon extra eine „Task Force“ eingesetzt – und dann so etwas! Task Force klingt nach schnellem Handeln und einer klaren Agenda. Herausgekommen ist aber nur ein Bericht mit kleinstem gemeinsamen Nenner. Statt einheitlichen Regeln gegen manipulative Cookie-Banner, die wir als Nutzer:innen Tag für Tag wegklicken müssen, gibt es nur etliche Verweise auf notwendige Einzelfallprüfungen. So werden die Aufsichtsbehörden die Cookie-Krise wohl kaum lösen können.

Seit vielen Jahren sind Cookie-Banner ein Ärgernis für alle, die im Netz unterwegs sind. Besonders nervig sind jene Banner, die uns die Einwilligung mit Designtricks abluchsen wollen. Dazu setzen sie etwa versteckte Ablehn-Optionen oder unnötig komplizierte Auswahlmenüs ein. Das sehen eigentlich auch die europäischen Datenschutzbehörden kritisch. In einer lesenswerten Richtlinie haben sie 2022 diese sogenannten Dark Patterns analysiert und angemahnt, dass diese häufig gegen das europäische Datenschutzrecht verstoßen. Eine ergaunerte Einwilligung ist unwirksam.

Auf ein entschiedenes Vorgehen der Aufsichtsbehörden gegen diese noch immer weitverbreitete Praxis warten wir bis heute. Erst im September 2022 zeigten wir in einer umfassenden Recherche, dass ein Großteil der 100 reichweitenstärksten Websites hierzulande bei ihren Cookie-Bannern auf Tricksereien setzen. Ein Nachhaken bei deutschen Datenschutzbehörden hatte damals ergeben: Es gibt viele Beschwerden über rechtswidrige Cookie-Banner – die aber bislang meist folgenlos bleiben, die Verfahren dauern an.

Das große Zögern

Das mag der Grund dafür sein, dass der Europäische Datenschutzausschuss (EDPB), in dem alle nationalen Aufsichtsbehörden zusammenarbeiten, sich nun erneut zum Thema äußert. Konkret veröffentlichte der EDPB den Abschlussbericht einer Cookie-Banner-Task-Force. Dieser soll einen „kleinsten gemeinsamen Nenner“ abbilden und so für ein einheitliches Vorgehen gegen Einwilligungsschwindeleien im Netz sorgen.

Ein Blick in das Dokument offenbart jedoch, wie klein dieser gemeinsame Nenner ausfällt. Man könnte auch sagen: Die europäischen Datenschutzbehörden können sich nicht auf klare Regeln für das Design von Cookie-Bannern einigen.

Wer als Bürger:in oder Website-Betreiber:in das Dokument liest, um zu verstehen, wie die Einwilligungsdialoge denn nun aussehen oder nicht aussehen sollen, bleibt ratlos zurück. Und zwar nicht nur, weil der Bericht in einer Sprache gehalten ist, die an Unverständlichkeit locker mit den Datenschutzbestimmungen der Tech-Konzerne mithalten kann, sondern weil offenkundig der geeinte politische Wille fehlt, gegen den Missbrauch vorzugehen.

Fehlende Klarheit

Immerhin: Zu offensichtlichen Einwilligungsbetrügereien wie vorausgewählten Checkboxen oder im Design bewusst abseits platzierten Ablehn-Buttons findet der Datenschutzausschuss klare Worte. Beides führe dazu, dass die Einwilligung ungültig sei.

Doch dann endet die Eindeutigkeit auch bereits. So sind beispielsweise nicht alle europäischen Datenschutzbehörden der Meinung, dass es auf der ersten Seite eines Cookie-Banners einen Button mit der Aufschrift „Alles ablehnen“ brauche. Lediglich eine „große Mehrheit“ sehe in dessen Fehlen eine Verletzung der Vorgaben für Einwilligungen, heißt in dem Bericht. „Einige“ Datenschutzbehörden beharren gar darauf, dass die europäischen Datenschutzgesetze nicht vorsähen, dass auf jeder Dialog-Ebene eines Cookie-Banners, die einen „Akzeptieren“-Button einblendet, auch einer mit der Option „Ablehnen“ hingehöre.

In dieser Frage kann man sich immerhin noch an der Mehrheit der Aufsichtsbehörden orientieren. In anderen Fragen kommt der Datenschutzausschuss aber nicht einmal mehr zu eindeutigen Entscheidungen, sondern verweist stattdessen auf die Notwendigkeit einer Prüfung im Einzelfall. So etwa bei der Frage nach der farblichen Gestaltung der Cookie-Banner. Zwar problematisieren die Behörden einmal mehr, dass die Auswahloptionen häufig farblich so angelegt seien, dass der Ablehn-Button weniger gut sichtbar ist. Eine klares Urteil, dass diese Praxis datenschutzwidrig ist, sucht man jedoch vergebens.

Stattdessen verweist die Task Force darauf, dass Anbieter:innen beim Design der Cookie-Banner Spielräume benötigen würden. Übrig bleibt ein einziges Beispiel für unsaubere Farbgestaltung. Demnach sei eine Einwilligung ungültig, „wenn der Kontrast zwischen dem Text und dem Hintergrund des Buttons so minimal ist, dass der Text praktisch unleserlich für nahezu alle Nutzer:innen ist.“

Das ist so banal, dass es fast schon lustig ist. Datenschutzbehörden stellen klar: Nicht erkennbare Ablehn-Buttons gehen nicht. Nein? Doch! Ohh! Bei tatsächlich fiesen Tricks wie etwa dem fälschlichen Deklarieren von Tracking-Cookies als „notwendige Cookies“ vermisst man hingegen klare Ansagen.

Konstruktionsfehler der DSGVO beheben

Wenn das aber der kleinste gemeinsame Nenner ist, wie positionieren sich dann einige der Aufsichtsbehörden in diesen für sie qua Amt hochrelevanten Fragen? Und wenn sie sich auf nichts Relevantes einigen können – warum veröffentlichen sie das dann auch noch in einem Bericht?

Das Scheitern des EDPB an einheitlichen Standards für Cookie-Banner wäre weniger schlimm, wenn man den Eindruck hätte, dass in fast fünf Jahren seit Bestehen der DSGVO große Fortschritte bei der Datenschutzdurchsetzung im Netz erzielt worden wären.

Zwar gibt es bei manipulativen Cookie-Bannern inzwischen deutliche Verbesserungen. Doch diese sind weniger auf das energische Vorgehen der Datenschutzbehörden zurückzuführen, als vielmehr auf Analysen, Aufklärung und Verfahren der Zivilgesellschaft – die vor allem die österreichische Datenschutz-NGO None of Your Business (NOYB) um den Juristen Maximilian Schrems betrieben hat. Mit Hunderten Beschwerden hat NOYB überhaupt erst den Anstoß dazu gegeben, dass sich der Europäische Datenschutzausschuss des Themas Cookie-Banner annimmt.

Allzu gerne betonen Datenschützer:innen wie jüngst der Bundesdatenschutzbeauftragte Ulrich Kelber in seiner Pressemitteilung zum Bericht der Task Force, dass sie gut ohne die nervigen Cookie-Banner leben könnten. Schließlich würden diese nur dann gebraucht, wenn Seitenbetreiber:innen Daten zu Geld machen. Trotzdem sind die Banner heute ein alltäglicher Berührungspunkt für hunderte Millionen Menschen mit dem Datenschutz. Dass manipulatives Design und offensichtliche Rechtsbrüche bei Cookie-Bannern weiterhin an der Tagesordnung sind, ist ein Armutszeugnis für die Aufsichtsbehörden – und schadet der Akzeptanz des Datenschutzes.

Der peinliche Bericht der Task Force erinnert deshalb einmal mehr an einen zentralen Konstruktionsfehler der DSGVO: Die Einwilligung gilt immer noch als heiliger Gral der Datenverarbeitung. Mit nur einem Klick willigen Menschen potentiell in alle möglichen Datenverarbeitungen ein. Das aber setzt falsche Anreize für Seitenbetreiber:innen, solch umfassenden Einwilligungen zu ergaunern und führt damit on- wie offline zu millionenfacher Pseudo-Legitimation ungewünschter Datensammlungen. Besser wäre es, wenn wir gesetzlich endlich klar definieren würden, wofür Daten genutzt werden dürfen – und wofür nicht. Dafür darf es gerne auch ein Task Force geben, die diesen Namen verdient.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

8 Ergänzungen

  1. Auch wenn ich Maltes Kritik an der grundsätzlich Einwilligung teile: Das ist kein „Kontruktionsfehler der DSGVO“. Dem europäischen Gesetzgeber sind hier die Hände gebunden, weil das EU-Primärrecht sowohl in Artikel 8 der Grundrechtecharta als auch in Artikel 16 des Vertrags über die Arbeitsweisen der Union (AEUV) die Einwilligung als eine mögliche Rechtsgrundlage für die Verarbeitung personenbezogener Daten vorsieht. Das kann im Sekundärrecht, also „normalen“ Gesetzen wie der DSGVO, nicht einfach ignoriert werden.

    Der einzige Kontruktionsfehler der DSGVO, den ich mittlerweile gerne einräume, ist es, dass in Artikel 60(3) keine harte Frist vorgesehen ist. Daswegen hängen die ganzen Verfahren gegen Big Tech immer erst Jahrelang in Irland fest. Aber das ist eine andere Baustelle, und hier hat die EU-Kommission ja bereits eine Verfahrensverordnung zur DSGVO angekündigt.

  2. Radikaler expliziter Opt-In only.

    Voll so radikal. Einfach mal vorstellen so ginge der Mann mit dem langen Mantel an der Straßenecke mit euren Kindern um… da würde man doch auch erst schießen, dann fragen, oder nicht?

  3. Gut so!

    Wichtig wäre allerdings, dass nicht nur Netzpolitik weiter daran erinnern, dass Cookiebanner nichts mit Datenschutz zu tun haben.

    Sondern eine ständige Erinnerung an den Bürokratenterror sind, mit dem uns die Möchtegern-„Datenschützer“ in Berlin und Brüssel das Leben zerstören:

    1. Jeder, dessen IT-Verständnis mindestens das Niveau eines sechsjährigen Grundschulkindes erreicht hat, weiß, dass es für Cookies schon seit dem letzten Jahrhundert eine technische Lösung gibt: Man kann im Browser einstellen, ob man Cookies generell ablehnt oder zulässt, oder nur für bestimmte Webseiten. Das Respektieren der Einstellungen hätte man nur im Gesetz verbindlich machen müssen.

    2. Ein handwerklich halbwegs passabel geschriebenes Gesetz regelt erstens eindeutig, was gemacht werden muss, was die Konsequenzen sind, wenn man das Gesetz nicht befolgt. Und wer für die Durchsetzung zuständig ist. Gerade beim Datenschutz machen EU und Bundesregierung genau das Gegenteil. Statt klarer Vorgaben nebeliges Gewäsch, dass dann ganze Armeen von Anwälten, Bürokraten und „Datenschützern“ als Existenzgrundlage missbrauchen. Wie auch hier. Wenn es viele Jahre nach Verabschiedung eines Gesetzes eine „Taskforce“ aus Bürokraten braucht, um zu interpretieren, was eigentlich gemeint ist, und wenn selbst diese „Experten“ sich nicht einigen können, wie das Gesetz zu interpretieren ist: Wie sollen normale Bürger dann verstehen, was zu tun ist.

    1. „Das Respektieren der Einstellungen hätte man nur im Gesetz verbindlich machen müssen.“

      So weit zurückspringen sollte man jetzt aber nicht. Die derzeitigen Regeln erlauben für die Funktion der Seite notwendige Cookies ohne Rückfrage zu setzen, sofern da keine nennenswerte Datenverschiebung oder Verarbeitung stattfindet, andere erst nach Einwilligung. So ist das auch richtig.
      Eigentlich müsste man einen Internetstandard setzen, aber alle wissen doch, dass keiner bei Verstand unnötige cookies will. Das ist ein zeitfressender Kampf um ein Minimum an Zivilisation. Eigentlich verwunderlich, dass man die nicht einfach alle direkt abschießt.

      Zudem sind im Browser nicht akzeptierte Cookies nun mal nicht setzbar. Die Webseite kann die Funktion vielleicht ohne Cookies nicht erfüllen, das ist eben der Punkt, bzw. dann auch der Hebel. Mit Ihrer „Lösung“ müsste man um die Seite nutzen zu können, alle Cookies akzeptieren, inklusive Tracking usw., was schlechter ist als jetzt, wenn man die Seite benutzen will.

      Cookie Banner ganz loswerden geht nur entweder unter Aufgabe der Funktion (hat der Webseitenbetreiber in der Hand), oder unter Akzeptanz von zumindest irgendwelchen Cookies (auch). Bei letzterem versucht die EU nun mal zu regulieren, was prinzipiell auch Sinn ergibt, bis auf die unterspezifizierten Banner, bei ewig ausbleibender Nachbesserung.

  4. Die derzeitige Situation führt meiner Meinung nach eher zu einem viel größeren Sicherheitsrisiko. Ein sehr großer Teil der Nutzer ist von den Hinweisen derartig genervt dass sie sich regelrecht angewöhnt haben auf die Buttons zu klicken ohne es zu lesen oder zu verstehen worum es geht.

    Meiner Meinung nach sollte man diesen ganzen Bestätigungswahn beenden und vorschreiben dass sich die Webseitenbetreiber an die Browsereinstellungen zu halten haben (falls dem nicht schon so ist). Meinetwegen dann auch mit einer Regulierung dass diese Prominent platziert sein müssen und der Nutzer in regelmäßigen Abständen erneut gefragt wird (mit einer Erklärung der Vor- und Nachteile der Cookies).

    1. Wenn man es nicht verbietet, werden die immer einen Schilderwald hinstellen, und es auf den Datenschutz schieben.

  5. Cookie-Banner waren gestern. Jetzt kommt die IP-basierte Überwachung, die ähnlich funktioniert aber noch viel weiter geht.

    http://blog.fefe.de/?ts=9d19a207
    http://blog.fefe.de/?ts=9d193527

    Davor habe ich vor über einem Jahr gewarnt. Es war viel Zeit, das zu unterbinden, bevor Tatsachen geschaffen wurden. Ist sowas erstmal in der Welt, ist es nämlich sehr viel schwieriger wieder weg zu bekommen als wenn man es von vornherein unterbunden hätte.

    Aber die Idioten, also alle Menschen, begreifen etwas erst, wenn es
    1. passiert ist
    2. sie betrifft
    3. ihnen schadet
    4. erkennen, dass es ihnen schadet und sie den Zusammenhang zwischen 1-3 herstellen können (dieser Punkt ist so gut wie nie erfüllt, zu dumm)
    5. der Täter selbst zugibt, in Form von vom Täter erstellten Dokumenten, dass es sich so verhält.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.