Bayern überprüftCookie-Banner vieler Seiten weiterhin rechtswidrig

Die Bayerische Datenschutzaufsicht hat die Cookie-Banner von etwa 1.000 Webseiten überprüft und dabei zahlreiche Verstöße gefunden. Die Betreiber haben nun Post bekommen – und müssen ihre Seiten ändern.

Cookie mit Schokolade
Die Cookies aus dem Internet sind weniger lecker als die zum Essen. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Jennifer Pallian

Wir alle kennen das Spiel: Das Cookie-Banner ploppt auf, ganz groß ist darauf „Alles akzeptieren“ zu sehen, doch die Option „Alle ablehnen“ ist versteckt, anders formuliert oder gar nicht vorhanden. Mit solchen Tricks, die Dark Pattern genannt werden, wollen uns die Betreiber:innen von Webseiten dazu verleiten, die für uns schlechtere Datenschutzvariante anzunehmen.

Das Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) hat zuletzt etwa 1.000 Webseiten von bayerischen Betreibern mit einem automatisierten Tool überprüft, welches sich die Cookie-Banner angeschaut hat. Kriterium für die Auswahl war, dass die Seiten die Technik einer weit verbreiteten Consent-Management-Plattform (CMP) eines bayerischen Anbieters nutzten.

Bei der Suche wurde die Behörde prompt fündig: Rund 350 der untersuchten Webseiten hätten keine rechtskonformen Cookie-Banner, heißt es in der Pressemitteilung (PDF) der Behörde.

Die Untersuchung hat durchaus Folgen: Die Behörde hat die Betreiber:innen kontaktiert, damit diese sich äußern und die Webseite anpassen können. Angesichts der immer noch viel zu hohen Zahl nicht datenschutzgerechter Apps und Webseiten eröffneten automatisierte Prüfungen neue Handlungsoptionen der Rechtsdurchsetzung für die Datenschutzbehörde, sagt Michael Will, der Präsident des BayLDA.

„Auch wenn weitere Verfahrensschritte und natürlich die abschließende Entscheidung über Abhilfemaßnahmen und Bußgelder fest in der Hand von Sachbearbeiterinnen und Sachbearbeitern bleiben, sind solche automatisierten Prüfverfahren ein wichtiger Schritt, um unseren Kontrollaufgaben unabhängig von Beschwerden Einzelner und trotz unzureichender Ressourcen besser nachzukommen“ so Will weiter.

Die Deutsche Datenschutzkonferenz hatte Webseite-Betreiber:innen schon im Jahr 2021 einen Leitfaden (PDF) an die Hand gegeben, wie solche Banner auszusehen haben.

Problem existiert schon lange

Eine Untersuchung von netzpolitik.org aus dem Jahr 2022 hatte gezeigt, dass eine Mehrheit der meistbesuchten Webseiten in Deutschland gezielt versuchen, Nutzer:innen von datenschutzfreundlichen Entscheidungen abzuhalten. Bei einigen Webseiten hatte die Berichterstattung damals dazu geführt, dass die Cookie-Banner geändert wurden. In letzter Zeit gehen professionelle Medienangebote allerdings dazu über, den Leser:innen kostenpflichtige Pur-Abos statt „Alles Ablehnen“ anzubieten – mit dem Segen der Datenschutzbehörden.

3 Ergänzungen

  1. Wichtig für mich übrigens ob eine Webseite in Frage kommt oder nicht ist die Deaktivierung sogenannter „technischen Cookies“.

    Weil diese sind standardmäßig nicht deaktivierbar, doch wenn dubiose Firmen, welche man durch Recherchieren des Cookie-Banners herausfinden kann, die Verantwortung dafür haben, dann riecht das nach einem hinterhältigen, miesen Trick.

    Miese Tricks gibt es bei Cookie-Bannern sowieso zuhauf. Die Webseite Team-Ulm zum Beispiel, vor vielen Jahren habe ich die das letzte Mal aufgerufen, weil es mich abgeschreckt hat, dutzende Buttons (die eh nur zum Spaß eingebaut wurden) zu deaktivieren. Ob diese Webseite nun den Button „alles deaktivieren“ nun hat, entzieht sich meiner Kenntnis.

    Und Stichwort Buttons: Weil Cookie-Banner i.d.R. nicht opensource sind, kann der versierte Datenschützer nicht überprüfen, ob die Buttons auch wirklich den Datenverkehr und den Consent deaktivieren oder nur zur Verzierung der Webseite da ist. Weil mein Firefox regelmäßig CPU-Auslastungen aufweist, tendiere ich auf Datenverkehr, den ich trotz Ablehnens nicht zugestimmt habe.

    Aufgrund der Zeichenbeschränkung fahre ich mit weiteren Trickbetrügereien nicht fort. Es gilt trotzdem zu kämpfen, damit das Internet frei von Überwachung und Spyware wird. Cookies sind eine Pest, die es auszurotten gilt im Sinne des Datenschutzes.

    1. Du kannst F12 drücken, dann gehen die Entwicklertools auf und im Netzwerk Tab siehst du dann, welcher Code wohin Daten versendet.

  2. Auf https://www.lda.bayern.de/de/kontrollen_stabsstelle.html des BayLDA findet man unter „Prüfungspaket App und Webseiten“ folgende Dokumente zu diesem Vorgang:
    Das Anschreiben an die Betreiber: https://www.lda.bayern.de/media/pruefungen/App_Anschreiben.pdf
    Ein Informationsblatt mit rechtlicher Grundlage: https://www.lda.bayern.de/media/pruefungen/App_Informationsblatt.pdf
    Und https://www.lda.bayern.de/media/pruefungen/Consentbanner_Informationsblatt.pdf

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.