Tracking-Cookies auf Nachrichtenportal illegal

Am 2. Januar gab der Verbraucherzentrale Bundesverband (VZBV) bekannt, dass das Landgericht München I der BurdaForward GmbH untersagt hat, Tracking-Cookies ohne die ausdrückliche Zustimmung der Verbraucher einzusetzen.

Das Cookie-Banner auf der Webseite focus.de verstößt gegen die Datenschutzgrundverordnung (DSGVO), was die Behörden zum Handeln veranlasste.

Mehr zu diesem Thema erfahren Sie auf der Webseite des Verbraucherzentrale Bundesverbands.

Die Klage gegen die BurdaForward GmbH

Die Webseite focus.de, das größte Nachrichtenportal in Deutschland, wird von der BurdaForward GmbH, einer Tochtergesellschaft des Medienunternehmens Burda, betrieben.

Nach dem Aufrufen der Webseite erscheint ein "Cookie-Banner", in dem der Nutzer um seine Erlaubnis gebeten wird, Cookies zu speichern und Daten auf seinem Endgerät zu Analyse- und Werbezwecken auszuwerten.

Die Nutzer hatten auf der Startseite des Banners nur zwei Möglichkeiten: entweder die vollständige Zustimmung zur Verarbeitung ihrer Daten und ihrer Surfaktivitäten durch eine Reihe von Drittanbietern, indem sie auf "Akzeptieren" klicken, oder eine "Einstellungsoption".

Im letzteren Fall erschien ein Fenster mit der Bezeichnung "Datenschutzeinstellungen", das Einstellungen für mehr als 100 Drittanbieter enthielt, die anhand der von ihnen verwendeten Datenmenge auf mehr als 140 Bildschirmseiten unterschieden wurden.

Die Schaltflächen "Alle akzeptieren" und "Auswahl speichern" waren deutlich zu sehen. Die Option "Alle ablehnen" wurde jedoch diskret in der oberen rechten Ecke des Fensters mit verblasster Schrift angezeigt.

Dieser Fall ähnelt dem Cookie-Zustimmungsbanner von Google, das nicht mit der Allgemeinen Datenschutzverordnung (DSGVO) übereinstimmte - Sie mussten eine Reihe von Auswahlmöglichkeiten anpassen, um das Tracking abzulehnen, und es gab keine Schaltfläche "Alle ablehnen".

Wie das Design des Cookie-Banners trügerisch ist

Das Argument des Verbraucherzentrale Bundesverbands, dass die durch den Cookie-Banner eingeholte Einwilligung ungültig ist, wurde vom Landgericht München unterstützt, das entschied, dass dies gegen die DSGVO-Anforderungen verstößt.

Aufgrund der Gestaltung des Cookie-Banners sei die auf focus.de eingeholte Einwilligung nicht das Ergebnis einer freiwilligen Entscheidung. Bei so vielen Konfigurationsmöglichkeiten auf der zweiten Ebene des Banners ist die Verweigerung der Einwilligung mit mehr Aufwand verbunden als die einfache Zustimmung zur Datenverarbeitung.

Die unterschiedliche Handhabung der Auswahlmöglichkeiten "Einwilligung erteilen" und "Einwilligung verweigern" entbehrt jeder logischen Begründung.

Vorteile der Wahl von Cookieless-Software-Lösungen

Die meisten Cookie-Einwilligungs-Pop-ups, die Internetnutzern in der Europäischen Union angezeigt werden und angeblich um die Erlaubnis bitten, ihr Webverhalten zu verfolgen, verstoßen wahrscheinlich gegen die lokalen Datenschutzbestimmungen.

Die Allgemeine Datenschutzverordnung (DSGVO) der EU legt einen klaren Standard für eine gültige Einwilligung fest, wenn diese als Rechtsgrundlage für die Verarbeitung personenbezogener Daten von Internetnutzern verwendet wird: Die Einwilligung muss in Kenntnis der Sachlage, spezifisch und freiwillig erteilt werden.

Viele Webseiten versäumen es jedoch, ein auf diesen drei Säulen basierendes Banner zu erstellen, was zu DSGVO-Strafzahlungen führen kann.

Es gibt jedoch Alternativen zu Cookie-Einwilligungsbannern, z. B. kochfreie Tracking-Tools wie TWIPLA.

Im Zusammenhang mit dem Online-Datenschutz ist das cookielose Tracking eine sicherere Option, da keine Daten auf den Geräten der Nutzer gespeichert werden. Beim ersten Zugriff auf eine Webseite wird ein digitaler Fingerabdruck hinterlassen, der bei einem späteren Besuch der Seite erkannt werden kann.

Der Fingerabdruck kann keine Informationen darüber liefern, was ein Besucher außerhalb der mit einer bestimmten Webseite verbundenen Sitzungen tut, da er nicht auf dem Gerät des Nutzers gespeichert wird. Ein Cross-Tracking ist daher nicht möglich.

Es werden einige anonymisierte Daten gespeichert, die jedoch nur innerhalb der Analyseumgebung zugänglich sind und nicht mit den Routinen oder der Vergangenheit einer bestimmten Person in Verbindung gebracht werden können. Ihre Online-Aktivitäten sind für jedermann privat.