Website und Datenschutz: Von Cookies und Co
In den Beiträgen zu den Website-Baukästen und den allgemeinen Inhalten einer Website habe ich das Thema Datenschutz schon angeschnitten. In diesem Beitrag wird es noch mal etwas ausführlicher.
1. Juni 2021 • Lesezeit: ca. 13 Minuten
Schließlich wird im Internet kaum ein Thema so kritisch beäugt wie der Datenschutz, der spätestens mit dem finalen Inkrafttreten der DSGVO (die natürlich weitaus mehr regelt als nur den Datenschutz auf Websites) vor ziemlich genau drei Jahren eine breite Aufmerksamkeit erfuhr. Und die Kritik ist aus Sicht der Website-BetreiberInnen durchaus nachvollziehbar.
Bitte beachtet: Ich kann und darf hier keine Rechtsberatung geben, daher sind alle Angaben unverbindlich und ich kann für die Vollständigkeit, Aktualität und Richtigkeit der bereitgestellten Inhalte keine Haftung übernehmen. Sie dienen lediglich der Orientierung. Wenn ihr konkrete Fragen habt, wendet euch bitte an den Support eures jeweiligen Anbieters oder direkt an entsprechende Fachleute mit juristischer Kompetenz.
Direkt vorweg: Ich bin natürlich kein Jurist und sehe das Thema deshalb aus der Perspektive des praktischen Anwenders – also aus Sicht all jener, die Websites erstellen, betreiben oder besuchen. Das wird alle aus dem juristischen Feld also bestimmt freuen, dass ich mich jetzt auch noch dazu äußere. ;)
Aber es geht um folgendes: Grundsätzlich ist es selbstverständlich löblich, dass die Daten der InternetnutzerInnen geschützt werden sollen. Der Antrieb war allerdings ursprünglich mal (plakativ ausgedrückt), das Treiben der großen „Datenkraken“ Facebook, Google und Amazon samt all ihrer Tochterunternehmen einzudämmen. Dort werden Daten massenweise gesammelt und gebündelt, um sie gewinnbringend (sprich: mittels gezielter Werbung) einzusetzen.
Theorie und Praxis …
Das Problem dabei: Wirklich erreicht wird der anvisierte Schutz der Daten eigentlich nicht. Es gibt zu viele Ausnahmen und zu viele Unsicherheiten, weil der politische Prozess der Gesetzgebung den tatsächlichen Gegebenheiten aufgrund der eigenen Bürokratie im Prinzip ständig hinterherläuft.
Allein die Tatsache, dass vermutlich nahezu jede/r inzwischen irgendein Konto bei Facebook und/oder Google hat (dazu zählen eben u.a. auch Instagram und WhatsApp oder Youtube) oder deren Produkte (VR-Brille Oculus von Facebook, Google Maps und Android-Smartphones sowie Fitbit-Fitnesstracker von Google, Alexa-Geräte von Amazon) im Alltag nutzt, konterkariert den Versuch, den stetigen Datenstrom zu stoppen. Auch Apple-User lassen sich übrigens mit Smart Watches vollkommen freiwillig und oft sogar begeistert dauerüberwachen.
Schon klar, der Unterschied ist natürlich, dass hier jedem bewusst sein sollte, worauf man sich einlässt (obwohl auch das nicht immer so ist), wenn man direkt ein Produkt oder Konto dieser Unternehmen nutzt. Insofern ist es natürlich nachvollziehbar, dass man sich darauf verlassen dürfen sollte, dass die eigenen Daten nicht weitergegeben werden, wenn man bloß eine x-beliebige Website aufruft. So weit, so gut. Das Problem sind hier aber wieder die erwähnten Ausnahmen und Unsicherheiten.
Datenschutz mit Ausnahmen
Allein der berühmte Art. 6 Abs. 1 lit. f DSGVO erlaubt es mit Hinweis auf ein „berechtigtes Interesse“ der Website-BetreiberInnen, trotzdem ungefragt Daten zu erheben und zu verarbeiten (ein Hinweis in der Datenschutzerklärung ist zwar zwingend notwendig, jedoch keine vorherige Zustimmung der User). Auf dieser Grundlage darf zum Beispiel auch Facebook den Usern vorschreiben, ihren echten Namen zu verwenden (vgl. https://www.e-recht24.de/news/facebook/12462-facebook-pseudonym-klarname.html).
Es betrifft aber auch diverse kleine Websites, u.a. im Falle der Übertragung von IP-Adressen bei der externen Einbindung von Google Fonts. Das ist je nach Quelle nicht mehr (vgl. https://dr-dsgvo.de/google-schriften-auf-websites-nur-mit-einwilligung/) bzw. immer noch (vgl. z.B. https://www.blogmojo.de/google-dsgvo/) erlaubt. In den großen Premium-Themes von WordPress und diversen Baukästen ist die externe Einbindung aktuell jedenfalls noch gang und gäbe.
Und selbst die Einbindung von Werbe-Diensten wie AdSense wird teilweise noch als berechtigt betrachtet (u.a. steht es in der Datenschutzerklärung eines Handball-Bundesligisten), obwohl Google selbst mittlerweile von den Website-BetreiberInnen verlangt, eine entsprechende Zustimmung ihrer User einzuholen, bevor Werbung ausgespielt wird (vgl. https://support.google.com/adsense/answer/9035987?hl=de, https://www.google.com/about/company/user-consent-policy-help/ und https://de.borlabs.io/kb/google-adsense-und-borlabs-cookie/).
Ein kleiner, aber relevanter Nebeneffekt an der Stelle: Wer Adsense-Werbebanner auf der eigenen Website einbindet, gilt automatisch als Unternehmer (vgl. https://www.e-recht24.de/artikel/datenschutz/6635-datenschutz-rechtliche-risiken-bei-der-nutzung-von-google-analytics-und-googleadsense.html).
Der Surf-Feind Nr. 1: Cookies
Es ist daher wenig überraschend, dass vor allem Cookies – sowohl zu Analytics- als auch Werbezwecken – das zentrale Thema der Diskussion darstellen. Inzwischen wurde diesbezüglich ganz grundsätzlich festgelegt, dass technisch nicht notwendige Cookies nur eingesetzt werden dürfen, wenn die Nutzer diesem Einsatz aktiv und informiert zustimmen (vgl. https://datenschutz-generator.de/cookies-datenschutz-ratgeber/#Einwilligung_muss_aktiv_erfolgen – dort finden sich auch Links zu den entsprechenden Gerichtsurteilen vom EuGh und BGH). Das ist auf jeden Fall schon mal ein Fortschritt.
Von der Cookie Notice zum Consent Tool
Ursprünglich gab es bekanntlich nur die berühmten „Cookie Notices“, die plötzlich auf jeder Website zu sehen waren und mit einem „Wir gehen davon aus, dass Sie einverstanden sind“ samt der vollkommen überflüssigen Schaltfläche „Okay“ nervten. Einen Nutzen hatten sie nicht, da sämtliche Cookies zu diesem Zeitpunkt bereits gesetzt waren. Man konnte also nicht mal zustimmen oder die Seite alternativ wieder verlassen.
Daher also die Änderung zur aktiven Zustimmung. Das sieht man in Form der wesentlich größeren Banner, die sich nun öffnen, und eine Auswahl ermöglichen – teilweise aber erst über einen Umweg. Im Idealfall sieht es so aus, dass hier zumindest zwischen technisch notwendigen Cookies (z.B. zum Login oder Warenkörben) und solchen zu Werbezwecken oder dem Tracking unterschieden wird. So kann man entweder nur den notwendigen Cookies zustimmen oder einzelne ergänzen – oder natürlich gleich alle zulassen.
Von Tricks und Regellücken
In der Praxis führte das aber dazu, dass die meisten Nutzer aufgrund der Hysterie in den Medien erst mal alles ablehnten. Das wiederrum bewirkte, dass sehr viele dieser Auswahlboxen alle Cookies vorauswählten und man aktiv abwählen musste. Also wurden diese Voreinstellungen inzwischen auch noch mal explizit als nicht zulässig eingestuft (vgl. https://www.e-recht24.de/artikel/datenschutz/12119-bgh-urteil-cookies-einwilligung.html).
In Folge dessen passten „clevere“ Leute die Darstellung an. Anstatt den Button „alles ablehnen“ groß und grün zu gestalten, geschieht das nun häufig bei „alles erlauben“ und die alternativen Optionen stehen klein und oftmals nur noch als bloßer Textlink daneben oder darunter. Aus diesem Grund startet die Datenschutz-Initiative „nyob“ (kurz für „none of your business“) unter Führung des bekannten Datenschutzaktivisten Max Schrems nun auch eine groß angelegte Kampagne gegen fehlerhafte oder bewusst irreführende Cookie-Banner.
Das Problem dieser häufig absichtlich verkomplizierten Privatsphäre-Einstellungen ist nämlich der automatisch erhöhte Frustfaktor und dass die genervten User meist dem Instinkt folgen und zustimmen, obwohl sie das eigentlich gar nicht wollen – Hauptsache, der Banner ist erst mal weg. Allerdings öffnen sich neben der Cookie-Box häufig auch noch ein „Seite XY möchte dir Nachrichten senden“, „Abonniere unseren Newsletter“, irgendeine großflächige Werbeanzeige und/oder „Füge Seite XY zum Home Screen hinzu“ – wer nur mal eben schnell eine Info sucht, verliert da schnell die Geduld.
Zuviel des Guten
Abgesehen davon: Wer liest sich schon die Hinweise wirklich durch, klickt auf die Einstellungen, um sich durch zig Checkboxen zu wühlen, oder sucht in der ewig langen Datenschutzerklärung noch einmal den Abschnitt, in dem man die Auswahl nachträglich anpassen kann (falls überhaupt vorhanden)?
Auch hier muss also noch nachgebessert werden, damit das ursprüngliche Ziel wirklich erreicht wird. Dummerweise gibt es eben ständig Änderungen, Anpassungen oder auch erst mal nur Aufhebungen, die dann zu einem neuen Regel-Vakuum führen und damit auch zu Grauzonen und Unsicherheiten. Nur wenig ist absolut eindeutig definiert und es wird natürlich auch ständig wieder nach neuen Auswegen gesucht. Daher sind selbst Gerichtsurteile nur vorübergehend verlässlich – das ganze Thema Cookies beruht ja auch auf einer solchen (Stichwort: „Gewinnspielanbieter Planet49“).
Google Analytics – Das Paradebeispiel
Eine wichtige Rolle in der ganzen Debatte spielten übrigens die besonders weit verbreiteten Cookies des Tracking-Diensts Google Analytics, mit dem die Besucher einer Website analysiert werden können – nicht nur die bloßen Zahlen, sondern auch, woher die Leute kommen etc. Der Nutzen für Google: Sie können feststellen, wie sich die Leute durchs Internet bewegen und diese Informationen für personalisierte Werbung nutzen. Vereinfacht ausgedrückt: Während die einzelnen SeitenbetreiberInnen immer nur das gesamte Publikum ihrer eigenen Seite sehen, sieht Google die einzelnen Personen innerhalb dieses Publikums und kann sie aus der Menge isolieren und sie websiteübergreifend verfolgen.
Nehmen wir als vergleichbares AutorInnen-Beispiel eine Lesung, bei der ihr in einer völlig fremden Stadt euer Buch vorstellt: Ihr sitzt auf der Bühne und blickt ins Publikum. Ihr kennt niemanden, aber ihr seht, wie viele Leute dort sitzen, wie lange sie bleiben, welche Geschlechter und ungefähre Altersgruppen anwesend sind, könnt vielleicht erkennen, ob jemand mit dem Fahrrad, Bus oder Auto angereist ist und anhand der Sprache und/oder Dialekten erkennen, woher die Leute kommen.
Die gläsernen User
Google sieht darüber hinaus allerdings auch noch, wo die Leute vorher waren, wo sie anschließend hingehen, welche Bücher sie sonst lesen, welche Lesung von welchen AutorInnen sie bereits besucht haben oder für welche Veranstaltung sie schon Karten gekauft haben, über welche Themen sie sich informieren, ob sie selbst schreiben, was sie gerne essen und vielleicht auch, was das Ehepaar in der zweiten Reihe eine Woche, nachdem die Dame ein Buch von E.L. James gelesen hat, heimlich im Internet bestellt und an eine Packstation hat liefern lassen.
Mit all diesen Informationen kann Google (wie auch Facebook etc.) ein individuelles Profil erstellen, das Rückschlüsse auf die persönlichen Lebensumstände und Vorlieben zulässt, was sich wiederrum in den ausgespielten Werbeanzeigen widerspiegelt – ihr alle habt sicherlich schon mal auf Websites Werbung für Produkte angezeigt bekommen, die ihr euch entweder kurz zuvor irgendwo angesehen oder sogar bereits gekauft habt. Natürlich verwässert sich das Gesamtbild, wenn mehrere Personen zum Beispiel über einen PC online gehen, aber in Zeiten von Smartphones ist das gerade in der relevanten Zielgruppe zu vernachlässigen ;)
Wenn die KI dich besser kennt als du selbst
An der Stelle sei übrigens auch die von @a_boatfullof_books auf Instagram so hochgelobte Kurzgeschichte „Cat Pictures Please“ von Naomi Kritzer erwähnt, die das Phänomen des Trackings sehr anschaulich beschreibt. Ihr könnt sie online unter http://clarkesworldmagazine.com/kritzer_01_15/ lesen (ist allerdings auf Englisch).
Angesichts dieser Hintergründe ist es natürlich wie gesagt absolut nachvollziehbar, dass die Daten der Leute geschützt werden sollen. Die Praxis sieht aber nun mal leider anders aus, weil das Interesse derer, die dafür eigentlich vollumfänglich kooperieren müssten, natürlich aufgrund ihres Geschäftsmodells äußerst überschaubar ist. Wer ausschließlich mit Nutzerdaten Geld verdient, wird alles tun, um sie weiterhin sammeln zu können. Die NutzerInnen sind in dem Fall bekanntlich nicht die Kunden bzw. KäuferInnen eines Produkts, sondern stellen selbst das Produkt dar.
Mehrfacher Vorteil für die großen Konzerne
Folglich haben Konzerne wie Facebook und Google ein ausgeprägtes Interesse daran, möglichst viele und aktuelle Informationen über möglichst viele Personen zu speichern. Der Vorteil dabei: Im Gegensatz zu kleinen AutorInnen, Selbständigen oder mittelständischen Unternehmen, die einfach nur eine hübsche Website betreiben, sind sie erstens auch auf fremden Websites präsent (insbesondere Google) und können sich zweitens weitaus mehr erlauben. Im Gegensatz zu diesen Beispielen gibt es da im Zweifel ja auch noch eine eigene Rechtsabteilung, die bei Bedarf ständig neue Schlupflöcher findet.
So kommen wieder die oben erwähnten Anpassungen und Änderungen ins Spiel, alles wird noch komplizierter, niemand kommt mehr mit, will aber alles richtig machen, und das Internet wird überschwemmt mit Cookie-Bannern, die manchmal überflüssig und manchmal trotz aller Bemühungen nicht abmahnsicher sind, und ewig langen Datenschutzerklärungen, die sowieso niemand liest.
Nichts Genaues weiß man nicht
Dann würde vermutlich auch viel mehr Leuten auffallen, dass es selbst in den vielen Muster-Datenschutzerklärungen, die bspw. e-recht24.de und datenschutz-generator.de anbieten, teilweise große Unterschiede gibt. Je nachdem, welche Optionen man auswählt, gibt es hier einen knappen Satz und dort eine halbe Normseite. Manche Punkte werden hier völlig ausgespart und dort bis ins kleinste Detail aufgeschlüsselt.
Allein aufgrund dessen sieht man, wie uneindeutig die aktuellen Vorgaben wirklich sind und es ist kein Wunder, dass im Prinzip niemand mehr weiß, was eigentlich wirklich zu 100% konkret gefragt ist. Ja, es gibt gewisse Dinge, die ziemlich eindeutig sind, aber wer wirklich sicher sein will, muss im Prinzip einen Rechtsbeistand für den individuellen Bedarf anfordern – was Kosten verursacht, die kaum jemand alle paar Monate aufbringen kann. Immerhin sollte das auch allgemein anerkannt sein und die Generatoren dürften in der jeweils aktuellen Variante dementsprechend rechtssicher sein – prüft aber trotzdem regelmäßig, ob es da relevante Änderungen gibt (meist gibt es dazu auch News- oder Blog-Einträge der Anbieter).
Im Zweifel: „Nulldiät“
Grundsätzlich wird natürlich empfohlen, sicherheitshalber möglichst auf alles zu verzichten, was die Weitergabe von Daten an Dritte betrifft. Das ist zwar ziemlich schwer, weil so gut wie niemand einen eigenen Server betreibt und daher zumindest auf Hosting-Anbieter ausweichen muss, aber dafür gibt es entsprechende Vereinbarungen („AV-Vertrag“, „Vertrag über Auftragsverarbeitung“, „Auftragsdatenverarbeitung“, o.ä.), die mittlerweile online angeboten werden und euch zusichern, dass die Daten sicher und DSGVO-konform gespeichert werden. Diese solltet ihr also immer abschließen, ebenso falls ihr Newsletter oder sonstige Services oder sogar Tracking-Tools wie Google Analytics einsetzen möchtet. Eine Übersicht über die AV-Verträge der diversen Service-Anbieter (auch über das Hosting hinaus) gibt es unter blogmojo.de/av-vertraege/. Prüft in dem Zuge auch, ob die erhobenen Daten auf Servern innerhalb der EU oder z.B. in den USA gespeichert werden, was durch das Aus der ePrivacy-Verordnung zu Problemen führen könnte (vgl. https://datenschutz-generator.de/eugh-privacy-shield-unwirksam/ und https://datenschutz-generator.de/dsgvo-usa-muster-checkliste-scc/).
Und wie mache ich das mit dem Datenschutz am besten?
Im Idealfall und mit dem geringsten Risiko richtet ihr eure Website jedoch direkt so ein, dass ihr
- einen Hostinganbieter mit Serverstandort innerhalb der EU wählt und dort einen AV-Vertrag abschließt
- eure Domain per SSL verschlüsselt (spätestens bei einem Kontaktformular auf eurer Website ist das Pflicht!)
- auf das Einbindung externer Ressourcen verzichtet (kein Analytics, keine Youtube-Videos, keine Instagram-Widgets, Google Fonts lokal laden – sprich: alles, das nicht mit eurer Domain beginnt, ist tabu)
- sämtliche Eventualitäten in der Datenschutzerklärung berücksichtigt
- keine Cookies setzt
Wenn ihr auf externe Scripte und nicht notwendige Cookies verzichtet, spart ihr euch auch das unschöne Cookie-Banner, das immer beim ersten Besuch aufploppt, und viel Zeit und Nerven kostet (und evtl. sogar zusätzliche Gebühren verursacht), die für die Einrichtung eines solchen Consent-Tool zur Verwaltung der externen Quellen und Cookies nötig sind.
Das Consent-Tool: Häufige Probleme
Wenn ihr aus irgendwelchen Gründen doch eines einsetzt/einsetzen müsst, achtet unbedingt darauf, dass es den Funktionsumfang eurer Website nicht einschränkt. Vor allem die Datenschutzerklärung und das Impressum müssen stets grundsätzlich mit maximal zwei Klicks aufzurufen sein. Genau da grätschen manche Consent-Tools aber dazwischen, indem sie entweder diese Links am Seitenende verdecken oder sich in einem Overlay öffnen, das das Scrollen zu den entsprechenden Links am Seitenende gleich komplett verhindert – zumindest so lange, bis man eine Auswahl bezüglich der Cookie-Einstellungen trifft.
Das ist nicht nur wenig nutzerfreundlich, sondern sogar ernsthaft problematisch, wenn die User in ihrem Browser einen Werbeblocker aktiviert haben: Der blockiert unter Umständen das Consent-Tool und das führt dazu, dass man gar nichts auswählen und infolgedessen auch nicht mehr scrollen kann. Die Seite wird also de facto völlig unbrauchbar und ihr könnt sicher sein, dass der Großteil der Leute nicht auf den Zusammenhang zwischen Consent-Tool und Werbeblocker kommt.
Das A und O: Eine aktive Auswahl ermöglichen
Abgesehen davon solltet ihr natürlich darauf achten, dass ihr auch tatsächlich die Möglichkeit zur Zustimmung anbietet (nicht nur ein bloßes „Okay, habe verstanden“!) und Cookies und Scripte tatsächlich erst nach der Zustimmung geladen werden. Die Baukasten-Anbieter haben dafür in der Regel ein entsprechendes Modul an Bord, für WordPress gibt es diverse kostenfreie Plugins sowie kostenpflichtige Lösungen wie das oben bereits verlinkte Borlabs Cookie.
Ebenso wichtig: Ausschließlich technisch notwendige Cookies etc. dürfen vorausgewählt sein – alles andere muss aktiv von den Usern ausgehen. Zudem darf die Ablehnung nicht umständlicher gestaltet sein als die Zustimmung. Verzichtet daher lieber auf eine grüne und eine rote Schaltfläche, die euch wahlweise suggestiv ausgelegt werden kann oder als problematisch für User mit Rot-Grün-Schwäche angesehen werden könnte. Bietet daher am besten für beide Optionen jeweils einen gleich gut lesbaren Button an (sowie die Möglichkeit, individuelle Einstellungen vorzunehmen), dann dürftet ihr nach gegenwärtigem Stand auch in Zukunft ziemlich gut aufgestellt sein.
Fazit
Das ganze Datenschutz-Thema ist in Hinblick auf kleine Websites ein eindrucksvolles Beispiel für „gut gedacht, schlecht gemacht“ – okay, vielleicht ist das auch etwas zu hart angesichts der Komplexität der Angelegenheit. Aber es lässt sich nicht leugnen, dass die gegenwärtigen Regelungen deutlich mehr Probleme und Unsicherheit erzeugen als dass sie wirklich zum ursprünglichen Ziel führen. Insbesondere diejenigen, die bewusst versuchen, die Daten der User abzugreifen, kommen noch viel zu oft mit irgendwelchen Tricks davon.
Für die BetreiberInnen kleiner Websites ist daher vermutlich die derzeitige Ideallösung, auf möglichst jegliche Einbindung externer Ressourcen zu verzichten und einen Hosting-Anbieter mit Server-Standort in der EU, AV-Vertrag und SSL-Verschlüsselung zu wählen. Zudem sollte die eigene Datenschutzerklärung regelmäßig mit eventuellen Anpassungen der Mustertexte im jeweils gewählten Generator abgeglichen und ggf. aktualisiert werden.