„Ich habe den Verdacht, dass dieser Blödsinn den wir auf den Webseiten dauernd wegklicken müssen, dass das eigentlich gemacht wurde, um den Datenschutz zu diskreditieren,“ hat mir der Datenschützer Martin Rost beim WebMontags Online Talk erklärt. Hier ein paar Gründe, warum diese Cookie-Banner überflüssig und nur ein ganz klein bisschen Datenschutz sind.
Das Surfen auf unterschiedlichen Websites ist nicht nur für Datenschutz-bewusste Menschen in letzter Zeit zum Hindernislauf geworden. Wer die Lösung für ein technisches Problem sucht, wird das kennen:
- Suche in die Suchmaschine eingeben.
- Erstes Suchergebnis anklicken. Cookie-Splash-Screen. Einstellungen. Nur nötige Cookies speichern. Oh, das ist nicht die richtige Antwort.
- Zweites Suchergebnis anklicken. Cookie-Splash-Screen. Einstellungen. Nur nötige Cookies speichern. Oh, das ist nicht die richtige Antwort.
- Drittes Suchergebnis anklicken. Cookie-Splash-Screen. Einstellungen. Nur nötige Cookies speichern. Oh, das ist nicht die richtige Antwort.
- Irgendwann: Suchergebnis anklicken. Cookie-Splash-Screen. Einstellungen. Nur nötige Cookies speichern. Ah, das ist hilfreich!
Un-glaub-lich nervig! Dabei wäre das nicht nötig, wenn die Website-Betreiber vernünftig mit unseren Daten umgehen würden.
Martin Rost vermutet, die Organisationen wollen das so umständlich machen, um den Datenschutz „als nervigen Bürokratismus“ erscheinen zu lassen.
Einwilligung vs. Berechtigtes Interesse
Das Cookie-Banner oder der Cookie-Splash-Screen soll die Einwilligung der Nutzerinnen und Nutzer zur Datenverarbeitung einholen. Die Einwilligung ist eine der möglichen Rechtsgrundlagen für die Datenverarbeitung.
Es gibt aber auch das „berechtigte Interesse“ (DSGVO Art. 6 (1) f). Wenn der Website-Betreiber ein berechtigtes Interesse an der Verarbeitung bestimmter Daten hat, dann kann er abwägen, ob das wichtiger ist als der Schutz der betroffenen Person.
„die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.“
– DSGVO Art. 6 (1) f
Das ist natürlich nicht so eindeutig, wie eine Einwilligung. Wenn jemand eine Einwilligung anklickt, oder etwas unterschreibt, kann man etwas vorzeigen. Aber: Die Person kann die Einwilligung jederzeit wieder zurückziehen und dann muss man die Datenverarbeitung auch wieder beenden und die Daten löschen.
Über das berechtigte Interesse müsste sich die betroffene Person mit dem Website-Betreiber unter Umständen vor Gericht streiten, wenn es der Person wichtig genug ist. Deswegen sollten Website-Betreiber damit vorsichtig umgehen.
Eigene Statistik ist besser als Google Analytics
Es ist aber sehr wahrscheinlich das berechtigte Interesse eines Website-Betreibers zu erfahren, ob die Seite technisch funktioniert und was die Nutzerinnen und Nutzer interessiert. Solange man nur Daten erhebt, die diesem Zweck dienen, die nur für diesen Zweck nutzt und sie wieder löscht, wenn sie dazu nicht mehr benötigt werden.
Wenn man die Daten dann noch in einem eigenen System erhebt, analysiert und löscht, spricht zumindest meinem Verständnis nach nichts dagegen, das auch ohne Einwilligung zu machen. In der Datenschutz-Erklärung muss man natürlich darauf hinweisen.
ABER
All das gilt natürlich nur, wenn man nur diese Daten für sich selbst erhebt. Das machen die meisten Websites leider nicht. Die wollen die Daten ihrer Leserschaft an so viele Unternehmen wie möglich verteilen – an alle, die ihnen Geld dafür geben.
Ich habe mir mal angeschaut, zu was man „Ja“ sagt, wenn man auf zeit.de „Akzeptieren“ klickt. Man kommt da auf eine endlos lange Liste. Ich habe versucht die alle aufzuklappen und mal einen Screenshot zu machen. Leider bricht das Tool in Firefox immer nach 32 Seiten ab – ungefähr bei der Hälfte.
Mir kann niemand erzählen, dass auch nur eine Person bei zeit.de weiß, was alle mit den Daten ihrer Leserschaft passiert. Ich bin des weiteren sicher, dass man das so nicht machen darf. Denn „das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen“ (DSGVO Art. 7 (2)) – Zwar mögen die einzelnen Absätze einfach formuliert sein. Im Umfang ist das aber vollkommen unüberschaubar.
Leider hat sich hier noch kein offizieller Datenschützer dran ausprobiert, beklagte auch Martin Rost in unserem Gespräch: „Also das wird bedrückenderweise Herr Schrems, müssen Privatpersonen kommen und müssen dann vor Gerichte gehen und diesen diesen elenden weg gehen.“
Video
Erst wenn Du das Video startest, werden Daten an YouTube übermittelt. Siehe Datenschutzerklärung
Schreibe einen Kommentar