DSGVO: Datenschutzbehörde gibt Warnschuss ab


Dabei zeigt die Datenschutzbehörde, dass sie die Probleme auch auf technischer Ebene erkennt und entsprechend abmahnt.

Ein fehlerhaftes Cookie-Banner als Feigenblatt ist damit zunehmend nutzlos.

Nicht länger auf die leichte Schulter nehmen

DSGVO wird durchgesetzt

Es bleibt nicht immer nur bei Ermahnungen – jüngst wurde einem Online Shop in Niedersachsen eine DSGVO-Strafe über 65.000 € verhängt. Grund waren dort fehlende Updates und dadurch ein erfolgreicher Hacking-Angriff auf die Kundendaten.

Doch auch Third-Party-Cookies bleiben ein Problem, genauso führen externe Tracking Scripts regelmäßig zu einem verschlechterten PageSpeed.

Unsere Empfehlung: Externe Tracking Scripts vermeiden, wo es geht – und wo nicht, nur einsetzen, wenn sie aktiv genutzt werden. Doch bei Third-Party-Tracking ist es eminent wichtig, die DSGVO Vorgaben einzuhalten. Und die DSGVO gibt klar vor: Konsens ist Pflicht.

Beachten Sie: Eine wirksame Einwilligung muss zudem noch DSGVO-konform je Nutzer protokolliert werden. Wenn Sie also auf Tracking Scripts von Drittanbietern nicht verzichten können oder wollen, dann nutzen Sie eine sichere DSGVO-Lösung, wie Usercentrics zusammen mit unserem Tracking Manager. Als Usercentrics Partner beraten wir Sie bei Bedarf umfassend und setzen die nötigen Maßnahmen für Sie um.

Halbgare Lösungen sind ein Damoklesschwert

Vermeiden Sie Grauzonen

Von der Abmahnung waren diverse Branchen betroffen, insbesondere Online-Handel, Immobilien, Finanzen, Soziale Netzwerke, Rechtsdienstleistungen, Software, Gesundheit, Bildung und Vergleichsportale. Die Datenschutzbehörden erhalten zunehmend nicht nur persönliche Beschwerden von betroffenen Nutzern, sondern auch allgemeine Hinweise mit Bitten und Bedenken von Bürger:innen.

Die betroffenen Unternehmen müssen jetzt unverzüglich agieren: Die Datenschutzbehörde Berlin kündigt bereits zeitnahe Nachprüfungen an – sind die DSGVO-Probleme bis dahin nicht behoben, wird ein offizielles Verfahren eröffnet – eine Strafzahlung lässt sich dann erfahrungsgemäß nicht mehr vermeiden.

Selbst aufwändige Cookie-Banner mit differenzierten Einstellungsmöglichkeiten reichen laut Datenschutzbehörde Berlin nicht aus – die dahinterliegenden Prozesse und geladenen Tracking-Scripts wurden von der Behörde ebenso analysiert, wie die Gestaltung des Cookie Banners an sich.

Häufig wird der Ablehnen-Button noch in den Einstellungen versteckt oder grafisch nachrangiger dargestellt, als der Akzeptieren-Button – das wird als bewusste Beeinflussung der Entscheidungsfreiheit des Nutzers gewertet und verstößt klar gegen die DSGVO. Auch wenn zahlreiche Websites Cookie Banner noch dergestalt verwenden: eine Abmahnung durch eine Datenschutzbehörde ist hier nur noch eine Frage der Zeit.

Bis zu 4% des weltweiten Jahresumsatzes können als Strafe angeordnet werden – DSGVO Verstöße sind kein Kavaliersdelikt mehr.

Tom Tailor

Beispiel für einen Online Shop mit fehlerhaftem Cookie Banner. Tom Tailor versteckt die Option zum Ablehnen von Drittanbieter-Tracking hinter dem Einstellungen-Link – der Nutzer wird dazu verleitet, auf „Alle Akzeptieren“ zu klicken – nach Ansicht vieler DSGVO-Experten als klarer DSGVO-Verstoß zu werten.

Zalando

Zalando scheint sich für die DSGVO nur teilweise zu interessieren: So wird beispielsweise der Google Tag Manager geladen, noch bevor man den Cookies via „Geht klar“ zugestimmt hat.

Die Cookie Liste von Zalando ist insgesamt sehr groß: Wir zählen 70 Cookies von 12 verschiedenen Firmen – das ist meist das Ergebnis von Marketing-Abteilungen und Entscheidern, die stetig neue Analyseanforderungen formulieren und die DSGVO nicht berücksichtigen.

Das alles muss Zalando längst bewusst sein und mit ihrem Sitz in Berlin spielen sie weiterhin mit dem Feuer – bereits im April zeigte der Datenschutzbeauftragte René van Loock in einem Beitrag, wie es um die DSGVO Einhaltung großer Websites steht, einschließlich Zalando. Auf Unwissenheit kann sich jedenfalls kein Unternehmen mehr nach über 3 Jahren seit Inkrafttreten der DSGVO berufen.

Dass ein korrektes Cookie Banner technisch nicht besonders schwierig einzurichten ist, beweist unser Tracking Manager WordPress Plugin mit Usercentrics Unterstützung. Es fehlt also nicht an technischen Möglichkeiten, sondern allein am Willen.

Empfehlung

Better save than sorry

Mit welcher Naivität offensichtlicher Rechtsbruch begangen wird, ist schlicht nicht mehr nachvollziehbar.

Jeder noch so kleine vermeintliche Strohhalm wird gesucht, um Drittanbieter Tracking um die DSGVO herum auszuspielen – die Abmahnung von den Datenschutzbehörden sind richtig und wichtig.

Wir reden hier auch nicht von großem Hexenwerk – gerne wird die DSGVO als kompliziertes Paragraphenwerk bezeichnet – auch von vielen Datenschützern. Kompliziert wird es aber meistens erst dann, wenn versucht wird die Regeln zu biegen. An einheitlichen technischen Lösungen über Browser-Signale wird gearbeitet, genauso versucht sich Google mit dessen viel kritisierten Kohorten-Konzept.

Bis dahin und wahrscheinlich auch dauerhaft, lautet die klare Empfehlung: Drittanbieter-Services vermeiden und idealerweise nach dem No-Consent-Required Ansatz verfahren – dann braucht es gar keine Cookie Banner.