Mehrere deutsche Länder und Datenschutzbehörden untersuchen seit August vergangenen Jahres die Internetseiten von Medienunternehmen auf Cookies und die Einbindung von Werbeservices von Dritten (sog. Drittdienste). Dabei wurden insgesamt 49 Werbeangebote in elf Ländern von den Datenschutzbehörden technisch geprüft. Das Resultat: Den rechtlichen Anforderungen für den Einsatz von Cookies und anderen Trackingtechniken ist von dem Großteil der geprüften Webseiten nicht nachgekommen worden – die personenbezogenen Daten der Nutzer:innen sind also nicht ausreichend geschützt.
Was passiert mit den Daten der Nutzer:innen?
Die personenbezogenen Daten der Nutzer:innen werden für das Onlinemarketing dahingehend genutzt, dass umfassende und seitenübergreifende Persönlichkeitsprofile erstellt werden, die vor allem im Real Time Bidding-Verfahren (Echtzeitauktion von Werbeplätzen) eingesetzt werden.
Inwiefern schützen die beteiligten Landesdatenschutzbehörden die Daten?
Die zuständigen Datenschutzbehörden der Länder aus Baden-Württemberg, Brandenburg, Bremen, Hamburg, Hessen, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, dem Saarland, Sachsen und Schleswig-Holstein versuchen sicherzustellen, dass die von ihnen geprüften Webseiten der DSGVO entsprechen. Sollten die Werbeunternehmen den Anforderungen und Nachbesserungen nicht entgegenkommen, sehen sich die zuständigen Datenschutzbehörden dazu gezwungen, behördliche Maßnahmen zu ergreifen und anzuordnen. Zudem wollten die Behörden der beteiligten Länder von den betroffenen Unternehmen wissen, ob diese wahrheitsgemäß zugeben würden, dass ein Datenschutzverstoß tatsächlich vorliege: Sie entwickelten zusammen einen konzipierten Fragebogen, welcher an Medienunternehmen in ihrer jeweiligen Zuständigkeit versendet wurde. Geprüft wurden nicht sämtliche Webseiten der Unternehmen, sondern deren reichweitenstärkste Angebote. Bereits vor Versendung der Fragebögen waren die ausgewählten Webseiten technisch gesichert und analysiert worden. So war ein Abgleich zwischen den Antworten der Medienunternehmen und der tatsächlichen technischen Ausgestaltung der Seiten möglich.
Einwilligungen der Nutzer:innen weitgehend unwirksam
Die geprüften Medienwebseiten benutzen Cookies und Drittdienste, die überwiegend dem Nutzertracking und der Werbefinanzierung dienen. Nach der DSGVO bedarf es demnach erst einer Einwilligung der Nutzer:innen, damit das Nutzerverhalten getrackt werden darf.
Es ist zwar grundsätzlich so, dass die Webseiten Einwilligungen der Nutzer:innen für die Verwendung von Cookies und Drittdiensten anfordern, jedoch sind diese Einwilligungen oft nicht wirksam. Warum das so ist, wurde von dem Hamburgischen Datenschutzbeauftragten in seiner Pressemitteilung veröffentlicht. Folgende Mängel wurden festgestellt:
- Falsche Reihenfolge: Häufig werden einwilligungsbedürftige Drittdienste bereits beim Öffnen der Webseiten eingebunden und Cookies gesetzt – also noch vor der Einwilligungsabfrage.
- Fehlende Informationen: Auf der ersten Ebene der Einwilligungsbanner werden zudem nur unzureichende oder falsche Informationen über das Nutzertracking gegeben.
- Unzureichender Einwilligungsumfang: Selbst wenn der Nutzer die Möglichkeit wahrnimmt, bereits auf der ersten Ebene des Einwilligungsbanners alles abzulehnen, bleiben zahlreiche Cookies und Drittdienste aktiv, die eine Einwilligung erfordern.
- Keine einfache Ablehnung: Während bei allen Einwilligungsbannern auf der ersten Ebene eine Schaltfläche vorhanden ist, mit der eine Zustimmung zu sämtlichen Cookies und Drittdiensten erteilt werden kann, fehlt auf dieser Ebene häufig eine ebenso einfache Möglichkeit, das einwilligungsbedürftige Nutzertracking in Gänze abzulehnen oder das Banner ohne Entscheidung schließen zu können.
- Manipulation der Nutzer:innen: Die Ausgestaltung der Einwilligungsbanner weist zahlreiche Formen des Nudging auf. Das bedeutet, Nutzerinnen und Nutzer werden unterschwellig zur Abgabe einer Einwilligung gedrängt, indem die Schaltfläche für die Zustimmung beispielsweise durch eine farbliche Hervorhebung deutlich auffälliger gestaltet ist als die Schaltfläche zum Ablehnen oder indem die Verweigerung der Einwilligung unnötig verkompliziert wird.
Sollten die Werbeunternehmen den von den zuständigen Datenschutzbehörden gestellten Nachbesserungen der rechtlichen Anforderungen nicht nachkommen, werden diese wohl behördliche Maßnahmen ergreifen müssen. Es ist davon auszugehen, dass die Datenschutzbehörden der Länder künftig mehrere Internetseiten und Werbeunternehmen technisch untersuchen und überprüfen werden.
