Cookie-Banner? Brauchen wir nicht!

Cookie-Banner nerven! Sie gleichen einem Beipackzettel und blockieren mobile erstmal alles. Viele stimmen einfach zu oder gehen wieder weg. Nutzer sind genervt, Seitenbetreiber frustriert. Beiden kann geholfen werden!

Viele halten Cookie-Banner für unverzichtbar. Doch das stimmt nicht! Der Artikel 6, Absatz 1 DSGVO gibt Webseitenbetreibern das Recht, Nutzerdaten zu verarbeiten. Nicht immer ist eine Einwilligung nötig. Mitunter wird sie zum Fallstrick. Nehmen wir einen typischen Fall und vergleichen Absatz 1 lit. a), b) und f) mit §15 Abs. 3 TMG:

  • Ein Nutzer kommt erstmals auf eine Seite. Er ist (noch) kein Kunde. Gemäß lit. a) ist die Verarbeitung seiner Daten rechtmäßig, wenn er deren Zweck aktiv zustimmt. Laut DSK Positionspapier vom 16. April 2018 Seite 4 ist das erforderlich, wenn „Tracking- Mechanismen, die das Verhalten des Nutzers nachvollziehbar machen“ und die „Erstellung von Nutzerprofilen“ erfolgt.  Nicht alle Seiten tun das. Vielen haben aber Cookie-Banner, die dem Nutzer diverse Einstellungen abnötigen. Stimmt er genervt allem zu, ist das Ziel verfehlt. Lehnt er pauschal ab, ist jedwede Verarbeitung blockiert.
  • Bei einem Webshop ist ein Webseitenbesuch eine vorvertragliche Maßnahme, aus der ein Vertrag erfolgen kann. Hier greift Absatz 1 lit. b): Der Seitenbetreiber darf Daten ungefragt erheben, weil der Nutzer „vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird“. So erklärt es Erwägungsgrund 47. Es ist keine aktive Einwilligung nötig, unabdingbar ist jedoch eine hinreichende Information in der Datenschutzerklärung.
  • Lit. f) erlaubt dem Seitenbetreiber die Datenerhebung aus berechtigtem Interesse. Er darf ohne Einwilligung Nutzerdaten verarbeiten, sofern nicht „die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen“. Das wäre z.B. der Fall, wenn Nutzerdaten missbraucht werden könnten oder wenn „eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss“, sagt Erwägungsgrund 47. Gemeint sind Webanalyse und Social Media Plugins, die oft auf eigene Rechnung fleißig mitsammeln. Das geht auch anders.
  • § 15 Abs. 3 TMG steht dem nicht entgegen, mehr noch: Laut DSK Positionspapier vom 16. April 2018 ist dieser Absatz nichtig, da die DSGVO ab dem 25. Mai 2018 Vorrang hat.

Es gibt also durchaus Möglichkeiten, ohne Einwilligung Nutzerdaten zu verarbeiten. Neben Logfile-Analysen und digital Fingerprints erlauben lit. b) und f) auch eine Datenverarbeitung mithilfe von „Cookies“.
Wer sein Cookie-Banner loswerden oder reduzieren möchte, muss sich folgende Fragen beantworten:

  • Welche Nutzerdaten erhebe ich, welche brauche ich wirklich?
  • Werden die Daten und Grundrechte der Betroffenen ausreichend geschützt?
  • Wie ist das Tracking-Tool konfiguriert?
  • Werden Social Media Plugins via Zwei-Klick-Lösung oder Shariff Button aktiviert?
Cookiehinweis blockiert Bildschirm
Cookie-Banner nerven und frustrieren (Motive: pixabay)

Cookie-Banner? Brauchen wir nicht!

Am Institut für Datenschutz und Datensicherheit (kurz: IDD GmbH) checken wir, inwieweit die Datenverarbeitung auf der Website den Grundsätzen von Art. 6 Abs. 1 lit. b) und f) entspricht. Zudem prüfen wir, wie Marketing- und Tracking-Tools eingesetzt werden. Viele Unternehmen aktivieren viel, nutzen aber wenig. Sie gehen unnötige Risiken ein, obwohl „mildere Mittel“ voll ausreichen.

Risiken für die Betroffenen bestehen auch, wenn Webseiten unzureichend gesichert sind. Dann können Nutzerdaten abgegriffen werden, die weit über die Cookie Debatte hinausgehen. Deshalb geht unser Service noch einen Schritt weiter: Mit automatisierten PEN-Tests nehmen wir ganze Webanwendungen unter die Lupe und testen, ob sie sich durch Kriminelle austricksen lassen.

Möchten auch Sie Ihr Cookie-Banner reduzieren oder bestenfalls ganz loswerden? Dann kontaktieren Sie uns. Wir unterstützen Sie, damit Sie eine nutzerfreundliche und sichere Webseite anbieten können.