Analysen und Hintergrundrecherchen für die Versandhandelsbranche
Bild: Jan Va?ek auf Pixabay
Cookies: Jeder zweite deutsche Shop pfeift auf Datenschutz
26.03.2020 - Legt man aktuelle Cookie-Gesetzgebungen an, sind acht von zehn deutschen Shops abmahngefährdet, die Hälfte ist nahezu untragbar und ein paar sind derart offene Datenschutz-Sünder, dass es als Wunder gelten muss, dass sie noch online sind.
von Sebastian Halm
Wenn es darum geht, was Webseiten mit Nutzerdaten machen dürfen, dann sind vor allem zwei Rechtsgrundlagen entscheidend:
- Das ist zum einen die DSGVO, die die Verarbeitung personenbezogener Daten regelt - also Dinge wie etwa die Profilbildung.
- Und dann ist da ein Urteil des EuGH zur Webseite Planet 49, dass Nutzer aktiv einwilligen müssen, wenn eine Seite Cookies setzt.
Wie muss eigentlich ein Hinweis über die Datenverwertung - nennen wir es salopp 'Cookiebanner' - aussehen, damit man als Shop 'kugelsicher' ist? Die Antwort darauf lautet, dass man das Werkzeug der 'Einwilligung' kaum richtig abfragen kann (- das alternative Werkzeug wäre das 'berechtigte Interesse', auf das aktuell vor allem Affiliate-Marketeers hoffen, weil Werbung, Cookies und Tracking nicht Expansionen, sondern Skelett und DNS ihres Geschäftsmodells sind und sich somit eventuell als unerlässlich verargumentieren lassen). Für eine saubere Einwilligung existieren indes im Grunde so viele Voraussetzungen und Informationspflichten, dass es zum einen schwer ist, alle nötigen Infos auf dem Schirm zu haben, die man dem Nutzer vermitteln muss. Zum anderen kann man manche Aspekte gar nicht im Blick behalten. Es ist schlicht nicht machbar.
Wieso es den datenschutzrechtlich perfekten Cookie-Hinweis eigentlich nicht gibt
So müssen Webseiten (nicht im Cookiebanner, aber in einer Belehrung, auf die das Cookiebanner weiterleiten sollte) darüber informieren, wer die Daten alles erhält. Angenommen man setzt irgendeine Lösung auf der Webseite ein - egal ob Payment, Tracking, Social PlugIn. Und angenommen diese Lösung informiert ihre Kunden nur unzureichend, wer wirklich alles Daten und zu welchem Zweck abbekommt. Übernimmt man dann brav die vorhandenen - unvollständigen - Infos, die der Lösungsanbieter veröffentlicht, dann verheimlicht man dem Nutzer kritische Infos über seine Daten. Man kann zwar gar nicht wissen, wer alles Daten vom eingebundenen Lösungsanbieter bekommt, aber das hilft nicht: "Setze ich also Google Analytics ein, muss ich auch angeben, an wen Google die Datensätze weitergibt. Aber woher will man das wissen?" erklärt der auf neue Medien spezialisierte Anwalt Dr. Martin Bahr von der Kanzlei Dr. Bahr : "Rechtskonform lässt sich dieses Tool im Grunde gar nicht einsetzen."Aus all dem geht mehr oder weniger unvermeidlich hervor, dass sich Cookie-Banner kaum makellos datenschutzsicher gestalten lassen - aber ein Shop kann dennoch versuchen, so gewissenhaft wie möglich vorzugehen: "Selbst wenn man dann noch abmahnfähig ist, so kann man doch durch sein 'redliches Bemühen' aufzeigen, dass man dem Datenschutz genügen will - und Konsequenzen vielleicht verhindern oder zumindest abschwächen", sagt Martin Bahr.
Dass man als Shop, egal was man tut, immer mit einem Bein im Abmahn-Land steht, ist die eine ärgerliche Sache - eine andere aber ist es, dass Shops absolut vermeidbare Verstöße gegen ihre Infopflicht gegenüber dem Nutzer begehen. Manche davon so offenkundig, dass man vom Glauben abfallen möchte. So hat der auch unserer Redaktion als Interviewpartner beliebte Tracking- und Privacy-Profi Christian Bennefeld in einer Analyse etwa nachgewiesen, wie ein deutscher ECommerce-Riese fröhlich weitertrackt, selbst wenn ihm der Nutzer dafür das Okay verweigert/nicht gegeben hat.
Wir haben sämtliche Top-100-Shops daraufhin untersucht, wie sie Besucher auf ihrer Homepage begrüßen, was deren Recht angeht, über die Verwendung der eigenen Daten zu bestimmen.
(Grafik: HighText Verlag)
Die Visualisierung zeigt, wo sich Shops auf einer Skala von 'Man tut alles, was aktuell geht, um rechtskonform zu agieren' (grün/niedrig) bis 'rechtlich höchst bedenklich' (rot/hoch) bewegen.
In der Ausgestaltung der Cookie-Banner und darin, wie sie Nutzerverhalten lenken, gibt es riesige Unterschiede:
- Hinweis? Welcher Hinweis?: Sechs Shops verzichten komplett auf jeden Cookie-Hinweis. Der am höchsten rankende deutsche Shop ohne sichtbaren Hinweis ist Cyberport.de, der 17 Third-Party-Cookies setzt, wie man dank des dänischen Webdienstes Webbkoll herausfinden kann. In einer Stellungnahme erklärt Cyberport: "Entsprechend der gesetzlichen Vorgaben - insbesondere der EU-Datenschutzgrundverordnung - informiert Cyberport auf seiner Website im Bereich Datenschutz über die Verarbeitung personenbezogener Daten. Dies umfasst auch einen Abschnitt zu Cookies inklusive des Hinweises, wie der Nutzer das Setzen von Cookies deaktivieren kann. Nach geltendem Recht kommen wir daher der Informationspflicht für den Einsatz von Cookies nach." Diese Rechtsauffassung dürfte jedoch juristisch nicht tragbar sein. Amazon.com zeigt den Hinweis erst nach Klick auf Weiterleitung zu amazon.de - dann erscheint ein schmaler Hinweis in Bildschirmmitte, der auf Cookies verweist, aber nicht mal den Klick auf "Okay" zulässt, geschweige denn ein Opt-Out. Es dürfte einer der minimalistischten Hinweise auf Cookies in der Top-100 sein. Amazon erklärt uns gegenüber: "Wir informieren Besucher von Amazon.de ausführlich über unsere Verwendung von Cookies. Wenn Sie Amazon.de erstmalig besuchen, wird Ihnen unmittelbar auf der Startseite ein Cookie Banner angezeigt, der jeden Besucher über die Verwendung von Cookies informiert und außerdem einen Link zu unseren weitergehenden Hinweisen zu Cookies enthält." Mit den fehlenden Optionen Cookies nach Typen auszuwählen oder generell abzulehnen, folgt Amazon einem beliebten Motto vieler Top-100-Shops:
- 'Okay oder okay?': 56 Shops erlauben den Nutzern nur brav abzunicken, dass Cookies verwendet werden - werbliche Cookies abwählen oder einfach Cookies ablehnen geht nicht. Keiner dieser Shop dürfte ungeschoren davonkommen, wenn ihn Datenschutzbehörden überprüfen.
- Ablehnen geht selten: 26 Shops erlauben eine Cookie-Auswahl, über die sich mittelbar werbliche Cookies ablehnen lassen, direkt auf "Nein"/"Ablehnen" oder ähnliche pauschale Cookie-Ablehnungen kann man nur in 12 Shops klicken und nur sechs erlauben sowohl die pauschale, als auch die differenzierte Ablehnung.
- 'Surfbar ohne Entscheidung' ist die Regel: 81 der hundert Shops erlauben es den Nutzern weiterzusurfen, obwohl die noch keine Cookie-Stellungnahme abgegeben haben - bei fast allen davon verschwindet dann das Cookiebanner mit dem ersten Klick, nur zehn Prozent lassen es weiterhin stehen.
- Hinweis-Design Davon abgesehen zeigt sich ein klarer Trend, was das Banner-Design angeht: Es ist meist (70 Shops) eine Binde (also ein von links nach rechts laufendes, schmales Banner), es steht in 52 Fällen unten, nur in knapp 20 oben, Popups in der Mitte des Schirms blenden nur 15 Shops ein, drei weitere blenden Popups unten oder oben ein. Manchmal sind die Cookiebanner so sehr in das Design der Seite integriert, dass man sie kaum erkennt - vier Fälle hier grenzen für uns streng subjektiv betrachtet an getarnte bis unsichtbare Hinweise. Kaum zufälligerweise kann man bei all diesen Fällen weitersurfen, ohne eine Auswahl getroffen zu haben.
Die Mehrheit der deutschen Shops tut also nicht alles, was man tun kann, um dem Datenschutz-Recht des Nutzers zu genügen; diese Shops versuchen eher, den Cookie-Hinweis möglichst dezent zu halten, damit der Nutzer nicht abspringt. Was nicht komplett unverständlich ist, hat ein blockierender Cookiehinweis für die Konversionen zum Teil brutale Folgen - Experten haben Absprünge bis zu 70 Prozent bei harten Consent-Bannern beobachtet. Vollen Respekt und maximale Transparenz gegenüber den Nutzerdaten zeigen eigentlich nur zwei Shops: Werkzeughersteller Westfalia und Haus- und Gartenshop Casando - es sind die einzigen Shops, wo der Nutzer nur surfen kann, wenn er eine Entscheidung zu Cookies getroffen hat und bei denen er gleichzeitig die Wahl hat, pauschal abzulehnen oder differenziert Einstellungen vorzunehmen.
Wie sollte man aber als Shop vorgehen, der auf Datenschutz setzt und ein Cookie-Banner schalten will, das so gut ist, wie es nur geht?
- Die Option, verschiedene Cookies an- und abwählen zu können, ist eine sinnvolle Sache. Allerdings haben Datenschützer, wie etwa in Dänemark, befunden, dass man dem Nutzer nicht zumuten darf, den Unterschied zwischen technisch-notwendigen und Marketing-bedingten Cookies zu begreifen...
- Jedes Cookiebanner sollte daher über die Auswahl-Option hinaus einen pauschalen "Ablehnen"-Button haben, mit dem man ohne Nachfragen und Differenzierung alle Cookies ablehnen kann - man sollte dem Nutzer diese Macht geben.
- Finger weg von Google Analytics - selbst die bedingungslose Nutzer-Zustimmung dazu einzuholen ist keine Rettung, weil man nicht die vorgeschaltete, verpflichtende Information über die Datenverwendung vollständig sicherstellen kann.
- Nutzen Sie ein Consent-Management-System, um die Nutzereinstellungen bedienen, dokumentieren und verwalten zu können. Das macht nicht nur das Leben leichter - es sieht auch im besten Sinne 'bemüht' aus, wenn man die Verwendung des Systems dem kritisch-fragenden Datenschützer entgegenhalten kann.
- Den Nutzer nur dann surfen zu lassen, wenn er sich für/gegen Cookies entschieden hat, ist ebenfalls eine rechtlich betrachtet gute Idee: So etwas machen 17 der Top-100-Shops, indem sie Links und Webseite via Zustimmungs-Popup blockieren.
Erwähnte Unternehmen
amazon.de casando.de dataskydd.net datenschutz-zwecklos.de dr-bahr.com westfalia.de
