DSGVO-Cookiebanner (Teil 2 von 2): Quo vadis?

DSGVO-Cookiebanner (Teil 2 von 2): Quo vadis?

Nachdem wir im letzten Artikel eine kleine Reise durch das Gesetz vollzogen haben, schauen wir uns heute einmal an, wie es in der Wirklichkeit der Weblandschaft so aussieht und wie sie in Zukunft aussehen könnte. Dabei ist uns wichtig, dass wir niemanden anprangern wollen. Wir werden hier daher über generelle Designelemente berichten, die in der relevanten Wissenschaft und den Gesetzesrichtlinien aktiv benannt werden. Uns geht es um die Klarstellung der für Webseitenbetreiber wichtigen Fakten und um die Verbesserung der User Experience im Web – auf dass wir alle ein modernes und benutzerfreundliches Web genießen können.

Teil 2: Quo vadis?

Wie im letzten Artikel angemerkt, zählt der Cookiebanner nicht unbedingt zu den beliebtesten Erfindungen der Webdesigner. Diese Antipathien liest man gerne mal auf diversen englischsprachigen Foren: Die EU habe durch die DSGVO (GDPR im Englischen – General Data Protection Regulation) das Web insgesamt nerviger zu bedienen gemacht. Das ist verständlich, da sie einen künstlichen Eingriff in die Bedienungsschnelligkeit einer Seite darstellen. Dennoch sind sie notwendig, um mit dem Gesetz im Reinen zu sein. Es wäre aber inzwischen ein Trugschluss, dafür alleine die EU verantwortlich zu machen. Denn die EU steht längst nicht mehr alleine mit ihrem Datenschutzmandat da. So ist in Kalifornien seit Anfang des Jahres der California Consumer Protection Act (CCPA) in Kraft. Es gibt zwischen den beiden Gesetzen einige Unterschiede (hier auf Englisch durch die Anwälte der Kanzlei Bakerhostetler LLP dargelegt), aber sie sind sich in mindestens zwei für Webseitenbetreiber wichtigen Fakten einig:

  1. Zwar ist die Reichweite der DSGVO weiter als die des CCPAs, aber beide Gesetze gelten grundsätzlich auch außerhalb ihres Ursprungslandes (S. 1 – 2).
  2. Es betrifft grundsätzlich ähnliche Informationsbereiche (S. 2 – 3).

Wir dürfen also für die Zukunft davon ausgehen, dass sich alleine anhand der wirtschaftlichen Kraft Kaliforniens und der EU ein De-facto-Konsens über Datenschutz im Internet entwickeln wird – wenn er nicht längst existiert. Was also tun?

Dark Patterns

Wenn es in der Mensch-Computer-Interaktion (Human-Computer-Interface; HCI) um Consentdesign geht, also der gewollten und informierten Zustimmungsgabe zur Datenweiterverarbeitung, gibt es bestimmte Muster, die dazu gedacht sind User zu ködern, zu täuschen, zu ermüden und ihnen letztendlich die Daten zu entlocken. Diese Muster bezeichnet man im Sammelbegriff als Dark Patterns. So beschreibt es der dem Büro für Technikfolgen-Abschätzung beim Bundestag (TAB) vorgelegte Report von Wirtschaftsingenieur Christoph Bogenstahl. Der Name wurde 2010 von Kognitionswissenschaftler Harry Brignull ins Leben gerufen, welcher seit jeher als Experte sich öffentlich gegen sie ausspricht. Seine Expertise wurde beispielsweise 2018 im weitläufig publizierten Consentdesignreport des Norwegischen Verbraucherrats verwendet. Zum Einfluss des Begriffs auf beispielsweise die Politik schreiben die Digitalrechtsforscher Nouwens et al. 2020 Folgendes:

„Seine Verrufenheit hat die EU und Datenschutzbeauftragte dazu veranlasst bestimmte weitverbreitete Dark Patterns als DSGVO-ungültige Beispiele in deren Beratungsdokumenten anzuführen. […] US-Senatoren haben dazu kürzlich einen spezifischen Gesetzesentwurf vorgelegt, der diese Praktiken verbieten soll.“ (S. 3)

Nouwens et al. haben in ihrer Studie die 10 000 populärsten britischen Webseiten untersucht, welche sich der fünf beliebtesten Cookie-Management-Plattformen (CMPs) bedienten. Dabei haben sie herausgefunden, dass nur 11,8 % der Webseiten den gesetzlichen Minimalstandards entsprachen, sie aber einen Marktanteil von 58 % besaßen (S. 4). Dark Patterns seien dabei nahezu überall verwendet worden, um den Nutzern ihre Daten zu entnehmen.

Sie zitieren dabei auch unter anderem zwei weitere relevante Studien: Die Studie von Utz et al. 2019, die für sich zudem bereits feststellte, dass mindestens 57,4 % der 1000 zufällig gewählten europäischen Webseiten Dark Patterns verwenden, um die Nutzer in privatsphärenuntaugliche Optionen zu drängen (sogenanntes Nudging, engl. für Anstoßen). 86 % von ungefähr 5000 untersuchten Cookiehinweisen boten dem Nutzer hier zudem lediglich einen simplen Okaybutton an (S. 4). Und Matte et al. 2019 fanden heraus, dass ungefähr 12 % der 30 000 untersuchten europäischen Webseiten bereits ein Zustimmungssignal sendeten, bevor die Nutzer überhaupt mit der CMP interagierten – ein klares Fehlverhalten.

Es sieht also wahrlich düster aus im europäischen Web. Nicht nur impliziert es, dass unser aller Privatsphäre als Nutzer wenig beachtet wird; wie wir im letzten Artikel gezeigt haben, wird es wahrscheinlich nur eine Frage der Zeit sein, bis sich Abmahner diese Zustände zunutze machen. Aber wie sehen diese schlechten Cookiehinweise eigentlich aus? Wie interagieren Nutzer mit den Hinweisen im Allgemeinen? Die Wissenschaftler machen das klar.

Informed Consent?

Das Konzept Informed Consent stellt ein allgemeines Gedankengerüst aus der Ethikforschung dar. Es findet in nahezu allen Wirtschafts- und Wissenschaftsbereichen Anwendung und ist für diesen einen Beitrag ein zu breites Themenfeld. Lassen Sie es uns jedoch zum Zwecke des Beitrags einfach als gegebene Verständnisbasis akzeptieren. Bei weiteren Fragen hilft das eigenständige Googeln. Natürlich ist es jedenfalls für das nutzerorientierte Consentdesign im Web besonders wichtig. Es bietet daher die Basis der folgenden Punkte und Kriterien.

Nouwens et al. haben drei für sie massenhaft messbare Hauptkriterien festgestellt, die sie als minimal notwendig betrachteten, um sich an aktuell geltendes europäische Gesetz zu halten:

  1. Die Zustimmung muss explizit sein, also etwas wie ein Klick.
  2. Vollständige Ablehnung darf nicht mehr Klicks als vollständige Zustimmung kosten.
  3. Für den Webseitenbetrieb unnötige Einstellungen, wie zum Beispiel Tracking, dürfen nicht voreingestellt sein. (S. 4)

Die Vertretung aller drei Prinzipien sei jedoch nicht weitläufig. Stattdessen finde man einen Flickenteppich an Compliance (engl. hier für Ordnungsmäßigkeit oder Regelkonformität) vor: Lediglich 30,3 % hielten sich ausschließlich an die erste Kondition, 25 % an die zweite, null an die dritte und 33 % an eine unzureichende Kombination aller Konditionen  (S. 6). Um dann herauszufinden, wie Nutzer mit diesen Möglichkeiten interagieren und welche Konditionskonstellation zu welchem Interaktionsverhalten führen, haben sie Probanden zusammen mit Meinungsumfragen das Web mittels einer eigens entwickelten Extension für Google Chrome surfen lassen. Diese präsentierte ihnen dabei verschiedene synthetische, von den echten inspirierte, CMP-Designs. Die wenigsten personalisierten im Banner ihre Auswahl, vor allem wenn diese bereits nur eine Interaktionsebene tiefer lag. Die überwältigende Mehrheit tendierte eher zu einer Option, die auf Kondition 2 basierte: große, einfache ‚Alles akzeptieren‘- und ‚Alles ablehnen‘-Buttons auf der ersten Interaktionsebene. Nur 12,8 % aller getesteten Webseiten implementierten ihren ‚Alles ablehnen‘-Button auf der ersten Ebene. Das hat wohl seinen Grund: Im Probandentest erhöhte es die Zustimmungsrate um mehr als ein Fünftel. Das sei aber laut des letztens besprochenen Falls vorm BGH und EuGH nicht mehr compliant (S. 8).

Eine kleine Überraschung dabei ist, dass die Darstellungsart des Banners oder Popups keinen Einfluss auf die Zustimmungsrate der Probanden nahm. Sogenannte Cookiewalls, also das Verhindern der Seiteninteraktion solange noch keine Nutzerauswahl vorliegt, sind als Barrieretyp im Gegensatz zu einfachen Bannern, die unten oder oben an der Seite kleben, aber definitiv aufmerksamkeitsheischender. Die einfachen Banner wurden über dreieinhalbmal so häufig von den Nutzern schlichtweg ignoriert (S. 8). Ihre Legalität ist dabei trotzdem fortlaufend fraglich, vor allem weil sie nun spezifisch in den neuen Richtlinien des EU-Datenschutzauschusses vom Mai dieses Jahres genannt und als nicht regelkonform eingestuft werden (§ 38 – 41). Und falls es inzwischen noch nicht klar sein sollte: Einfaches Scrollen oder Weiterbenutzen der Seite gelten nicht als aktive Zustimmung zum Tracking (§ 86).

Kurzgesagt müssen also nach dem baden-württembergischen Datenschutzbeauftragten Stefan Brink also folgende Kriterien erfüllt sein (via Berichterstattung durch Christiane Schulzki-Haddouti für Golem):

„Eine rechtsgültige Einwilligung habe ‚informiert, vorherig, aktiv, freiwillig, separat von anderen Erklärungen sowie widerruflich zu erfolgen‘.“

Das bedeutet, dass all diese weitverbreiteten Formen der Cookiehinweise beziehungsweise -banner nicht zulässig wären: reine Okaybuttons, Scrollen, Weiterbenutzung, ungleich platzierte Akzeptieren- und Ablehnen-Buttons, im Voraus gewählte Einstellungen und so weiter und so fort. Sie stellen alle Dark Patterns dar, die dazu dienen, aus Nutzern mehr Zustimmungspotenzial herauszukitzeln. Und Datenschützer wollen dagegen vorgehen: So haben die niederländischen und großbritannischen Datenschutzaufsichtsbehörden bereits bekanntgegeben, dass sie gegen diese Formen aktiv vorgehen möchten. Brink sagte für seinen Teil zu Golem dazu, dass das Thema bei ihnen oben auf der Vollzugsliste stünde.

Ein Blick in die Zukunft

So sieht es also aktuell fürs Web aus. Aktuell geschieht vor allem weitere Wissenschaft, die beispielsweise für die Dark-Patterns-Evaluierung den Menschen als echte, kognitive und kontextreiche Instanz betrachtet und nicht nur als Consentmaschine. Solche Betrachtungen sind natürlich dann auch später mal für die weiteren Bewertungen der Behörden interessant, zum Beispiel wenn dann die bisher immer wieder verschobene E-Privacy-Verordnung in Kraft treten wird. Ursprünglich war nämlich sie dazu bestimmt alle Verwendungsfragen zu Cookies zu beantworten, ohne dass der EuGH juristisch hätte eingreifen müssen.

Die Verordnung würde dann auch mit den bisher unklar gehaltenen Anforderungen bezüglich Farb- und Formendesign klar Schiff machen. Denn im Bereich Nudging gibt es einige Dinge, wie zum Beispiel farbliches Highlighten oder, wie oben erwähnt, Interaktionsebenentiefe, die bisher allenfalls nebulös oder gar addressiert wurden. Das detailliert auch der Datenschutzberater Tobias Mauß in einem Blogpost über eine relevante Entscheidung dazu von der dänischen Behörde:

„Die Entscheidung der dänischen Aufsichtsbehörde hat für Verantwortliche in Deutschland keine Bindungs-, sondern höchstens Signalwirkung (Rot). Inwiefern sich deutsche Aufsichtsbehörden der relativ strengen Sichtweise aus Dänemark anschließen, ist derzeit unklar, da entsprechende Stellungnahmen bisher fehlen.“

Es gibt also noch viel zu tun – von Seiten der Unternehmen und der Gesetzmacher. Wie im letzten Artikel erwähnt, arbeiten wir bei Winning Solutions bereits an einem Update unseres Cookiebanners, das die neuen Richtlinien vom Mai widerspiegeln wird. Dieser wird anwaltlich geprüft, so dass unsere Kunden sich keine weiteren Gedanken machen müssen.

Egal ob normaler User oder Webseitenbetreiber, das Ganze kann aber natürlich wie ein großer Wirrwarr wirken. Der BGH-Entscheid hat etwas Klarheit gebracht, wie dass beispielsweise Angaben zur Datenverwendung bei den Optionen verpflichtend sind. Aber wir werden wohl um die E-Privacy-Verordnung nicht herumkommen. Diese könnte aber überraschender ausfallen, als manche vielleicht denken.

So könnte es zum Beispiel sein, dass der alte Do-Not-Track-Header eine kleine Rückkehr erfährt, also eine rechtlich bindende Browsereinstellung, die Webseiten signalisiert, dass ein User zum Tracking nicht zustimmt. Das HTTP-Header-Feld wurde 2012 nach größeren Aufrufen zu Privatsphäreoptionen in allen großen Browsern implementiert, fand aber nahezu keinen Anklang in der Webindustrie, und die entsprechende Arbeitsgruppe des World Wide Web Consortiums wurde dann 2019 aufgelöst. Die Gizmodo-Redakteurin Kashmir Hill hat dazu die Geschichte des Headers im Detail erklärt. Kategorie: fehlgeschlagene Experimente.

Wenn sich die Gesetzmacher so eine Möglichkeit aber erneut anschauen würden, müsste diese Option dann am Start einer Neuinstallation für Browser gezeigt werden, worin der User standardisierte Optionen zum Trackingverhalten auswählen darf. Nouwens et al. erwähnen das auch als Möglichkeit, halten aber aufgrund von intensiver Lobbyarbeit dagegen es für sehr unwahrscheinlich (S. 10) – fürs Erste zumindest.

Derweil hat der EuGH in einem kürzlich erschienenen Entscheid die Privacy-Shield-Abmachung zwischen der EU und den USA gekippt. Die USA müssen essenziell einer der DSGVO ebenbürdigen Verordnung folgen, bevor der EuGH die gesicherte Datenübermittlung gewährleistet sehe, wie es Heise-Redakteur Stefan Krempl in seinem Artikel über das Urteil beschreibt, und die alte Abmachung biete das nicht. Das Urteil weist so aber auch den weiteren Weg in die Zukunft für die Gesetzmacher in Brüssel: mehr Privatsphäre, mehr Kontrolle. Wie der Bundesverband Digitale Wirtschaft (BDVW) klarmacht, wird die E-Privacy-Verordnung zwar wahrscheinlich nicht vor 2023 oder 2024 in Kraft treten. Es sollte einen jedoch nicht wundern, wenn es auch in Sachen Cookies vermehrt in diese Richtung geht.

Wir bieten inzwischen unseren eigens entwickelten WS-Cookiebanner an, völlig neu programmiert, an den aktuellen Gesetzesstand angelehnt und ohne wiederkehrende Kosten.