DSGVO treibt Webseiten-Betreiber in den Wahnsinn – Cookies ade?

Die EU-Datenschutzbehörde äussert sich zu verschiedenen bestehenden Richtlinien aus der DSGVO — darunter der Umgang mit Cookies und Scrolling. Kommen dadurch noch härtere Herausforderungen auf Webseiten-Betreiber zu? Gleichzeitig forderten Wirtschaftsverbände kürzlich Lockerungen der DSGVO. Was eigentlich einheitlichen Datenschutz bringen soll, steht momentan beinahe ausschliesslich am Pranger.

DSGVO: Cookies komplett verboten?

Das European Data Protection Board veröffentlichte eine Guideline zu Consent. Übersetzt heisst das schlicht: Zustimmung. Und genau darum geht es — um die Zustimmung zu Cookies.

Gemäss dem Regelwerk dürfen Betreiber von Webseiten nicht mehr auf die blosse Zustimmung des Nutzers setzen. Nach DSGVO ist die Einwilligung nämlich nur eine von insgesamt sechs Grundlagen. Sogenannte Cookie-Walls sind grundsätzlich unzulässig. Gleiches gilt für Scrolling: Wer seine Nutzer erst nach Cookie-Zustimmung weiterlässt, steht auf der falschen Seite des Gesetzes.

Für die Rechtfertigung von Cookies gelten diese Grundlagen:

1. Der Nutzer wird vollständig über das Setzen informiert
2. Alle angewendeten Cookies müssen (über den technischen Aspekt hinaus) notwendig sein
3. Die Genehmigung erfolgt auf freiwilliger Basis
4. Die Zustimmung erfolgt aktiv durch den Nutzer — nicht durch vorausgefüllte Felder
5. Jede Einwilligung erfolgt einzeln, also über separate Felder für die verschiedenen Cookies

DSGVO – reine Bürokratie?

Die Kritik an der DSGVO ist laut — und nicht nur in Deutschland. Der Zentralverband des Deutschen Handwerks (ZDH) forderte gesetzliche Lockerungen während der Corona-Krise. Insbesondere kleine und mittelständische Unternehmen (KMU) beklagen den unverhältnismässigen Aufwand. Vorbildliche Einhaltung aller Richtlinien werde kein Stück honoriert.

Der Arbeitgeberverband BDA bezeichnete die DSGVO als zu bürokratisch — vor allem wegen der Pflichten rund um Nachweise und Dokumentationen. Aus einer Umfrage geht hervor, dass fast 60 Prozent aller KMU mit komplizierteren Geschäftsprozessen zu kämpfen haben.

Auch bei Endverbraucherinnen und -verbrauchern sieht es nicht besser aus. Studien des deutschen Medienunternehmens SevenOne Media zeigen:

• 65 % aller Teilnehmer erachten die DSGVO als unverständlich
• 63 % wünschen sich mehr Klarheit über die DSGVO
• 61 % glauben, die DSGVO führe nicht zu einer Veränderung der Datenverarbeitung — sie mache diese nur transparenter
• 58 % nehmen an, dass Unternehmen keine Konsequenzen für Verstösse tragen müssen
• 45 % wünschen sich stärker vereinheitlichte Regelungen
• nur 17 % sind wirklich davon überzeugt, dass die DSGVO zu besserem Datenschutz geführt hat

Fun Fact: Google verstösst selbst gegen Datenschutzbestimmungen

Wirklich amüsant ist das nicht. Fakt ist: Gegen Google läuft eine Klage wegen Verstoss gegen die DSGVO. Die österreichische Datenschutzorganisation «Noyb» wirft Google vor, neue Smartphone-Nutzer automatisch und ohne vorherige Einwilligung zu «Tracking-Opfern» zu machen.

Bei erster Aktivierung des Geräts wird eine Tracking-ID zugewiesen — ohne gezielte Aktivierung durch den Nutzer, lässt sich also erst im Nachhinein individuell einstellen. Das widerspricht der DSGVO, die klar festlegt: Jede personenbezogene Datenverarbeitung braucht die ausdrückliche Zustimmung — und das vorab.

DSGVO führt zu Gerichtsprozessen in Milliardenhöhe

Der vorgenannte Fall betrifft «nur» Android-Smartphones. Weisst du, dass DSGVO-Verstösse mit Bussgeldern von bis zu vier Prozent des Unternehmensumsatzes belegt werden können? Selbst wenn Google nur für die Anzahl im Umlauf befindlicher Android-Geräte zahlen müsste, wäre das vermutlich schon mehr als genug. Im konkreten Fall kann es bei einem Schuldspruch zu einem geschätzten Bussgeld von fast 6 Milliarden Euro kommen.

Noyb ist übrigens kein Neuling vor Gericht: Anfang 2019 wurde Google durch die französische Datenschutzbehörde zu 50 Millionen Euro Bussgeld verurteilt — damals die höchste DSGVO-Strafe in Europa.

Und Google stand nicht allein im Visier. Beschwerden richteten sich auch gegen Facebook, Instagram, Amazon Prime, Netflix, Spotify und YouTube.

Orientierungshilfen

Offenbar kann — oder will — niemand die genauen Bestimmungen der DSGVO für alle allgemeinverständlich offenlegen. Meistens wird ein Verstoss erst dadurch bekannt, dass jemand vor Gericht zieht. Für den Umgang mit Cookies gilt: Webseiten-Betreiber und KMU sollten sich an den obigen Grundlagen orientieren — Information, Notwendigkeit, einzelne Aktivierung.

Deine Website und dein Webshop müssen jederzeit datenschutzkonform sein. Jedes Produkt bringt spezifische Anforderungen mit sich — und die werden nicht leichter, wenn selbst Marktriesen wie Google daran scheinbar scheitern. Ist deine Webseite DSGVO-konform? Im Bereich Webdesign kannst du auf uns setzen. Nicht nur unser Datenraum, auch die von uns betreuten Seiten sind von Anfang bis Ende gesetzeskonform — weil deine Sicherheit bei uns an erster Stelle steht.