Datenschützer überprüfen automatisiert Cookie-Banner – und werden fündig
Bayerische Kontrolleure stießen bei einer maschinell durchgeführten Untersuchung auf über 350 Webseiten, deren Einwilligungsbanner nicht rechtskonform sind.
(Bild: Datenschutz-Stockfoto/Shutterstock.com)
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat im Rahmen einer anlasslosen automatisierten Überprüfung Webseiten von Betreibern des Freistaats auf den Zahn gefühlt. Es hat dazu nach eigenen Angaben ein spezielles Werkzeug für die Kontrolle von Cookie-Bannern entwickelt. Dieses analysiere maschinell, ob neben der Option "Alle Akzeptieren" auch eine gleichwertige Möglichkeit auf erster Ebene besteht, um die vorgeschaltete Fläche zu schließen, ohne in das Setzen insbesondere von Tracking-Cookies einzuwilligen. Dabei sei man schon im ersten Durchlauf auf rund 350 Webseiten gestoßen, "die den geprüften datenschutzrechtlichen Anforderungen nicht genügen".
Den einschlägigen Betreibern hat das BayLDA zunächst die Möglichkeit gegeben, "sich zu den Feststellungen zu äußern und die Webseite anzupassen", wie es am Freitag mitteilte. Der Präsident der für den privaten Sektor zuständigen Behörde, Michael Will, monierte, dass sich "trotz aller Aufklärung" noch zu viele Zuständige nicht an die Regeln hielten. Automatisierte Prüfungen eröffneten da "neue Handlungsoptionen der Rechtsdurchsetzung". Es handle sich um einen "wichtigen Schritt, um unseren Kontrollaufgaben unabhängig von Beschwerden Einzelner und trotz unzureichender Ressourcen besser nachzukommen". Weitere Verfahrensschritte und die abschließende Entscheidung über potenzielle Abhilfemaßnahmen bleiben freilich "fest in der Hand" von Sachbearbeitern. Auch das Verhängen von Bußgeldern schloss Will dabei nicht aus.
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) erklärte Ende 2021 in einer Orientierungshilfe für das Gesetz zum Datenschutz in der Telekommunikation und bei Telemedien (TTDSG) und die Datenschutz-Grundverordnung (DSGVO): Würden dem Nutzer bei Cookie-Bannern nur eine Schaltfläche "Alles Akzeptieren" und zusätzliche Optionen wie "Einstellungen" oder "weitere Informationen" angeboten, sei dies nicht rechtskonform. Denn der "Kommunikationseffekt" der beiden Ansätze sei nicht gleichwertig. Auch ließen sich allein durch den Einsatz einer Consent-Management-Plattform (CMP) nicht automatisch Zustimmungen im Sinne des Gesetzes einholen.
Viele Verstöße auch bei Smartphone-Apps
Die bayerische Analyse knüpfte dem BayLDA zufolge zunächst an einer "sehr verbreiteten" CMP an. In weiteren Durchläufen würden die Prüfungen auf weitere CMP-Anbieter "und damit eine noch größere Zahl von Webseiten ausgedehnt". Zuvor war die von Max Schrems gegründete Datenschutzorganisation Noyb wiederholt mit hunderten Beschwerden gegen "irreführende Cookie-Banner" vorgegangen. Auch sie verwendet dafür eine automatische Scan-Software. Diese wollten die Aktivisten schon 2022 auch auf Einwilligungsplattformen jenseits der von OneTrust ausrichten, also etwa auch auf Lösungen von TrustArc, Cookiebot, Usercentrics und Quantcast.
Parallel hat das BayLDA händisch 15 Smartphone-Apps ins Visier genommen, da diese mittlerweile fast alle Lebensbereiche erobert hätten. Darüber würden teils besonders sensible Daten wie Gesundheitsinformationen verarbeitet. Zudem läsen die Betreiber etwa Gerätekennungen und andere Merkmale aus. Den Fokus legten die Kontrolleure dabei auf die Prozesse, die direkt nach der Installation bei erstem Öffnen der Anwendung und noch vor einer Interaktion mit einem Einwilligungsbanner stattfinden. Auch hier stießen sie bei fast allen geprüften Apps auf Vorgänge, bei denen die erforderliche Zustimmung nicht eingeholt wurde. Die Verantwortlichen hat das BayLDA ebenfalls um Stellungnahme gebeten.
(mack)
