Cookies: Einwilligungen auf Webseiten von Medienunternehmen sind meist unwirksam (2021)

Die Datenschutzaufsichtsbehörden mehrerer deutscher Länder haben die Webseiten von Medienunternehmen in Bezug auf den Einsatz von Cookies und die Einbindung von Drittdiensten untersucht.

Insgesamt wurden auf Basis eines gemeinsamen Prüfkatalogs 49 Webangebote in 11 Ländern geprüft. Schwerpunkt dabei war das Nutzertracking zu Werbezwecken. Die meisten der geprüften Webseiten entsprechen nicht den rechtlichen Anforderungen für den Einsatz von Cookies und anderen Trackingtechniken. Die Medienunternehmen verstoßen damit gegen das Recht ihrer Nutzerinnen und Nutzer auf Schutz ihrer personenbezogenen Daten. Auch erste Anpassungen bei einigen Verantwortlichen konnten die rechtlichen Defizite bisher nicht vollständig beseitigen.

Für Nutzerinnen und Nutzer besteht durch die Praxis der Medienunternehmen ein erhebliches Risiko. Die im Rahmen des Nutzertrackings erhobenen personenbezogenen Daten werden insbesondere zur Erstellung und Anreicherung umfassender und seitenübergreifender Persönlichkeitsprofile genutzt. Diese werden für das Onlinemarketing, insbesondere im Real Time Bidding-Verfahren (Echtzeitauktion von Werbeplätzen) eingesetzt.

Auf den geprüften Medienwebseiten wird eine sehr hohe Anzahl von Cookies und Drittdiensten verwendet, die überwiegend dem Nutzertracking und der Werbefinanzierung dienen.

Die Webseiten fragen zwar in der Regel differenzierte Einwilligungen der Nutzerinnen und Nutzer für die Verwendung von Cookies und Drittdiensten ab. In der Mehrheit der Fälle sind diese Einwilligungen allerdings nicht wirksam.

Im Rahmen der Prüfung wurden vor allem die folgenden Mängel festgestellt:

  • Falsche Reihenfolge: Häufig werden einwilligungsbedürftige Drittdienste bereits beim Öffnen der Webseiten eingebunden und Cookies gesetzt – also noch vor der Einwilligungsabfrage.
  • Fehlende Informationen: Auf der ersten Ebene der Einwilligungsbanner werden zudem nur unzureichende oder falsche Informationen über das Nutzertracking gegeben.
  • Unzureichender Einwilligungsumfang: Selbst wenn der Nutzer die Möglichkeit wahrnimmt, bereits auf der ersten Ebene des Einwilligungsbanners alles abzulehnen, bleiben zahlreiche Cookies und Drittdienste aktiv, die eine Einwilligung erfordern.
  • Keine einfache Ablehnung: Während bei allen Einwilligungsbannern auf der ersten Ebene eine Schaltfläche vorhanden ist, mit der eine Zustimmung zu sämtlichen Cookies und Drittdiensten erteilt werden kann, fehlt auf dieser Ebene häufig eine ebenso einfache Möglichkeit, das einwilligungsbedürftige Nutzertracking in Gänze abzulehnen oder das Banner ohne Entscheidung schließen zu können.
  • Manipulation der Nutzerinnen und Nutzer: Die Ausgestaltung der Einwilligungsbanner weist zahlreiche Formen des Nudging auf. Das bedeutet, Nutzerinnen und Nutzer werden unterschwellig zur Abgabe einer Einwilligung gedrängt, indem die Schaltfläche für die Zustimmung beispielsweise durch eine farbliche Hervorhebung deutlich auffälliger gestaltet ist als die Schaltfläche zum Ablehnen oder indem die Verweigerung der Einwilligung unnötig verkompliziert wird.

Quelle: Pressemitteilung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit vom 30.06.2021