Bayerische Kontrolleure stießen bei einer maschinell durchgeführten
Untersuchung auf über 350 Webseiten, deren Einwilligungsbanner nicht
rechtskonform sind.
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat im
Rahmen einer anlasslosen automatisierten Überprüfung Webseiten von
Betreibern des Freistaats auf den Zahn gefühlt. Es hat dazu nach
eigenen Angaben ein spezielles Werkzeug für die Kontrolle von Cookie-
Bannern entwickelt. Dieses analysiere maschinell, ob neben der
Option "Alle Akzeptieren" auch eine gleichwertige Möglichkeit auf
erster Ebene besteht, um die vorgeschaltete Fläche zu schließen,
ohne in das Setzen insbesondere von Tracking-Cookies einzuwilligen.
Dabei sei man schon im ersten Durchlauf auf rund 350 Webseiten
gestoßen, "die den geprüften datenschutzrechtlichen Anforderungen
nicht genügen".
Den einschlägigen Betreibern hat das BayLDA zunächst die Möglichkeit
gegeben, "sich zu den Feststellungen zu äußern und die Webseite
anzupassen", wie es am Freitag mitteilte [1]. Der Präsident der für
den privaten Sektor zuständigen Behörde, Michael Will, monierte,
dass sich "trotz aller Aufklärung" noch zu viele Zuständige nicht an
die Regeln hielten. Automatisierte Prüfungen eröffneten da "neue
Handlungsoptionen der Rechtsdurchsetzung". Es handle sich um einen
"wichtigen Schritt, um unseren Kontrollaufgaben unabhängig von
Beschwerden Einzelner und trotz unzureichender Ressourcen besser
nachzukommen". Weitere Verfahrensschritte und die abschließende
Entscheidung über potenzielle Abhilfemaßnahmen bleiben freilich
"fest in der Hand" von Sachbearbeitern. Auch das Verhängen von
Bußgeldern schloss Will dabei nicht aus.
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des
Bundes und der Länder (DSK) erklärte Ende 2021 in einer
Orientierungshilfe [2] für das Gesetz zum Datenschutz in der
Telekommunikation und bei Telemedien [3] (TTDSG) und die Datenschutz-
Grundverordnung (DSGVO [4]): Würden dem Nutzer bei Cookie-Bannern
nur eine Schaltfläche "Alles Akzeptieren" und zusätzliche Optionen
wie "Einstellungen" oder "weitere Informationen" angeboten, sei dies
nicht rechtskonform. Denn der "Kommunikationseffekt" der beiden
Ansätze sei nicht gleichwertig. Auch ließen sich allein durch den
Einsatz einer Consent-Management-Plattform (CMP) nicht automatisch
Zustimmungen im Sinne des Gesetzes einholen.
Viele Verstöße auch bei Smartphone-Apps
Die bayerische Analyse knüpfte dem BayLDA zufolge zunächst an einer
"sehr verbreiteten" CMP an. In weiteren Durchläufen würden die
Prüfungen auf weitere CMP-Anbieter "und damit eine noch größere Zahl
von Webseiten ausgedehnt". Zuvor war die von Max Schrems gegründete
Datenschutzorganisation Noyb wiederholt mit hunderten Beschwerden
gegen "irreführende Cookie-Banner" [5] vorgegangen. Auch sie
verwendet dafür eine automatische Scan-Software. Diese wollten die
Aktivisten schon 2022 auch auf Einwilligungsplattformen jenseits der
von OneTrust ausrichten [6], also etwa auch auf Lösungen von
TrustArc, Cookiebot, Usercentrics und Quantcast.
Parallel hat das BayLDA händisch 15 Smartphone-Apps ins Visier
genommen, da diese mittlerweile fast alle Lebensbereiche erobert
hätten. Darüber würden teils besonders sensible Daten wie
Gesundheitsinformationen verarbeitet. Zudem läsen die Betreiber etwa
Gerätekennungen und andere Merkmale aus. Den Fokus legten die
Kontrolleure dabei auf die Prozesse, die direkt nach der
Installation bei erstem Öffnen der Anwendung und noch vor einer
Interaktion mit einem Einwilligungsbanner stattfinden. Auch hier
stießen sie bei fast allen geprüften Apps auf Vorgänge, bei denen
die erforderliche Zustimmung nicht eingeholt wurde. Die
Verantwortlichen hat das BayLDA ebenfalls um Stellungnahme gebeten.
(mack [7])
URL dieses Artikels:
https://www.heise.de/-9624986
Links in diesem Artikel:
[1]
https://www.lda.bayern.de/media/pm/pm2024_02.pdf
[2]
https://www.heise.de/news/Datenschutzaufsichtsbehoerden-geben-
Praxishilfe-fuer-Cookie-Banner-6302410.html
[3]
https://www.heise.de/news/E-Privacy-Bundestag-schreibt-
Einwilligung-bei-Werbe-Cookies-explizit-vor-6050834.html
[4]
https://www.heise.de/thema/DSGVO#liste
[5]
https://www.heise.de/news/Datenschuetzer-legen-formale-
Beschwerden-gegen-Cookie-Banner-ein-6159369.html
[6]
https://www.heise.de/news/Aktivisten-legen-226-
Datenschutzbeschwerden-gegen-Cookie-Banner-ein-7215497.html
[7] mailto:
ma...@heise.de