Die Datenschutzaufsichtsbehörden mehrerer deutscher Länder haben die Webseiten von Medienunternehmen in Bezug auf den Einsatz von Cookies und die Einbindung von Drittdiensten untersucht. Insgesamt wurden auf Basis eines gemeinsamen Prüfkatalogs 49 Webangebote in 11 Ländern geprüft.
Schwerpunkt dabei war das Nutzertracking zu Werbezwecken. Die meisten der geprüften Webseiten entsprechen nicht den rechtlichen Anforderungen für den Einsatz von Cookies und anderen Trackingtechniken. Die Medienunternehmen verstoßen damit gegen das Recht ihrer Nutzerinnen und Nutzer auf Schutz ihrer personenbezogenen Daten. Auch erste Anpassungen bei einigen Verantwortlichen konnten die rechtlichen Defizite bisher nicht vollständig beseitigen.
Für Nutzerinnen und Nutzer besteht durch die Praxis der Medienunternehmen ein erhebliches Risiko. Die im Rahmen des Nutzertrackings erhobenen personenbezogenen Daten werden insbesondere zur Erstellung und Anreicherung umfassender und seitenübergreifender Persönlichkeitsprofile genutzt. Diese werden für das Onlinemarketing, insbesondere im Real Time Bidding-Verfahren (Echtzeitauktion von Werbeplätzen) eingesetzt.
Die beteiligten Landesdatenschutzbehörden wirken auf die Unternehmen in ihrem Zuständigkeitsbereich ein, um datenschutzkonforme Zustände herzustellen. Falls nötig, werden sie aufsichtsbehördliche Maßnahmen ergreifen.
Für die koordinierte Untersuchung verschickten die Behörden aus Baden-Württemberg, Brandenburg, Bremen, Hamburg, Hessen, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, dem Saarland, Sachsen und Schleswig-Holstein ab Mitte August 2020 einen gemeinsam erarbeiteten Fragebogen an Medienunternehmen in ihrer jeweiligen Zuständigkeit. Geprüft wurden nicht sämtliche Webseiten der Unternehmen, sondern deren reichweitenstärkste Angebote.
Bereits vor Versendung der Fragebögen waren die ausgewählten Webseiten technisch gesichert und analysiert worden. So war ein Abgleich zwischen den Antworten der Medienunternehmen und der tatsächlichen technischen Ausgestaltung der Seiten möglich. Neben den bereits genannten Stellen beteiligte sich auch die Aufsichtsbehörde in Bayern an der inhaltlichen Auswertung der Untersuchungsergebnisse.
Auf den geprüften Medienwebseiten wird eine sehr hohe Anzahl von Cookies und Drittdiensten verwendet, die überwiegend dem Nutzertracking und der Werbefinanzierung dienen.
Die Webseiten fragen zwar in der Regel differenzierte Einwilligungen der Nutzerinnen und Nutzer für die Verwendung von Cookies und Drittdiensten ab. In der Mehrheit der Fälle sind diese Einwilligungen allerdings nicht wirksam.
Im Rahmen der Prüfung wurden vor allem die folgenden Mängel festgestellt:
* Falsche Reihenfolge: Häufig werden einwilligungsbedürftige Drittdienste bereits beim Öffnen der Webseiten eingebunden und Cookies gesetzt – also noch vor der Einwilligungsabfrage.
* Fehlende Informationen: Auf der ersten Ebene der Einwilligungsbanner werden zudem nur unzureichende oder falsche Informationen über das Nutzertracking gegeben.
* Unzureichender Einwilligungsumfang: Selbst wenn der Nutzer die Möglichkeit wahrnimmt, bereits auf der ersten Ebene des Einwilligungsbanners alles abzulehnen, bleiben zahlreiche Cookies und Drittdienste aktiv, die eine Einwilligung erfordern.
* Keine einfache Ablehnung: Während bei allen Einwilligungsbannern auf der ersten Ebene eine Schaltfläche vorhanden ist, mit der eine Zustimmung zu sämtlichen Cookies und Drittdiensten erteilt werden kann, fehlt auf dieser Ebene häufig eine ebenso einfache Möglichkeit, das einwilligungsbedürftige Nutzertracking in Gänze abzulehnen oder das Banner ohne Entscheidung schließen zu können.
* Manipulation der Nutzerinnen und Nutzer: Die Ausgestaltung der Einwilligungsbanner weist zahlreiche Formen des Nudging auf. Das bedeutet, Nutzerinnen und Nutzer werden unterschwellig zur Abgabe einer Einwilligung gedrängt, indem die Schaltfläche für die Zustimmung beispielsweise durch eine farbliche Hervorhebung deutlich auffälliger gestaltet ist als die Schaltfläche zum Ablehnen oder indem die Verweigerung der Einwilligung unnötig verkompliziert wird.
Dazu erklärt der Sächsische Datenschutzbeauftragte Andreas Schurig:
„Viele Menschen nutzen täglich die Websites sächsischer Medienunternehmen. Cookie-Banner und die Einbindung von Drittanbietern sorgen dabei mitunter für Verunsicherung. Immer wieder gehen Beschwerden diesbezüglich bei mir ein. Meine Aufsichtsbehörde hat deshalb fünf reichweitenstarke Onlineauftritte sächsischer Medienanbieter in Bezug auf den Datenschutz unter die Lupe genommen.
Noch sind die Verfahren und der Austausch mit den Verantwortlichen nicht abgeschlossen. Zum jetzigen Zeitpunkt lässt sich jedoch schon konstatieren: Bei den geprüften Websites besteht noch Nachbesserungsbedarf bei der Gestaltung der Einwilligungslösungen, den Datenübermittlungen und der Transparenz der Angebote für Nutzerinnen und Nutzer.“
Keine Kommentare bisher