Warum Cookiebanner bald Geschichte sein könnten

Was Nutzer und Webseitenbetreiber jetzt wissen müssen

Datenschutz bleibt eine der größten Herausforderungen im digitalen Zeitalter – sowohl für Webseitenbetreiber als auch für Nutzer. Die zunehmende Einbindung von Diensten wie Google Fonts, Google Maps, YouTube, Vimeo oder Tools wie MailChimp und Cloudflare hat die Diskussion um den Schutz personenbezogener Daten auf ein neues Level gehoben. Viele dieser Dienste übertragen sensible Informationen wie IP-Adressen an Dritte, oft in unsichere Drittländer. Doch welche rechtlichen Anforderungen gibt es, und können neue Datenschutzregelungen die bestehenden Probleme lösen?

In diesem Beitrag klären wir, warum Cookie-Banner oft nicht funktionieren, welche neuen Entwicklungen es im Datenschutzrecht gibt und wie Webseitenbetreiber und Nutzer ihren Beitrag zu einem besseren Datenschutz leisten können.

Die rechtlichen Grundlagen im Überblick

Datenschutz im Internet ist kein optionaler Service, sondern gesetzliche Pflicht. Die Datenschutz-Grundverordnung (DSGVO) und das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) setzen klare Maßstäbe, wann eine ausdrückliche Einwilligung erforderlich ist.

1. Datenminimierung (Artikel 5 Absatz 1 lit. c DSGVO)

Die DSGVO fordert, dass personenbezogene Daten nur dann verarbeitet werden dürfen, wenn sie dem Zweck der Verarbeitung angemessen und notwendig sind. Dienste, die automatisch Daten wie IP-Adressen übertragen, verstoßen oft gegen dieses Prinzip – ein klarer Fall von übermäßiger Datenerhebung.

2. Datenübermittlungen in unsichere Drittländer (Artikel 44 ff. DSGVO)

Viele beliebte Tools und Plattformen wie Google oder MailChimp hosten ihre Daten in Ländern außerhalb der EU, insbesondere in den USA. Eine Datenübermittlung ist nur zulässig, wenn entweder ein angemessenes Datenschutzniveau gegeben ist oder die betroffene Person ausdrücklich eingewilligt hat.

3. Technisch nicht notwendige Cookies (§ 25 TDDDG)

Gemäß dem TDDDG dürfen Cookies, die für die Bereitstellung eines Dienstes nicht technisch erforderlich sind, nur nach aktiver Zustimmung des Nutzers gesetzt werden. Das BGH-Urteil im Fall „Planet49“ hat dies noch einmal deutlich gemacht.

Cookie-Banner: Gut gemeint, aber oft unzureichend

Cookie-Banner sollen Nutzer über Datenverarbeitungen informieren und ihre Einwilligung einholen. Doch Untersuchungen zeigen, dass diese Mechanismen häufig scheitern. Die Hauptprobleme sind:

  • Automatische Datenübertragung: Viele Webseiten übertragen Daten bereits vor der Zustimmung des Nutzers – ein klarer Verstoß gegen die DSGVO.
  • Irreführende Gestaltung: Oft sind Einwilligungsabfragen so gestaltet, dass Nutzer sie kaum verstehen oder zur Zustimmung gedrängt werden.
  • Eingeschränkte Wahlmöglichkeiten: Nutzer, die Cookies ablehnen, können viele Dienste nicht nutzen, was einer Einwilligung unter Zwang gleichkommt.

Selbst große Unternehmen und Anbieter von Cookie-Banner-Tools schaffen es nicht, die rechtlichen Anforderungen vollständig zu erfüllen. Das Ergebnis: Millionenfach werden Datenschutzverstöße begangen, ohne dass Nutzer oder Betreiber sich dessen bewusst sind.

Ein Hoffnungsschimmer? Neue Regelungen ab 2025

Eine vielversprechende Entwicklung ist die Einwilligungsverordnung (EinwV), die ab Frühjahr 2025 in Kraft tritt. Sie soll die Einholung von Einwilligungen revolutionieren, indem Nutzer ihre Datenschutzpräferenzen zentral im Browser oder über externe Tools verwalten können. Ziel ist es, die Flut an Cookie-Bannern zu reduzieren und den Datenschutzalltag zu vereinfachen.

Wichtige Kernpunkte der Verordnung:

  1. Zentrale Einwilligungsverwaltung: Nutzer können ihre Präferenzen vorab festlegen, und Webseiten müssen diese berücksichtigen.
  2. Freiwilligkeit für Webseitenbetreiber: Die Nutzung dieser Dienste bleibt optional, was Kritikern Sorgen bereitet.
  3. Erleichterung für Nutzer: Weniger störende Banner, mehr Kontrolle über die eigenen Daten.

Kritik: Warum die Verordnung nicht alle Probleme löst

So vielversprechend die neue Regelung klingt, gibt es auch berechtigte Einwände:

  • Technische Grenzen: Browser können nicht zuverlässig erkennen, ob ein Datentransfer rechtlich zulässig ist, etwa bei Auftragsverarbeitungsverträgen.
  • Mangelnde Durchsetzung: Viele Webseiten ignorieren bereits heute Datenschutzvorgaben. Es ist fraglich, ob sie browserbasierte Einstellungen beachten werden.
  • Kommerzielle Interessen: Anbieter von Einwilligungs-Tools könnten unternehmensfreundliche, aber datenschutzfeindliche Lösungen fördern, die den eigentlichen Zweck der Verordnung untergraben.

Fazit: Datenschutz bleibt eine Herausforderung

Auch mit neuen Regelungen bleibt der Datenschutz im Internet komplex. Die Integration externer Dienste erfordert weiterhin die ausdrückliche Einwilligung der Nutzer. Cookie-Banner sind zwar oft fehlerhaft, bleiben jedoch vorerst ein notwendiges Instrument, um die Anforderungen der DSGVO zu erfüllen.

Die Einführung der Einwilligungsverordnung könnte ein Schritt in die richtige Richtung sein, doch die tatsächliche Umsetzung und Akzeptanz müssen sich erst noch beweisen. Bis dahin ist es entscheidend, dass Webseitenbetreiber ihre Datenverarbeitungen sorgfältig prüfen und datenschutzkonform gestalten.

Autorin des Beitrags:
Anahita Lotfi
Juristin & Datenschutzbeauftragte
Fachexpertin auf dem Gebiet der Cyberkriminalität
Unternehmensberaterin für StartUp
Gründerin von LEXAL LAW \ CONSULTINGS

Weiter News