Twitter verwendet seit ein paar Tagen ein neues Cookie-Banner. Twitter versucht damit mutmasslich, die europäische ePrivacy-Richtlinie und deren Umsetzung in EU-Mitgliedstaaten umzusetzen.
Die berühmt-berüchtigte EU-«Cookie-Richtlinie» verlangt für fast jede Art von Cookie, das gelesen oder gesetzt werden soll, die aktive und ausdrückliche sowie freiwillige und informierte Einwilligung der betroffenen Personen. Lediglich für unbedingt erforderliche Cookies besteht eine Ausnahme.
Fast alle Cookie-Banner, die in freier Wildbahn anzutreffen sind, scheitern allerdings an den Voraussetzungen der ePrivacy-Richtlinie:
Häufig erlauben Cookie-Banner lediglich die Einwilligung, nicht aber gleichzeitig den Widerspruch oder der Widerspruch ist nicht gleichwertig mit der Einwilligung möglich.
Viele Cookie-Banner versuchen, die Nutzerinnen und Nutzer in die Irre zu führen, um sich die Einwilligung zu erschleichen. Ein gängiger «Dark Pattern» ist die irreführende Gestaltung von Buttons.
Einige Cookie-Banner versuchen gar nicht erst, eine aktive und ausdrückliche Einwilligung einzuholen. Sie behaupten, allein durch die Nutzung der Website werde die Einwilligung erteilt. Damit vergleichbar ist das Setzen von Cookies unabhängig vom Cookie-Banner.
Ein Cookie-Banner, das die ePrivacy-Richtlinie und deren Umsetzung – in Deutschland beispielsweise mit dem neuen Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) – verletzt, ist doppelt ungeschickt:
- Die Einwilligung, die man benötigt – deshalb das Cookie-Banner – kann von den Nutzerinnen und Nutzern nicht rechtswirksam erteilt werden.
- Gleichzeitig nerven sich Nutzerinnen und Nutzer über jede Art von Cookie-Banner.
Man verärgert im Ergebnis die Nutzerinnen und Nutzer, ohne die benötigte Einwilligung eingeholt zu haben. Man würde ohne Cookie-Banner die anwendbaren «Cookie-Richtlinien» genauso verletzen, hätte aber den Vorteil, die Nutzerinnen und Nutzer nicht abzuschrecken.
Cookie-Banner: Pragmatische Umsetzung durch Twitter
Die Umsetzung durch Twitter ist pragmatisch, ohne offensichtlich die ePrivacy-Richtlinie zu verletzen:
- Das Cookie-Banner informiert in allgemeiner Weise in zwei Stufen über die Cookies und die Auswahlmöglichkeiten. Für weitere Informationen wird das «Help Center» verlinkt.
- Zur Auswahl stehen die Einwilligung in alle Cookies («Accept all cookies») und der Widerspruch gegen nicht notwendige Cookies («Refuse non-essential cookies»).
Beim Button für den Widerspruch gefällt mir der direkte Hinweis, dass nur (aber immerhin) nicht notwendige Cookies abgelehnt werden können.
Man kann sich allerdings fragen, wieso der Button für die Einwilligung nicht gleichartig beschriftet ist («Accept essential cookies»), denn für das Auslesen und Setzen von notwendigen Cookies müssen die Nutzerinnen und Nutzer gar nicht gefragt werden.
Weiter kann man sich fragen, ob das Verständnis von notwendigen Cookies, das Twitter pflegt, mit den anwendbaren «Cookie-Richtlinien» übereinstimmt. Gemäss § 25 TTDSG beispielsweise brauchen sinngemäss bloss Cookies, die unbedingt erforderlich sind, damit ein vom Nutzer ausdrücklich gewünschtes Angebot zur Verfügung gestellt werden kann, keine Einwilligung.
Erfreulich ist, dass Twitter auf einen Cookie-Manager verzichtet:
Mit einem solchen Cookie-Banner können Nutzerinnen und Nutzer einzelne Cookies oder einzelne Dienste auswählen oder abwählen.
Allerdings gibt es erfahrungsgemäss keine kaum Nutzerinnen und Nutzer, die sich durch einen Cookie-Katalog klicken und beispielsweise Bing Ads auswählen und Google Ads abwählen. Ich halte Cookie-Manager für eine überflüssige Simulation digitaler Selbstbestimmung.
Genauso überflüssig sind aus meiner Sicht lange Listen der einzelnen Cookies, wie sie häufig wiederum in Cookie-Managern zu finden sind. Gibt es wirklich Nutzerinnen und Nutzer, die sich für die Namen von einzelnen Cookies interessieren?
Twitter führt eine solche Cookie-Liste, drängt sie den Nutzerinnen und Nutzern aber nicht auf:
Wer die Cookie-Liste abrufen möchte, muss auf der «Help Center»-Seite «How cookies are used on Twitter» ganz nach unten scrollen. Im letzten Absatz ist unter dem Schlagwort «Chart» eine Cookie-Liste als PDF-Datei verlinkt.
Das pragmatische Cookie-Banner von Twitter entspricht nicht der «reinen Lehre», wie sie von einigen Datenschutz-Aufsichtsbehörden vertreten wird.
Cookie-Banner erweisen dem Datenschutz aber (bekanntlich) keinen Dienst oder gar einen Bärendienst. Gleichzeitig ist die «EU-Cookie-Richtlinie» und ihre Umsetzung geltendes Recht. Ich halte die Umsetzung durch Twitter deshalb für einen guten Kompromiss.
Schweiz: Keine Cookie-Banner, auch nicht mit dem neuen Datenschutzgesetz
Wer sich ausschliesslich im schweizerischen Recht bewegt, muss auf seiner Website übrigens kein Cookie-Banner verwenden.
Die «Cookie-Richtlinie» gemäss Art. 45c FMG verlangt lediglich, dass die betroffenen Personen über die Cookies einschliesslich Widerspruchsmöglichkeit informiert werden. Für den Widerspruch kann meines Erachtens auf die Möglichkeit, Cookies im Browser zu löschen oder zu sperren, hingewiesen werden.
Auch das neue Datenschutzgesetz (nDSG) in der Schweiz hält am datenschutzrechtlichen Grundsatz, dass bei der Bearbeitung von Personendaten die Information der betroffenen Personen genügt, ausdrücklich fest (Art. 6 Abs. 3 i.V.m Art. 19 ff. nDSG).
Siehe auch: Ja, wir müssen nochmals über Cookie-Banner reden! (Datenschutzpartner Academy, Webinar)
Sehr geehrter Herr Rechtsanwalt Steiger, herzlichen Dank für den informativen Beitrag. Meine persönliche Meinung möchte ich zur Einwilligung zwecks Cookies in der Schweiz hier wiedergeben. Nach dem neuen Schweizer DSG müssten, meiner Ansicht nach, die betroffenen Personen schon in die Bekanntgabe von Personendaten durch Web-tracking-Cookies einwilligen, sofern Daten ins Ausland ohne Gewährleistung eines geeigneten Datenschutzes übertragen werden (aktueller Stand z.B. USA). Hierfür wäre dann auch in der Schweiz ein Cookie-Banner erforderlich. Teilen Sie diese Einschätzung? Freundliche Grüsse und Danke für Ihre wertvollen Recherchen, Armin Wieser
@Armin Wieser:
Nein, ich teile diese Ansicht zum Daten-Export nicht. Beim Beispiel der USA ist der Daten-Export zwar anspruchsvoll, aber nicht unmöglich, auch nicht gemäss den Anforderungen von Art. 16 nDSG.
Sie sprechen mit Ihrer Frage Art. 17 nDSG, wo bei einem Daten-Export ohne angemessenen bzw. geeigneten Datenschutz ersatzweise auf die ausdrückliche Einwilligung abgestellt werden kann. Unter diesem Gesichtspunkt stellt sich immer die gleiche Frage: Kann man eine solche Einwilligung überhaupt umsetzen? Und falls nicht, was ist besser (oder schlimmer), von Anfang an gar keine Einwilligung oder eine nicht rechtswirksame Einwilligung?
Ihre Frage dürfte andere Personen, die sich mit dem Datenschutz interessieren. Ich werde sie deshalb nach Möglichkeit an der nächsten Legal Session bei Datenschutzpartner aufnehmen.