Cookie-Banner, die den europäischen rechtlichen Anforderungen nicht genügen, sind alltäglich. So dreist wie ein deutscher Microsoft-Partner ist aber kaum jemand: Wer Cookies ablehnt, darf die Website nicht besuchen!
Wer die erwähnte Website aufruft, erhält auf den ersten Blick ein unauffälliges Cookie-Banner angezeigt. Man wird in knapper Form über Cookies informiert und kann «weitere Informationen» aufrufen.
Gleichzeitig stehen die weitgehend gleichwertigen Möglichkeiten «Nein, ich bin nicht einverstanden» und «Ich bin einverstanden» zur Auswahl:
Wenn man allerdings auf «Nein …» klickt, verschwindet nicht etwa das nervige Cookie-Banner, sondern man wird belehrt, dass für den Besuch der Website auf «Ich bin einverstanden» geklickt werden muss:
Dabei wird treuherzig versichert, es würden «keine personenbezogenen Daten wissentlich an Drittanbieter weitergeleitet». Wenn man in der Folge gutgläubig auf «Ich ich bin einverstanden» klickt, kann man die Website besuchen.
Cookie-Banner: Keine rechtsgültige Einwilligung und von Anfang ein Fake-Cookie-Banner
Das Cookie-Banner ist gleich mehrfach problematisch:
- Wieso wird eine Auswahl angeboten, wenn keine Ablehnung akzeptiert und damit keine rechtsgültige Einwilligung angestrebt wird?
- Wieso wird behauptet, es würden keine personenbezogenen Daten an Drittanbieter weitergeleitet, obwohl beispielsweise Google Analytics direkt eingebunden ist?
- Wieso wird ein Cookie-Banner angezeigt, wenn es ohnehin keine Wirkung hat, da von Anfang an allerlei Cookies gesetzt werden, wie «webbkoll» und «dsgvo-beschwerde.de» zeigen?
- Wieso wird ein solches Cookie-Banner von einem Unternehmen verwendet, das nach eigenen Angaben über eine Datenschutzbeauftragte mit mehr als 10 Jahren Erfahrung verfügt?
Immerhin zeigt das Beispiel, dass deutsche Unternehmen die «Cookie-Richtlinie» gemäss dem deutschen TTDSG und das Datenschutzrecht gemäss Datenschutz-Grundverordnung (DSGVO) entspannt angehen können.
Die Probleme bei der erwähnten Website gehen jedenfalls über das Cookie-Banner hinaus. So sind beispielsweise die E-Mail-Adressen und Weblinks in der Datenschutzerklärung, die «Datenschutzbestimmungen» sein sollen, nicht anklickbar, und einige Angaben, unter anderem zu Google Analytics, sind sichtbar veraltet.
Das Tüpfelchen auf dem i in der Datenschutzerklärung ist schliesslich der Haftungsausschluss. Hat da jemand «AGB» gesagt?
Hintergrund: «Berufsgeheimnis-Zusatzvereinbarung» nur über Microsoft-Partner
Ein Kundenberater des erwähnten Microsoft-Partners wollte mich auf LinkedIn belehren, es sei «etwas weltfremd», Microsoft 365 direkt bei Microsoft zu kaufen anstatt die «die Preis- Beratungs- und Servicevorteile eines CSP nutzen [zu] wollen». In der Folge wurde ich auf die Website aufmerksam.
Hintergrund war, dass Microsoft die «Berufsgeheimnis-Zusatzvereinbarung» nicht direkt anbietet, sondern verlangt, dass man Microsoft 365 dafür bei einem Cloud Solution Provider (CSP), also bei einem Microsoft-Partner, kaufen muss. Dieser Umweg ist unnötig, denn Microsoft 365 ist auch für Unternehmen direkt bei Microsoft erhältlich:
Microsoft hätte es in der Hand, die «Berufsgeheimnis-Zusatzvereinbarung» direkt bei der Bestellung auf der eigenen Website anzubieten – oder von Anfang an gegenüber allen Nutzern von Microsoft 365 entsprechende Zusicherungen abzugeben.
Neues Datenschutzgesetz: Keine Cookie-Banner in der Schweiz
Bild: OpenAI / ChatGPT 4.