Blog - Datenschutz in einer SaaS-Welt - von Thomas Stockschläder am 31. Mai 2024

Seit Inkrafttreten der DSGVO am 25. Mai 2018 hat sich das Web verändert. Cookie-Banner sind überall, Firmen haben dedizierte Datenschutzbeauftragte und die Zahl der verhängten Bußgelder wächst fast wöchentlich.

Doch trotz des bevorstehenden sechsten Jahrestags der DSGVO gibt es immer noch große Missverständnisse darüber, welche Konsequenzen sie eigentlich für Unternehmen und Ihre Webseiten mit sich bringt.

Welche Cookies setzen wir genau? Wofür sind die da? Müssen wir die alle, inkl. Laufzeit auflisten? Wie viel kostet ein Cookie-Banner monatlich?

Es geht nicht um Cookies

Cookies sind kleine Textinformationen, die zwischen dem Browser und Webserver ausgetauscht werden. Sie werden bspw. benutzt, um in zustandsbehafteten Anwendungen wie Webshops oder anderen Applikationen mit Login-Funktionalität Sitzungen zuordnen zu können.

In der DSGVO werden Cookies nie erwähnt. Der DSGVO geht es um die Verarbeitung von personenbezogenen Daten. Auch wenn Cookies für diese Art der Zuordnung prädestiniert sind, sind sie nicht die einzige Möglichkeit für sogenanntes Fingerprinting, der eindeutigen Zuordnung einer Person auf Basis von vermeintlich unpersönlichen Daten.

Ein Artikel aus dem Fachjournal Nature zeigt bspw., dass man 80% der US-Bevölkerung alleine anhand der Kombination aus Geschlecht, Geburstdatum und Postleitzahl eindeutig identifizieren kann. Es liegt nahe, dass die Quote in Deutschland bei durchschnittlich weniger als halb so vielen Einwohnern pro PLZ noch höher liegen könnte.

Technologien wie Supercookie zeigen, wie viel hartnäckiger und unscheinbarer Fingerprinting sein kann:

Supercookie uses favicons to assign a unique identifier to website visitors. Unlike traditional tracking methods, this ID can be stored almost persistently and cannot be easily cleared by the user.

The tracking method works even in the browser's incognito mode and is not cleared by flushing the cache, closing the browser or restarting the operating system, using a VPN or installing AdBlockers.

Selbst ohne (Super-)Cookies kann personalisiertes Tracking allein durch die technisch notwendigen Informationen beim Verbindungsaufbau über den Browser zu einem Fremdserver erreicht werden. Schon die Übertragung der IP-Adresse ist laut Urteil des LG München I Grund genug für eine Verletzung des Rechts auf informationelle Selbstbestimmung, wenn eine zumutbare Alternative vorliegt (Az. 3 O 17493/20). Dem Kläger wurde ein Schadenersatz von 100€ zugesprochen.

Lügen verkaufen

Kaum ein Geschäftsmodell ist in den letzten zwei Jahrzehnten so gewachsen wie Software-as-a-Service. Statt sie zu kaufen und zu besitzen, mietet man lediglich die Nutzungsrechte für Software gegen monatliche Gebühren. Sogar Autohersteller lassen sich den Zugriff auf bereits im Auto verbaute Funktionen monatlich bezahlen.

Das Geschäftsmodell ist so beliebt, dass man es natürlich auch bei Anbietern von Consent-Management-Plattformen und Analytics-Diensten findet.

Aber wie geht man mit dem Dilemma um, dass man eine nicht selbst-gehostete Consent-Management-Plattform anbietet, für deren Benutzung man eigentlich erst eine Einwilligung des Benutzers benötigt? Oder damit, dass man detaillierte Nutzerstatistiken inkl. Seiten pro Besuch-Metriken haben möchte?

Man lügt einfach und behauptet, DSGVO-konform zu sein. Und wenn die Behauptungen hinterfragt werden, sagt man, dass man nichts weiter dazu sagen möchte, da die Formulierung genau so mit den eigenen Anwälten abgestimmt sei.

Die Situation ist paradox. Webseiten-Betreiber nutzen diese Plattformen in der Hoffnung, damit DSGVO-konform zu sein, aber die Nutzung dieser Systeme ist illegal, weil die Verbindung zu einem Drittdienstleister mit einer ausreichenden Datenmenge zur persönlichen Identifizierung einhergeht, für deren Weitergabe zunächst eine Einverständniserklärung vorliegen muss.

Es gibt eine Vielzahl von Consent-Management-Systemen, die DSGVO-konform sind und sich selbst hosten lassen. Analytics-Tools wie GoAccess lesen Server-Protokolle aus, erlauben mit richtiger Konfiguration kein Fingerprinting und sind oft mehr als ausreichend.

Andere machen es doch auch

Werden Webseitenbetreiber auf diese Probleme hingewiesen, hört man immer wieder den gleichen Einwand: Aber andere nutzen das doch auch.

Sie müssen gesetzeswidriges Verhalten Ihrer Mitbewerber nicht einfach dulden oder gar mitmachen. Sie können abmahnen. Genau dafür gibt es das Gesetz gegen den unlauteren Wettbewerb (UWG).

Der Unmut gegenüber der EU ist fehlgerichtet. Er sollte stattdessen an die Betreiber der Webseiten und SaaS-Produkte gerichtet werden, die denken, dass:

• sie ein Recht auf detailliertes (Consent-)Tracking haben
• die Vorteile dieser Daten oder die Bequemlichkeit der verwendeten Dritt-Dienste die Rechte der Benutzer übertrumpfen
• es in Ordnung sei, es nur so aussehen zu lassen, als würde man sich an geltendes Recht halten

Unsere Webseite kommt völlig ohne Consent-Management aus, weil wir sie bewusst so konzipiert haben. Wir zeigen Ihnen gerne wie.