Heimliche Wege, wie Websites Ihre Privatsphäre im Internet beeinträchtigen
Dateninformierte Entscheidungen halten die Gewinne hoch und optimieren gleichzeitig die Kosten für die Gewinnung neuer Kunden. Daher möchte fast jedes Online-Unternehmen überwachen, was Sie im Internet tun. Dies hält ihre Preise niedrig und verwandelt Sie in einen zahlenden Kunden.
In der Zwischenzeit ist die Überwachung außer Kontrolle geraten, und Regierungen haben strengere Datenschutzgesetze erlassen.
Die DSGVO (Datenschutz-Grundverordnung) der Europäischen Union ist das weltweit bekannteste Datenschutzgesetz, hauptsächlich wegen der hohen DSGVO-Bußgelder.
Obwohl sie sich des Gesetzes und des Risikos von Geldstrafen bewusst sind, verfolgen Websites weiterhin das Online-Verhalten der Benutzer entgegen der DSGVO.
Um Ihnen zu erklären, wie sie das tun und wie Sie sich vor Tracking schützen können, werden wir Folgendes erläutern:
- Was Cookies und Tracking-Technologien sind
- Was die DSGVO über sie sagt
- Wie Websites und Apps versuchen, sie heimlich auf Ihrem Gerät zu platzieren, entgegen den Gesetzen
- Was Sie tun können, um sich zu schützen
Was sind Cookies und andere Tracking-Technologien?
Cookies sind kleine Dateien, die Websites oder Apps an Ihr Gerät senden, um bestimmte Daten zu sammeln. Später werden diese Daten verarbeitet.
Neben Cookies verwenden Websites häufig Tracking-Pixel (auch als Web Beacons bezeichnet), die den von Ihnen besuchten Websites, den von Ihnen angeklickten Anzeigen usw. folgen. Sie zeigen dem Website-Betreiber, wer auf der Website was getan hat und wann.
In Bezug auf Ihre Privatsphäre gibt es zwei Arten von Cookies:
- Wesentliche Cookies. Diese Cookies sind für das ordnungsgemäße Funktionieren der Website oder App notwendig. Ein Beispiel ist ein Cookie, das sich daran erinnert, was Sie in Ihren Warenkorb gelegt haben, während Sie noch im Webshop stöbern. Ohne ein solches Cookie würde der Warenkorb beim weiteren Browsen geleert. Für diese ist keine Zustimmung erforderlich.
- Nicht wesentliche Cookies. Dies sind die Cookies, die Sie möglicherweise nicht auf Ihrem Gerät haben möchten. Dazu gehören Statistik-Cookies wie Google Analytics und Werbe-Cookies wie die Tracking-Technologien von Google und Facebook. Dies sind die Cookies, die Sie verfolgen.
Was sagt die DSGVO über die Verwendung von Cookies?
Sie möchten Ihre Privatsphäre beim Surfen im Internet. Regierungen führen Gesetze ein, die Ihre Privatsphäre im Internet schützen und Bußgelder für diejenigen verhängen, die sich nicht daran halten.
Die DSGVO spricht Cookies nicht direkt an, legt jedoch implizit die Regeln für die Online-Nutzerverfolgung fest. Sie schützen Ihr Surfen im Internet und verbieten Websites, Ihre Informationen ohne Ihr Wissen zu sammeln.
Die bemerkenswertesten Ausnahmen sind die Gesetze der Vereinigten Staaten und Indiens, nach denen Websites Sie verfolgen können, ohne zu fragen. Nur in Kalifornien und Nevada müssen sie Ihnen mitteilen, dass sie Sie verfolgen und Ihnen die Möglichkeit geben, sich vom Tracking abzumelden, aber das ist alles.
Wenn es um die DSGVO und ähnliche Gesetze geht, sollten Websites Sie um Zustimmung für jeden Zweck der Verfolgung bitten. Wenn Sie ihnen erlauben, es zu verwenden, liegt die Entscheidung bei Ihnen. Wenn Sie es ihnen nicht erlauben, müssen sie davon absehen, Cookies auf Ihrem Gerät zu platzieren.
Was müssen Unternehmen in Bezug auf Cookies tun?
Laut DSGVO müssen Unternehmen vor der Verwendung von Cookies Ihre ausdrückliche Zustimmung einholen.
Wenn Sie deren Cookies zustimmen, können sie Sie online verfolgen. Sie dürfen Sie nicht verfolgen, wenn Sie dem nicht zustimmen, auch wenn Sie weiterhin Zugang zu deren kostenlosen Inhalten haben.
Darüber hinaus müssen sie die Zustimmung auf eine bestimmte Weise anfordern. Wenn sie die gesetzlichen Anforderungen an die Art und Weise, wie sie die Zustimmung erbitten, nicht erfüllen, ist es so, als hätten sie sie nicht angefordert, selbst wenn Sie der Verwendung von Cookies zugestimmt haben.
Ihre Zustimmung ist nur dann rechtmäßig, wenn sie:
- Freiwillig. Die Zustimmung ist freiwillig, wenn Sie wählen können, ob Sie die Cookies akzeptieren oder ablehnen. Unternehmen dürfen Benutzer nicht in die Falle locken, Cookies zu akzeptieren, indem sie beispielsweise die
- Spezifisch. Unternehmen müssen für jeden Zweck der Datenerfassung und -verarbeitung eine separate Zustimmung anfordern. Wenn Sie Ihre Zustimmung zur Verwendung von Google Analytics für Analysezwecke geben, gibt dies dem Unternehmen nicht das Recht, dieselben Daten für Werbezwecke zu verwenden.
- Eindeutig. Die Zustimmung wird nur durch eine bejahende Handlung des Benutzers erteilt. Das bedeutet, dass ein AKZEPTIEREN-Button angeklickt wird.
- Leicht widerrufbar. Dem Benutzer muss die Möglichkeit gegeben werden, die zuvor erteilte Zustimmung so einfach wie möglich zu widerrufen. Wenn der Benutzer also nur ein Cookie-Banner angeklickt hat, um die Cookies zu akzeptieren, muss ihm ein WIDERRUFEN-Button zum Widerruf zur Verfügung gestellt werden. Das Unternehmen darf für den Widerruf der auf diese Weise erteilten Zustimmung keine Formulare und E-Mails verlangen.
Dennoch halten sich Online-Unternehmen nicht immer daran.
Was tun Unternehmen manchmal stattdessen?
Sie sind so kreativ, wie sie und ihre Anwälte nur sein können. Am häufigsten verwenden sie die folgenden Strategien:
Annehmen, dass Sie Cookies nur durch das Browsen akzeptieren
„Diese Website verwendet Cookies. Durch das Browsen auf dieser Website stimmen Sie der Verwendung von Cookies zu und akzeptieren unsere Datenschutzrichtlinie.“
Es ist ziemlich üblich, auf ein Cookie-Banner mit diesen Worten zu stoßen. Es gibt zwei große Probleme damit:
- Eine Datenschutzrichtlinie zu akzeptieren, ist Unsinn. Die Datenschutzrichtlinie ist eine Benachrichtigung. Es handelt sich um ein Dokument, mit dem das Online-Unternehmen den Benutzer über seine Datenschutzpraktiken informiert. Hier gibt es nichts zu akzeptieren. Es sind lediglich Informationen darüber, wie die Dinge bereits sind. Eine Datenschutzrichtlinie zu akzeptieren, bedeutet also nichts. Andererseits bedeutet das Akzeptieren von Cookies alles für Unternehmen, die Sie online verfolgen möchten.
- Wenn Sie nicht auf den „AKZEPTIEREN“-Button klicken, um Cookies zu akzeptieren, haben Sie Ihre Zustimmung zur Verwendung von Cookies nicht gegeben. Das Durchstöbern der Website bedeutet nicht automatisch Zustimmung.
Wenn sie Sie um Zustimmung bitten, können Sie der Anfrage zustimmen, sie ablehnen oder ignorieren.
Wenn Sie zustimmen, können sie Cookies verwenden.
Wenn Sie es ablehnen oder ignorieren, dürfen sie keine Cookies verwenden. Wenn sie sie trotzdem verwenden, verletzen sie Ihre Datenschutzrechte.
Cookie-Wände verwenden
Eine Cookie-Wand ist ein Cookie-Banner, das Ihnen keinen Zugang zu den Inhalten der Website oder App gewährt, es sei denn, Sie stimmen der Verwendung von Cookies und Tracking-Technologien zu. Cookie-Wände sind rechtswidrig.
So sieht eine Cookie-Wand aus:
Sie verlangt vom Benutzer, entweder die Cookies zu akzeptieren oder für den Zugang zum Inhalt zu bezahlen.
Einige Websites machen es anders, um das Gesetz nicht zu verletzen. Sie überdecken den Großteil des Bildschirms mit dem Cookie-Banner, verlangen jedoch nicht, dass alle Cookies akzeptiert werden, bevor sie vom Bildschirm entfernt werden. Sie können ins Präferenzzentrum gehen und alle Cookies ablehnen. Das verstößt nicht gegen das Gesetz, obwohl es Cookie-Wänden ähnelt.
Nutzungsbedingungen mit Datenschutzrichtlinie und Zustimmung bündeln
Formulierungen wie „Durch das Akzeptieren dieser Nutzungsbedingungen akzeptieren Sie unsere Datenschutzrichtlinie und die Verwendung von Cookies“ sind gesetzeswidrig. Sie verletzen Ihre Datenschutzrechte, weil sie keine spezifische Zustimmung anfordern, sondern Sie durch das Bündeln der Zustimmung zur Annahme der Nutzungsbedingungen in die Zustimmung locken.
Die Nutzungsbedingungen sind ein Vertrag zwischen der Website oder der App und dem Benutzer. Sie regeln Ihre Nutzung der Website oder der App. Wenn Sie eine App verwenden möchten, müssen Sie den vom App-Inhaber festgelegten Bedingungen zustimmen.
Die Zustimmung zu diesen Bedingungen muss jedoch von der Zustimmung zu Cookies für das Online-Tracking getrennt sein.
Vorausgewählte Kästchen
Die Zustimmung ist nur spezifisch, wenn sie für jeden einzelnen Zweck getrennt erteilt wird. Das bedeutet, dass das Unternehmen für jeden spezifischen Zweck der Verwendung von Cookies eine separate Zustimmung anfordern muss.
Angenommen, die Website, die Sie besuchen, verwendet Cookies, um Ihre Präferenzen auf der Website zu speichern, ein Analyse-Tool für Statistiken und ein Werbepixel, um Ihnen ihre Produkte auf sozialen Medien zu vermarkten. Später bedeutet das, dass sie für jeden dieser Zwecke eine separate Zustimmung anfordern müssen.
Ein Cookie-Banner könnte so aussehen:
Das oben gezeigte Cookie-Banner ist jedoch rechtswidrig. Die Schalter dürfen nicht aktiviert sein. Es sollte eher so aussehen:
Jetzt ist Ihre Zustimmung eindeutig, weil Sie selbst den Schalter aktivieren und auf den Button „MEINE AUSWAHL BESTÄTIGEN“ klicken. Alles, was darunter liegt, verstößt gegen das Gesetz.
Datenschutzgesetze ignorieren
Einige Online-Unternehmen ignorieren die DSGVO vollständig. Sie verhalten sich, als ob sie nicht für sie gelten würde. Sie würden Cookies verwenden, um Sie zu verfolgen, obwohl sie damit Gefahr laufen, eine Geldstrafe zu erhalten.
Einige von ihnen sind sich nicht bewusst, dass die DSGVO und ähnliche Gesetze existieren, und einige hoffen, dass die Datenschutzbehörde sie nicht verfolgen wird.
Unabhängig von ihren Gründen zeigen diese Websites Ihnen kein Cookie-Banner, das um Zustimmung bittet. Sie werden die Cookies direkt auf Ihr Gerät übertragen. Wenn dies geschieht oder wenn einer der oben beschriebenen Vorgänge auftritt, möchten Sie möglicherweise dagegen vorgehen, um Ihre Rechte zu schützen.
Wie können Sie sich schützen?
Wenn Websites sich wie oben beschrieben verhalten, werden Ihre Datenschutzrechte verletzt. Die DSGVO ist dazu da, Sie zu schützen, aber Sie müssen selbst die Initiative ergreifen und den Schutz Ihrer Online-Privatsphäre suchen.
Wenn Sie in einer solchen Situation waren, sind hier die Schritte, die Sie unternehmen könnten, um die Verletzung zu beseitigen:
Stellen Sie sicher, dass die DSGVO anwendbar ist
Es gibt keine Verletzung der Privatsphäre, wenn es kein Gesetz gibt, das Ihnen Online-Datenschutzrechte gewährt.
Wenn Sie oder das Online-Unternehmen aus einem Mitgliedstaat der Europäischen Union stammen, gilt die DSGVO, und Sie haben das Recht, Schutz zu suchen.
Zuerst müssen Sie jedoch feststellen, welche Gesetze Ihnen solchen Schutz bieten.
Im Allgemeinen gelten Datenschutzgesetze für:
- Unternehmen in ihrer Gerichtsbarkeit
- Einzelpersonen in ihrer Gerichtsbarkeit
- Jede Person auf der Welt, die mit einem Unternehmen aus ihrer Gerichtsbarkeit interagiert.
Daher müssen Unternehmen:
- Die lokalen Datenschutzgesetze bei jeder Interaktion mit einem Benutzer aus aller Welt einhalten
- Das lokale Gesetz des Benutzers bei der Interaktion mit diesem spezifischen Benutzer einhalten.
Wenn das Unternehmen und die Einzelperson aus verschiedenen Ländern stammen, gelten alle Gesetze, die für jeden von ihnen gelten, für ihre Beziehung.
Um festzustellen, ob die DSGVO auf Ihren Fall anwendbar ist, verwenden Sie den folgenden Entscheidungsbaum:
Wenn Sie beim Feld „DSGVO gilt“ angekommen sind, lesen Sie weiter.
Die Website auf Cookies scannen
Die von Ihnen besuchte Website verwendet wahrscheinlich einige Cookies.
Wenn die Website Sie begrüßt, indem sie Cookies erwähnt, ist es zu 100% sicher, dass sie welche verwenden.
Falls Sie sich noch nicht sicher sind, gibt es im Internet kostenlose Cookie-Scanner, mit denen Sie herausfinden können, welche Websites sie verwenden.
Einige Beispiele sind:
Sie müssen zum Scanner gehen, die URL der zu scannenden Website kopieren und einfügen und auf SCAN klicken.
Dann wird der Scanner seine Arbeit erledigen und Ergebnisse liefern.
Eine Anfrage als betroffene Person einreichen
Wenn die anwendbaren Gesetze Ihnen das Recht einräumen, eine Anfrage als betroffene Person einzureichen, ist dies der nächste Schritt.
Eine Anfrage als betroffene Person ist eine Anfrage, die Benutzer an Unternehmen richten können, um ihre Rechte als betroffene Person auszuüben (der Benutzer ist die betroffene Person).
Die DSGVO gewährt Ihnen die folgenden Rechte als betroffene Person:
| Sie haben das Recht auf: | Das Unternehmen muss auf Ihre Anfrage hin liefern: |
| Informationen darüber, ob das Unternehmen Ihre personenbezogenen Daten erhebt und verarbeitet | Informationen darüber, ob sie Ihre Daten erheben und/oder verarbeiten |
| Zugang zu Ihren personenbezogenen | Daten Zugang zu jeder Kategorie von personenbezogenen Daten, die sie über Sie haben, den Zweck und die Mittel der Erhebung und Verarbeitung, die Empfänger, die Aufbewahrungsfrist usw. |
| Berichtigung | Korrektur der ungenauen Daten, die sie über Sie haben |
| Löschung Ihrer personenbezogenen Daten (Recht auf Vergessenwerden) | Löschung aller Daten, die sie über Sie haben |
| Einschränkung der Verarbeitung | Einschränkung der Verarbeitung Ihrer Daten gemäß Ihren Anweisungen (Sie können ihnen erlauben, Ihre Daten zur Bereitstellung relevanter Inhalte zu verwenden, aber nicht für Werbung) |
| Datenübertragbarkeit | Bereitstellung einer Datei oder eines Ordners mit all Ihren Daten, damit Sie diese an einen anderen Datenverantwortlichen übertragen können |
| Widerspruch gegen die Verarbeitung von Daten | Einstellung der Verarbeitung Ihrer Daten gemäß Ihren Anweisungen |
| Nicht Gegenstand einer automatisierten Einzelentscheidung, einschließlich Profiling | zu sein Einstellung der Verwendung Ihrer Daten in automatisierten Einzelentscheidungen, einschließlich Profiling (im Grunde genommen Ihre Daten aus ihren Algorithmen entfernen) |
Sie können eine Anfrage als betroffene Person für eines dieser Rechte, eine Kombination von ihnen oder alle einreichen. Es ist Ihr Recht, also entscheiden Sie, wie Sie sie ausüben möchten.
Unternehmen geben normalerweise in ihrer Datenschutzerklärung die Methoden zur Einreichung von Anfragen an. Sie sind jedoch verpflichtet, Ihre Anfrage anzunehmen, egal wie Sie sie eingereicht haben.
Daher ist es am besten, zunächst die Datenschutzerklärung durchzulesen. Wenn dort nichts steht oder sie schwer verständlich ist, schicken Sie ihnen eine E-Mail oder kontaktieren Sie sie über das Kontaktformular.
Die DSGVO gibt ihnen 30 Tage Zeit, um auf Ihre Anfrage zu antworten. Sie können weitere 30 Tage beanspruchen, wenn Ihre Anfrage so kompliziert ist, dass sie in den ersten 30 Tagen nicht beantwortet werden kann.
Wenn Sie in dieser Zeit keine Antwort erhalten, ist es an der Zeit, sich an die Datenschutzbehörde zu wenden.
Beschwerde bei der zuständigen Datenschutzbehörde (DPA) einreichen
Es gibt zwei Zeitpunkte, zu denen Sie sich bei der zuständigen Datenschutzbehörde beschweren können:
- Bevor Sie eine Anfrage als betroffene Person einreichen. Es ist gut sicherzustellen, dass das Online-Unternehmen Ihre Rechte als betroffene Person verletzt, bevor Sie weitere Maßnahmen ergreifen. Eine Anfrage vor der Beschwerde einzureichen ist also generell eine gute Idee.
Es gibt jedoch Situationen, in denen offensichtlich ist, dass Ihre Rechte verletzt wurden und es keinen Sinn macht, Zeit zu verschwenden.
Wenn beispielsweise ein EU-Unternehmen Sie mit einer Cookie-Wand begrüßt, ist klar, dass sie etwas falsch machen. In diesem Fall können Sie sich direkt an die Datenschutzbehörde wenden.
- Wenn das Unternehmen Ihrer Anfrage als betroffene Person nicht nachkommt. Das Versäumnis, Ihrer Anfrage nachzukommen, ist an sich schon eine Verletzung, aber es könnte auch bedeuten, dass das Unternehmen eine Reihe von Verstößen begangen hat, von denen Sie noch nichts wissen. Das erfordert Handeln von Ihrer Seite.
Eine Beschwerde bei der zuständigen Behörde einzureichen, ist so einfach wie möglich. Obwohl viele Behörden Beschwerdeformulare auf ihren Websites haben, akzeptieren viele von ihnen Beschwerden, die auf beliebige Weise eingereicht werden.
Der knifflige Teil besteht darin, herauszufinden, welche Datenschutzbehörde die zuständige ist. Aber selbst wenn Sie sich irren und sich bei der falschen Behörde beschweren, wird diese Ihre Beschwerde ablehnen und Ihnen die richtige Adresse nennen. Im schlimmsten Fall verschwenden Sie also etwas Zeit.
Die folgenden Datenschutzbehörden sind in Ihrer Situation zuständig:
- Die DPA in Ihrem eigenen Land
- Die DPA im Land, in dem das Unternehmen registriert ist
- Wenn das Unternehmen im Ausland registriert ist, das Land, in dem sie einen Vertreter haben.
Hier ist eine Liste aller EU-DPAs, wenn Sie sich mit der DSGVO befassen.
Klage einreichen
Zu guter Letzt können Sie Klage einreichen, um Ihre Online-Datenschutzrechte zu schützen, solange Sie aufgrund der Verstöße Schäden erleiden.
Wichtig zu beachten ist, dass eine Klage nur dann erfolgreich sein kann, wenn Sie tatsächlich Schäden erleiden, wie finanzielle Verluste, Rufschädigung und andere. Wenn das Unternehmen Cookies ohne Ihre Zustimmung verwendet hat, aber dadurch keine Schäden entstanden sind, ist das Verwaltungsverfahren über die Datenschutzbehörde alles, was Sie tun können.
Letzte Worte
Online-Unternehmen schätzen persönliche Daten sehr. Als Betreiber eines solchen Geschäfts sind Sie sich vermutlich der Bedeutung dieser Daten für geschäftliche Entscheidungen bewusst. Daher ist es nicht verwunderlich, dass einige Unternehmen manchmal zu weit gehen und dabei Gesetze überschreiten.
In einem solchen Fall gibt es Handlungsoptionen.
Es ist jedoch wichtig zu bedenken, dass nur Sie selbst Maßnahmen ergreifen können. Datenschutzbehörden (DPAs) erkennen möglicherweise nicht automatisch, wenn eine Webseite gesetzliche Vorgaben missachtet. Angesichts der Tatsache, dass es in jedem Land nur eine DPA gibt, aber weltweit Milliarden von Webseiten existieren, ist es schlichtweg unmöglich, alle zu überwachen.
Wenn Sie Ihren Schutz ernst nehmen, liegt es in Ihrer Verantwortung, aktiv zu werden und jene zur Verantwortung zu ziehen, die Ihre Datenschutzrechte verletzen. Die notwendigen Werkzeuge stehen zur Verfügung; es gilt, sie auch einzusetzen.