Consent-Banner für FAU-Websites: Zeitplan und nächste Schritte

Seit gestern wird auf www.fau.de, www.fau.eu sowie auf weiteren Websites ein Consent-Banner angezeigt.
Dieses Banner wird immer angezeigt, wenn ein Besucher der Website diese zum ersten Mal besucht und dabei noch keine Zustimmung erteilt hat über die Speicherung von Cookies oder anderen lokalen Daten zur Identifikation.
Das Banner wird jedesmal von Neuem erscheinen, wenn die Cookies oder der Local Store des Browsers gelöscht wurden.

Screenshot Consent banner auf fau.de
Weitere Details zu den Hintergründen finden sich am Ende des Artikels.

Zeitplan

  1. Die Erfahrungen im Einsatz auf den Webauftritten www.fau.de, www.fau.eu und anderen Sites werden nunmehr bis zur zweiten Augustwoche gesammelt und ausgewertet.
  2. Erst ab der zweiten Augustwoche (nach dem 8. August) wird der Consent-Banner auf allen Webauftritten, die den CMS-Dienst nutzen, semiautomatisch aktiviert. Das bedeutet, der Banner wird dabei auf allen Websites sichtbar, die gewisse Plugins (z.B. Siteimprove oder oEmbed) aktiviert haben oder/und die Nutzung von solchen Verfahren in der Datenschutzerklärung angaben. Um dies nochmal hervorzuheben: Wer auf seiner Website weder die Analysesoftware Siteimprove betreibt, noch YouTube-Videos oder andere Inhalte aus Drittwebsites eingebunden hat, wird auch kein Banner vor seiner Seite sehen.
  3. Wer bereits vor August den Consent-Banner eingeschaltet haben möchte oder aus Gründen des Rechtsrisikos haben sollte, kann sich mit dem Webteam des RRZE in Verbindung setzen um den Banner zu aktivieren. In kritischen Einzelfällen wird das Webteam auf Website-Betreiber zukommen. Kontakt via E-Mail an webmaster@fau.de.

Fragen und Antworten

Warum ist ein Consent-Banner notwendig?

Kurz: Das Banner muss aus rechtlichen Gründen bei solchen Websites angezeigt werden, bei der Daten an Dritte gehen. Zum Beispiel wegen der Nutzung des Analysesoftware Siteimprove, aber auch zum Beispiel wegen der Nutzung von YouTube Videos.
Eine längere Erläuterung siehe: Hintergründe.

Wird die Einstellung „Do Not Track“ berücksichtigt?

Leider ist die Option noch nicht in allen Browsern einheitlich gesetzt. Manche Browser haben diese per Default eingeschaltet, andere per Default ausgeschaltet. Die Option gibt zudem nur eine Ja/Nein-Entscheidung an. Cookies werden jedoch gemäß dem Datenschutz in drei Kategorien (Essentiell, Statistiken, Externe Medien) eingeteilt. Die Zuordnung, ob das aktivierte „Do Not Track“ nun meint, dass nur essentielle Cookies zugelassen sind, wäre daher subjektiv und nicht zuverlässig.
Die Diskussion, ob und wie weit die Interpretation von „Do Not Track“ rechtlich haltbar ist, ist noch im Gange.

Wir werden bei der Aktivierung im August jedoch die Option „Do Not Track“ berücksichtigen in der Form, dass diese Angabe als Ablehnen aller zustimmungspflichtigen Cookies interpretiert wird. Der Consent-Banner wird bei einem im Browser aktivierten „Do Not Track“ nicht erscheinen. Will man trotz „Do Not Track“ doch noch ein Einstellungen ändern, um beispielsweise YouTube Videos auf einer Website zu sehen, kann man dies unter den Datenschutzeinstellungen tun.
Screenshot zeigt die Option im Backend zur Berücksichtigung von Do Not Track

Warum wurde ein eigenes Plugin entwickelt und wieso dauerte es so lange?

Die Entwicklung des Consent-Banners startete im Januar 2022. Vorher wurden kommerzielle Lösungen getestet. Leider stellte sich dabei heraus, dass die üblichen Lösungen auf den Markt nicht ohne Mängel sind. Viele Lösungen sind zudem nicht barrierefrei bedienbar oder nicht responsiv. Zwei Kriterien, die bei einem ernsthaften Einsatz zu einem Ausschlussgrund führen müssen.
Der „Klassiker“ sind auch sogenannte Cookie-Banner, die mit einem Popup nur darauf hinweisen, dass man Cookies nutzt, um das Nutzungserlebnis der Website zu verbessern; hier kann man dann nicht ablehnen, sondern kann nur zustimmen – was rechtlich schon im Rahmen der DSGVO nicht ausreichend war.
Andere Plugins eigenen sich nur für den Einsatz im Rahmen von Einzelwebsites und sind aufgrund der großen Fülle an Optionen viel zu komplex, um sie für den Betrieb von Lehrstuhlwebauftritten bereit zu stellen. Auch berücksichtigen die Lösungen oftmals nicht das vorhandene Corporate Design der Websites.
Ein weit verbreitetes, kommerzielles Plugin wirft sogar eigene rechtliche Probleme auf, indem es zwar andere Cookies vor einer Zustimmung blockt, jedoch selbst über ein Tracking-Pixel den Besucher mit Google ID erfasst.
Verschiedene Gerichte haben sich bereits mit der Zulässigkeit von Cookie- und Consent-Bannern beschäftigt und teilweise die Nutzung einfacher oder mangelhaft umgesetzter Lösungen als unzureichend erklärt. Vgl. zum Beispiel: LG Rostock: Unzulässige Gestaltung von Cookie Bannern.

Die Datenschutzbehörde des Landes Baden-Württemberg hat zu der Thematik der Consent-Banner eine FAQ bereitgestellt, die bei der Entwicklung des eigenen Plugins berücksichtigt wurde.

Das vom RRZE entwickelte Plugin berücksichtigt nicht nur die rechtlichen Anforderungen des Datenschutzes, sondern auch die der Barrierefreiheit, deren Erfüllung ebenfalls gesetzlich vorgeschrieben ist.
Zudem wurde bei der Entwicklung darauf geachtet, dass die Bedienung für die jeweiligen Webmaster der Websites möglichst einfach und selbsterklärend ist.
Das Banner soll dabei auch nur dann aktiv werden, wenn es tatsächlich benötigt wird. Also dann, wenn zum Beispiel statistische Daten erfasst werden oder Embeds mit Content von fremden Websites eingebunden wird. Ist dies nicht der Fall, soll das Banner sich selbsttätig abschalten.

Aufgrund der komplexen Sachlage waren ausführliche Tests notwendig. Auch mussten viele Plugins für die Einbindung von fremden Content (YouTube-Videos u.a.) angepasst werden. Dies kostete entsprechend Zeit.
Vor Freischaltung der ersten Version musste diese auch mit dem Datenschutzbeauftraten und anderen Beteiligten abgestimmt werden.

Wo finde ich das Plugin und kann ich es auch für meine eigene WordPress-Installation nutzen?

Das von RRZE entwickelte Plugin wird als Open Source bereit gestellt und kann auf GitHub gefunden werden: https://github.com/RRZE-Webteam/rrze-legal
Dort können auch Verbesserungsvorschläge eingesehen und gemacht werden (unter Issues).

Was ist mit anderen Webauftritten und Webportalen der FAU?

Die gesetzliche Verpflichtung zur Schaltung eines Consent-Banners besteht für alle Webangebote, bei denen personenbeziehbare Daten des Besuchers der Website gespeichert werden, sofern diese über essentielle Cookies oder andere Speichermethoden (z.B. „Local Store“ oder Sitzungsvariablen via Browser Sniffing) hinausgehen.
Die Betreiber der auf eigenen Servern selbst betriebenen Webauftritte und Webportale sind dafür verantwortlich, für die Umsetzung zu sorgen.
Das RRZE hat keinen Einfluss auf die Gestaltung von Webauftritten, die nicht auf dem CMS-Dienst betrieben werden.

Wohin wende ich mich für weitere Fragen?

Bei Fragen zum Datenschutz lesen Sie die Seite zum Datenschutz des jeweiligen Webauftritts. Sie können sich auch persönlich an den Datenschutzbeauftragten der FAU wenden. E-Mail: datenschutz@fau.de.

Bei technischen Fragen wenden Sie sich an das Webteam des RRZE. E-Mail: :webmaster@fau.de.

Kommen Sie auch gern in die Webmaster-Sprechstunde. Die nächste findet am 4. August 2022 statt.

Hintergründe

Aufgrund der am 1.12.2021 erlassenen TTSDG und der Interpretation und Haltung vom Bayerische Landesbeauftragten für den Datenschutz (BayLfD) zu dem Thema sind wir leider dazu genötigt, eine Schaltung von Consent-Bannern auf der zentralen Website der FAU und anderen Websites vorzunehmen.
Die bisher erfolgreiche Argumentation, dass die Analyse der FAU-Websites mit Siteimprove oder anderen Werkzeugen, notwendig ist, um den Dienst und die Informationsverpflichtungen der FAU im Rahmen des Hochschulrahmengesetzes erfüllen zu können, ist leider nicht mehr ausreichend.

Der BayLfD schrieb im Januar hierzu in seiner Stellungnahme folgende Klarstellung:

Cookies, die dem Tracking zu Marketingzwecken dienen, sind generell als nicht technisch erforderlich anzusehen. Das Gleiche gilt auch für die eingebundenen → Drittdienste beziehungsweise Drittinhalte, welche Third Party-Cookies oder andere ähnliche Technologien verwenden. Sie stehen gewöhnlich mit einem Dienst im Zusammenhang, der sich von dem seitens der Nutzerin oder des Nutzers ausdrücklich gewünschten Dienst unterscheidet

Bei der Prüfung der Erforderlichkeit ist auf die Sichtweise der Nutzerin oder des Nutzers abzustellen, nicht auf die der Telemedienanbieterin oder des Telemedienanbieters. Daher sind auch Cookies, die der statistischen Auswertung oder der Webseitenanalyse dienen
– selbst wenn sie für die Verbesserung der Webseitenangebote nützlich sein können – als nicht erforderlich anzusehen. Denn sie wirken sich nicht (unmittelbar) auf die Funktionalität des durch die Nutzerin oder den Nutzer gewünschten Telemediendienstes aus.
– Die wirtschaftliche Erforderlichkeit von Cookies (häufig bei nichtöffentlichen Stellen: statistische Datenerhebung zur Abrechnung von Provisionen gegenüber Werbetreibenden) vermag die technische Erforderlichkeit des § 25 Abs. 2 Nr. 2 TTDSG nicht zu begründen.

https://www.datenschutz-bayern.de/datenschutzreform2018/OH_TTDSG_Telemedien.pdf, S23

Da wir aus verschiedenen Gründen nicht auf die Analyse der Websites verzichten können, ist es daher unumgänglich, dass wir nunmehr leider doch sogenannte „Consent-Banner“ einsetzen müssen.
Und zwar auf allen Websites,

  • die eine Analyse nutzen, sei es mit Siteimprove oder eines anderen Werkzeugs wie einer lokalen Matamo-Installation
  • auf allen Websites, die Daten von fremden Websites laden, wie beispielsweise Videos von YouTube, Slides von Slideshare, Kurznachrichten von Twitter oder Instagram usw.