:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/8a/c9/8ac992219c3dea0e3a61db00f9cf4a94/0114320983.jpeg "Bundesinnenministerin Nancy Faeser (SPD) möchte unabhängig vom Spionage-Thema auch eine zu große Abhängigkeit von chinesischen 5G-Komponenten verhindern. (Bild: Artinun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/4d/df4dddc448214d8fcc5545d729fc566d/0114322223.jpeg "Digitale Identitäten können den Zugang in die digitale Welt erleichtern und auch Gegenstände identifizierbar machen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Best Practices zur Umsetzung der DSGVO Was bei Cookie-Bannern immer noch falsch gemacht wird
Für viele Internetnutzer sind Cookie-Banner ein Ärgernis, weil sie als störend empfunden werden. Doch auch aus Datenschutz-Sicht besteht Grund zur Kritik, denn viele Cookie-Banner sind weiterhin fehlerhaft, wenn es darum geht, eine informierte Einwilligung einzuholen. Die Aufsichtsbehörden haben nochmals Hinweise veröffentlicht, aus denen sich auch die Fehler ableiten lassen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
Der Bundesdatenschutzbeauftragte bezeichnete die Rechtslage bei Cookies im Internet als verwirrend, und viele Webseitenbetreiber und Internetnutzer werden ihm Recht geben. Der Grund: Das deutsche Telemediengesetz (TMG) und die geltende europäische e-Privacy-Richtlinie machen unterschiedliche Vorgaben. Das Ergebnis dieser Unsicherheit ist eine Flut von Cookie-Bannern, die die Nutzer verärgern. Der Bundesdatenschutzbeauftragte weist seit Jahren auf diesen Missstand hin, beispielsweise in seinen jährlichen Tätigkeitsberichten.
Vieles im Online-Datenschutz ist im Fluss: Die datenschutzrechtlichen Regelungen aus dem Telekommunikationsgesetz (TKG) und dem TMG sollen in ein sogenanntes Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) münden, ein neuer, widersprüchlicher Entwurf für die ePrivacy-Verordnung stiftet zusätzliche Verwirrung.
Das bedeutet aber nicht, dass man nun die korrekte Umsetzung einer informierten Einwilligung bei Cookies einstweilen aussitzen könnte. So haben mehrere Aufsichtsbehörden für den Datenschutz nochmals Hinweise zur richtigen Umsetzung der Cookie-Banner veröffentlicht.
Aufsichtsbehörden geben Hinweise zu Cookie-Bannern
Wenn Website-Betreiber auf ihren Seiten personenbezogene Daten sammeln und verarbeiten wollen, benötigen sie eine datenschutzrechtliche Einwilligung der Nutzerinnen und Nutzer. Um die Zustimmung einzuholen, kommen meist sogenannte Consent-Layer zum Einsatz, die oftmals auch als Consent-Banner oder Cookie-Banner bezeichnet werden, sagt zum Beispiel der Sächsische Datenschutzbeauftragte.
Sowohl für die Verwendung von Cookies als auch generell für die Einbindung von Drittdienstleistern auf Webseiten (wie Analyse-, Marketing-, Tracking-, Karten-, Wetter-, Chat-, Video-, Bildoptimierungs-, Push-Nachrichten- und Umfrage-Dienste) ist eine datenschutzrechtliche Einwilligung der Seitennutzerinnen und -nutzer erforderlich, betont die Landesbeauftragte für den Datenschutz Niedersachsen. Vor der Geltung der Datenschutz-Grundverordnung (DSGVO) wurden überwiegend einfache Cookie-Banner auf Webseiten eingesetzt, durch die User in der Regel über den Einsatz von Cookies lediglich informiert wurden, eine Entscheidung für oder gegen Cookies war meist nicht möglich, so die Aufsichtsbehörde.
Mittlerweile finden sich vermehrt aufwändige Consent-Fenster, die Nutzerinnen und Nutzern erstens detaillierte Informationen über den Einsatz von Cookies und die Einbindung von Drittdiensten und zweitens echte Entscheidungs- und Wahlmöglichkeiten geben (sollen). Entsprechend aufwändiger ist die Gestaltung und die Umsetzung von Consent-Layern geworden.
Offensichtlich werden dabei aber immer noch Fehler gemacht, wie jeder Internetnutzer in kurzer Zeit selbst feststellen kann, wenn man einige Webseiten nacheinander besucht.
Die größten Fehler bei Cookie-Bannern
Die Anforderungen an eine informierte Einwilligung nach Datenschutz-Grundverordnung (DSGVO) sind hoch und vielfältig, und es versteht sich, dass auch und gerade bei Cookies keine Abstriche daran gemacht dürfen. Die laufende Diskussion, was denn nach dem Ende der Third-Party-Cookies, also den Cookies von Drittanbietern wie Werbenetzwerken, für eine zielgruppengerechte Werbung und für das Online-Tracking genutzt werden kann, zeigt, wie wichtig Cookies auch dazu sind, Nutzerdaten zu sammeln.
Betrachtet man nun die aktuellen Hinweise der Aufsichtsbehörden zum richtigen Aufbau von Cookie-Bannern, findet man schnell Punkte, die einem als Internetnutzer weiterhin auffallen, wenn plötzlich Cookie-Banner erscheinen. Tatsächlich werden weiterhin Fehler begangen, die von den Aufsichtsbehörden als Verletzung gewertet werden könnten und somit auch Sanktionen nach sich ziehen können.
An dieser Stelle sollen einige Beispiele diskutiert werden, die sich aus den Hinweisen der Aufsichtsbehörden ableiten lassen. Man kann auch sagen, welche groben Fehler weiterhin bei Webseiten zu beobachten sind:
- Zeitpunkt der Einwilligung: Eine Einwilligung muss vor der Datenverarbeitung erteilt werden, also vor dem Setzen der Cookies und nicht etwa danach. Die einwilligungsbedürftigen Cookies dürfen erst dann gesetzt werden, wenn der Nutzer dem auch zugestimmt hat.
- Informiertheit der Einwilligung: Die Verarbeitungszwecke müssen konkret beschrieben werden. Häufig finden sich Formulierungen, dass Cookies eingesetzt würden, um „für Sie die Webseite optimal zu gestalten und zu verbessern“, „Ihr Surferlebnis zu verbessern“, „Webanalyse und Werbemaßnahmen durchzuführen“ und „Marketing, Analytics und Personalisierung“zu ermöglichen. Solche Formulierungen sind nicht ausreichend, wie die Aufsichtsbehörden betonen.
- Eindeutige bestätigende Handlung: Es finden sich beispielsweise immer noch Consent-Banner mit lediglich einem „Okay-Button“. Auch die Bezeichnungen „Zustimmen“, „Ich willige ein“ oder „Akzeptieren“ können im Einzelfall nicht ausreichend sein, wenn aus dem Informationstext nicht eindeutig hervorgeht, wozu konkret die Einwilligung erteilt wird.
- Nudging verboten: Nudging bezeichnet Techniken, durch die das Verhalten der Nutzer beeinflusst werden soll. Im Zusammenhang mit dem Consent-Layer auf Webseiten wird Nudging eingesetzt, um den User zur Abgabe einer Einwilligung zu „schubsen“: Beispielsweise ist in Consent-Fenstern die „Zustimmen"-Option oft im Vergleich zur „Ablehnen"-Option auffälliger gestaltet.
- Umsetzung Widerruf der Einwilligung: Sofern ein Consent-Fenster eingesetzt wird, sollte dem Nutzer eine leicht auffindbare Möglichkeit gegeben werden, dieses jederzeit wieder öffnen und seine zuvor vorgenommenen Einstellungen ändern zu können. Der Widerruf muss genauso einfach zu tätigen sein wie zuvor die Einwilligung.
Achtung: Nicht einfach jeder Consent-Management-Plattform vertrauen
Zu den Hinweisen der Aufsichtsbehörden gehört es auch, dass man bei den „Werbeversprechen von Consent-Tools“ Vorsicht walten lassen sollte. Dazu die Landesbeauftragte für den Datenschutz Niedersachsen: „Zur Implementierung einer umfassenden Einwilligungslösung werden zunehmend Consent-Management-Tools eingesetzt, die von zahlreichen Firmen angeboten werden. Diese werben häufig damit, dass mit dem Einsatz ihres Tools datenschutzkonforme oder DSGVO-konforme Einwilligungen auf der Webseite eingeholt werden“.
Die Landesbeauftragte erklärt weiter: „Diese Werbeversprechen sind allerdings mit Vorsicht zu genießen. Zutreffend ist, dass der Einsatz eines Consent-Management-Tools es in der Regel ermöglichen kann, dass auf der Webseite datenschutzkonforme Einwilligungen eingeholt und die erteilten oder verweigerten Einwilligungen der Nutzer individuell berücksichtigt werden.“
Es folgt aber noch eine wichtige Einschränkung: „Allerdings hängt dies maßgeblich vom konkreten Einsatz des Tools ab. Der Betreiber der Webseite hat zahlreiche Konfigurationsmöglichkeiten, so dass nur durch den Einsatz des Consent-Tools keinesfalls automatisch datenschutzkonforme Einwilligungen eingeholt werden.“
Also sollten auch die Unternehmen, die ein entsprechendes Tool nutzen, nochmals genau schauen, ob sie nicht trotzdem einen der genannten oder andere Fehler bei der Umsetzung von Cookie-Bannern begehen.
(ID:47536043)
:quality(80)/p7i.vogel.de/wcms/09/e1/09e137276ddb42814b7f681b0a325ce4/0109649440.jpeg "Datenschutz bei Websites lässt sich nicht nur auf die Cookie-Problematik reduzieren. Das Thema ist so vielschichtig wie auch die Gestaltung und der Betrieb von Webseiten. (Bild: Rutmer - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/cd/f7cd3768129b81550fc8cd5dd090134f/0105253425.jpeg "Newsletter gehören meist zum wichtigsten Kanal in der Kundenkommunikation; dennoch müssen Unternehmen beim Versand die Datenschutzvorgaben der DSGVO beachten. (Bild: Production Perig - stock.adobe.com)")