Teil unserer Arbeit bei consentmanager ist es, zu schauen was der Markt macht. Daher haben wir einmal die Top-100 deutschen Online-Shops her genommen und geschaut wo, wann und welche Cookies gesetzt werden und was für Cookie-Banner zum Einsatz kommen. Das Ergebnis: Es herrscht Nachholbedarf.
In Spitze 80 Cookies ohne Zustimmung
Zur Analyse haben wir uns von EMI die Liste der Top 100 umsatzstärksten Onlineshops 2020 genommen und jeden Shop einzeln mit dem Chrome Browser im Inkognito-Modus aufgerufen. Unsere Erwartungshaltung war, im Schnitt vielleicht eine Handvoll Cookies auf den Seiten zu sehen – das Ergebnis der Behandlung des Datenschutzes in diesen Online-Shops war dagegen mehr als ernüchternd:
Von 100 Seiten gab es nur auf 2 Seiten keinen einzigen Cookie, dafür aber gleich auf 15 Seiten mehr als 30 Cookies – ohne auf den Zustimmungs-Button geklickt zu haben wohlgemerkt. Die (traurige) Spitze belegt ein Modehändler der ganze 80 Cookies setzt bevor der Besucher zugestimmt hat – und das obwohl auf der Seite ein Cookiebanner gezeigt wird, der die Ablehnung erlaubt. Selbst der Durchschnitt liegt mit etwa 16 Cookies (vor Zustimmung) pro Shop deutlich höher als wir erwartet hatten. Selbst wenn man den Shops zusprechen würde, dass viele Cookies vielleicht „Funktional“ und „Essentiell“ sein könnten – sind dafür wirklich 16 Cookies nötig?
Cookie Banner der Marke „Eigenbau“
Ebenfalls überrascht hat uns die Zahl der Shops die statt einer professionellen Cookie-Lösung lieber auf Eigenbau oder fertig-Skripte aus dem Internet gesetzt hat. Rund 40% der untersuchten Online-Shops hatten einen selbstgebastelten Cookie-Banner im Einsatz. Entsprechend schlecht fällt hier auch das Ergebnis aus: Nur die wenigsten waren ansatzweise DSGVO/ePrivacy konform gestaltet.
Hübsch gestaltet, aber nicht konform
Positive Beispiele gibt es leider nur wenige. Einige Shops blockieren Drittanbieter zwar vorbildlich, sind dafür aber bei der Kommunikation im Consent Layer nicht ganz vollständig. In einer Mehrzahl der Fälle fehlt es an grundlegende Informationen, etwa darüber welche Anbieter verwendet werden, welche Zwecke verfolgt werden oder welche Rechtsgrundlagen zum Einsatz kommen. Die wenigsten Shops listen tatsächlich Cookies auf und ein Großteil listet zwar Zwecke aber keine Anbieter.
Einige Webseiten geben sich zwar durchaus Mühe bei der grafischen Gestaltung – jedoch scheint viel zu oft im Vordergrund zu stehen, den Besucher darauf zu drängen auf „Akzeptieren“ zu klicken. So hat ein Musikhaus zwar einen witzig gestalteten Cookie-Banner im Einsatz, aber auch hier fehlt es an Gleichbehandlung zwischen Akzeptanz und Ablehnung:
Dass eine gleichberechtigte Darstellung von Akzeptanz und Ablehnung wichtig ist, hatte zuletzt das LG Rostock angemahnt. Allerdings: Von den 100 untersuchten Online-Shops konnten wir nur einen einzigen finden, bei dem die Ablehnung ebenso gestaltet ist wie das Akzeptieren. Bei 50 Shops gab es keine direkte Möglichkeit abzulehnen, sondern lediglich einen „Einstellungen“ Button oder Link. Ganze 8 Shops hatten zudem einen Cookie-Banner, auf dem es weder den Einstellungen- noch Ablehnen-Button bzw. Link gab.
Negativbeispiele
Unter den vielen Online-Shops gibt es vieles was richtig gemacht wird – leider aber auch viele Shops die scheinbar noch in der Vor-DSGVO-Zeit leben. Hier einige Negativbeispiele wie man es besser nicht machen sollte:
Fazit
Im Fazit enttäuscht der Deutsche Online-Handel leider doch sehr. Laut Statista hat jedes dieser Unternehmen einen Jahresumsatz von mehr als 70 Millionen EUR erwirtschaftet – gleichzeitig schaffen es aber nur eine Hand voll Online-Shops einen annähernd DSGVO-konformen Consent Layer anzuzeigen. Insofern: Liebe Online-Shops, bitte dringend den Nachholbedarf ausbessern 🙂
Wer wissen will, was ein Cookie-Banner für den Datenschutz des Online Shops mindestens beinhalten sollte, kann in unserer DSGVO-Online Shops-Checkliste einige Hinweise finden.