Barrierefreiheit Kommentar Webworking

Consent-Banner: Negativbeispiel gesetze-bayern.de

Screenshot der Startseite www.gesetze-bayern.de. Man sieht die Website, die mit einem Consent-Banner überlagert wird, der um Zustimmung bittet.
Screenshot Startseite www.gesetze.bayern.de (05.08.2022)

Wie man ein Consent Banner nicht machen sollte, sieht man zum Beispiel auf der Website www.gesetze-bayern.de:

Die Fehler sind eigentlich offensichtlich, wenn man als verantwortlicher Sitebetreiber das Banner mal getestet hätte, statt einfach blind einer Kauflösung zu vertrauen.
Ein Fehler kann man ohne jegliches Fachwissen erkennen:

Der Banner schreibt:

Weitere Informationen erhalten Sie zudem in unserer Datenschutzerklärung.

Wenn ich aber nun erstmal in der Erklärung lesen wollte, was hier getan wird, bevor ich zustimme, dann passiert genau was?

Screenshot der Datenschutzseite mit dem Consent Banner. Man kann den Text der Datenschutzerklärung nicht lesen, bevor man der Erklärung zustimmt.
Screenshot Seite Datenschutzerklärung mit Consent Banner

Der Consent Banner wird mir auch vor der Datenschutzerklärung präsentiert. Ich kann den Text der Datenschutzerklärung, also den Text in dem ausführlich steht, wozu ich da eigentlich zustimme, nicht lesen, bevor ich zugestimmt hab!
Diese Tatsache hätte jedem, der für diese Site zuständig ist und ein Mindestmaß an Sorgfalt an den Tag legt auffallen müssen.

Was gibt es noch für Fehler?

Legen Sie mal Ihre Maus beiseite.
Können Sie irgendeinen der Buttons bedienen? Zustimmen? Ablehnen?
Warum sieht man im HTML: Der Button wurde unzureichend definiert und wird nur via JavaScript angesteuert.

Auch gibt es nicht nur die zwei Rechtstextseite Impressum und Datenschutz. Es gibt auch die Barrierefreiheitserklärung. Auch diese muss vorhanden und selbstredend: -barrierefrei- zugänglich sein.

(Ergänzender Hinweis: Siehe dazu auch unten das Addendum 2).

Was zur nächsten Frage führt: Hat die Website eigentlich eine Barrierefreiheitserklärung? Und ja, sie hat eine. Hier: www.gesetze-bayern.de/Content/Document/Barrierefreiheit.

Das Screenshot zeigt die Seite der Barrierefreiheitserklärung
Barrierefreiheitserklärung www.gesetze-bayern.de vom 05.08.2022

Aber… moment mal..
Stand: 07. Dezember 2020?

Davor steht noch:

Diese Internetseite wird aktuell überarbeitet, um die Anforderungen der BayEgovV noch besser umzusetzen. Nach dem Relaunch wird ein BITV/WCAG-Test erfolgen.

Seit 2 Jahre in diesem Status? Da wird aber lange überarbeitet. Ob das glaubhaft ist?

 
Aber zurück zum Consent Banner.

Obwohl ich nicht zustimmte, wird bei jedem Seitenaufruf u.a. diese Fremdressource eingebunden:
https://app.usercentrics.eu/session/1px.png?settingsId=QCBvuTuU

Das Screenshot zeigt eine Seite von gesetze-bayern.de. Man sieht dabei auch den Netzwerktraffik in einem Fenster des Browser. Hier sieht man, dass eine externe Bilddatei geladen werden soll.
Netzwerkverbindungen auf der Datenschutzseite von gesetze-bayern.de am 05.08.2022

Wofür nochmal sollte ein Consent Banner helfen? Was sollte es verhindern?

Laut Datenschutzerklärung ist die Nutzung des Banners von Usercentrics Teil eines Datenverarbeitungsvertrags. Und es speichert auch 3 Datensätze im Local Store.
Das ist korrekt, wie auch der Browser-Inspector zeigt.

Aber die Datenschutzerklärung gibt weder Auskunft über das Laden einer URL mit dem unscheinbaren Namen:

https://app.usercentrics.eu/session/1px.png?settingsId=QCBvuTuU

Noch hab ich dem zugestimmt.

Wenn ich diese 1px.png lade, fordere ich dabei nicht irgendein Bildchen allein an. Hier wird auch noch ein Parameter übergeben. Mit dem String

?settingsId=QCBvuTuU

.
Lassen wir mal dahingestellt, wie sich die Id berechnet.

Interessanter finde ich die Rückgabe-Header.

Screenshot mit der Netzverbindung zu der genannten Pixelgrafik. Werte wie folgt.
Antwortkopfzeilen der Pixelgrafik am 05.08.2022

Hieraus ein Auszug:

x-goog-generation
	1588928773413784
x-goog-hash
	crc32c=pFwm0Q==
x-goog-hash
	md5=NwKtpzuJUQF7hFHL1qllIw==
x-goog-metageneration
	1
x-goog-storage-class
	STANDARD
x-goog-stored-content-encoding
	gzip
x-goog-stored-content-length
	522
x-guploader-uploadid
	ADPycdvBELMMHtGRzXe... usw.

Hm… „x-goog“ …Hört sich an wie?

Genau. „X-GUploader-UploadID“ ist die Google Uploader ID.

Also um es mal festzuhalten.

  1. Wir haben hier ein vermeintliches Consent Banner.
  2. Welches den Besucher nach Zustimmung fragt.
  3. Aber nur jene Besucher, die den Consent Banner erkennen und mit einer Maus bedienen können.
  4. Welches die Datenschutzerklärung nicht lesen läßt, bevor man ihr zustimmte.
  5. Das ungefragt ein Bild von einer fremden Website läd.
  6. Und den Besucher dabei offenbar einer Google Id zuordnet.

Es gibt sicherlich eine gute Erklärung für das ganze. Und man soll die Kirche natürlich im Dorf lassen. Natürlich wird hier kein böser Überwacher im Hintergrund jeden Zugriff monitoren und/oder meine Daten verkaufen. Hoffe ich mal so.

Gleichwohl sag ich: Eine Vorbild sähe anders aus.

Wer eine gute Erläuterung über die korrekte Ausgestaltung von Consent-Banner sucht, findet diese bei der Datenschutzbehörde des Landes Baden-Württemberg. Diese hat zu der Thematik der Consent-Banner eine FAQ bereitgestellt.

Addendum
Wer aus Versehen (wozu es in diesem Internet ja durchaus mal kommen könnte) davon ausgeht, daß der Webauftritt auch ohne den Prefix www aufrufbar wäre, kann übrigens folgende Meldung erhalten:

Screenshot einer Browsermeldung in der davor warnt, die Website zu besuchen, da das Zertifikat ungültig sei
Zertifikatswarnung beim Aufruf gesetze-bayern.de am 05.08.2022

Addendum 2

Hinsichtlich der Barrierefreiheit des Consent Banner wurde ich etwas stutzig, als ich auf der Website des Herstellers sah, daß diese gerade die Barrierefreiheit des Consent Banners hervorhob.
Und tatsächlich: Auf der Website des Herstellers Usercentrics ist der dortige Consent Banner auch ohne Maus und ohne Touch rein mit der Tatstaur zugänglich und nutzbar.
Auch ist auf der Seite des Herstellers kein Consent Banner zu sehen, wenn man dort die Datenschutzerklärung lesen will.
(Lediglich das Trackingpixel ist auch dort eingebaut. Aber auch auf dieses wird dort in der Datenschutzerklärung -wenn auch indirekt- hingewiesen unter Nennung der Tracking-Technologien „Web Beacons/Gifs“).

Die Mängel der Website gesetze-bayern.de in Bezug auf die Barrierefreiheit und Datenschutz könnten daher auf eine veraltete Version zurückgehen oder eine unzureichende Portierung auf das dort verwendete CMS.

Das macht die Situation natürlich nicht besser. In dem Fall einer schlechten Contentpflege, wozu auch das Updaten gehört, kann man aber Usercentrics kein Vorwuf machen.

Addendum 3 (Update vom 09.09.2022)

Zeitgleich mit dem Blogbeitrag informierte ich übrigens die zuständige Datenschutzbeauftragte. Von dieser erhielt ich am 16. August die Bestätigung der Mail:

Sehr geehrter Herr Wiese,

vielen Dank für Ihre Mail. Ihre Hinweise haben wir zur Kenntnis genommen und unserem Dienstleister mitgeteilt. Wir bitten um Verständnis, dass die Prüfung und etwaige Überarbeitung einige Zeit in Anspruch nehmen kann.

Mit freundlichen Grüßen

Stellvertretende behördliche Datenschutzbeauftragte

Bayerische Staatskanzlei

Ich harre daher der Dinge, die da kommen werden.
Hinsichtlich der mangelnden Barrierefreiheit erwäge ich aber, falls sich nichts tut ab Ende September (6 Wochen nach meiner Meldung) auch noch einen Antrag auf Prüfung der Einhaltung der Anforderungen an die Barrierefreiheit durch die Durchsetzungs- und Überwachungsstelle für barrierefreie Informationstechnik zu beantragen.