Consent-Banner: Negativbeispiel gesetze-bayern.de

Wie man ein Consent Banner nicht machen sollte, sieht man zum Beispiel auf der Website www.gesetze-bayern.de:

(Siehe dazu auch unten die Aktualisierungen deses Artikels: Addendum 2, Addendum 3 vom 9.9.2022 und Addendum 4 vom 11.11.2022).

Die Fehler sind eigentlich offensichtlich, wenn man als verantwortlicher Sitebetreiber das Banner mal getestet hätte, statt einfach blind einer Kauflösung zu vertrauen.
Ein Fehler kann man ohne jegliches Fachwissen erkennen:

Das Banner schreibt:

Weitere Informationen erhalten Sie zudem in unserer Datenschutzerklärung.

Wenn ich aber nun erstmal in der Erklärung lesen wollte, was hier getan wird, bevor ich zustimme, dann passiert genau was?

Screenshot der Datenschutzseite mit dem Consent Banner. Man kann den Text der Datenschutzerklärung nicht lesen, bevor man der Erklärung zustimmt.
Screenshot Seite Datenschutzerklärung mit Consent Banner

Das Consent Banner wird mir auch vor der Datenschutzerklärung präsentiert. Ich kann den Text der Datenschutzerklärung, also den Text in dem ausführlich steht, wozu ich da eigentlich zustimme, nicht lesen, bevor ich zugestimmt hab!
Diese Tatsache hätte jedem, der für diese Site zuständig ist und ein Mindestmaß an Sorgfalt an den Tag legt auffallen müssen.

Was gibt es noch für Fehler?

Legen Sie mal Ihre Maus beiseite.
Können Sie irgendeinen der Buttons bedienen? Zustimmen? Ablehnen?
Warum sieht man im HTML: Der Button wurde unzureichend definiert und wird nur via JavaScript angesteuert.

Auch gibt es nicht nur die zwei Rechtstextseiten Impressum und Datenschutz. Es gibt auch die Barrierefreiheitserklärung. Auch diese muss vorhanden und selbstredend barrierefrei zugänglich sein.

Was zur nächsten Frage führt: Hat die Website eigentlich eine Barrierefreiheitserklärung? Und ja, sie hat eine. Hier: www.gesetze-bayern.de/Content/Document/Barrierefreiheit.

Das Screenshot zeigt die Seite der Barrierefreiheitserklärung
Barrierefreiheitserklärung www.gesetze-bayern.de vom 05.08.2022

Aber… moment mal..
Stand: 07. Dezember 2020?

Davor steht noch:

Diese Internetseite wird aktuell überarbeitet, um die Anforderungen der BayEgovV noch besser umzusetzen. Nach dem Relaunch wird ein BITV/WCAG-Test erfolgen.

Seit 2 Jahre in diesem Status? Da wird aber lange überarbeitet. Ob das glaubhaft ist?

 
Aber zurück zum Consent Banner.

Obwohl ich nicht zustimmte, wird bei jedem Seitenaufruf u.a. diese Fremdressource eingebunden:
https://app.usercentrics.eu/session/1px.png?settingsId=QCBvuTuU

Das Screenshot zeigt eine Seite von gesetze-bayern.de. Man sieht dabei auch den Netzwerktraffik in einem Fenster des Browser. Hier sieht man, dass eine externe Bilddatei geladen werden soll.
Netzwerkverbindungen auf der Datenschutzseite von gesetze-bayern.de am 05.08.2022

Wofür nochmal sollte ein Consent Banner helfen? Was sollte es verhindern?

Laut Datenschutzerklärung ist die Nutzung des Banners von Usercentrics Teil eines Datenverarbeitungsvertrags. Und es speichert auch 3 Datensätze im Local Store.
Das ist korrekt, wie auch der Browser-Inspector zeigt.

Aber die Datenschutzerklärung gibt weder Auskunft über das Laden einer URL mit dem unscheinbaren Namen:

https://app.usercentrics.eu/session/1px.png?settingsId=QCBvuTuU

Noch hab ich dem zugestimmt.

Wenn ich diese 1px.png lade, fordere ich dabei nicht irgendein Bildchen allein an. Hier wird auch noch ein Parameter übergeben. Mit dem String

?settingsId=QCBvuTuU

.
Lassen wir mal dahingestellt, wie sich die Id berechnet.

Interessanter finde ich die Rückgabe-Header.

Screenshot mit der Netzverbindung zu der genannten Pixelgrafik. Werte wie folgt.
Antwortkopfzeilen der Pixelgrafik am 05.08.2022

Hieraus ein Auszug:

x-goog-generation
	1588928773413784
x-goog-hash
	crc32c=pFwm0Q==
x-goog-hash
	md5=NwKtpzuJUQF7hFHL1qllIw==
x-goog-metageneration
	1
x-goog-storage-class
	STANDARD
x-goog-stored-content-encoding
	gzip
x-goog-stored-content-length
	522
x-guploader-uploadid
	ADPycdvBELMMHtGRzXe... usw.

Hm… „x-goog“ …Hört sich an wie?

Genau. „X-GUploader-UploadID“ ist die Google Uploader ID.

Also um es mal festzuhalten.

  1. Wir haben hier ein vermeintliches Consent Banner.
  2. Welches den Besucher nach Zustimmung fragt.
  3. Aber nur jene Besucher, die den Consent Banner erkennen und mit einer Maus bedienen können.
  4. Welches die Datenschutzerklärung nicht lesen läßt, bevor man ihr zustimmte.
  5. Das ungefragt ein Bild von einer fremden Website läd.
  6. Und den Besucher dabei offenbar einer Google Id zuordnet.

Es gibt sicherlich eine gute Erklärung für das ganze. Und man soll die Kirche natürlich im Dorf lassen. Natürlich wird hier kein böser Überwacher im Hintergrund jeden Zugriff monitoren und/oder meine Daten verkaufen. Hoffe ich mal so.

Gleichwohl sag ich: Eine Vorbild sähe anders aus.

Wer eine gute Erläuterung über die korrekte Ausgestaltung von Consent-Banner sucht, findet diese bei der Datenschutzbehörde des Landes Baden-Württemberg. Diese hat zu der Thematik der Consent-Banner eine FAQ bereitgestellt.

Addendum
Wer aus Versehen (wozu es in diesem Internet ja durchaus mal kommen könnte) davon ausgeht, daß der Webauftritt auch ohne den Prefix www aufrufbar wäre, kann übrigens folgende Meldung erhalten:

Screenshot einer Browsermeldung in der davor warnt, die Website zu besuchen, da das Zertifikat ungültig sei
Zertifikatswarnung beim Aufruf gesetze-bayern.de am 05.08.2022

Addendum 2

Hinsichtlich der Barrierefreiheit des Consent Banner wurde ich etwas stutzig, als ich auf der Website des Herstellers sah, daß diese gerade die Barrierefreiheit des Consent Banners hervorhob.
Und tatsächlich: Auf der Website des Herstellers Usercentrics ist der dortige Consent Banner auch ohne Maus und ohne Touch rein mit der Tatstaur zugänglich und nutzbar.
Auch ist auf der Seite des Herstellers kein Consent Banner zu sehen, wenn man dort die Datenschutzerklärung lesen will.
(Lediglich das Trackingpixel ist auch dort eingebaut. Aber auch auf dieses wird dort in der Datenschutzerklärung -wenn auch indirekt- hingewiesen unter Nennung der Tracking-Technologien „Web Beacons/Gifs“).

Die Mängel der Website gesetze-bayern.de in Bezug auf die Barrierefreiheit und Datenschutz könnten daher auf eine veraltete Version zurückgehen oder eine unzureichende Portierung auf das dort verwendete CMS.

Das macht die Situation natürlich nicht besser. In dem Fall einer schlechten Contentpflege, wozu auch das Updaten gehört, kann man aber Usercentrics kein Vorwuf machen.

Addendum 3 (Update vom 09.09.2022)

Zeitgleich mit dem Blogbeitrag informierte ich übrigens die zuständige Datenschutzbeauftragte. Von dieser erhielt ich am 16. August die Bestätigung der Mail:

Sehr geehrter Herr Wiese,

vielen Dank für Ihre Mail. Ihre Hinweise haben wir zur Kenntnis genommen und unserem Dienstleister mitgeteilt. Wir bitten um Verständnis, dass die Prüfung und etwaige Überarbeitung einige Zeit in Anspruch nehmen kann.

Mit freundlichen Grüßen

Stellvertretende behördliche Datenschutzbeauftragte

Bayerische Staatskanzlei

Ich harre daher der Dinge, die da kommen werden.
Hinsichtlich der mangelnden Barrierefreiheit erwäge ich aber, falls sich nichts tut ab Ende September (6 Wochen nach meiner Meldung) auch noch einen Antrag auf Prüfung der Einhaltung der Anforderungen an die Barrierefreiheit durch die Durchsetzungs- und Überwachungsstelle für barrierefreie Informationstechnik zu beantragen.

Addendum 4 (Update vom 11.11.2022)

Ich erhielt nunmehr Rückmeldung der Datenschutzbeauftragten der Bayerische Staatskanzlei zur Sache.
Laut der Mail hat der Dienstleister Überarbeitungen vorgenommen, die nunmehr abgeschlossen seien.

Eingehend erhielt ich folgende Stellungnahme zu den einzelnen Punkten:

Zu 1.):
Es ist richtig, dass die Datenschutzerklärung nicht ohne Bestätigung des Consent gelesen werden kann. Das Consent von Usercentrics lässt diesbezüglich keine andere Möglichkeit zu, als vorab das Setzen der Cookies abzulehnen oder zuzustimmen. Sodann kann die Datenschutzerklärung eingesehen werden. Dies erscheint auch zumutbar, denn erst mit der Ablehnung oder auch mit der Zustimmung wird der Inhalt der Webseite, unabhängig ob es sich um die Datenschutzerklärung, das Impressum oder Gesetze handelt, für die Nutzung freigegeben.

Ob es zumutbar ist, dass man vor Zustimmung oder Ablehnung eines Consent-Banners die darin verlinkte Datenschutzerklärung nicht lesen kann, kann durchaus diskutabel sein.
Fakt ist aber, dass es andere Consent Banner gibt, die es auch ohne diese Zumutung erlauben.

In der Orientierungshilfe für Anbieter von Telemedien der Datenschutzkonferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder wurde diese Zumutung abgelehnt. Hier wird im Kaitel Hinweis: „Cookie-Banner“ & „Consent-Tools“ folgendes festgehalten (Seite 10):

Während das Banner angezeigt wird, werden zunächst alle weitergehenden Skripte einer Website oder einer Web-App, die potenziell Nutzerdaten erfassen, blockiert. Der Zugriff auf Impressum und Datenschutzerklärung darf durch „Cookie-Banner“ nicht verhindert werden.

Weiter schreibt die Datenschutzbeauftragte der Staatskanzlei:

Zu 2.):
Das von Ihnen monierte 1×1 Pixel, welches von Usercentrics gesetzt wird, ist nunmehr auch im Consent zu finden. Ergänzend ist mitzuteilen, dass dieses Pixel lediglich zur Session-(Nach-)Berechnung, nicht aber zu sonstigen Zwecken verwendet wird oder gar Fingerprinting mit den Daten stattfindet.

Es spielt keine Rolle, wozu der Pixel verwendet wird, denn er wird nicht zur Erbringung der Dienstleistung benötigt. Dies kann leicht belegt werden, wenn man einen Adblocker im Browser installiert, der dieses „Pixel“ ablehnt. Denn auch dann funktioniert der Consent Banner. Dementwprechend halt ich dieses Argument nicht für glaubhaft.
Erschwert wird der „Glauben“ an dieser Behauptung darin, dass bei einem zugelassenen Aufruf dieses Pixels weiterhin die Google Uploader Id im Antwort-Header mit übertragen wird.

So liefert der Aufruf aktuell auf dieses Pixel mit der URL
https://app.usercentrics.eu/session/1px.png?settingsId=fyxvNFVrU
die folgenden Antwort-Header:

accept-ranges
	bytes
age
	1545
alt-svc
	h3=":443"; ma=2592000,h3-29=":443"; ma=2592000
cache-control
	public,max-age=1800,no-transform
content-encoding
	gzip
content-length
	522
content-type
	image/png
date
	Fri, 11 Nov 2022 17:57:24 GMT
etag
	"3702ada73b8951017b8451cbd6a96523"
expires
	Fri, 11 Nov 2022 18:27:24 GMT
last-modified
	Fri, 08 May 2020 09:06:13 GMT
server
	UploadServer
strict-transport-security
	max-age=7776000
x-goog-generation
	1588928773413784
x-goog-hash
	crc32c=pFwm0Q==
x-goog-hash
	md5=NwKtpzuJUQF7hFHL1qllIw==
x-goog-metageneration
	1
x-goog-storage-class
	STANDARD
x-goog-stored-content-encoding
	gzip
x-goog-stored-content-length
	522
x-guploader-uploadid
	ADPycduHbxLoi235-TFP5L-C4WgFTH4snUf68XJBH4f5x....

Hier hat sich offenbar nichts geändert.

Und weiter:

Zu 3.):
Bezüglich der Barrierefreiheit kann ich Ihnen mitteilen, dass ein zwischenzeitlich von Usercentrics zur Verfügung gestelltes Update des Cookie-Consent implementiert wurde. Mit dieser neuen Version konnte unter anderem die Tastatursteuerung erheblich verbessert werden.

Was allerdings keinen Eingang in der Barrierefreiheitserklärung nahm. Diese datiert nach wie auf den 07. Dezember 2020.

Zudem stellt sich die Frage, was „erheblich“ bedeutet? Barrierefreiheit basiert auf eine EU Norm und ist definierbar. Die WCAG 2.1 definiert ziemlich genau, ob eine Website die Barrierefreiheit erfüllt oder nicht. Es gibt dabei keine subjektiven Zwischenstufen mehr, wie „ein halb“ erfüllt oder ein „so ein bißchen“ oder „erheblich“. Es gibt: Erfüllt oder nicht erfüllt.
Und dass die Barrierefreiheit des Consent Banners nicht erfüllt ist, kann auch ohne Fachwissen und rein oberflächlich leicht geprüft werden: Maus weglegen und versuchen die Konfiguration des Consent Banners aufzurufen.

Ich würde hier jedoch raten, einen professionellen Test durch einen neutralen und versierten Prüfer durchführen zu lassen, der oder die entweder akkreditierter Tester vom BIK-Testverbund ist oder über ein IAAP WAS-Zertifikat verfügt. Alternativ steht der Staatskanzlei ja auch sicher die Tür offen, die eigene bayerische Durchsetzungs- und Überwachungsstelle für barrierefreie Informationstechnik um eine Expertise zu bitten.
Der Glauben eines Auftraggebers an eine Agentur ist natürlich verständlich. In dieser Sache sollte man aber lieber sorgfältiger prüfen lassen. Glauben ist gut, Kontrolle ist besser.