Geht es nach Google, Facebook und Co, sind die Consent Banner ein notwendiges Übel, aber mit Standardvertragsklauseln und der ein oder anderen Minimal-Maßnahme wie die (nicht kontrollierbare) IP Anonymisierung völlig ausreichend. Geht es nach Datenschützern wie Max Schrems, ist eine datenschutzkonforme Webanalyse, so wie Webanalyse heute verstanden wird, faktisch illegal. Das wurde ihm schon mehrfach höchstrichterlich bestätigt. Zuletzt in einem EuGh-Urteil, das als Schrems II bekannt ist.
Allerorten mahlen die Mühlen des Rechts, damit diese Auslegung der DSGVO auch in der Breite Anwendung finden. Hier für Dich einige Meldungen was dazu in den letzten Wochen passiert ist:
Österreichs Datenschutzbehörde stellt fest: Google Analytics Einsatz verstößt generell gegen DSGVO, wegen der Datenübertragung in die USA - auch mit Consent. Mehr dazu bei Heise oder bei noyb/Max Schrems. Google hat in dem Zusammenhang gerade einen Blog Post veröffentlicht, der Google Analytics in besseres Licht rücken soll. Der hat allerdings bei genauer Betrachtung wenig inhaltliche Substanz. Gleichzeitig beschäftigen sich auch andere Europäische Datenschützer mit dem Thema. Soweit ich Google Translate mir weitergeholfen hat, sind zum Beispiel niederländische Datenschützer auch gerade damit befasst.
Das kommt wenige Wochen nach einem Richterspruch, der die generelle Datenübertragung an US-Firmen schon bei übermittlung der IP Adresse in Frage stellt. Vorerst nur ein Urteil eines Eilverfahrens. Aber Datenschützer mit einem feinen Sinn für Ironie haben hier die Einbindungen des Consent-Banners selbst als nicht DSGVO-konform angezeigt. Würde das Hauptverfahren den bemängelten Punkt exakt so bestätigen, wäre das übertragen einer IP Adresse (also de facto jeder HTTP-Request) an Server eines amerikanischen Unternehmens (oder auch Tochterunternehmen eines amerikanischen Konzerns) problematisch. Das würde dezent über das Thema Tracking hinaus wirken und beispielsweise CDNs, Cloud-Servern wie AWS oder das Laden eines Bildes (wie Werbebanner) oder auch nur einer Webfont betreffen. Vermutlich wird eine endgültiges Urteil hier also etwas differenzierter ausfallen.
Außerdem haben Google und Facebook Millionenstrafen kassiert, weil ihre Cookie-Banner zu unübersichtlich sind, berichtet zum Beispiel Netzpolitik.org. Währenddessen wurde aber auch das EU-Parlament in Brüssel gerügt, weil die anmeldeseite für die Covid-Testzentren der Parlamentarier nicht besser sind (mehr dazu bei TechCrunch oder der Datenschutzinitiative noyb). Dabei hat die EU ein eigens entwickeltes, datenschutzkonformes Tracking auf Basis von Matomo: Europa Analytics.
Die DSGVO ist jetzt fast sechs Jahre alt (gefühlt natürlich nur vier Jahre, da sie erst nach Ende der Schonfrist Mai 2018 wirkliche Beachtung fand) aber was sie genau bedeutet ist noch längst nicht klar.