Für Nutzende besteht durch die Praxis der Medienunternehmen ein erhebliches Risiko. Die im Rahmen des Nutzertrackings erhobenen personenbezogenen Daten werden insbesondere zur Erstellung und Anreicherung umfassender und seitenübergreifender Persönlichkeitsprofile genutzt. Diese werden für das Onlinemarketing, insbesondere im Real Time Bidding-Verfahren (Echtzeitauktion von Werbeplätzen), eingesetzt.

Die beteiligten Landesdatenschutzbehörden wirken auf die Unternehmen in ihrem Zuständigkeitsbereich ein, um datenschutzkonforme Zustände herzustellen. Falls nötig, werden sie aufsichtsbehördliche Maßnahmen ergreifen.

Für die koordinierte Untersuchung verschickten die Behörden aus Baden-Württemberg, Brandenburg, Bremen, Hamburg, Hessen, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, dem Saarland, Sachsen und Schleswig-Holstein ab Mitte August 2020 einen gemeinsam erarbeiteten Fragebogen an Medienunternehmen in ihrer jeweiligen Zuständigkeit. Geprüft wurden nicht sämtliche Webseiten der Unternehmen, sondern deren reichweitenstärkste Angebote. Bereits vor Versendung der Fragebögen waren die ausgewählten Webseiten technisch gesichert und analysiert worden. So war ein Abgleich zwischen den Antworten der Medienunternehmen und der tatsächlichen technischen Ausgestaltung der Seiten möglich. Neben den bereits genannten Stellen beteiligte sich auch die Aufsichtsbehörde in Bayern an der inhaltlichen Auswertung der Untersuchungsergebnisse.

Auf den geprüften Medienwebseiten wird eine sehr hohe Anzahl von Cookies und Drittdiensten verwendet, die überwiegend dem Nutzertracking und der Werbefinanzierung dienen. Die Webseiten fragen zwar in der Regel differenzierte Einwilligungen der Nutzenden für die Verwendung von Cookies und Drittdiensten ab. In der Mehrheit der Fälle sind diese Einwilligungen allerdings nicht wirksam.

Im Rahmen der Prüfung wurden vor allem die folgenden Mängel festgestellt:

• Falsche Reihenfolge: Häufig werden einwilligungsbedürftige Drittdienste bereits beim Öffnen der Webseiten eingebunden und Cookies gesetzt – also noch vor der Einwilligungsabfrage.
• Fehlende Informationen: Auf der ersten Ebene der Einwilligungsbanner werden zudem nur unzureichende oder falsche Informationen über das Nutzertracking gegeben.
• Unzureichender Einwilligungsumfang: Selbst wenn Nutzende die Möglichkeit wahrnehmen, bereits auf der ersten Ebene des Einwilligungsbanners alles abzulehnen, bleiben zahlreiche Cookies und Drittdienste aktiv, die eine Einwilligung erfordern.
• Keine einfache Ablehnung: Während bei allen Einwilligungsbannern auf der ersten Ebene eine Schaltfläche vorhanden ist, mit der eine Zustimmung zu sämtlichen Cookies und Drittdiensten erteilt werden kann, fehlt auf dieser Ebene häufig eine ebenso einfache Möglichkeit, das einwilligungsbedürftige Nutzertracking in Gänze abzulehnen oder das Banner ohne Entscheidung schließen zu können.
• Manipulation der Nutzenden: Die Ausgestaltung der Einwilligungsbanner weist zahlreiche Formen des Nudging auf. Das bedeutet, Nutzende werden unterschwellig zur Abgabe einer Einwilligung gedrängt, indem die Schaltfläche für die Zustimmung beispielsweise durch eine farbliche Hervorhebung deutlich auffälliger gestaltet ist als die Schaltfläche zum Ablehnen oder indem die Verweigerung der Einwilligung unnötig verkompliziert wird.

Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, sieht Nachbesserungsbedarf bei Webseiten-Angeboten und fordert datenschutzfreundliche Voreinstellungen ein: „Das Prinzip ‚Datenschutz by Default‘ kommt in unserer Online-Welt immer noch zu kurz. Weil neben den Smartphones künftig auch Haushaltsgeräte und Autos vernetzt sein werden und sich damit die Verarbeitung personenbezogener Daten auf immer mehr Lebensbereiche ausdehnt, ist ein Umdenken nötig: Wir brauchen ein Internet, das ohne ein Datensammeln zum Nutzertracking und zur Profilbildung auskommt.“