Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Ausgesuchte Datenschutzprobleme auf Webseiten und mögliche Lösungen

0

Wer eine Webseite betreibt, steht nicht nur in der Verantwortung, sondern scheint sie oft geradezu zu suchen. Nichts ist leichter als immer die gleichen Probleme festzustellen. Die Lösungen sind oft einfach.

Einleitung

Bei der Herbsttagung einer Datenschutzgruppe in Hessen am 06.10.2021 hielt ich einen Vortrag zu ausgesuchten Datenschutzproblemen auf Webseiten. Der Vortrag fand wegen Corona noch online statt. Es waren ca. 130 Teilnehmer zugegen, darunter viele Datenschutzbeauftragte, aber auch Juristen.

Mein Anliegen war insbesondere, häufige Missverständnisse und Fehlinformationen zu beseitigen. Dazu wurden einige Grundlagen thematisiert, die oft über das hinaus gehen, was allgemein bekannt ist. Das zumindest ist der Eindruck nach Studium von tausenden Datenschutzerklärungen bzw. Datenschutzhinweisen (der erste Begriff sollte aus rechtlichen Gründen für die Pflichtinformationen gemäß Art. 13 DSGVO möglichst vermieden werden).

Grundlagen

Detailliertere Informationen zu den folgenden Begrifflichkeiten sind in verschiedenen Artikeln auf Dr. DSGVO zu finden. Ein Studium lohnt sich, wie das erste Beispiel bereits zeigt.

Relevante Konzepte

Die folgende Grafik zeigt, welche Datenverarbeitungen im Wesentlichen beim Aufruf einer Webseite stattfinden.

Wesentliche Datentransfers beim Aufruf einer Webseite, die Google Maps einbindet.

In diesem Beispiel bindet die aufgerufene Webseite den Kartendienst Google Maps ein. Dabei werden folgende Daten des Besuchers der Webseite übertragen:

  • Netzwerkadresse (IP-Adresse)
  • Cookies, die zur aufgerufenen Webseite oder zu Google Maps Domänen passen
  • Browser Fingerprint

Die Datenempfänger sind die aufgerufene Webseite und Google. Im Bild nicht dargestellt ist, dass die aufgerufenen Parteien zusätzlich Cookies erzeugen können.

Cookies

Cookies werden oft als Textdateien bezeichnet. Das ist falsch und im Prinzip sogar ganz grober Unsinn. Denn diese Angabe ist nicht nur falsch, sondern auch anmaßend und zusätzlich unproduktiv.

Ist das eine Textdatei? Auszug aus der Cookie-Datenbank auf einem Computer von Dr. DSGVO.

Der Screenshot zeigt, wie populäre Browser wie Mozilla Firefox Cookies abspeichern. Zu sehen ist ein Auszug einer von mehreren Dateien, die für die Verwaltung von Cookies durch den Browser zuständig sind.

Ein Cookie ist ein Datensatz und keine Textdatei.

Beweisbare Tatsache.

Mein Beweis zeigt detaillierter, warum Cookies keine Textdateien sind und es nie waren.

Eine weitere, nicht allzu weit verbreitete Tatsache ist, dass jeder Nutzer andere Cookies auf seinem Endgerät vorliegen hat. Das liegt daran, dass Cookies im Internet quasi unfreiwillig eingesammelt werden.

Somit sind sogenannte Cookie-Scanner im Prinzip Unsinn.

Wer Cookies als klitzeklein bezeichnet, sollte andere Tabletten nehmen.

Cookies sind nicht klitzeklein.

Vielmehr können Cookies beliebig große Datenmengen aufnehmen. Denn auch die sogenannte Local Storage oder Web Storage hat keine echte Speicherbegrenzung. Meine Recherche ergab, dass die Maximalgröße im Firefox Browser die halbe Festplattengröße ist. Ist eine Festplatte ein Terabyte groß, kann ein Cookie somit maximal 500 Gigabyte groß sein. Wer das als klein bezeichnet, ist möglicherweise Erfinder einer neuen Speichertechnologie oder kommt aus der Zukunft.

Wer Dienste nutzt, die Cookies setzen, kennt doch sicher die Zwecke dieser Cookies. Denn die Cookie-Zwecke sind gemäß Art. 13 DSGVO zu erklären. Das Cookie-Popup lässt grüßen. Schön wäre es auch, wenn eine Betroffenenanfrage gemäß Art. 15 DSGVO entsprechend beantwortet werden könnte.

Schade nur, dass Google und andere Internetkonzerne so ungern darüber reden, was sie mit den vielen Daten eigentlich machen. Wofür ein Cookie eigentlich genutzt wird, ist also oft Geheimwissen der Dienst-Anbieter.

Deshalb war ich so mutig und habe 1000 Euro aus meinem Privatvermögen für denjenigen ausgelobt, der mir konkret und nachweisbar richtig die Zwecke der Cookies nennen kann, die beim Einbinden von Google Maps in eine Webseite geladen werden.

Einige der von Google Maps geladenen Cookies.

Das Preisgeld zahle ich nur bis 10.10.2021 und nur an eine einzige Person sowie aus rechtlichen Gründen freiwillig. Es handelt sich nicht um ein Gewinnspiel, wenngleich das Erraten der Zwecke von Google-Googles einem Glücksspiel gleicht (leichte Untertreibung).

Sind Cookies personenbezogene Daten? Ich behaupte, dass Cookies personenbezogene Daten sind. Folgendes ist festzustellen:

  • Ein Cookie wird immer zusammen mit einer IP-Adresse übertragen → Personenbezug über IP-Adresse gegeben
  • Ein Cookie wird immer zusammen mit einem Fingerprint übergeben → Mindestens nahezu Personenbezug aufgrund des Fingerprints (siehe unten)
  • Ein Cookie ist mit dem Endgerät einer Person verknüpft → Personenbezug durch das Endgerät
  • Ein Cookie enthält oft potentiell eindeutige Identifikatoren → Personenbeziehbarkeit oft gegeben

Netzwerkadressen

Zu IP-Adressen ist nicht viel zu sagen. Mindestens die meisten Datenschutzexperten wissen, dass IP-Adressen in Deutschland personenbezogene Daten sind. Die Fakten sind:

  • EuGH-Urteil „Breyer“ (C-582/14 – 19.10.2016)
  • BGH-Urteil dazu (VI ZR 135/13 – 16.05.2017)
  • IP-Adressen sind in Deutschland personenbezogene Daten
  • Die objektive Möglichkeit der Identifikation einer Person reicht aus

Browser Fingerprint

Beim Abruf einer Seite im Internet oder bei Nutzung einer online App werden zwangsläufig Verkehrsdaten übertragen. Teil dieser Daten ist der digitale Fingerabdruck des Nutzers. Google besitzt übrigens mehrere Patente, um den digitalen Fingerabdruck auszunutzen.

Fiktives Beispiel eines impliziten Browser Fingerabdrucks.

Die Abbildung zeigt einen möglichen Fingerabdruck. Diese Daten werden implizit übertragen, also ohne weiteres Zutun. Ein expliziter Fingerabdruck hingegen sammelt weitere Daten, womit ein Nutzer noch besser nachverfolgt werden kann. Beispielsweise wird dabei eine Technik namens Canvas Fingerprinting eingesetzt.

Personenbezogene Daten

Die große Preisfrage lautet, was personenbezogene Daten sind. Sind dies nur Daten, die konkret auf eine offizielle Identität einer Person schließen lassen? Sind es also Daten, die den Namen oder die Anschrift einer Person ergeben können? Ich behaupte, das ist nicht so.

Vielmehr sind personenbezogene Daten vor allem auch personenbeziehbare Daten. Dies wird in Art. 4 Nr. 1 DSGVO deutlich:

„Personenbezogene Daten: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person‘) beziehen“.

Ist eine Person also über einen Datenwert identifizierbar, dann ist dieser Datenwert personenbezogen.

Auch Frau Dixon, die Chefin der irischen Datenschutzbehörde, sieht das so. Die Telefonnummer einer Person ist ein Identifikator. Eine gewisse Ähnlichkeit mit dem EuGH-Urteil „Breyer“ ist gegeben. Das sagt Helen Dixon im Fall „WhatsApp“ (Bußgeld 225 Mio. €). Ein Lossy Hash Wert ist personenbezogen wegen der Telefonnummer, obwohl die Telefonnummer nur extrem kurze Zeit im Speicher steht! Das begründet Helen Dixon in ihrem 266-seitigen Schreiben.

Opinion 4/2007 der Article 29 Woking Party, siehe https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2007/wp136_en.pdf

Personenbeziehbare Daten sind somit personenbezogene Daten. Die theoretische (faktische) Möglichkeit zur Identifikation einer Person reicht aus, um einen Personenbezug als gegeben zu sehen. Die Wahrscheinlichkeit der Identifikation ist irrelevant. Lediglich der Aufwand zur Ermittlung einer Person (Abgrenzung einer Person von anderen!?) muss tatsächlich leistbar sein.

Web Tracking ist das Identifizieren von Nutzern, also das Abgrenzen von Nutzern gegen andere Nutzer. Tracking beantwortet die Frage: Ist es Nutzer X und nicht Nutzer Y?

Hierbei ist es unwichtig, ob der aktuelle Nutzer eine ganz bestimmte Person mit einem bestimmten Namen ist. Auch bei Cambridge Analytica waren Personennamen unwichtig! Personalisierte online Werbung basiert auf namentlich nicht bekannten Personen.

Kann nicht jede Person über eine online Identifikation identifiziert werden? Schließlich wird jede Identifikation über eine IP-Adresse übertragen.

Google Tag Manager und Google Analytics

Ein Tool, welches eigentlich völlig unnötig ist. Es hilft vor allem Google, mehr Daten zu sammeln. Viele nutzen den GTM, weil sie nicht programmieren können und keinen Programmierer finden oder suchen wollen. Das wäre auch in Ordnung, wenn der GTM nicht komplett unbeherrschbar erscheinen würde.

Die Fakten in Kürze:

Damit der GTM auch von denen genutzt wird, die ihn gar nicht nutzen wollen, wird Google Analytics so angeboten, dass der GTM fast zwangsweise mit installiert wird.

Google Analytics wird in der Standardauslieferung vom Google Tag Manager geladen.

Google Analytics verarbeitet übrigens immer alle Analytics-Daten in den USA, wie Google selber zugibt. Das Tool ist in der Standardauslieferung alleine deswegen einwilligungspflichtig, weil technisch nicht notwendig Cookies verwendet werden.

Google Dienste

Die Folien aus meinem Vortrag sagen eigentlich alles.

Google erhebt umfangreich Daten mit Diensten, die auf Dritt-Webseiten eingebunden sind

Google holt sich sogar eine Einwilligung von jedem ein, der die Google Suchmaschine oder andere Dienste nutzt. Dumm nur, dass diese Einwilligungsabfrage eher eine Unverschämtheit ist als datenschutzkonform.

Google respektiert Nutzer nicht, sondern nötigt ihnen eine Einwilligung ab.

Wenn Sie kein Google Konto haben, bekommen Sie automatisch eines verpasst. Dann gilt laut Google: „Wenn Sie nicht in einem Google-Konto angemeldet sind, speichern wir die von uns erhobenen Daten mit eindeutigen Kennungen, die mit dem Browser, der App oder dem Gerät verknüpft sind, welche Sie verwenden.“ (Verlinkungen im Text von mir entfernt, Unterstreichungen hinzugefügt).

Eine automatische Kontoanlage hat für Google viele Vorteile, die an der Anzahl der Cookies abgelesen werden können, die Google auf Ihrem Endgerät und somit in Ihrer Privatsphäre ablegt.

Von Google erzeugte Cookies für das Google Konto.

Gemeinsame Verantwortlichkeit?

Wer Google Dienste einbindet, liefert Google Daten. Wem bekannt ist, dass Google diese Daten zugunsten Google und ggf. einem selber verarbeitet, geht womöglich eine gemeinsame Verantwortlichkeit ein.

Vgl. das EuGH-Urteil zu Fashion-ID (29.07.2019 – C‑40/17), insb. Rn. 77 (abgewandelt): “…in ihre Website in dem Wissen eingebunden hat, dass dieser als Werkzeug zum Erheben von personenbezogenen Daten der Besucher durch Facebook dient”. Rn. 78 besagt (abgewandelt):” …hat Fashion ID entscheidend das Erheben von personenbezogenen Daten der Besucher zugunsten Facebook Ireland beeinflusst…”

Twitter allerdings ist nicht besser als Google, sondern nur weniger weit verbreitet.

Twitter ist m. E. eine rechtswidrige Plattform (Stand: 05.10.2021), •weil Google Analytics (mit Cookies) ohne Einwilligung und ohne ausreichende Angaben nach Art. 13 DSGVO verwendet wird. Liegt eine gemeinsame Verantwortlichkeit von Twitter und einem Twitter-Accountinhaber vor? Immerhin bietet Twitter Zugang für alle, auch für Nichtnutzer!

Gefahren bei Datenschutzverstößen

Anscheinend ist es nicht jedem bekannt, dass auch Privatpersonen eine Abmahnung wegen Datenschutzverstößen erlassen dürfen. Der Unterlassungsanspruch ist in § 1004 BGB gegeben. Der BGH entschied im Urteil vom 27.07.2020 (VI ZR 405/18), dass die Vorschrift hier anwendbar ist.

Auch der Auskunftsanspruch aus Art. 15 DSGVO ist ein scharfes Schwert. Oft reichen bereits Nachfragen wegen verletzter Informationspflichten aus Art. 13 DSGVO, um Verantwortliche zu besinnen.

Mir sind konkrete Fälle von Abmahnungen bekannt, die teils außergerichtlich im Sinne der betroffenen Person erledigt wurden und teils noch anhängig sind.

Zentrale Einwilligungsverwaltung (PIMS)

Das TTDSG ist das neue deutsche Datenschutzgesetz. Es tritt am 01.12.2021 in Kraft und führt eine zentrale Einwilligungsverwaltung ein, die auch PIMS genannt wird. Mit PIMS soll die Welt besser werden, weil weniger nervige Cookie Popups stören sollen.

Zentrale Einwilligungsverwaltung wie in § 26 TTDSG gefordert.

Die Grafik zeigt, was sich der Gesetzgeber unglücklicherweise ausgedacht hat:

  1. Eine Person stellt einmal an zentraler Stelle ein, was ihre Datenschutzvorlieben sind.
  2. Nun besucht die Person eine Webseite.
  3. Die Webseite fragt die Zentrale nach den Vorlieben der Person und zeigt idealerweise kein Cookie Popup an.

Diese Idee funktioniert leider nicht. Sie ist nicht umsetzbar, weder aus rechtlichen, noch aus technischen Gründen. Einige der Vorschriften der DSGVO, die PIMS entgegenstehen:

Eine Einwilligung ist pro konkretem, eindeutigem Zweck einzuholen

In der Praxis wird ein Zweck oft durch einen Dienst verwirklicht. Ein Zweck kann ggf. durch mehrere Dienste verwirklicht werden. Ein Zweck kann ggf. (!) aber auch durch mehrere Dienst-Varianten verwirklicht werden.

Aber: Ein konkreter, eindeutig festgelegter Zweck kann wohl nicht generell mit 1000 Varianten eines Dienstes verfolgt werden. Beispiel: Google Analytics mit und ohne IP-Anonymisierung. Irgend einen (konkreten) Zweck muss die (Nicht-)Anonymisierung ja haben.

PIMS scheitert bereits aus den genannten praktischen Gründen. Hier könnte man mit der Begründung zum Scheitern von PIMS bereits aufhören. Dennoch gilt zusätzlich:

  • PIMS scheitert, wenn die DS-GVO nicht erheblich angepasst wird
  • PIMS scheitert, weil die Verantwortlichkeitsfrage kaum lösbar erscheint
  • PIMS scheitert, weil „simple Cookie Popups“ schon jetzt oft rechtswidrig sind

Falls PIMS deswegen doch nicht scheitern wird: Wie wird eine Einwilligung für Google Web Fonts wohl bewerkstelligt?

Lösungsvorschläge

Hier nur in Kürze, weil auf Dr. DSGVO umfangreich betrachtet.

  • Keine Dienste von „unsicheren“ Anbietern verwenden. Goodbye Google, Facebook… Deutschland dankt
  • Nutzen eingesetzter Dienste hinterfragen. Beispiel Google Maps: Sieht gut aus, aber wozu ist diese tolle Kartenansicht wirklich gut?
  • Alternativen nutzen: Matomo, WP Statistics oder Trackboxx statt Google Analytics
  • Dienstleister in die Pflicht nehmen. Web-Agentur empfiehlt Google Analytics. Wie sieht es mit der Haftung aus?
  • Automatisierte oder professionelle Bestandsaufnahme machen. „Wir wissen, was wir nutzen“. Von wegen: Die Bundesnetzagentur wusste es laut meiner Untersuchung nicht (Twitter-Dateien), hat aber selber mehrere Bußgelder wegen Datenschutzverstößen erlassen
  • Cookie Tools vermeiden. Diese sind im Wesentlichen nur für Matomo o.ä. rechtskonform. Nahezu jede Webseite mit Cookie Tool ist mehrfach rechtswidrig

Fazit

Die wohl überwiegende Mehrheit aller gewerblichen Webseiten in Deutschland ist nicht datenschutzkonform. Nahezu jede Webseite mit einem Cookie Popup ist rechtswidrig, wie meine Untersuchungen nahelegen.

Betroffene, von denen es in Deutschland ca. 60 Millionen gibt, können jederzeit gegen Datenschutzverstöße vorgehen.

In weiteren Vorträgen und Webinaren gehe ich auch auf Google Ads und Möglichkeiten der datenschutzkonformen Nutzung ein. Machen Sie den Anfang und prüfen Sie Ihre Webseite jetzt grundlegend.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Google Ads: Einführung und Funktionsweise in das Werbesystem von Google