Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Datenschutz auf Webseiten: Häufige Probleme, Gefahren und Missverständnisse

1

Für Datenschutzbeauftragte habe ich kürzlich in einem Vortrag häufige Probleme auf Webseiten beleuchtet. Neben oft vorkommenden Datenschutzverstößen wurden dabei auch weit verbreitete Fehlinformationen sowie Gefahren durch Abmahnungen und Auskunftsersuchen thematisiert.

Einleitung

Auf Einladung der dsb-Group hielt ich für die Mitglieder einen Vortrag zum digitalen Datenschutz. Das Publikum bestand ausschließlich aus Datenschutzbeauftragten. Die Veranstaltung fand Corona-konform in Präsenz in der Nähe von Ulm statt.

Es gibt meiner Einschätzung nach zwei Gründe, warum die meisten Webseiten in Deutschland rechtswidrig sind und Datenschutzgesetze nicht einhalten:

  1. Falsche Beratung bzw. erhebliche Unkenntnisse und Leichtgläubigkeit mancher Verantwortlicher, aber auch inkompetente Berater sowie
  2. fehlende Motivation aufgrund noch fehlender Sanktionen und Abmahnungen

Ein ganz einfacher Beleg für die Hilflosigkeit vieler Berater: Cookies werden oft als Textdateien bezeichnet. Das ist objektiver Unsinn. Auch sind Cookies keine Dateien. Man könnte sie so bezeichnen. Dann müsste man aber jegliche Informationsablage, auch die in einer Datenbank, als Dateiablage bezeichnen. Alles gleich zu benennen ist analog zu keiner Information. Ich möchte hier nicht den kritisieren, der falsch abschreibt (habe ich früher auch getan), sondern den, der solche Fehlinformationen verbreitet.

Ein Beleg für fehlende Sanktionierungen: Meiner Kenntnis nach gab es bisher kein einziges Bußgeld wegen Datenschutzverstößen auf Webseiten. Genauer gesagt, rede ich von Web Tracking. Was Web Tracking ist, muss man gar nicht so genau wissen. Es reicht hier, von Google Analytics oder Google Maps zu sprechen, um die Misere bzw. entweder den Unwillen oder die mangelnden Möglichkeiten deutscher Aufsichtsbehörden zu erahnen. Keiner der Behördenvertreter, den ich mit dieser Annahme der fehlenden Sanktionierung konfrontiert hatte, hat mir bisher widersprochen.

Mein Vortrag behandelte insbesondere folgende Themen:

  1. Bullshit Basics: Häufige Fehlinformationen und Unwahrheiten
  2. Welche Dienste sind einwilligungspflichtig?
  3. Welche Gefahren drohen? Spoiler: Es sind nicht Bußgelder
  4. Was ist von einer zentralen Einwilligungsverwaltung (PIMS) nach § 26 TTDSG zu halten?

Die Themen sind nachfolgend vorgestellt, allerdings etwas verkürzt.

Bullshit Basics

Cookies sind KEINE Textdateien.

  • Cookies sind erwiesenermaßen keine Textdateien. Früher war es oft anders, aber sicher nicht immer
  • Cookies sind keine Dateien
  • Cookies sind auch nicht klitzeklein (eine Postanschrift hat oft weniger als 100 Bytes Speicherbedarf, ein Cookie kann über 40 Mal größer sein; LocalStorage, eine Cookie-Art kann quasi unendlich groß sein)
  • Die Speicherform ist eine allgemeine Mittel-Angabe, die bereits dadurch gegeben ist, dass von Cookies die Rede ist
  • Wichtiger sind die konkreten Zwecke von Cookies (vgl. Art. 13 DSGVO)
  • Die Zwecke der meisten Drittanbieter-Cookies sind unbekannt, weil nur dem Anbieter selbst bekannt

Der Google Tag Manager ist keine cookielose Domäne:

Google Analytics ist einwilligungspflichtig:

  • Google Analytics verarbeitet sämtliche Analyse-Daten immer in den USA
  • Google Analytics Cookies sind technisch nicht notwendig
  • Es gibt zahlreiche Alternativen, um Besucherströme ausreichend und sogar ohne Einwilligung rechtskonform zu erfassen

Cookie Tools sind in der Praxis unbrauchbar, um Rechtssicherheit zu erreichen:

  • Nahezu jede Webseite mit einem Cookie Popup ist rechtswidrig, wegen des Cookie Tools!
  • Viele Anbieter von Cookie Tools selbst beherrschen einfache Datenschutzregeln nicht
  • Cookie Scanner können nicht zuverlässig funktionieren. Das ergibt sich bereits aus rein technischen Erwägungen
  • Für Tools von Google o. ä. erscheint eine rechtskonforme Einwilligungsabfrage nicht möglich
  • Beweis: Praxistext zu Consent Tools samt objektiven Gründen
Einige der Probleme mit Cookie Tools.

Welche Dienste sind einwilligungspflichtig?

Viele denken, nur Cookies wären kritisch. Vor allem Anbieter von Consent Tools suggerieren, dass für Cookies (und sonst für nichts) eine Einwilligung einzuholen sei. Manche Tools heißen sogar entsprechend. Beispiele sind Cookiebot, CCM19 (Cookie Consent Manager) und Borland Cookie.

Meine Folie vom Vortrag zeigt in Kürze, dass auch integrierte YouTube Videos (im erweiterten Datenschutzmodus, also angeblich ohne Cookies) einwilligungspflichtig sind:

Analyse von integrierten YouTube Videos.

Die relevanten rechtlichen Vorschriften sind insbesondere Art. 5 DSGVO (Datenminimierung, Speicherbegrenzung), Art. 25 DSGVO (Datenschutz durch Technikgestaltung), § 15 Abs. 3 TMG: Nutzerprofilbildung + Cookie, Art. 44ff DSGVO (USA) sowie demnächst § 25 TTDSG (technisch nicht notwendige Cookies). Diese Rechtsgrundlagen passen für fast alle Dienste ohne Cookies bzw. mit Cookies.

Anhand von Google Web Fonts habe ich gezeigt, warum das berechtigte Interesse ausscheidet.

Welche Gefahren drohen bei Datenschutzverstößen?

Zunächst sind Datenschutzverstöße auf Webseiten jederzeit und einfach feststellbar. Hier ein Beispiel:

Dieser Befund wurde von meiner eigenen Software vollautomatisiert ermittelt. Geprüft wurde die Webseite einer bekannten Zeitung.

So kann ermittelt werden, ob eine Webseite rechtswidrig hinsichtlich der DSGVO und angegliederter Vorschriften und Gesetze ist:

  1. Webseite eingeben
  2. Start drücken
  3. Warten
  4. Ergebnis ansehen

Die manuelle Arbeit beschränkt sich auf wenige Sekunden. Im Datenschutzbericht sind zahlreiche detaillierte Ergebnisse zur untersuchten Webseite zu finden:

Ohne Einwilligung geladene Dienste (Quelle: meine Datenschutz-Software).

Aus rechtlichen Gründen kennzeichne ich dieses Detailergebnis als losgelöst von einer bestimmten Webseite. Es könnte allerdings sein, dass eine Nachrichtenseite die gezeigten Dienste ohne Einwilligung und somit meist ohne Rechtsgrundlage verwendet.

Die Gefahren bei Datenschutzverstößen sind aus meiner Sicht vor allem und in dieser Reihenfolge:

  1. Privatperson (Kunde, Leser, Interessent, Mitarbeiter…) fordert Auskunft nach Art. 15 DSGVO
  2. Privatperson mahnt den Verantwortlichen für eine Webseite ab
    1. Wegen Datenschutzverstößen
    2. Wegen unvollständiger, fehlerhafter oder nicht erteilter Auskunft
  3. Privatperson legt Beschwerde bei der Behörde ein und die Behörde geht der Beschwerde nach
  4. Wettbewerber mahnt ab (das UWG wurde vom Gesetzgeber Ende 2020 verunstaltet)

Privatpersonen können eine Abmahnung mit Unterlassungsforderung gegen einen Webseitenbetreiber erlassen, wenn Datenschutzverstöße vorliegen.

vgl. etwa § 1004 BGB oder das Wesen der DSGVO und die Tatsache, dass eine Datenschutzbehörde nicht gezwungen ist, einer Beschwerde nachzugehen.

Mir sind übrigens mehrere Abmahnungen durch Privatpersonen bekannt, darunter auch meine eigenen, die teils bereits positiv erledigt wurden und teils noch laufen.

Zentrale Einwilligungsverwaltung (PIMS): Bullshit oder Bingo?

Der Gesetzgeber führt am 01. Dezember 2021 das neue deutsche Datenschutzgesetz namens TTDSG ein.

Aufgrund fragwürdiger Praktiken hat sich in § 26 TTDSG das Konstrukt der zentralen Einwilligungsverwaltung manifestiert. Das Ziel ist, dass Cookie Popups reduziert werden soll. Die Idee ist allerdings unbrauchbar.

Das Grundprinzip eines Datentreuhänders oder PIMS ist:

  1. Sie geben an einer zentralen Stelle (etwa auf einer Webseite) an, welche Datenschutzpräferenzen Sie haben
  2. Nun besuchen Sie eine beliebige deutsche Webseite
  3. Die Webseite fragt im Hintergrund bei der Zentrale nach, was Ihre Datenschutzvoreinstellungen sind
  4. Die Webseite klickt unsichtbar das Cookie Popup weg

Soweit die Theorie. In der Praxis kann das leider nicht funktionieren. Die Gründe für das Scheitern einer zentralen Einwilligungsverwaltung habe ich anhand einiger praktischen Beispiele beschrieben.

Der Unsinn einer zentralen Einwilligungsverwaltung. Praktische Unmöglichkeit der Umsetzung am Beispiel von Google Maps.

Damit PIMS, Datentreuhänder oder zentrale Einwilligungsverwaltung überhaupt funktionieren können, müsste die DSGVO auf europäischer Ebene derart angepasst werden, dass nicht mehr viel vom Urzustand übrig bliebe.

Leider wurde der deutsche Gesetzgeber in Teilen von Lobbyismus gelenkt, sogar durch manchen Gutachter. Einige der Gutachter, die das Gesetzgebungsverfahren begleitet hatten, haben zu wenig Kenntnisse im digitalen Datenschutz, wie man selber öffentlich nachlesen kann. Andere Gutachter vertreten zwar die richtige Haltung, dass PIMS nicht funktioniert, haben es aber derart undeutlich geäußert, dass es dem Gesetzgeber wahrscheinlich nicht bewusst geworden ist.

Fazit

Für die Teilnehmer der Veranstaltung waren insbesondere meine Aussagen zur Sanktionierung von Datenschutzverstößen interessant und informativ. Insbesondere die Tatsache, dass auch Privatpersonen abmahnen können, ist für viele neu.

Meine Prognose ist, dass verstärkt Auskünfte nach Art. 15 DSGVO eingeholt werden, weil dies jedem ohne größeren Aufwand, einfach per E-Mail und formlos möglich ist. Damit es noch einfacher geht, erweitere ich meinen Webseiten-Check um eine Komfortfunktion. Damit kann der Auskunftsanspruch noch einfacher und umfangreicher realisiert werden.

Der Dr. DSGVO online Webseiten-Check liefert demnächst automatisiert eine Hilfestellung für Auskunftsersuchen.

Für Tools und Cookies, die beim Scan festgestellt werden, wird automatisch eine Auskunftsanfrage bereitgestellt, die Ihnen beim Durchsetzen Ihrer Betroffenenrechte hilft.

Ist die Auskunft erst einmal da, kann damit eine Abmahnung befüttert werden. Gibt es keine oder eine unvollständige Auskunft, ist die Abmahnung dagegen ebenfalls möglich. Mir jedenfalls ist unklar, wie eine Auskunft bei Nutzung von gängigen Google Diensten, dem Facebook Pixel oder ähnlichen Tools ordentlich gegeben werden können soll.

Mich wundert es, dass so viele dies nicht auf dem Schirm haben und freundliche Hinweise zum Datenschutz nicht ernst nehmen bzw. selbst nicht aktiv tätig werden.

In einer Diskussions- und Fragerunde wurden am Ende meines Vortrags 30 Minuten lang drängende Fragen zum TTDSG, zu Cookies und zum Vorgehen bei Datenschutzverstößen besprochen. Ich hoffe, in Dr. DSGVO Blog einige wichtige Informationen zu diesen und anderen Themen des digitalen Datenschutzes transportieren und ins Bewusstsein rufen zu können.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.
  1. Kerstin Armbrust

    Ich war beim Vortrag anwesend – spannend und überaus informativ. Dr.-Ing. Klaus Meffert ist einfach eins – ein Profi.
    Kerstin Armbrust

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Bitkom-Studie zur DSGVO: Eine kritische Würdigung