gekennzeichnet. 
Berichte aus persönlichen Erfahrungen mit Datenschutzvorfällen auf Webseiten. Oft habe ich mir die Mühe gemacht, die Verantwortliche Stelle anzuschreiben und sachdienliche Hinweise zu geben. Des öfteren war die Rückmeldung positiv. Nicht selten wurden Probleme verleugnet oder es kam gar keine Antwort.
Motivation
Ganz einfach: Ich möchte nicht, dass meine Daten und die hunderttausender anderer Personen unerlaubt weitergegeben werden. Weiterhin möchte ich nicht, dass insbesondere Unternehmen in Ländern wie den USA unserem Wirtschaftsstandort schaden, indem Sie unrechtmäßig erhaltene Daten ausbeuten und monetarisieren. Zudem zeigt das Beispiel Cambridge Analytica, dass viele (alle?) Menschen signifikant manipulierbar sind. Deswegen ist es auch unwichtig, dass jemand nichts zu verbergen hat, wie manche von sich selbst meinen.
Microsoft
Microsoft behauptet in einem Anschreiben an Geschäftskunden mit dem Betreff Neue Datenschutzverpflichtungen von Microsoft für Unternehmenskunden und die öffentliche Verwaltung – EDPB folgendes (Auszug):
„Datenschutz ist für uns bei Microsoft ein zentraler Wert.“
Und weiterhin wird von Microsoft behauptet:
"Wir hoffen, dass diese Ankündigung unseren Unternehmenskunden und Kunden aus dem öffentlichen Sektor zeigt, dass wir über die gesetzlichen Bestimmungen hinausgehen werden, um ihre Daten und die Daten ihrer Nutzer*innen zu verteidigen."
Dem habe ich durch Anschreiben an den Microsoft Mitarbeiter, der diese Behauptungen versendet hat, entgegnet:
Ruft man die deutsche Webseite von Microsoft (https://www.microsoft.com/de-de/) auf, widerspricht diese Ihren obigen Aussagen.
Beispiel 1: Die Einwilligungsabfrage ist rechtswidrig. Es fehlt beispielsweise der gesetzlich vorgeschriebene Hinweis auf eine Widerrufsmöglichkeit
Beispiel 2: Das Ablehnen ist erfordert mindestens drei Klicks, das Einwilligen aber komischerweise nur einen. Das ist meiner Meinung nach rechtswidrig und wird wahrscheinlich demnächst so von Gerichten festgestellt werden. Unabhängig davon ist es ganz sicher nicht nutzerfreundlich.
Beispiel 3: In der Datenschutzerklärung fehlen gesetzlich vorgeschriebene Angaben zur Funktionsdauer von Cookies. Ferner fehlt die Nennung einzelner Cookies.
Wer hat nun recht?
Sie mit Ihrer Aussage, dass Microsoft Datenschutz ernst nimmt und über gesetzliche Bestimmungen hinausgeht oder die beweisbaren Tatsachen, die für sich sprechen?
Wenn Microsoft Datenschutz wirklich ernst nehmen würde, würde auf der Microsoft Webseite eine nutzerfreundliche, rechtskonforme Einwilligungsanfrage zu finden sein.
Weiterhin würden nicht mehr Cookies als unbedingt nötig genutzt, um die Webseite zu „optimieren“. Es entsteht der Eindruck, dass Microsoft den Nutzer nachverfolgt.
Ich freue mich auf die Korrektur der Microsoft Webseite. Sicher ist es nur ein Versehen, dass die verbindlichen Datenschutzregeln dort missachtet werden.
Bundesgesundheitsministerium
Die Corona-Zeit brachte mich auf die Webseite https://www.bundesgesundheitsministerium.de. Dort wird einer dieser unsäglichen Cookie-Banner verwendet:
Den Bundesadler habe ich blau übermalt, um urheberrechtliche Probleme zu vermeiden. Wie der Kenner sieht, wird Cookiebot eingesetzt. Eine Lösung, die keine ist. Wenn man sich die Details genauer ansieht, kommt man – wie ich – zu einigen Fragen. Diese habe ich in folgender Mail am 08.03.2021 an den DSB des Bundesgesundheitsministeriums geschickt:
Ich würde mir wünschen, wenn möglichst viele Menschen derartige Anfragen an Webseitenbetreiber abschickten, die sogenannten Consent Tools einbinden, ohne das Ergebnis zu prüfen.
Bis zum 24.03.2021 gab es noch keine Rückmeldung des Datenschutzbeauftragten des Bundesgesundheitsministeriums.
Bundesnetzagentur
Auf der Webseite https://www.bundesnetzagentur.de/cln_111/DE/Home/home_node.html wird eine Datei von einem Server geladen, der wohl Twitter zuzuordnen ist (Stand: 12.01.2021). Es handelt sich um die Bilddatei https://pbs.twimg.com/ext_tw_video_thumb/1344754774034538496/pu/img/dcuOKfUMokiRIzWq.jpg
Dies ist das Bild, das auf der rechten Seite der genannten Webseite unterhalb der Überschrift BNetzA Aktuell zu sehen ist.
Dieses Problem ist sicher kein großes Datenschutzproblem, sollte aber von einer Behörde behoben werden, die selbst Bußgelder verteilt.
Am 12.01.2021 habe ich den Datenschutzbeauftragten der Bundesnetzagentur dazu angeschrieben. Am 03.03.2021 kam die Antwort, dass meinem Hinweis nachgegangen wird (als Entschuldigung für die Verzögerung wurde ein Büroversehen angegeben)!
Bundesregierung
Am 30.11.2020 habe ich den Datenschutzbeauftragten der Bundesregierung angeschrieben. Hier mein Text:
Sehr geehrte Damen und Herren,
ich fordere Sie auf, das Einwilligungs-Popup auf der Webseite https://www.bundesregierung.de kurzfristig, spätestens bis zum 20.12.2020, so zu gestalten, dass eine datenschutzfreundliche „Ablehnung“ mit genauso wenigen Klicks möglich ist wie eine Zustimmung.
Aktuell bedarf es für die Ablehnung eines Klicks mehr als für die Einwilligung.
Vgl. hierzu die Vorgaben aus Art. 7 DSGVO, u.a. Freiwilligkeit und Einfachheit des Widerrufs.
Vgl. auch Art. 4 Nr. 11 der Verordnung (EU) 2016/679 i.V.m. BGH Beschluss vom 05.10.2017 – I ZR 7/16: Diese Verordnung definiert als „Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
Ebenso lohnt sich ein Studium der Vorgaben der Datenschutz-Aufsichtsbehörden in Deutschland.
Freiwillig ist es sicher nicht, wenn man gezwungen ist, einmal zu klicken, um die Wahlmöglichkeit(en) für eine Ablehnung zu sehen, um dann erneut klicken zu müssen, um abzulehnen, hingegen insgesamt mit einem einzigen Klick zustimmen zu können.
Ein Tipp: Wenn Sie Matomo entsprechend konfigurieren – oder sich evtl. mit einem anderen Tool dieser Art anfreunden können – bedarf es gar keiner Einwilligungsabfrage! Danke für Ihre zeitnahe Korrektur und Rückinfo.
Mail an datenschutzbeauftragte@bpa.bund.de vom 30.11.2020
Nach Verstreichen der genannten Frist habe ich daraufhin eine gut begründete Beschwerde beim Berliner Datenschutzbeauftragten eingereicht. Dies war am 21.12.2021. Am 15.01.2021 meldete sich der Berliner Datenschutzbeauftragte und hat meine Beschwerde an den Bundesdatenschutzbeauftragten weitergeleitet, da dieser zuständig sei. Der Bundesdatenschutzbeauftragte hat den Eingang meines Schreibens am 25.01.2021 bestätigt.
Hier das Einwilligungsfenster, um das es geht:
Wie man sehen kann, fehlt auch ein Hinweis auf die Widerrufsmöglichkeit. Dieser Hinweis ist gesetzlich vorgeschrieben. Bis zum 24.03.2021 gab es noch keine Rückmeldung.
COM Magazin
Auf der Webseite dieses Magazins gibt es einen Artikel über Cookies. Dort wird darüber berichtet, was nicht erlaubt ist. Umso erstaunlicher, dass die Webseite wirklich extrem viele Datenschutzverstöße erkennen lässt. Deswegen schrieb ich den Datenschutzbeauftragten am 17.02.2021 an und riet zur Anpassung der Webseite. In einem Monat wird eine Beschwerde fällig, sollten die größeren Verstöße nicht abgestellt sein.
Bis zum 24.03.2021 gab es keine Rückmeldung. Die Webseite ist immer noch mit Trackern wie DoubleClick, die ohne Einwilligung geladen werden (netterweise wird aber wenigstens nach einer Einwilligung dafür gefragt, auch wenn diese Abfrage irrelevant zu sein scheint).
Krankenkasse
Wie fast jeder, bin ich Kunde bei einer Krankenkasse. Die Webseite weist ein schlampiges Datenschutz-Niveau auf. Deshalb habe ich meine Krankenkasse verbindlich aufgefordert, alle Probleme zu beheben. Unter anderem wird ein Consent Tool verwendet, welches – wie fast alle sogenannten Cookie Blocker – abgrundtief schlechte Erklärungen zu eingesetzten Diensten und Cookies vorhält.
Hier ein Auszug von drei meiner 27 Fragen zur Einwilligungsabfrage:
Zusätzlich werden einige Dienste ohne Einwilligung geladen, obwohl unerlaubt. Weiterhin wurde auf englischsprachige Datenschutzerklärungen verlinkt. Hierfür habe ich um eine Übersetzung gebeten. Die Frist läuft am 22.03.2021 ab. Die Krankenkasse hat fristgerecht geantwortet, allerdings nicht zufriedenstellend.
Positive Beispiele
Juristischer Fachverlag
Nachdem ich den Verlag anschrieb und auf diverse Datenschutzthemen hinwies, ist er fristgerecht tätig geworden. Die Webseite erfuhr eine ausgesprochen gute Verbesserung. Ein erster Blick zeigte nun statt der vorigen Probleme ein ausgesprochen positives Bild.
Insofern kann ich den juristischen Fachverlag nur empfehlen, weil er Datenschutz sehr ernst nimmt! Der Verlag möchte nicht, dass dessen Webseite genannt wird.
Landesdatenschutzbeauftragte
Gelegentlich kommt man in Kontakt mit Landesdatenschutzbeauftragten, beispielsweise, um eine Frage zu stellen. Hier meine persönlichen Erfahrungen und Bewertungen:
- Hessen: Immer stellt sich die Behörde Fragen in größerer Runde. Die Antworten auf Fragen sind allerdings oft unterirdisch enttäuschend. Ein Beispiel war die Antwort auf meine Frage, warum zum Web Tracking bisher keine Bußgelder erlassen wurden, obwohl dies der am häufigsten vorkommende und am leichtesten festzustellende Verstoß ist. Auch bei Fragen per Mail erhielt ich keine Antwort, außer, dass es keine Antwort gibt. Die Antwort, dass es keine Antwort gibt, kam schnell. Ein paar Beschwerden, die ich bei Hessen einreichte und Hessen nicht betrafen, wurden schnell an die richtige Behörde weitergeleitet. Eine Beschwerde gegen eine IHK wurde bestätigt, aber nach über drei Monaten nicht weiter beantwortet
- Baden-Württemberg: Dr. Brink engagiert sich in der Öffentlichkeit und gibt fundierte Informationen.
- Niedersachsen: Fünf Fragen wurden per Mail gestellt. beantwortet wurden zwei konkret und drei nur durch Verweis auf eine online verfügbare Handreichung. Die Antwort kam schnell.
- Brandenburg: Meine Beschwerde vom 11.12.2021 gegen ein Unternehmen mit Sitz der Verantwortlichen in Brandenburg wurde schnell bestätigt und mit einer Rückfrage hinterlegt, die ich schnell beantwortete. Nun warte ich auf weitere Rückmeldungen. Mir kam die erste Rückmeldung so vor, als wäre man entweder auf der Seite der Beschwerdegegnerin oder wollte mich nur testen, ob ich die Argumente gegen die Beschwerdegegnerin liefern kann. Hierzu will ich aber keine Wertung geben, bis eine weitere Antwort da ist. Am 02.03.2021 war jedenfalls noch keine Antwort da.
- Berlin: Meine Beschwerde gegen die Bundesregierung (kleiner Verstoß, aber keine Rückmeldung durch den Verantwortlichen der Webseite bundesregierung.de) wurde bestätigt und recht schnell an den Bundesdatenschutzbeauftragten weitergeleitet, da dieser zuständig ist.
- Nordrhein-Westfalen: Meine Beschwerde gegen ein großes deutsches Unternehmen, das eine Webseite ohne Datenschutzerklärung betrieb, wurde bearbeitet. Ich erhielt das Ergebnis, auch die Antwort der Beschwerdegegnerin, zugestellt. Der Verstoß wurde abgestellt. Allerdings war es das. Neben der Datenschutzerklärung fehlte auch das Impressum. Man hätte mal nach dem Verzeichnis von Verarbeitungstätigkeiten fragen können. Einfach so den Fall für beendet zu erklären, halte ich für zu großzügig bei einem Unternehmen mit großer Wirtschaftskraft.
- Sachsen: Meine eingereichte Beschwerde wurde bearbeitet. Mich rief sogar ein Mitarbeiter der Behörde an und teilte mir den Stand des Verfahrens mit. Super!
- Bayern: Anlässlich einer Zweifel zu den FAQ auf der Webseite der bayerischen Behörde habe ich diese angeschrieben und auch auf meine Artikel verwiesen, die Fakten zu den von mir kritisierten Aussagen enthielten. Ich bekam schon wenige Tage später eine ausführliche, individuelle, konstruktive und hilfreiche Antwort. Die Antwort ließ erkennen, dass man bereit ist, aktuelle Entwicklungen und neue Erkenntnisse aufzunehmen. Dafür bin ich dankbar und möchte der bayerischen Behörde mein Lob aussprechen!
