Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Datenschutzprobleme auf Webseiten feststellen, als Beweis sichern und Betroffenenrechte geltend machen

Veröffentlicht am 30. September 2021 von Dr. DSGVO · Zuletzt aktualisiert am 31. Januar 2022
0

Kategorien: Datenschutz, Allgemein und Recht

Auf Webseiten wird Datenschutz besonders oft vernachlässigt, sehr zum Nachteil zahlreicher Besucher und zum Vorteil von Internetkonzernen. Wer sich dagegen zur Wehr setzen möchte, hat es leicht. Der Beitrag beschreibt, wie jeder einfach und rechtssicher Beweise aufnehmen und für die Durchsetzung seiner Rechte nutzen kann.

Einleitung

Wer sich gegen Datenschutzverstöße im Internet wehren möchte, muss erst einmal die Verstöße feststellen. Dafür reicht anfangs eine erste Idee, welche Dienste, auf einer Webseite ohne Rechtsgrundlage genutzt werden.

Wurde ein Datensünder identifiziert, geht es darum, konkret festzustellen, welche Probleme vorliegen.

Anschließend bleibt die Wahl: Nur eine Auskunft gemäß Art. 15 DSGVO einholen, direkt abmahnen oder beides. Das Einholen einer Auskunft ist sehr einfach, formlos und schnell möglich. Hierfür reicht es, eine einfache E-Mail abzuschicken. Ich empfehle, die E-Mail mit PGP-Signatur zu verschicken. Wer keine solche Signatur hat, die die eigene Identität glaubhafter machen hilft, kann einfach mit Thunderbird PGP installieren.

Jede Privatperson kann Datenschutzverstöße abmahnen.

Vgl. § 1004 BGB und BGH-Urteil vom 27.07.2020) (VI ZR 405/18).

Fortgeschrittene können auch ohne nähere Untersuchung mit extrem hoher Wahrscheinlichkeit feststellen, dass eine Webseite rechtswidrig ist. Das geht so:

  1. Webseite aufrufen
  2. Zeigt die Webseite ein Cookie-Popup? Nein, keine schnelle Prüfung möglich
  3. Verwendet die Webseite andere Tools außer ungefährlichen Diensten wie Matomo? Ja, dann ist die Webseite höchstwahrscheinlich rechtswidrig Vgl. hierzu meine Untersuchung zu Consent Tools

Die Erstprüfung einer Webseite

Installieren Sie sich ein Plugin wie uMatrix für Firefox oder Ghostery für Firefox oder andere Browser.

Rufen Sie eine Webseite auf, an der Sie interessiert sind. Nun werfen Sie einen Blick auf das eben installierte Plugin. Hier ein Beispiel für Ghostery.

Tracker-Analyse mit Ghostery der Webseite twitter.com

Um die Ghostery-Statistik zu sehen, klicken Sie einfach auf das Geist-Symbol (rechts oben im Bild).

Die rot umrandeten Tools sind Tracker. Um sicherzustellen, dass alle geladen und nicht von Ghostery unterdrückt werden, klicken Sie auf den Button "Tracker entsperren", der danach zum Button "Vertrauenswürdige Webseite" wird (grüner Button im Screenshot).

Zeigt eine Webseite eine derartige Statistik an, ist sie meist rechtswidrig.

Achtung: Sie sollten alle Cookies löschen, wenn die Webseite keine Einwilligungsabfrage anzeigt. Dann nämlich haben Sie vielleicht schon einmal in Datenverarbeitungen eingewilligt. Nach Löschen der Cookies rufen Sie die Webseite erneut auf.

Aussagekräftiger und einfacher ist eine Erstprüfung mit meinem Online-Tool möglich. Mein Tool prüft immer so, dass keine Einwilligung erteilt wird.

Webseite prüfen

Tool aufrufen, Adresse der Webseite eingeben, Start drücken, Ergebnis sehen. Hier ein Beispiel für die Twitter-Webseite von eben:

Automatisierte Analyse einer Webseite mit dem Online Tool von Dr. DSGVO.

Der automatisiert ermittelte Befund lautet hier "Klarer Verstoß gegen die Datenschutzgrundverordnung". Ich kann dem nur zustimmen, denn die untersuchte Webseite lädt Google Analytics (mit Cookies) ohne Einwilligung. Wie ich bereits früher untersucht habe, ist dies ein eindeutiger Verstoß ohne wesentlichen Spielraum für Irrtum.

Wurde für eine Webseite der gezeigte Befund ermittelt, ist die Webseite höchstwahrscheinlich rechtswidrig.

Beweissicherung

Nun sollten die Beweise gesichert werden. Dazu sind aus meiner Sicht zwei Dinge zu tun, wie ich aus der Praxis berichten kann:

  1. Datentransfers konkret nachweisen
  2. Unumstößlichen Beweis durch einen Zeugen herbeiführen

Zuerst sollte man aber die einem zugeteilte öffentliche IP-Adresse dokumentieren. Dazu ruft man eine Seite wie https://whatismyipaddress.com/ auf und macht im Beisein eines Zeugen einen Screenshot oder filmt das ganze per Video. Der Videofilm ist etwa mit einem Handy-Stativ möglich. Das Video sollte ihren Privatraum zeigen, für den im Zweifel ein Zeuge aussagen kann, dass der Raum auf dem Video Ihr Raum zu Hause an Ihrer Privatadresse ist. Wenn Sie es ganz sicher machen wollen, fragen Sie bei Ihrem Internetzugangsdienstleister (Vodafone, Telekom…) nach der Ihnen zugeteilten IP-Adresse zum fraglichen Zeitpunkt. Diese müsste dann identisch mit der sein, die Sie über die Seite von What Is My IP Address erhalten haben.

Weiterhin sollten Sie im Protokoll (Video oder Dokumentation im Beisein eines Zeugen) die aktuelle Uhrzeit festhalten. Sie können dazu auch (am besten zusätzlich) eine Atomuhr aufrufen.

Datentransfers nachweisen

Hierfür gibt es mehrere Möglichkeiten. Ich empfehle, im Zweifel beide zu nutzen.

Der Nachweis geladener Dienste kann durch uMatrix besonders gut erfolgen. uMatrix zeigt mehr Dienste an als Ghostery, allerdings auch nur die, die uMatrix kennt.

Machen Sie einen Screenshot, auf dem

  1. die aufgerufene Adresse der Webseite,
  2. die Webseite (Text, Bild) und
  3. uMatrix mit Statistik zur Webseite

zu sehen sind.

Dies wiederholen Sie für jede Seite einer Webseite (Unterseite), auf denen Probleme festzustellen sind. Entweder kennen Sie diese Seiten, weil sie vorher einmal darauf waren. Oder Sie nehmen mein oben genanntes Tool als Anhaltspunkt. Das Tool zeigt nicht an, wo die Probleme gefunden wurden. Fangen Sie bei der Einstiegsseite der Webseite an. Rufen Sie mehrere Unterseiten auf und beobachten Sie die Anzeige von uMatrix oder Ghostery.

Dies war der Nachweis geladener Dienste. Daneben gibt es aber noch Datentransfers, die durch das Laden von externen Dateien stattfinden. Hierzu gehören Bilder, Scripte, Schriften und andere Dateitypen.

Für den Nachweis geladener Dateien nutzen Sie die sogenannte Entwicklerkonsole Ihres Browsers. In Firefox wird diese mit der Taste F12 geöffnet.

Firefox Entwicklerkonsole, um DSGVO-Verstöße nachzuweisen.

Rufen Sie zuerst diese Konsole mit der Taste F12 auf. Danach erst rufen Sie die Webseite auf, um die es geht. Dann klicken Sie auf den Karteireiter Netzwerkanalyse.

Sortieren Sie die Ansicht durch Klicken auf die Spalte „Host“. So werden die Einträge gebündelt nach Zieladresse angezeigt. Wie man im Bild sehen kann, wird eine Datei von der Domäne google-analytics.com geladen. Man braucht nicht viel Fantasie, um zu erkennen, dass dadurch das Tool Google Analytics geladen wird.

Ich empfehle, mehrere Screenshots durch Scrollen der Entwicklerkonsole zu machen. Am Ende sollte man noch auf den Karteireiter Web-Speicher klicken. Dort sind Cookies zu sehen. Für jede angezeigte Dritt-Adresse sollte darauf geklickt und danach ein Screenshot mit den gezeigten Cookies gemacht werden.

Wichtig ist, dass die Entwicklerkonsole vor dem Aufruf jeder Seite geleert wird. Dazu einfach auf das Mülltonnen-Symbol links oben in der Konsole klicken.

Nachdem Sie die Screenshots für eine Seite gemacht haben, können Sie den Datentransfer in Gänze als Datei ablegen. Dazu einfach auf einen beliebigen Datentransfer in der Konsole mit der rechten Maustaste klicken. Daraufhin erscheint ein Popup-Menü. Dort den Menüpunkt "Alles als HAR speichern" anklicken.

Abspeichern einer Netzwerkanalyse in Firefox als HAR-Datei.

Nach Auswahl eines Verzeichnisses auf Ihrer Festplatte haben Sie einen vollen Abzug der gesamten Netzwerkanalyse. Dieser Abzug beinhaltet Datentransfers und Cookies.

Die HAR-Datei hat den Vorteil, dass sie weitere Informationen enthält, als in der Netzwerkanalyse zu sehen. Denn in der Analyseansicht sind Cookies nicht zu sehen. Die Cookies können Sie durch Klicken auf den Karteireiter "Web-Speicher" anzeigen lassen.

Anzeige von Cookies,. die beim Abruf einer Webseite genutzt werden.

Cookies sind einwilligungspflichtig, außer, es handelt sich um technisch notwendige Cookies. Die meisten Cookies sind technisch nicht notwendig. Vor allem gilt dies für Cookies von bekannten Tools wie Google Analytics, Google Maps, Google reCAPTCHA, Facebook Pixel, Twitter Plugin usw.

Beweis durch einen Zeugen

Der Zeugenbeweis ist laut §§ 373 ff. ZPO eine geeignete, einfache Möglichkeit, sicher zum Ziel zu kommen. Im § 373 ZPO heißt es kurz: "Der Zeugenbeweis wird durch die Benennung der Zeugen und die Bezeichnung der Tatsachen, über welche die Vernehmung der Zeugen stattfinden soll, angetreten."

Meine Empfehlung ist folgende:

  1. Datentransfers nachweisen (siehe oben)
  2. Adresse (URL) der Seite, auf der es Verstöße gibt, aufschreiben
  3. Pro Adresse vermerken, welche Verstöße dies sind, damit man später mit dem Zeugen nicht lange suchen muss
  4. Die Webseite mit dem Kurzscript aus 2. und 3. zielgerichtet aufrufen
  5. Pro Seite einen Screenshot anfertigen und alle Screenshots in einem Dokument abspeichern.
  6. Das Dokument noch mit Datum und Uhrzeit versehen sowie mit Hinweisen darauf, dass der Zeuge das folgende persönlich bestätigen kann
  7. Ebenso Hinweis anbringen, dass eine Kopie bei Ihnen und eine beim Zeugen verbleibt
  8. Das Dokument zweimal ausdrucken
  9. Beide Ausdrucke vom Zeugen unterschreiben lassen
  10. Eines der Dokumente in einen Brief geben, den Brief zukleben, aussagekräftig beschriften und dem Zeugen mitgeben (dieser soll den Brief an einem eingängigen Ort, der anderen nicht direkt zugänglich ist, verwahren)
  11. Das andere der beiden Dokumente als Beweis nutzen

Sollten auf einer Seite mehr Verstöße vorhanden sein als auf einen Screenshot passen, dann eben so viele Screenshots pro Seite machen, bis alle Verstöße dokumentiert sind. Damit meine ich:

  1. Nachweis über Entwicklerkonsole: In der Konsole im Reiter Netzwerkanalyse scrollen, wenn die Einträge nicht alle auf einmal zu sehen sind
  2. In der Entwicklerkonsole im Reiter Web-Speicher für jede Adresse durhc Klick auf selbige die Cookies ansehen und einen Screenshot machen
  3. Nachweis über uMatrix oder Ghostery: In der Statistik scrollen, wenn nicht alles auf einmal zu sehen ist

Ihre personenbezogenen Daten werden in erster Linie dann verarbeitet, wenn Sie von einem Computer auf eine Webseite zugreifen, der über einen auf Sie als Privatperson oder Einzelperson (Personengesellschaft) registrierten Anschluss an das Internet angebunden ist.

Auskunftsanspruch aus Art. 13 DSGVO bei vorgefundenem Google Analytics auf einer besuchten Webseite sowie aus Art. 15 DSGVO mit den gegebenen Daten.

Wenn Sie auch HAR-Dateien abgespeichert haben (s.o.), dann sollten Sie diese im Beisein des Zeugen per E-Mail an diesen schicken. Später kann der Zeuge dann bezeugen, dass diese HAR-Dateien zur fraglichen Webseite passen.

Das Auskunftsersuchen

Auch für einen Auskunftsantrag nach Art. 15 DSGVO rate ich zu einem Zeugen. Kein absolutes Muss, aber so kann der Verantwortliche, der Ihnen innerhalb eines Monats (Art. 12 Abs. 3 DSGVO) Auskunft geben muss, nichts abstreiten. Manche bauen schnell einige Dienste aus, bevor Sie eine unangenehme, arbeitsreiche Auskunft erteilen müssten. Mit Ihrem Zeugen können Sie sich auf den vorgefundenen Istzustand berufen und die Ausrede abwehren.

Meiner Ansicht nach ist ein Auskunftsersuchen vorteilhaft, wenn eine Abmahnung erstellt werden soll. Die Vorteile einer vorigen Auskunftseinholung sind aus meiner Sicht:

  • Jeder kann eine Auskunft einfordern.
  • Es gibt keine Formvorschriften. Jedoch sollten folgende Angaben erfolgen:
    • Nennung Ihrer IP-Adresse (weil es Ihre personenbezogenen Daten sind)
    • Nennung der Kategorien von Daten, über die Sie Auskunft haben möchten (etwa Verkehrsdaten oder bei Kontaktformulareingaben eben auch diese Daten)
  • Eine einfache E-Mail reicht, ggf. mit Empfangs- und Lesebestätigung
  • Auch wenn der Zeugenbeweis sinnvoll ist, ist er hier nicht erforderlich. Wenn der Verantwortliche sich rauswindet, hat er eine Abmahnung umso mehr verdient
  • Wurde die Auskunft nicht, zu spät, unvollständig oder falsch erteilt, kann grundsätzlich hiergegen vorgegangen werden (Abmahnung oder Beschwerde bei einer Aufsichtsbehörde)
  • Die Auskunft belastet den Verantwortlichen entweder weiter oder führt bei Nichterteilung einer Klagemöglichkeit gegen den Verantwortlichen

Für das Auskunftsersuchen sollten Sie folgendes festhalten, wenn möglich im Beisein eines Zeugen (ohne Zeuge geht aber auch):

  1. Welche Datentransfers fanden bei Abruf von Unterseiten der fraglichen Webseite statt? dazu Screenshots mit eingeblendeter Entwicklerkonsole machen
  2. Welche Datenschutztexte waren in der Datenschutzerklärung vorhanden? Dazu per Copy & Paste alle Texte in ein Dokument kopieren
Meine Ansicht: Verantwortliche müssen gemäß Art. 15 DSGVO selber Auskünfte geben können, ohne Quellen Dritter zu verlinken oder zu zitieren, zumindest, wenn die Drittseiten rechtswidrige Datenverarbeitungen enthalten.

Achten Sie darauf, bei Abruf der Webseiten keine Einwilligung (Cookie Popup) zu erteilen. Falls das Cookie Popup alles verdeckt, dann maximal ablehnen. Oft muss dafür mehrmals geklickt werden (etwa zuerst auf "Anpassen", dann alle abwählen, falls nötig, dann auf "Speichern" o. ä.).

Demnächst wird der Dr. DSGVO Website-Check automatisch vorformulierte Texte für den Auskunftsanspruch liefern, die betroffene frei verwenden dürfen, um ihre Ansprüche gegen Datensündern geltend zu machen.

Die Abmahnung

Eine Abmahnung ist eine außergerichtliche Möglichkeit, eine gerichtliche Auseinandersetzung zu vermeiden. Dies ist auch im Interesse des Klägers, da das Prozessrisiko dadurch sinkt. Eine Abmahnung ist mit einer strafbewehrten Unterlassungserklärung verbunden.

Strafbewehrt heißt, dass eine Vertragsstrafe an Sie zu zahlen ist, wenn der Unterzeichner der Unterlassungserklärung sich nicht daran hält, was er unterzeichnet hat.

Bei Datenschutzverstößen auf Webseiten liegt die mögliche Vertragsstrafe in Bereich von mehreren Tausend Euro, je nach Art und Anzahl der Verstöße.

Wer kein Anwalt ist, sollte sich einen suchen, wenn er eine Abmahnung erlassen will. Der Anwalt wird oft im Voraus bezahlt. Wird die Unterlassungserklärung nicht abgegeben oder nicht in befriedigender Weise und geht es vor Gericht, zahlt der Verlierer Ihren Anwalt. Nicht selten zahlt der Verantwortliche Ihnen die Anwaltkosten für das erste Anschreiben, ohne dass eine Unterlassungserklärung abgegeben wird. Sie haben dann keine Kosten, können aber weiterhin Ihr Recht durchsetzen.

Meine Prognose ist, dass Sie sehr gute Chancen haben, gegen renitente Datensünder zu gewinnen, die immer noch nicht verstanden haben, dass die DSGVO seit dem 25.05.2018 für alle gilt, die ein Angebot für Deutschland oder Europa bereitstellen (Marktortprinzip).

Schlussbemerkungen

Wer Dienste Dritter auf seiner Webseite einbindet, ist entweder besonders unwissend oder besonders mutig oder fragt in seltenen Fällen eine rechtskonforme Einwilligung ab. Dies gilt allerdings nicht unbedingt für Drittdienste, die wohl kaum jemand kennt, die also nicht von Google, Facebook oder anderen Unternehmen angeboten werden, die Datenschutzregeln erheblich missachten. Vor allem einige deutsche Anbieter sind meiner Erfahrung nach in der Lage, datenschutzkonforme Lösungen anzubieten, die man risikolos nutzen kann.

Mein Beitrag zeigt hoffentlich, dass der Einsatz von Diensten wie Google Analytics, Google Tag Manager, Google Maps oder Web Fonts in erster Linie mit Risiken als mit einem feststellbaren Nutzen verbunden ist.

In einem zukünftigen Beitrag erhalten Sie Hinweise und Tipps für den Inhalt einer Betroffenenanfrage. Es lohnt sich oft auch, Fragen zu stellen, die gemäß Art. 13 DSGVO bereits durch die Informationspflichten eines Verantwortlichen hätten beantwortet sein müssen, es aber nicht sind. Beispielsweise, wenn Cookies oder deren Zwecke nicht genannt wurden. Auch Nachfragen sind erlaubt, wenn sie begründet sind.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über Ihre Unterstützung für meine Arbeit würde ich mich besonders freuen. Als Geschäftsführer der IT Logic GmbH berate ich Kunden und biete Webseiten-Checks an.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/datenschutzprobleme-auf-webseiten-feststellen-und-als-beweis-sichern
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.
Schlagworte zu diesem Artikel:

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Datenschutz auf Webseiten: Häufige Probleme, Gefahren und Missverständnisse