Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Die Datenschutzerklärung ist auf vielen Webseiten nicht verfügbar, auch wenn Sie es nicht glauben

2

Jede Webseite muss eine Datenschutzerklärung vorweisen. Diese sollte von jeder Seite aus zugänglich sein, mindestens aber nach spätestens zwei Klicks. Zahlreiche Webseiten halten diese Vorgabe nicht ein.

Einleitung

Als Webseite gilt im Zusammenhang mit diesem Beitrag jede Webseite, die einen Zweck verfolgt. Man könnte auch Angebot statt Zweck sagen. Der Zweckbegriff stammt aus der DSGVO, der des Angebots aus dem TMG (und in Teilen auch aus der DSGVO). Die Webseite muss öffentlich zugänglich sein, ist also nicht mit einem Passwort geschützt.

Das Impressum soll mit maximal zwei Klicks erreichbar sein, sagt der BGH im Urteil vom 20.07.2006 – I ZR 228/03. Zur Datenschutzerklärung sind mir keine Urteile bekannt, die dies ebenso aussagen. Allerdings denke ich, dass die Datenschutzerklärung für Privatpersonen faktisch noch wichtiger ist, weil dort u.a. die Betroffenenrechte und auch die Verantwortliche Stelle zu nennen sind. Insofern behaupte ich, dass auch die Datenschutzerklärung mit maximal zwei Klicks und am besten von jeder Seite einer Webseite aus erreichbar sein muss bzw. zumindest sein sollte. Nur dann gilt sie jedenfalls rechtssicher als verfügbar und erreichbar.

Das OLG Hamburg hat im Urteil vom 27.06.2013 – 3 U 26/12 klargestellt, dass die Datenschutzrichtlinie gemäß § 13 TMG a.F. zu Beginn des Besuchs auf einer Webseite zugänglich zu machen ist. Das spricht für die Annahme, dass max. zwei Klicks zumutbar sind. Allerdings ist das Urteil aus dem Jahr 2013, bevor die DSGVO in Kraft trat. Laut Beschluss des OLG Hamburg (10.12.2019 – 15 U 90/19) gilt die DSGVO vor § 13 Abs. 1 TMG a.F. Auch das OLG Stuttgart hat dies bestätigt (27.02.2020 – 2 U 257/19).

Artikel 13 DSGVO thematisiert auch die Informationspflichten. Auch dort wird eine schnelle Aufklärung gefordert, indem als Zeitpunkt hierfür der “Zeitpunkt der Erhebung” der personenbezogenen Daten genannt ist, was dem Einstieg in eine Webseite gleicht (weil IP-Adressen personenbezogene Daten sind). Dies betrifft jede öffentlich zugängliche Webseite, egal ob leer oder bestehend aus einer Seite oder bestehend aus 1000 Unterseiten, egal ob privat oder kommerziell.

Jede öffentlich zugängliche Webseite muss eine Datenschutzerklärung vorhalten.

Jede Webseite = Jede Webseite.

Ich hatte gelegentlich Diskussionen mit Personen, die eine minimalistische private aber öffentlich zugängliche Webseite betreiben und der Meinung sind, ihre Webseite benötige keine Datenschutzerklärung. Das ist m.E. grober Unsinn. Beispielsweise sieht es der Betreiber von LucaTrack so, der eine Sicherheitslücke in der Luca App gefunden hat. Auf meinen Hinweis hin hat er das Impressum ergänzt, sich aber geweigert, eine Datenschutzerklärung vorzuhalten.

Hier noch mal die Argumentation:

  • IP-Adressen sind personenbezogene Daten (EuGH-Urteil vom 19.10.2016 – C-582/14, BGH-Urteil vom 16.05.2017 – VI ZR 135/13)
  • Beim Aufruf einer beliebigen Webseiten wird zwangsweise die IP-Adresse des Besuchers an den Betreiber der Webseite übertragen. Vgl. Internet Protokoll, ein Beweis im Browser durch Inaugenscheinnahme des Netzwerkverkehrs über die Entwicklerkonsole ist ebenfalls möglich
  • Webseiten unterliegen einem Zweck (falls nicht, liegt keine Webseite im Sinne dieses Beitrags vor)
  • Der Betreiber einer Webseite bestimmt die Mittel. Bei Webseiten ist dies das Internet bzw. das Konstrukt der Webseite
  • Somit liegt eine Verantwortlichkeit für die Verarbeitung personenbezogener Daten beim Betreiber der Webseite vor (da in den o.g. Fällen keine Datenschutzerklärung vorhanden ist, gibt es auch keine Nennung eines Verantwortlichen, der dann erst einmal gleich dem Betreiber der Webseite ist). Vgl. Art. 4 Nr. 7 DSGVO
  • Die Verarbeitung von Daten wiederum ist in Art. 4 Nr. 2 DSGVO definiert, die beim Erhalt einer IP-Adresse vorliegt. Die Datenerhebung als erste Datenverarbeitungsform liegt bei Webseiten vor.
  • Somit muss eine Datenschutzerklärung gemäß Art. 13 DSGVO vorgehalten werden.
  • Es spielt keine Rolle, welche Inhalte die Webseite hat
  • Es spielt keine Rolle, ob die Webseite ein Kontaktformular enthält oder nicht
  • Es spielt keine Rolle, ob die Webseite Dateien von Dritten abruft oder nicht

Erreichbarkeit der Datenschutzerklärung

Damit die Datenschutzerklärung zu Beginn des Besuchs einer Webseite erreichbar ist, sollte sie auf jeder Unterseite einer Homepage vorhanden sein. Hieran scheitern bereits viele Webseiten. Die Betreiber glauben es meistens nicht, wenn ich so etwas behaupte.

Hier ist meine Begründung, warum viele Webseiten nicht auf jeder Unterseite eine Datenschutzerklärung vorweisen.

Anmeldeseiten

Viele Webseiten nutzen Content Management Systeme (CMS) wie WordPress, Typo3, , Joomla oder Drupal. Nahezu jedes CMS bietet die Möglichkeit für Administratoren und Redakteure, sich am System mit einem Passwort anzumelden. Hierfür wird eine Login-Seite bereitgestellt. Die Login-Seite ist meist etwas versteckt bzw. soll eigentlich nur von berechtigten Nutzern aufgerufen werden.

Allerdings folgen die Adressen der Link-Seiten Konventionen. So gibt es beispielsweise folgende Namenskonventionen für die Login-Seiten verschiedenener Webseiten-Systeme:

  • WordPress: /wp-admin/
  • Typo3: /typo3/
  • Joomla: /administrator/
  • Drupal: /user/login/

Je nach Version des CMS kann die Konvention anders sein. Für manche Systeme, wie etwa für Magento, kann die Adresse individuell angepasst werden.

Für WordPress ist die Anmeldeseite für die Webseite www.zyxdfg.de also unter www.zyxdfg.de/wp-admin/ erreichbar.

Auf dieser Anmeldeseite sollte (selbstverständlich, sage ich) auch eine Datenschutzerklärung verlinkt sein. Dies ist oft nicht der Fall, wie man feststellen kann. Sehr viele Webseiten nutzen WordPress oder Typo3, was die Anzahl der Kandidaten in die Höhe treibt.

Hier sehen Sie eine typische Typo3-Anmeldeseite, die auf vielen Webseiten, die mit Typo3 erstellt wurden, zu finden ist:

Typische Typo3-Anmeldeseite (Vollansicht)

Wie zu sehen ist, fehlt der Link auf die Datenschutzerklärung. Auch der Link zum Impressum fehlt. Ob letzterer notwendig ist, ist ein anderes Thema. Alleine aus wettbewerbsrechtlichen Erwägungen würde ich dazu raten, ein Impressum auch auf Spezialseiten wie den oben genannten vorzuhalten.

Bei WordPress-Webseiten sieht die Anmeldeseite oft wie folgt aus:

Typische WordPress-Anmeldeseite (Vollansicht)

Auch hier fehlen die Links zu den Datenschutzhinweisen und zum Impressum.

Im WordPress-Dashboard kann der Link auf die Datenschutzhinweise wie folgt zur Anmeldeseite hinzugefügt werden:

  1. Menü Einstellungen
  2. Menüpunkt Datenschutz
  3. Seite für die Datenschutzerklärung auswählen
  4. Klick auf “Diese Seite benutzen”

Sonstige Spezialseiten

Neben Login-Seiten gibt es oft weitere Sonderseiten. Beispielsweise haben viele Webseiten eine sogenannte 404-Seite, die erscheint, wenn eine Seite nicht gefunden wurde. Wenn die 404-Seite aus einem harten Server-Fehler besteht, muss m.E. keine Verlinkung angegeben werden. Besteht die 404-Seite allerdings aus eigenem Inhalt, sollten die Verlinkungen da sein.

Eine Seite wie die folgende sollte meiner Meinung nach ebenfalls einen Link auf die Datenschutzerlärung enthalten:

Typische 404 Seite einer Typo3-Webseite

Sicher wird niemand widersprechen, wenn ich behaupte, dass ein Link auf eine Datenschutzerklärung auf solchen Seiten die Rechtssicherheit erhöht.

Manche Webseiten enthalten charakteristich anders gestaltete Seiten als es beim Kerninhalt der Webseite der Fall ist. Beispielsweise 3d-Planer von Küchenstudios, Produktseiten, Bildergalerien etc. Auch hier gilt das Gesagte zur Datenschutzrichtlinie.

Bei hinreichend großen Webseiten hilft m.E. nur ein automatisierter Scan der Webseite, um fehlende Verlinkungen praktikabel erkennen zu können. Die Software, die meinem Online Webseiten Check zugrunde liegt, kann das.

Viele Anmeldeseiten enthalten keine Datenschutzerklärung

Meine Beobachtung

Responsive Ansichten

Responsiv heißt, dass eine Webseite für die Darstellung auf allen möglichen gängigen Endgeräten optimiert ist. Auf einem Smartphone wird häufig statt eines voll sichtbaren Menüs eines zum Ausklappen verwendet, welches aufgrund der drei horizontalen Striche auch als Hamburger-Menü bezeichnet wid.

Hier sehen Sie die Ansicht meiner Webseite für kleinere Bildschirme:

Hamburger-Menü der Webseite dr-dsgvo.de

Ist die Datenschutzerklärung nur über das Hamburger-Menü erreichbar, sind zum Aufrufen dieser zwei Klicks erforderlich. Kommt der Nutzer von einer Spezialseite ohne diesen Link, muss er bereits dreimal klicken. Das wäre nach gängiger Rechtsprechung wohl unzumutbar. Somit gälte die Datenschutzerklärung als nicht verfügbar.

Responsive Webseiten verlängern oft den Weg zum Aufruf der Datenschutzerklärung

Tatsache aufgrund des Hamburger-Menüs und fehlender doppelter verlinkung

Auf meiner Webseite sind nur zur Sicherheit die Verlinkungen auf die Datenschutzerklärung und das Impressum auch in der Fußzeile vorhanden, die auf allen Endgeräten direkt und ohne weitere Klicks sichtbar ist.

In einem eigenen Artikel habe ich nehr zu responsivem Design und zur Erreichbarkeit der Datenschutzerklärung aufgeschrieben (dieser Artikel hier ist neuer, der verlinkte ein wenig älter).

Wenn Sie sich Ärger ins Haus holen möchten, verwenden Sie Consent Tools. Lesen Sie meine Beiträge, um zu verstehen, dass dies ein Faktum ist, keine Annahme oder Behauptung.

Viele Consent Tools sorgen dafür, dass die Datenschutzerklärung erst einsehbar ist, nachdem das Consent Tool weggeklickt wurde. Das ist hochproblematisch und meines Erachtens oft nicht erlaubt. Hier kommt es auf die Betrachtung des Einzelfalls an.

Wenn auf einem Smartphone der ganze Bildschirm mit einem Cookie Popup ausgefüllt ist, während die Seite mit der Datenschutzerklärung offen ist, kann letztere nicht gelesen werden.

Fazit

Jede Seite einer Webseite sollten einen Link auf die Datenschutzerklärung enthalten. Jede Seite! Dies gilt für jede Webseite, die öffentlich zugänglich ist. Für jede Webseite!

Auch Spezialseiten sollten diese Vorgabe erfüllen. Ich gebe zu bedenken, dass auch Spezialseiten über Suchmaschinen oder über das Internet Archiv indiziert sein können. Man kann also nicht einfach unterstellen, dass jemand eine Anmeldeseite durch manuelle Adresseingabe aufgerufen hat.

Ein Test der Erreichbarkeit der Datenschutzerklärung sollte einen Aufruf der Webseite auf verschiedenen Endgeräten beinhalten. Die Datenschutzerklärung sollte insgesamt mit maximal zwei Klicks von jeder beliebigen Seite aus aufrufbar sein.

Ich empfehle doppelte Verlinkungen, um Probleme mit responsiven Webseiten zu vermeiden. Das heißt nicht, dass jede Webseite dies so anbieten muss. Wer weiß, was er tut, kommt sicher auch ohne doppelte Links aus.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT und Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über neue Beiträge werden Sie informiert, wenn Sie meinen Newsletter abonnieren. Über Ihre Unterstützung für meine Arbeit würde ich mich besonders freuen.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Kommentare von Lesern

Die Kommentare drücken die Meinungen der jeweiligen Kommentargeber aus
  1. Torsten

    Hallo Herr Meffert,

    das ist ein Beispiel, wie undurchdacht Gesetzte sind, gerade wenn diese mit IT zu tun haben. Mal wieder existiert kein Praxisbezug und entsprechenden Einschränkungen der technologischen Machbarkeit.
    Datenschutzrichtlinie auf einer Login-Seite einer Applikation bedingt, dass dieses durch den Entwickler überhaupt vorgesehen ist.
    In der 401, 404, etc. keinen Datenschutzerklärung? Was ist dann aber mit Ressourcen wie CSS-Dateien und Images. Technisch kein Link möglich? Interessiert das Gesetz doch nicht! Umsetzen!
    Spinnen wir das weiter, kommen wir z.B. auch zu RestFul-Services.Diese sind durch die Verwendung von HTTP einer Web-Seite sogar noch relativ ähnlich. Also Datenschutzerklärung in jede JSON-Antwort einbauen.
    Weiter geht es mit dem ssh-login auf dem Server. Wie etwa keine Datenschutzerklärung, wenn jemand versucht sich einzuloggen. Oben bei der HML-Anwendung muss man es doch auch haben. Das Gesetz macht doch keine Einschränkung auf HTTP, wieso sollte das bei ssh jetzt anders sein, ist doch auch öffentlich zugänglich und die IP wird übertragen. Das lässt sich natürlich auf alle Dienste wie z.B. FTP,SMB, SAMBA , etc. übertragen.
    Hier fehlt der klare Ausschluss von öffentlich erreichbaren Diensten, welche nicht für die Benutzung der Öffentlichkeit vorgesehen sind.
    Viele Grüße
    Torsten

    • Dr. DSGVO

      Vielen Dank für Ihre Rückmeldung.

      Ganz so kritisch sehe ich es nicht.
      Ein Impressum (oder eine Datenschutzerklärung) würde ich nur auf Seiten erwarten, die auch ordentlich und auf “normalem” Wege, etwa über eine Suchmaschine, zugänglich sind.
      Eine CSS-Datei ruft ja kein normaler Mensch direkt auf. Wenn es eine technisch versierte Person tut, dann nicht in der Erwartung, Web-Inhalte (Texte etc.) angezeigt zu bekommen und auch nicht, in der Erwartung, ein Impressum vorzufinden.
      Letzendlich muss der gesunde Menschenverstand als Maßstab angesetzt werden, denn dem folgen in der Regeln auch Gerichte. Umso höher die Gerichtsinstanz, desto höher die Wahrscheinlichkeit, dass diese Aussage zutrifft

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

FLoC: Google’s Versuch Cookies abzuschaffen (Federated Learning of Cohorts)