Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
Ergebnis in wenigen Sekunden sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Die Datenschutzerklärung ist auf vielen Webseiten nicht verfügbar, auch wenn Sie es nicht glauben

0

Jede Webseite muss eine Datenschutzerklärung vorweisen. Diese sollte von jeder Seite aus zugänglich sein, mindestens aber nach spätestens zwei Klicks. Zahlreiche Webseiten halten diese Vorgabe nicht ein.

Einleitung

Als Webseite gilt im Zusammenhang mit diesem Beitrag jede Webseite, die einen Zweck verfolgt. Man könnte auch Angebot statt Zweck sagen. Der Zweckbegriff stammt aus der DSGVO, der des Angebots aus dem TMG (und in Teilen auch aus der DSGVO). Die Webseite muss öffentlich zugänglich sein, ist also nicht mit einem Passwort geschützt.

Das Impressum soll mit maximal zwei Klicks erreichbar sein, sagt der BGH im Urteil vom 20.07.2006 – I ZR 228/03. Zur Datenschutzerklärung sind mir keine Urteile bekannt, die dies ebenso aussagen. Allerdings denke ich, dass die Datenschutzerklärung für Privatpersonen faktisch noch wichtiger ist, weil dort u.a. die Betroffenenrechte und auch die Verantwortliche Stelle zu nennen sind. Insofern behaupte ich, dass auch die Datenschutzerklärung mit maximal zwei Klicks und am besten von jeder Seite einer Webseite aus erreichbar sein muss bzw. zumindest sein sollte. Nur dann gilt sie jedenfalls rechtssicher als verfügbar und erreichbar.

Das OLG Hamburg hat im Urteil vom 27.06.2013 – 3 U 26/12 klargestellt, dass die Datenschutzrichtline gemäß § 13 TMG zu Beginn des Besuchs auf einer Webseite zugänglich zu machen ist. Das spricht für die Annahme, dass max. zwei Klicks zumutbar sind. Allerdings ist das Urteil aus dem Jahr 2013, bevor die DSGVO in Kraft trat. Laut Beschluss des OLG Hamburg (10.12.2019 – 15 U 90/19) gilt die DSGVO vor §13 Abs. 1 TMG. Auch das OLG Stuttgart hat dies bestätigt (27.02.2020 – 2 U 257/19).

Artikel 13 DSGVO thematisiert auch die Informationspflichten. Auch dort wird eine schnelle Aufklärung gefordert, indem als Zeitpunkt hierfür der “Zeitpunkt der Erhebung” der personenbezogenen Daten genannt ist, was dem Einstieg in eine Webseite gleicht (weil IP-Adressen personenbezogene Daten sind). Dies betrifft jede öffentlich zugängliche Webseite, egal ob leer oder bestehend aus einer Seite oder bestehend aus 1000 Unterseiten, egal ob privat oder kommerziell.

Jede öffentlich zugängliche Webseite muss eine Datenschutzerklärung vorhalten.

Jede Webseite = Jede Webseite.

Ich hatte gelegentlich Diskussionen mit Personen, die eine minimalistische private aber öffentlich zugängliche Webseite betreiben und der Meinung sind, ihre Webseite benötige keine Datenschutzerklärung. Das ist m.E. grober Unsinn. Beispielsweise sieht es der Betreiber von LucaTrack so, der eine Sicherheitslücke in der Luca App gefunden hat. Auf meinen Hinweis hin hat er das Impressum ergänzt, sich aber geweigert, eine Datenschutzerklärung vorzuhalten.

Hier noch mal die Argumentation:

  • IP-Adressen sind personenbezogene Daten (EuGH-Urteil vom 19.10.2016 – C-582/14, BGH-Urteil vom 16.05.2017 – VI ZR 135/13)
  • Beim Aufruf einer beliebigen Webseiten wird zwangsweise die IP-Adresse des Besuchers an den Betreiber der Webseite übertragen. Vgl. Internet Protokoll, ein Beweis im Browser durch Inaugenscheinnahme des Netzwerkverkehrs über die Entwicklerkonsole ist ebenfalls möglich
  • Webseiten unterliegen einem Zweck (falls nicht, liegt keine Webseite im Sinne dieses Beitrags vor)
  • Der Betreiber einer Webseite bestimmt die Mittel. Bei Webseiten ist dies das Internet bzw. das Konstrukt der Webseite
  • Somit liegt eine Verantwortlichkeit für die Verarbeitung personenbezogener Daten beim Betreiber der Webseite vor (da in den o.g. Fällen keine Datenschutzerklärung vorhanden ist, gibt es auch keine Nennung eines Verantwortlichen, der dann erst einmal gleich dem Betreiber der Webseite ist). Vgl. Art. 4 Nr. 7 DSGVO
  • Die Verarbeitung von Daten wiederum ist in Art. 4 Nr. 2 DSGVO definiert, die beim Erhalt einer IP-Adresse vorliegt. Die Datenerhebung als erste Datenverarbeitungsform liegt bei Webseiten vor.
  • Somit muss eine Datenschutzerklärung gemäß Art. 13 DSGVO vorgehalten werden.
  • Es spielt keine Rolle, welche Inhalte die Webseite hat
  • Es spielt keine Rolle, ob die Webseite ein Kontaktformular enthält oder nicht
  • Es spielt keine Rolle, ob die Webseite Dateien von Dritten abruft oder nicht

Erreichbarkeit der Datenschutzerklärung

Damit die Datenschutzerklärung zu Beginn des Besuchs einer Webseite erreichbar ist, sollte sie auf jeder Unterseite einer Homepage vorhanden sein. Hieran scheitern bereits viele Webseiten. Die Betreiber glauben es meistens nicht, wenn ich so etwas behaupte.

Hier ist meine Begründung, warum viele Webseiten nicht auf jeder Unterseite eine Datenschutzerklärung vorweisen.

Anmeldeseiten

Viele Webseiten nutzen Content Management Systeme (CMS) wie WordPress, Typo3, , Joomla oder Drupal. Nahezu jedes CMS bietet die Möglichkeit für Administratoren und Redakteure, sich am System mit einem Passwort anzumelden. Hierfür wird eine Login-Seite bereitgestellt. Die Login-Seite ist meist etwas versteckt bzw. soll eigentlich nur von berechtigten Nutzern aufgerufen werden.

Allerdings folgen die Adressen der Link-Seiten Konventionen. So gibt es beispielsweise folgende Namenskonventionen für die Login-Seiten verschiedenener Webseiten-Systeme:

  • WordPress: /wp-admin/
  • Typo3: /typo3/
  • Joomla: /administrator/
  • Drupal: /user/login/

Je nach Version des CMS kann die Konvention anders sein. Für manche Systeme, wie etwa für Magento, kann die Adresse individuell angepasst werden.

Für WordPress ist die Anmeldeseite für die Webseite www.zyxdfg.de also unter www.zyxdfg.de/wp-admin/ erreichbar.

Auf dieser Anmeldeseite sollte (selbstverständlich, sage ich) auch eine Datenschutzerklärung verlinkt sein. Dies ist oft nicht der Fall, wie man feststellen kann. Sehr viele Webseiten nutzen WordPress oder Typo3, was die Anzahl der Kandidaten in die Höhe treibt.

Hier sehen Sie eine typische Typo3-Anmeldeseite, die auf vielen Webseiten, die mit Typo3 erstellt wurden, zu finden ist:

Typische Typo3-Anmeldeseite (Vollansicht)

Wie zu sehen ist, fehlt der Link auf die Datenschutzerklärung. Auch der Link zum Impressum fehlt. Ob letzterer notwendig ist, ist ein anderes Thema. Alleine aus wettbewerbsrechtlichen Erwägungen würde ich dazu raten, ein Impressum auch auf Spezialseiten wie den oben genannten vorzuhalten.

Bei WordPress-Webseiten sieht die Anmeldeseite oft wie folgt aus:

Typische WordPress-Anmeldeseite (Vollansicht)

Auch hier fehlen die Links zu den Datenschutzhinweisen und zum Impressum.

Im WordPress-Dashboard kann der Link auf die Datenschutzhinweise wie folgt zur Anmeldeseite hinzugefügt werden:

  1. Menü Einstellungen
  2. Menüpunkt Datenschutz
  3. Seite für die Datenschutzerklärung auswählen
  4. Klick auf “Diese Seite benutzen”

Sonstige Spezialseiten

Neben Login-Seiten gibt es oft weitere Sonderseiten. Beispielsweise haben viele Webseiten eine sogenannte 404-Seite, die erscheint, wenn eine Seite nicht gefunden wurde. Wenn die 404-Seite aus einem harten Server-Fehler besteht, muss m.E. keine Verlinkung angegeben werden. Besteht die 404-Seite allerdings aus eigenem Inhalt, sollten die Verlinkungen da sein.

Eine Seite wie die folgende sollte meiner Meinung nach ebenfalls einen Link auf die Datenschutzerlärung enthalten:

Typische 404 Seite einer Typo3-Webseite

Sicher wird niemand widersprechen, wenn ich behaupte, dass ein Link auf eine Datenschutzerklärung auf solchen Seiten die Rechtssicherheit erhöht.

Manche Webseiten enthalten charakteristich anders gestaltete Seiten als es beim Kerninhalt der Webseite der Fall ist. Beispielsweise 3d-Planer von Küchenstudios, Produktseiten, Bildergalerien etc. Auch hier gilt das Gesagte zur Datenschutzrichtlinie.

Bei hinreichend großen Webseiten hilft m.E. nur ein automatisierter Scan der Webseite, um fehlende Verlinkungen praktikabel erkennen zu können. Die Software, die meinem Online Webseiten Check zugrunde liegt, kann das.

Viele Anmeldeseiten enthalten keine Datenschutzerklärung

Meine Beobachtung

Responsive Ansichten

Responsiv heißt, dass eine Webseite für die Darstellung auf allen möglichen gängigen Endgeräten optimiert ist. Auf einem Smartphone wird häufig statt eines voll sichtbaren Menüs eines zum Ausklappen verwendet, welches aufgrund der drei horizontalen Striche auch als Hamburger-Menü bezeichnet wid.

Hier sehen Sie die Ansicht meiner Webseite für kleinere Bildschirme:

Hamburger-Menü der Webseite dr-dsgvo.de

Ist die Datenschutzerklärung nur über das Hamburger-Menü erreichbar, sind zum Aufrufen dieser zwei Klicks erforderlich. Kommt der Nutzer von einer Spezialseite ohne diesen Link, muss er bereits dreimal klicken. Das wäre nach gängiger Rechtsprechung wohl unzumutbar. Somit gälte die Datenschutzerklärung als nicht verfügbar.

Responsive Webseiten verlängern oft den Weg zum Aufruf der Datenschutzerklärung

Tatsache aufgrund des Hamburger-Menüs und fehlender doppelter verlinkung

Auf meiner Webseite sind nur zur Sicherheit die Verlinkungen auf die Datenschutzerklärung und das Impressum auch in der Fußzeile vorhanden, die auf allen Endgeräten direkt und ohne weitere Klicks sichtbar ist.

In einem eigenen Artikel habe ich nehr zu responsivem Design und zur Erreichbarkeit der Datenschutzerklärung aufgeschrieben (dieser Artikel hier ist neuer, der verlinkte ein wenig älter).

Cookie Popups

Wenn Sie sich Ärger ins Haus holen möchten, verwenden Sie Consent Tools. Lesen Sie meine Beiträge, um zu verstehen, dass dies ein Faktum ist, keine Annahme oder Behauptung.

Viele Consent Tools sorgen dafür, dass die Datenschutzerklärung erst einsehbar ist, nachdem das Consent Tool weggeklickt wurde. Das ist hochproblematisch und meines Erachtens oft nicht erlaubt. Hier kommt es auf die Betrachtung des Einzelfalls an.

Wenn auf einem Smartphone der ganze Bildschirm mit einem Cookie Popup ausgefüllt ist, während die Seite mit der Datenschutzerklärung offen ist, kann letztere nicht gelesen werden.

Fazit

Jede Seite einer Webseite sollten einen Link auf die Datenschutzerklärung enthalten. Jede Seite! Dies gilt für jede Webseite, die öffentlich zugänglich ist. Für jede Webseite!

Auch Spezialseiten sollten diese Vorgabe erfüllen. Ich gebe zu bedenken, dass auch Spezialseiten über Suchmaschinen oder über das Internet Archiv indiziert sein können. Man kann also nicht einfach unterstellen, dass jemand eine Anmeldeseite durch manuelle Adresseingabe aufgerufen hat.

Ein Test der Erreichbarkeit der Datenschutzerklärung sollte einen Aufruf der Webseite auf verschiedenen Endgeräten beinhalten. Die Datenschutzerklärung sollte insgesamt mit maximal zwei Klicks von jeder beliebigen Seite aus aufrufbar sein.

Ich empfehle doppelte Verlinkungen, um Probleme mit responsiven Webseiten zu vermeiden. Das heißt nicht, dass jede Webseite dies so anbieten muss. Wer weiß, was er tut, kommt sicher auch ohne doppelte Links aus.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnissen die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

FLoC: Google’s Versuch Cookies abzuschaffen (Federated Learning of Cohorts)