Welche Partei im Bundestag hat die beste Webseite (Datenschutz)?

Kategorien: Datenschutz, Allgemein, Empfehlungen und Recht

Wie gut halten deutschen Parteien im Bundestag geltende Datenschutzregeln auf ihren Webseiten ein? Dieser Frage bin ich nachgegangen. Das Ergebnis liefert einen eindeutigen Sieger und einen blamablen Verlierer. Eine Webseite schafft es immerhin, ohne nerviges Popup auszukommen. Die Parteien erhalten im Beitrag Empfehlungen zur Verbesserung ihrer Rechtskonformität.

Einleitung

Im Deutschen Bundestag sind nach meiner Information folgende Parteien vertreten (Stand: 08.12.2021, alphabetische Reihenfolge):

• Bündnis 90/Die Grünen
• CDU
• CSU
• Die Linke
• FDP
• SPD
• Südschleswigscher Wählerband (SSW)
• X-Partei

Auf den SSW gehe ich nicht weiter ein. Mir war bis eben nicht bekannt, dass es diese Partei gibt und dass sie im Bundestag sitzt. Ich habe eben gelesen, dass der SSW von der Fünf-Prozent-Hürde befreit ist. Genaueres kann jeder selber auf Wikipedia nachlesen.

Auf die X-Partei gehe ich ebenfalls nicht weiter ein, allerdings aus anderen Gründen als beim SSW.

Untersuchungsgegenstand

Ich habe somit folgende Webseiten am 08.12.2021 untersucht (alphabetische Nennung):

• cdu.de
• csu.de
• die-linke.de
• fdp.de
• gruene.de
• spd.de

Aus den Namen der Parteien und den Adressen der Webseiten ergibt sich eine offensichtliche Zuordnung, die ich daher explizit nicht mehr vornehme.

Bei der Prüfung habe ich die von mir entwickelte Datenschutz-Software eingesetzt, um die Webseiten automatisiert zu prüfen. Das Ergebnis habe ich manuell nachgeprüft. Meine Software hat jeweils nicht die komplette Webseite geprüft, sondern max. 100 Unterseiten gescannt. Geprüft wurden:

• Datentransfers, daraus
  • eingesetzte Dienste und
  • gesetzte Cookies
• SSL-Zertifikat
• Gestaltung der Einwilligungsabfrage (Cookie Popup), natürlich nur, sofern vorhanden. Ich vermute vorab, dass auf allen Webseiten ein solches Popup vorzufinden ist, obwohl es auch ohne geht. Nachtrag: ich wurde glücklicherweise eines Besseren belehrt.
• Datenschutzhinweise: Grobe manuelle Sichtprüfung.

Alle Befunde stellen meine eigene Meinung dar. Ich begründe meine Meinung, soweit das hier möglich ist. Ansonsten enthält der Dr. DSGVO Blog zahlreiche Ausführungen zu vielen Fragen des digitalen Datenschutzes, insbesondere zu Rechtsgrundlagen. Meine Befundangabe stellt keinen Anspruch auf Vollständigkeit. Immerhin erfolgte diese Untersuchung in meiner Freizeit.

Sachlage

Ich beschreibe nun die Ergebnisse der Untersuchung pro Webseite. Die Nennung erfolgt hier vom besten zum schlechtesten Fall (nach meiner Einschätzung). Danach küre ich den Sieger und den Verlierer.

Die Linke

Positiv:

• Super: Keine störende Einwilligungsabfrage, also kein Popup
• Gut: Die Webseite nutzt keine technisch nicht notwendigen Cookies ohne Einwilligung.
• Gut: Das SSL-Zertifikat ist vorhanden, sicher und korrekt konfiguriert

Problematisch:

• Nutzung von Matomo laut Datenschutzhinweisen mit IP-Protokollierung. Das kann man leicht lösen.
• Nutzung des Dienstes Altruja (für Spenden?) ohne Einwilligung und ohne Erklärung. Mindestens Datenschutzhinweise fehlen. Es ist wohl ein deutscher Anbieter. Wenn AVV o. ä. vorhanden, ohne Einwilligung möglich.
• Nutzung von YouTube (erst nach Einwilligung, was gut ist). Die Einwilligungsabfrage weist erhebliche formale Mängel auf und ist so m. E. ungültig. Beispiel: Hinweis auf Widerrufsmöglichkeit fehlt (vgl. Art. 7 Abs. 3 DSGVO). Übrigens muss dreimal geklickt werden, um das Video anzusehen. Das ist sicher gut für den Datenschutz, aber nicht nötig. Ein Klick weniger tut es auch.

Einwilligungsabfrage:

• Gut: Es gibt keine! Nur auf einem Platzhalter für Videos wird eine Einwilligung abgefragt! Kein nerviges Popup vorhanden! Warum bekommen es nicht alle so hin?

Kleinliche Meckereien:

• Cookies werden als Textdateien bezeichnet, was falsch ist (Beweis), aber hier keine Minuspunkte gibt.

FDP

Positiv:

• Gut: Die Webseite lädt keine Dateien Dritter ohne Einwilligung.
• Gut: Die Webseite nutzt keine technisch nicht notwendigen Cookies ohne Einwilligung.
• Gut: Das SSL-Zertifikat ist vorhanden, sicher und korrekt konfiguriert. Schade, dass das Zertifikat von Google Trust Services LLC stammt. Hierfür gibt es keine Minuspunkte, schön ist es dennoch nicht.

Problematisch:

• Project Shield (storage.googleapis.com). Keine gute Idee. Der Netzwerkverkehr geht bei Aufruf von fdp.de wohl zunächst zu Google. Ich finde das nicht lustig. Danke an einen anonymen Leser für diesen Tipp (siehe Kommentare unter dem Beitrag).
• Laut Datenschutzhinweisen (https://www.fdp.de/seite/datenschutzerklaerung) wird die französische Firma Mailjet für den Newsletter-Versand eingesetzt. Laut Webseite von Mailjet ist in Wirklichkeit Mailgun, eine Firma aus den USA, der Dienstleister. Siehe meinen Artikel zu Mailjet. Somit kommen wir hier in die Problematik von Schrems II / Privacy Shield herein, der auch Cookiebot am 01.12.2021 zum Opfer gefallen ist. Schuld sind die USA, nicht die DSGVO!
• Laut Datenschutzhinweisen werden die Dienste YouTube, Google Maps und Plugins von Facebook und Instagram genutzt (anscheinend erst nach Einwilligung, was gut ist). Diese Dienste können allesamt nicht rechtskonform genutzt werden, behaupte ich. Oder weiß die FDP, welche Daten wie von Google & Co. verarbeitet werden (und kann entsprechend die Pflichtangaben gemäß Art. 13 DSGVO leisten)? Für Google Maps gibt es einfache Alternativen.
• Ebenda wird auch GoToMeeting erwähnt, ein Produkt aus den USA. Es gibt deutsche Lösungen, die ähnliches leisten, aber keine Datenschutzprobleme mit sich bringen. Warum nicht die nehmen?

Einwilligungsabfrage:

• Gut: Datenschutzhinweise sind ohne Einwilligungsabfrage sichtbar
• Mäßig: Nudging, aber immerhin Ablehnen mit einem Klick möglich. Ich behaupte, das ist rechtswidrig. So sieht es das LG Rostock auch.
• Schlecht: Die Pflichtangaben sind nicht erfüllt, sondern eigentlich gar nicht vorhanden. Hier ein Screenshot, der das zeigt (vgl. meine Checkliste sowie u. a. Art. 44ff DSGVO, Artikel 13 DSGVO):

Kleinliche Meckereien:

• Datenschutzhinweise: Cookies werden als Textdateien bezeichnet, was falsch ist (Beweis: siehe oben). In § 2 (3) wird die IP-Adresse als freiwilliges Datum suggeriert, was falsch ist.

Sonstiges:

• Den in den Datenschutzhinweisen genannten US-Dienstleister Cloudinary konnte ich bei der Untersuchung der Webseite nicht finden (wie oben geschrieben, wurden max. 100 Unterseiten geprüft und ich habe nicht jede Seite nach manueller Einwilligung durchgeklickt).

SPD

Ich hätte die SPD-Webseite abgemahnt, wenn Karl Lauterbach nicht Gesundheitsminister geworden wäre, weil ich mir fest vornahm, die Webseite aufzurufen, wenn der kompetenteste SPD-Politiker aus dem Gesundheitswesen nicht in die tragende Rolle gekommen wäre. Gut, dass das nicht passieren musste. So habe ich die Webseite nur zum Test aufgerufen und peinlich genau darauf geachtet, alle Datenschutzprobleme nicht meiner Person zuordenbar zu machen 😉

Positiv:

• Gut: Das SSL-Zertifikat ist vorhanden, sicher und korrekt konfiguriert.

Problematisch:

• Externe Google Schriften. Lasst es doch bitte sein: Darum!
• Dateien von Cloudflare ohne Einwilligung: Keine gute Idee.
• Weitere vermeidbare externe Dateien ohne Einwilligung. Warum?
• Matomo mit Cookies (lange Lebensdauer) ohne Einwilligung (vgl. § 25 TTDSG). Ist nicht erlaubt.
• Datenschutzhinweise fehlen, etwa zu Google Schriften. Wenn die Schriften nur lokal eingebunden wären, bräuchte es diese Hinweise nicht. Zu dumm.
• Nutzung des Dienstes Altruja (für Spenden?) ohne Einwilligung: Siehe Kommentar bei Die Linke, die den Dienst auch nutzt.
• Laut Datenschutzhinweisen werden YouTube, SoundCloud, Spotify und Plugins von Facebook und Twitter verwendet. Nicht so gut, auch nicht mit Einwilligung, die wohl kaum rechtskonform möglich sein dürfte.
• Laut Datenschutzhinweisen wird eine Videokonferenzlösung von Cisco verwendet. Es gibt gute deutsche Lösungen. Warum nicht die nehmen und so Datenschutzprobleme vermeiden? Bei Bedarf gebe ich hierzu gerne Empfehlungen.
• Whappodo (deutscher Anbieter?) wird ohne Einwilligung geladen. Vielleicht ist das erlaubt. Ich weiß es nicht und untersuche es auch nicht näher.

Einwilligungsabfrage:

• Schlecht: Dies ist keine Einwilligungsabfrage, sondern m. E. im besten Fall eine überholte Auffassung der Rechtslage. Der angebotene Widerspruch gegen Matomo ist wohl § 15 Abs. 3 TMG entnommen, der aber schon lange nicht mehr so gilt (vgl. BGH-Urteil zu Planet49) und spätestens seit dem 01.12.2021 offenkundig falsch ist (§ 25 TTDSG).
• Mäßig: Datenschutzhinweise (https://www.spd.de/site/datenschutz/) können nicht ohne Wegklicken des Popups gelesen werden (auch das Smartphone ist ein Endgerät).

Kleinliche Meckereien:

• Datenschutzhinweise: Cookies werden als Textdateien bezeichnet, was falsch ist (Beweis: siehe oben).

Die Grünen

Positiv:

• SSL-Zertifikat vorhanden, richtig konfiguriert, sicher (Schlüssellänge: 256 Bits, aber mit dem sicheren Verfahren ECC. Danke für einen anonymen Kommentar, der klarstellte, dass ECC mit 256 Bits genauso sicher ist wie klassische verfahren mit viel mehr Bits)

Problematisch:

• Nutzung eines PayPal Plugins mit Cookies, dafür ohne Rechtsgrundlage.
• Nutzung von YouTube mit Cookies, dafür ohne Rechtsgrundlage.
• Nutzung von Matomo mit Cookies. Abhilfe leicht möglich (s. o.)
• Externe Google Schriften. Lasst es doch bitte auch sein. Es ist unnötig und rechtswidrig (s. o.)
• Die Datenschutzhinweise lassen an mancher Stelle eine gewisse Professionalität vermissen. Im Abschnitt „Instagram“ wird in einem kurzen Satz ein Link auf die Datenschutzseite von Instagram gegeben. Liebe Grüne, könnt Ihr mir bitte in eigenen Worten erklären, was da steht? Ich verstehe es nämlich nicht. Danke vorab. Nicht, dass noch jemand ein Art. 15 DSGVO Auskunftsbegehren samt Art. 13 DSGVO Nachfrage stellt …
• In den Datenschutzhinweisen sind die Rechtsgrundlagen in einer pauschalen Weise genannt, die ich für absolut ungenügend halte. Ungefähr so: Es gibt folgende Rechtsgrundlagen… Suchen Sie sich die passende aus. Ich empfehle einen Blick in Abschnitt IV meiner Datenschutzhinweise. Dort ist eine allgemeine Formulierung gegeben, die mir und einigen anderen jedenfalls konkret genug erscheint.
• In den Datenschutzhinweisen wurde eine Möglichkeit zum Konfigurieren der Einstellungen für Matomo falsch eingebunden, sodass keine Konfiguration möglich ist ("Die Seite wurde nicht gefunden").

Einwilligungsabfrage:

• Das Popup erscheint gar nicht erst, wenn man einen Werbe-Blocker nutzt. Das ist rechtswidrig, wenn dadurch vorgeschriebene Einwilligungsabfragen unterbleiben.
• Nudging par Excellence per Ankreuzfeld statt Button: Da fühle ich mich verhohnepiepelt. Der EuGH stellte bereits fest, dass es so nicht erlaubt ist (Planet49-Urteil).
• Wo sind die Pflichtinformationen hin? Soll jeder in der Datenschutzerklärung nachschauen? Ich halte das für rechtswidrig. Professionell ist jedenfalls etwas anderes.
• Schade, dass in Kombination mit den beiden Punkten eben die Datenschutzhinweise nicht ohne Wegklicken des Popups gelesen werden können. Das macht es nicht besser. Ich vermute mal, die eingeholten Einwilligungen sind damit allesamt potentiell rechtswidrig.

Kleinliche Meckereien:

• Datenschutzhinweise: Cookies werden als Textdateien bezeichnet, was falsch ist (Beweis: siehe oben).

Die Webseite der Grünen ist in der Nähe von unterirdisch, aber meiner Meinung nach noch besser als die der CDU.

CDU

Auf der Webseite der CDU habe ich derart viele Datenschutzverstöße festgestellt, dass mir meine Zeit zu schade ist, hierauf näher einzugehen. Das ist einfach nur blamabel. Schämt Euch! Jetzt weiß ich wieder, warum Deutschland das Land der Digitalversager ist.

CSU

Positiv:

• Keine Rückmeldung von mir hierzu aufgrund des Undankes und des Unwillens der CSU (siehe weiter unten). Ich verhalte mich analog zum CCC, der der Schwesterpartei CDU Sicherheitslücken mitteilte, worauf die CDU den CCC beklagte. Der CCC hat daraufhin jeglicher zukünftiger Zusammenarbeit mit der CDU eine Absage erteilt.

Problematisch:

• Mehrerer Probleme gefunden, die ich aber der CSU gegenüber verschweige, weil sie es nicht besser verdient hat. Soviel sei verraten:
• Die Webseite nutzt Cookiebot. Das ist laut Beschluss des VG Wiesbaden rechtswidrig.
• Einsatz zahlreicher Dienste von Anbietern, die Datenschutz m. E. nicht ernst nehmen.

Einwilligungsabfrage:

• Mäßig: Rechtswidriges Nudging (s.o.)
• Schlecht: Pflichtinformationen fehlen (s.o.), zu viel Vertrauen in Cookiebot

Bewertung

Jede Webseite hat Verbesserungsbedarf, die eine mehr, die andere weniger, die meisten Webseiten mehr.

Die Webseite von Die Linke ist top aufgestellt. Sie weist nur minimale Mängel auf. Sie hat kein nerviges Cookie Popup, wie toll ist das denn? Kompliment zum fast vorbildlichen Datenschutzniveau. Kleine Verbesserungsmöglichkeiten gibt es.

Die Webseite der FDP weist ein recht gutes Datenschutz-Niveau auf. Hier hat sich jemand Mühe gegeben. Allerdings wird Project Shield von Google eingesetzt, was ein sehr negativer Punkt ist.

Die Grünen können Datenschutz auf ihrer Webseite nicht wirklich. Hier besteht aber noch Hoffnung.

Die CSU bewerte ich nicht weiter. Sie hat meine Rückmeldung nicht verdient.

Bei der CDU ist alles zu spät. Es sind derart viele Verstöße vorzufinden, dass Frau Merkel froh sein kann, ab sofort als Ex-Kanzlerin nicht mehr so eng mit der CDU in Verbindung gebracht zu werden. Dies ist definitiv die schlechteste Webseite unter allen geprüften. Wer sich dafür nicht schämt, sollte sich dafür schämen.

Hier einige allgemeine Empfehlungen, die beispielsweise für die FDP, in Teilen aber auch für andere, nützlich sein sollten:

• Project Shield von Google nicht einsetzen. Google soll nicht jeden Webseitenbesuch mitlesen.
• Einwilligungsabfrage überarbeiten, sie ist aktuell m. E. rechtswidrig und für somit zu ungültigen Einwilligungen
• Datenschutzhinweise überarbeiten
• Matomo ohne Cookies und ohne volle IP-Adressenprotokollierung nutzen. Dann ist m. E. ein Betrieb ohne Einwilligungsabfrage möglich (trotz § 25 TTDSG, wie ich begründen kann)
• Google Maps ersetzen
• YouTube Videos vermeiden. Bitte bitte. Tut es nicht auch ein Vorschaubild mit Verlinkung auf die Datenkrake-Plattform? Wie wäre es mit einer deutschen Streaming-Plattform ganz ohne Schnick Schnack und ohne Influencer, dafür mit Upload- und Plugin-Möglichkeit? Mehr brauchen wir doch nicht für das Einbinden von Videos auf eigenen Webseiten.
• Mailjet ersetzen
• Facebook den Rücken kehren (auch wenn es weh tut, Herr Lindner – immerhin die Eigenwerbung selber bezahlt, das finde ich gut, wenngleich auf Facebook, das finde ich nicht gut)
• Cloudinary? Braucht man das?

Schlusswort

Die Datenschutzbeauftragten aller Parteien habe ich angeschrieben und ihnen das Ergebnis mitgeteilt sowie auf diesen Artikel verlinkt. Ich bin gespannt auf die Rückmeldungen. Das letzte Mal, als ich die CSU angeschrieben hatte (vor ca. einem Jahr), kam eine ausgesprochen unbefriedigende Antwort zurück: Sachverstand sei vorhanden, aber die von mir gemeldeten Probleme seien keine. Deshalb hatte ich nun die CSU wegen des Undanks auch nicht mehr angeschrieben.

Ich selber bin weder einer Partei zugehörig, noch wähle ich regelmäßig die gleiche Partei. Ich denke also, recht unparteiisch zu sein, wobei eine politische Grundneigung wie bei jedem sicher vorhanden ist.

Hier übrigens mein Anschreiben an die CDU:

Eine Rückmeldung von einer Partei gab es bereits. Die Antwort kam sehr schnell, danke dafür! Der Datenschutzbeauftragte schrieb, die Partei habe einige Punkte bereits aufgegriffen. Was einen von mir bemängelten Dienst betrifft, behauptete er, dieser würde nicht direkt geladen. Ich konnte ihm direkt das Gegenteil beweisen. Im Gegensatz zur realen Welt ist eine Beweisaufnahme in der Technik teilweise zweifelsfrei möglich. Weiterhin wies der DSB darauf hin, dass die Partei in Teilen eine andere Rechtsauffassung habe. Das finde ich schade, denn ich bin recht sicher, dass meine Rechtsauffassung sehr gefestigt und übrigens auch bereits bewährt, weil in mehreren Fällen durchgesetzt, ist. Unabhängig davon, sei einem DSB zugestanden, dass er Ausreden findet. Immerhin ist er nach außen hin der Ansprechpartner. In Wirklichkeit ist es oft so, dass der DSB seinem Mandanten Empfehlungen gibt, die der Mandant dann aber nicht einhält. Dafür kann der DSB nichts, muss aber erst einmal den Kopf hinhalten (allerdings ohne Verantwortlichkeit).

Am 15.12.2021 hat auch die FDP eine Rückmeldung gegeben und Arbeiten an der Webseite in Aussicht gestellt. Eine gegebene Meinung zum Cookie-Banner teile ich nicht und hatte dies in meiner Antwort kurz begründet.

Auch interessant: