gekennzeichnet. 
Viele Betreiber von Webseiten fragen immer wieder nach Datenschutztexten, weil sie ihre Webseite datenschutzkonform gestalten wollen. Manche meinen, damit wären alle wichtigen Probleme gelöst. Manche fragen deswegen gerne einen Juristen, in der Annahme, ihre Webseite würde durch die juristisch gelieferten Texte datenschutzkonform. Was hat es damit auf sich?
Einleitung
Im Rahmen meiner Beratungstätigkeit über meine Firma und auch über meine Beratung für die Kunden von Datenschutzbeauftragten werde ich immer wieder nach Datenschutztexten für die Webseiten von Mandanten gefragt.
Der Betreiber einer Webseite fragt typischerweise:
Ich brauche Datenschutztexte für meine Webseite, damit sie datenschutzkonform ist.
Häufige Frage von Mandanten.
Noch lustiger ist der Fall, wenn ein Unternehmer mich nach einem Text fragt, weil seine Werbeagentur auf dessen Webseite einen Dienst von Google eingebunden hat. Wäre es dann nicht die Aufgabe der Agentur, den Text zu liefern oder kennt die Agentur die rechtlichen Vorschriften aus ihren eigenen Arbeitsgebiet nicht?
Manchmal gibt es ein Vorgespräch zwischen dem Datenschutzbeauftragten (DSB) und mir. Der DSB schildert mir beispielsweise, dass sein Mandant unbedingt Datenschutztexte braucht und wohl einen Anwalt beauftragen will. Der DSB und ich sind uns einig, dass Datenschutztexte viel zu kurz gegriffen sind. Viele Mandanten verstehen das nicht. Deswegen möchte ich in diesem Beitrag aufklären. Für Datenschutzexperten wird es hier kaum neue Erkenntnisse geben. Allerdings ist das nur meine Idealvorstellung, die in der Realität leider oft untererfüllt wird.
Was sind Datenschutztexte?
Landläufig sind mit Datenschutztexten die Pflichtinformationen gemeint, die vor allem laut Art. 13 DSGVO bereitzustellen sind. Oft werden diese Datenschutztexte auch als Datenschutzerklärung oder Datenschutzhinweise bezeichnet. Gemeint sind damit oft auch die Texte, die auf Einwilligungsabfragen erwartet werden. Derartige Abfragen nach einer Einwilligung werden wiederum oft als Cookie Popup, Cookie Banner oder Cookie Tool bezeichnet. Diese Bezeichnung ist falsch und irreführend, was hier aber nicht weiter diskutiert werden soll. Bei weiterem Interesse empfehle ich eine Lektüre meines Blogs.
Übrigens empfehle ich, die Datenschutzerklärung nicht als solche zu bezeichnen, sondern lieber von Datenschutzhinweisen zu sprechen. Ansonsten könnte der Eindruck entstehen, dass es sich um eine Art Vertrag oder einen zustimmungspflichtigen Inhalt handelt. Hierzu gab es mal ein Urteil für die Verbraucherzentrale, dass ich gerade nicht zur Hand habe.
Die Datenschutztexte sind auf Webseiten vorgeschrieben, denn die DSGVO gilt immer für öffentlich zugängliche Webseiten. Einzige Ausnahme: Eine Webseite stellt kein Angebot im weitesten Sinne dar. Ein Angebot liegt bereits vor, wenn eine einzige nichtleere Seite mit einer relevanten Information (Informationsangebot) oder einer werblichen Angabe vorliegt. Als werbliche Angabe reicht mitunter schon die Nennung einer Tätigkeitsbezeichnung oder ein Werbeslogan. Ich will hierauf jetzt nicht näher eingehen.
Die DSGVO gilt für Webseiten, weil auf Webseiten immer potentiell personenbezogene Daten verarbeitet werden. Aus technischen Gründen wird nämlich die Netzwerkadresse eines Besuchers an die Webseite übertragen. Diese IP-Adresse gilt als personenbezogen (vgl. Urteile von EuGH und BGH zu „Breyer“). Außerdem werden auf Webseiten derartige Daten offensichtlich automatisiert verarbeitet. Danach ist der sachliche Anwendungsbereich der DSGVO eröffnet, wie wohl der Jurist sagen würde. Siehe hierzu Art. 2 Abs. 1 DSGVO.
Datenschutztexte für Webseiten sind also vorgeschrieben. Doch sind damit alle Pflichten erfüllt?
Wenn durch eine „einfache“ Angabe von Texten alle Pflichten erfüllt wären, dann wäre das Leben ja so einfach, aber auch sehr gefährlich. Denn dann könnte jeder einfach irgendetwas erklären und es dann tun, egal ob es verboten ist oder nicht.
Rechtsgrundlagen
Deshalb müssen für jede Datenverarbeitung Rechtsgrundlagen existieren, ansonsten ist eine Datenverarbeitung rechtswidrig.
Die DSGVO arbeitet mit einem Verbot mit Erlaubnisvorbehalt. Das bedeutet etwas überspitzt: Alles ist verboten, außer, es ist ausnahmsweise erlaubt.
Die relevanten Erlaubnistatbestände für Webseiten sind üblicherweise:
- Vertragserfüllung, etwa in einem Online Shop.
- Einwilligung, siehe die zahlreichen nervigen Cookie Popups, die alle nicht richtig funktionieren.
- Berechtigtes Interesse, quasi die Ausrede, wenn einem nichts anderes mehr einfällt.
Wer zudem Cookies oder ähnliche Technologien nutzt, muss den § 25 TTDSG beachten. Das TTDSG ist Teil der DSGVO, nämlich in Form eines Sondergesetzes (lex specialis). Für Cookies muss zunächst das TTDSG geprüft werden. Ist der Test erfolgreich, darf erst danach mit der Prüfung durch die DSGVO fortgefahren werden.
Sind Anwälte die besseren Datenschutzberater?
Nein. Jedenfalls nicht, wenn es um Webseiten geht. Dann sind sie die technisch wenig versierten und üblicherweise teureren Berater, vermute ich. Wie oft haben sich schon Anwälte bei mir gemeldet, weil sie Webseiten-Checks als White Label Lösung im Volumenpaket für deren Mandanten von mir haben wollten. Bisher kam es nie zum Auftrag dieser Art, weil Anwälte hier meist unrealistische Vorstellungen für den Preis haben, den sie bereit sind zu zahlen, im Vergleich zur Leistung, die sie haben möchten.
Wollen Sie wissen, warum Anwälte keine guten Datenschutzberater für Webseiten sind?
Weil Anwälte genau so viel Ahnung von Technik haben, wie ich von Recht, nämlich nur eine begrenzte Ahnung. Meine Ahnung im Recht bewegt sich allerdings auf der ersten Ebene in einem Bereich, den ich als in der Praxis offensichtlich ausreichend bezeichnen würde. Jedenfalls bin ich in der Lage, eine Abmahnung selber zu schreiben und kann hier auf Erfolge verweisen. Was die Technik angeht, kann ich auf 30 oder mehr Jahre zurückblicken.
Der Anwalt weiß üblicherweise nicht, was ein Cookie ist, außer er hat meinen Blog gelesen. Beispiel gefällig? Irgendein Anwalt hat mal das Märchen in die Welt gesetzt, Cookies seien Textdateien. Das ist Bullshit. Das Schöne an der Technik ist, dass Beweise exakt möglich sind. Hier ist mein Beweis, dass Cookies keine Textdateien sind. Anderes Beispiel, wenn auch auf das Impressum und nicht auf den Datenschutz bezogen, ist der schädliche Disclaimer. Irgendein Anwalt hatte mal das Märchen in die Welt gesetzt, dass Haftung sich durch eine allgemeine Erklärung, den Disclaimer, reduzieren ließe. Das mag in manchen Fällen so sein. Was externe Verlinkungen angeht, scheint es Konsens zu sein, dass dies Bullshit ist. Siehe meine Artikel zum schädlichen Disclaimer.
Ich weiß so gut wie nichts über das BGB und auch nichts über die Grundrechtecharta. Das ist aber auch nicht nötig, wenn eine Webseite geprüft werden soll. Verfahren vor dem Landgericht oder höheren Instanzen führe ich dann wiederum mit einem Anwalt, der dafür seine volle Berechtigung hat. Was das BGB angeht, habe ich mittlerweile immerhin den § 1004 BGB verinnerlicht, den Unterlassungsanspruch. Darüber hinaus weiß ich sogar, dass der BGH eine andere Rechtsgrundlage für den Unterlassungsanspruch einer betroffenen Person gegen einen Verantwortlichen wegen Verstößen gegen die DSGVO als zulässig ansieht.
Was vielen Anwälten nicht bekannt ist, mir aber seit einiger Zeit, ist die Tatsache, dass es laut höchstrichterlicher Rechtsprechung einem Anwalt erlaubt ist, der Zeuge seines eigenen Mandanten zu sein. Halten Sie sich nicht zurück, mir für diesen Tipp etwas Gutes zu tun, und ich suche das Urteil raus.
Meine Meinung ist, dass der Unterlassungsanspruch eigentlich gar nicht angeführt werden müsste, wenn eine betroffene Person die Verletzung ihrer Datenschutzrechte geltend machen möchte. Die deutschen Gerichte haben aber noch nicht ganz verstanden, dass europarechtliche Verordnungen auf Bundesebene zu berücksichtigen sind und die DSGVO nicht dafür da ist, damit niemand seine Rechte durchsetzen kann, sondern gerade, damit jede Person ihre Rechte möglichst gut durchsetzen kann.
Die Wahrheit über Datenschutztexte
Standardtexte sind die Texte, die auf jeder Webseite gleich verwendet werden können. Diese benennen die Betroffenenrechte, allgemeine Rechtsgrundlagen (nicht nötig, aber zu empfehlen) und sonstiges Geschwurbel. Diese Texte können per Copy & Paste auf die eigene Datenschutzerklärung übernommen werden. Fühlen Sie sich frei, meine Texte zu nehmen. Beachten Sie aber bitte, dass ich dann gerne einen Link mit kurzer Erwähnung haben möchte (siehe Addendum am Ende meiner Datenschutzhinweise).
Der Rest der Texte, also die Angaben zu eingesetzten Tools und Plugins, besteht im Wesentlichen aus Herumraterei. Das betrifft wenigstens Dienste von Google und sonstigen Datenschleudern, die Datenschutzregeln nicht ganz so ernst nehmen, um es höflich zu sagen.
Intransparenz ist bei manchen Internetkonzernen das oberste Gebot.
Meine Beobachtung.
Alleine für Google Analytics gibt es tausende verschiedene Einsatzmöglichkeiten, jedenfalls auf der feingranularen Ebene. Grob betrachtet, sind es wohl einige Dutzend. Wer einen Datenschutzgenerator verwendet, wird einen geratenen Text für einen geratenen Zweck erhalten. Zweimal geraten klingt nicht nach Wahrheit. Wer gerne anderen beim Raten zusieht, sollte lieber eine Quizshow angucken als Generatoren zu verwenden.
Ein Datenschutztext sollte geradezu von einem "normalen Menschen" in „normaler“, möglichst leicht verständlicher Sprache geschrieben werden. Es geht nicht darum, einen juristischen Text abzufassen oder eine Doktorarbeit zu schreiben.
Was allerdings schlimmer als ein falscher Datenschutztext ist, ist ein fehlender Datenschutztext. Der Grund für diese Lücke ist oft die Unkenntnis des Webseitenbetreibers, was denn auf der eigenen Webseite so alles passiert. Die Web-Agentur weiß es oft auch nicht so genau, und wenn, dann verrät sie es ihrem Kunden anscheinend des Öfteren nicht.
Wenn Sie ein wenig Unterstützung haben möchten, um eine Bestandsaufnahme für Ihre Webseite zu erhalten, dann empfehle ich meinen Website-Check:
Webseite eingeben, Start drücken, kurz warten, meist neue Erkenntnisse erhalten. Wie man erkennen kann, hilft hier die Technik weiter. Theoretische Betrachtungen und Befragungen helfen nur wenig bei der Bestandsaufnahme der technisch gestalteten Webseite.
Noch schlimmer als ein falscher oder fehlender Datenschutztext ist der Einsatz eines Dienstes (Plugin) ohne Rechtsgrundlage. Oder noch allgemeiner: Eine Datenverarbeitung ohne Rechtsgrundlage. Die Rechtsgrundlagen für Webseiten sind laut Art. 6 DSGVO im Wesentlichen:
- die Vertragserfüllung (etwa bei Online Shops),
- das berechtigte Interesse (etwa für die Bereitstellung eines ausdrücklich gewünschtes Inhalts),
- die Einwilligung (die oft fälschlicherweise als "Cookie Popup" bezeichnet wird).
Oft bleibt nur die Einwilligung übrig. Das berechtigte Interesse kann nicht proklamiert werden, sondern muss durch Prüfung festgestellt werden. Gibt es mildere Mittel, gibt es wohl meist kein berechtigtes Interesse. Ein berechtigtes Interesse am Rechtsbruch gibt es üblicherweise nicht, um es sehr vorsichtig zu sagen.
Am 20.01.2022 gab es ein Urteil vom LG München, wonach der Einsatz von Google Fonts rechtswidrig ist. Das Gericht sprach dem Kläger sogar einen Schadenersatz von 100 Euro zu. Ob ein Datenschutztext für Google Fonts vorlag, war nicht Gegenstand des Verfahrens. Vielmehr wurde festgestellt, dass die Rechtsgrundlage fehlte. Bereits weit vor dem Urteil habe ich festgestellt, dass es kein berechtigtes Interesse für Google Fonts geben kann. Google Fonts sind Schriften von beliebigen Dritten, die meist freischaffende Designer sind, die von einem Google Server geladen werden. Die Lösung ist ganz einfach: Schrift herunterladen und lokal einbinden. Für das Einbinden brauchen Sie üblicherweise jemanden, der sich mit Web-Entwicklung auskennt.
Fazit
Datenschutztexte sind rechtlich vorgeschrieben. Einerseits werden damit Betroffenenrechte erklärt, andererseits die in eigener Verantwortung vorgenommenen Datenverarbeitungen dargelegt. Besucher von Webseiten können unter anderem mithilfe der Datenschutztexte versuchen festzustellen, ob ihre Rechte verletzt wurden. Wem das nicht ausreicht, der kann über ein Auskunftsgesuch nach Art. 15 DSGVO weitere Angaben einfordern.
Für die meisten populären Plugins und Tools für Webseiten erscheint es mir so, dass eine Erklärung der Datenverarbeitung nicht ordentlich möglich ist, weil die Anbieter solcher Plugins üblicherweise ungern darüber reden, wie sie Daten misshandeln.
Für wichtiger als Datenschutztexte für Plugins halte ich das Vorhandensein einer Rechtsgrundlage. Wer Google Analytics ohne Einwilligung einsetzt, verursachte nach meinem Eindruck größere Rechtsverletzungen als jemand, der die Einwilligung für Google Analytics abfragt, aber keinen Datenschutztext für Google Analytics bereitstellt.
Wer einen Datenschutztext für ein Plugin X braucht, sollte ihn selber schreiben können. Ansonsten weiß er wohl nicht, welche Daten durch das Plugin wie verarbeitet werden. Wenn der Anbieter des Plugins auch keinen solchen Erklärungstext liefern kann, sieht es schlecht aus. Dann ist eine hohe Rechtssicherheit wohl nicht gegeben. Besser wäre es dann, das Plugin nicht mehr zu verwenden. Oft reicht ein ersatzloses Streichen des Plugins oder das Verwenden einer datenschutzfreundlichen Alternative, die in diesem Blog zahlreich genannt sind. Beispiel Conversion Tracking für Google Ads: Es geht auch ohne Google Analytics. Beispiel Google Ads: Es geht auch ohne Google Ads. Mit Geld kann Erfolg nur sehr begrenzt gekauft werden.
Besser als jeder Datenschutztext ist keine erklärungsbedürftige Datenverarbeitung. Beispielsweise muss bei lokalem Einsatz von Schriften rein gar nichts erklärt werden, wenn die Schriften in einer technisch üblichen Weise eingesetzt werden.
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über Ihre 