Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Wie entstehen Datenschutztexte für die Datenschutzerklärung auf Webseiten?

1

Immer wieder fragen Webseitenbetreiber, ob der Datenschutzbeauftragte einen Datenschutztext für ein eingesetztes Tool liefern kann, wie beispielsweise für Bing Ads. In der Realität sollte der Verantwortliche am besten selber wissen, was zu erklären ist.

Einleitung

Dass eine Webseite einen Dienst wie Google Analytics oder Bing Ads nutzt, ist oft einer der folgenden Ursachen geschuldet:

  • Eine Internet-Agentur empfiehlt ihrem Kunden den Einsatz, etwa zur (angeblichen) Unterstützung von Werbemaßnahmen
  • Ein Content Management System oder Plugin nutzt von sich aus einen Dienst, meist ohne Wissen des Verantwortlichen. Ein populäres Beispiel sind Google Web Fonts

Weil der Verantwortliche für eine Webseite schon mal etwas von Datenschutz gehört hat, glaubt derjenige, dass Datenschutztexte beim Einsatz von Diensten Dritter notwendig seien. Das stimmt auch. Allerdings wird oft auch angenommen, dass der fragliche Datenschutztext alle Probleme löst. Zudem wird gerne angenommen, dass ein solcher Datenschutztext von einem Experten erstellt werden könne, und zwar für quasi jeden beliebigen Dienst.

Übrigens geht es hier nur um Datenschutztexte für Dienste. Wer allgemeine Datenschutztexte für seine Webseite braucht, findet diese in meinen Datenschutzhinweisen. Zu den allgemeinen Texten, die auf jeder Webseite gleich sein können, gehören Angaben zu Betroffenenrechten oder allgemeine Ausführungen zu Rechtsgrundlagen.

Fehlannahmen zu Datenschutztexten

Die Annahmen, die wahrscheinlich Millionen von Webseitenbetreibern treffen, sind zum größten Teil falsch und unbegründet. Sie entstehen wohl aus dem Wunsch, dass es eine Lösung geben muss, die von einem Datenschutzexperten gefunden werden kann. Jemand möchte Google Maps nutzen und kann nicht verstehen, dass dies zu großen rechtlichen Problemen führen kann. Schuld sei die DSGVO, so das Urteil.

Die Fehlannahmen der Verantwortlichen sind aus meiner Sicht vor allem folgende:

  • Datenschutztexte sorgen für Rechtssicherheit: Das ist falsch
  • Ein Datenschutzexperte kann jeden benötigten Datenschutztext erstellen: Das ist falsch
  • Wir dürfen es tun, weil andere es auch tun: Kein Kommentar
  • Eine Internet-Agentur muss wissen, was gut für eine Webseite ist: Das bestreite ich

Diese Annahmen können meist leicht widerlegt werden. Spoiler: Schuld an allem sind die Internetkonzerne.

Ein Datenschutztext sorgt für Rechtssicherheit

Dass ein Datenschutztext für Rechtssicherheit sorgt, ist kompletter Unsinn. Mein gerne verwendetes Gegenbeispiel lautet:

Wenn Sie einen Auftragsmörder beauftragen, jemanden umzubringen, und dies dem potentiellen Opfer erklären, wird es dadurch nicht legal.

Soviel zur Annahme “Datenschutztexte sorgen für Rechtssicherheit”.

Laut Art. 12 DSGVO müssen umfangreiche Informationspflichten erfüllt werden, wenn Datenverarbeitungen stattfinden. Dies wird oft als Datenschutzhinweis bezeichnet und als Teil der sogenannten Datenschutzerklärung verstanden.

Jedoch reicht ein Hinweis nicht aus. Wer falsch parkt und darauf hinweist, macht es dadurch nicht richtiger. Vielmehr muss für den Einsatz eines Tools wie Bing Ads auf der eigenen Webseite eine Rechtsgrundlage vorhanden sein. In Art. 6 DSGVO sind die möglichen Rechtsgrundlagen genannt. In der Praxis kommen für Webseiten meist nur die Einwilligung oder das berechtigte Interesse, gelegentlich auch die Erfüllung eines Vertrags infrage.

Das berechtigte Interesse scheidet für Dienste wie Bing Ads oder Google Maps aus, wenn diese entweder technisch nicht notwendige Cookies verwenden oder einen Datentransfer in die USA bedeuten. Hierzu gäbe es weiteres anzuführen, was an dieser Stelle aber wenig zielführend ist.

Die Einwilligung kann eingeholt werden, bevor Bing Ads verwendet werden. Dies passiert oft aber leider nicht oder in einer ungenügenden und somit rechtswidrigen Weise. Vergleiche hierzu meine Checkliste für Einwilligungsabfragen.

Ein Datenschutztext ist also nur eine notwendige, keine hinreichende Bedingung für die Erfüllung rechtlicher Verpflichtungen. Der Datenschutztext reicht also nicht aus, um es ganz einfach zu sagen.

Übrigens habe ich selber in einer Abmahnung gegen einen Webshop, dem ich als Kunde erheblich viele Datenschutzverstöße vorwerfe, die aus meiner Sicht rechtswidrigen Datenverarbeitungen vorgeworfen und nicht (wahrscheinlich auch teilweise) falsche Datenschutzhinweise. Die Gefahr von falschen Datenschutztexten ist meiner Einschätzung nach fast vernachlässigbar, wenn man alles andere richtig gemacht hat.

Ein Experte kann jeden Datenschutztext erstellen

Die Fragen vieler Kunden nach einem Datenschutztext zeigen, dass sie meinen, der Datenschutzexperte könne durch seine Erfahrung einen solchen Text für jedes beliebige Tool liefern, welches der Kunde einsetzen möchte.

Wer kurz darüber nachdenkt, wird selber merken, wie unsinnig diese Annahme ist. In einem Datenschutztext muss erklärt werden, was mit den Daten passiert, wer die Empfänger sind usw.

Zur Ehrenrettung der Kunden sei gesagt, dass diese sich meist auf populäre Dienste beziehen und wohl annehmen, dass irgendwo im Internet schon ein passender Text vorhanden sei. Dieser müsse, so wohl die Annahme, nur noch gefunden und vielleicht etwas angepasst werden.

Meine Entgegnung lautet immer: Ich weiß nicht, was Google oder Microsoft mit den Daten machen, die von den Besuchern Ihrer Webseite in Ihrer Verantwortlichkeit an Google oder Microsoft geschickt werden.

Mehr gibt es hierzu kaum zu sagen. Festzustellen ist, dass Google, Microsoft, Facebook und andere Konzerne nicht so gerne verraten, wie deren Datenverarbeitung aussieht. Das Problem sind also diese Konzerne und nicht die DSGVO. Schuld an der Misere ist also das Geschäftsgebaren von Internetkonzernen, die Gesetze absichtlich nicht einhalten, wie ich beweisen kann. Gerne stellen es Lobbyisten anders dar.

Daraus entsteht das quasi unlösbare Problem, dass Google Analytics, Google Maps oder Bing Ads, um nur wenige Beispiele zu nennen, meiner Ansicht nach generell nicht rechtskonform eingesetzt werden können. Das hören viele nicht gerne. Die meisten sind allerdings nicht bereit, über gute Alternativen nachzudenken.

Ich jedenfalls bestreite, dass Bing Ads oder Google Ads Werbemittel sind, die besser sind als andere (lesen Sie dazu auch den Gastbeitrag über den vorigen Link, um andere Autoren zu hören). Das mag in ganz konkreten Einzelfall vielleicht zutreffen, aber auch nur vielleicht. Wer mit online Werbung nennenswerten Erfolg haben möchte, muss nicht nur die Werbung dauernd optimieren, sondern auch eine sehr gute Landing-Page und ein zu den Bedürfnissen und zum Geldbeutel der Zielgruppe passendes Produkt haben. Der Markt sollte zudem ebenfalls geeignet erscheinen. Nicht jeder Markt ist gleich, aber Qualität ist wohl immer gut. Online Werbung, die jeder jederzeit buchen kann, ist zunächst kein erkennbares Qualitätsmerkmal.

Die DSGVO ist also nicht schuld daran, dass keiner versteht, was als Datenschutzhinweis anzugeben ist, sondern Anbieter wie Google, die durch Intransparenz glänzen. Auch wenn Branchenverbände behaupten, die DSGVO sei an allem Schuld, trifft das nicht zu.

Weil alle es tun, ist es richtig

Sicher haben viele schon das Scheinargument gehört, dass sich jemand anmaßt, etwas zu tun, weil viele andere es auch tun. Offensichtlich ist das irgendwie dumm und zeugt von einer Respektlosigkeit gegenüber anderen und dem Gesetz. Es ist nicht mehr als eine bequeme Ausrede, sich darauf zu berufen, dass die „Mehrheit“ nicht falsch liegen könne. Mal sehen, wie es das Gericht sieht, vor dem der Verantwortliche für eine Webseite sich hoffentlich verantworten muss.

In dem Zusammenhang: Haben Sie eigentlich schon mal darüber nachgedacht, gegen Datensünder vorzugehen? Starten Sie doch mal mit einem formlosen Auskunftsbegehren nach Art. 15 DSGVO. Dabei kann es in seltenen Fällen passieren, dass der Empfänger gar nicht Empfänger sein will, obwohl er dazu verpflichtet ist. Das Problem ist allerdings formal lösbar. In dem Zusammenhang hilft es, sich nicht nur mit dem Konzept des Einwurfeinschreibens zu beschäftigen, sondern im Extremfall auch mit der recht günstigen, persönlichen Zustellung durch einen örtlichen Gerichtsvollzieher durch die zuständige Gerichtsvollzieherverteilerstelle. Ein Einschreiben mit Rückschein sollte nicht genutzt werden, weil es vom Empfänger abgelehnt werden kann.

Die Agentur empfiehlt es, also ist es gut und richtig

Ob eine Empfehlung durch eine Agentur gut ist, kann ich pauschal nicht beurteilen. Wenn eine Agentur allerdings ihrem Kunden empfiehlt, einen Dienst von Google oder Microsoft auf der eigenen Webseite einzusetzen, sollte die Agentur dies informiert und mit dem nötigen Hintergrundwissen tun.

Der Empfehlungsgeber sollte wissen, was er empfiehlt. Dazu gehört, ob der empfohlene Dienst rechtskonform nutzbar ist und wenn ja, in welcher Weise. Leider sind viele Agenturen an derartigen Fragen nicht interessiert. Sie wollen ihren Kunden nur mitteilen, dass es das Beste sei, mithilfe von Google Analytics am besten ganz viele Daten zu erheben oder mit Bing Ads ein Retargeting für Werbemaßnahmen durchzuführen.

Ich bestreite, dass Google Analytics für die meisten Webseitenbetreiber einen Nutzen hat. Gleiches könnte ich zu Google Maps oder dem Facebook Pixel mitteilen. Im Gegenteil behaupte ich, dass Google Analytics für die meisten Webseitenbetreiber unter dem Strich einen Nachteil hat. Als eine aus vielen Begründungen sei angeführt, dass Google Analytics im Standard mit dem Google Tag Manager (GTM) ausgeliefert wird. Der GTM alleine ist rechtlich kaum beherrschbar und macht eine Webseite leicht angreifbar und abmahnbar. Weitere Argumente spare ich hier aus.

Wenn eine Agentur etwas behauptet, was ich für faktisch falsch halte (und wofür ich meist einen Beweis liefern kann), empfehle ich dem Kunden folgendes: Bitten Sie Ihre Agentur um eine Haftungsübernahme. Sicher weiß Ihre Agentur, was sie empfiehlt, denn wer empfiehlt schon etwas, wozu er die Rahmenbedingungen nicht kennt? Oft sind Agenturen nicht so naiv, eine solche Haftungsübernahme abzugeben und riskieren damit, einen Kunden zu verlieren. Jedoch führt die Frage danach so gut wie immer zur Klärung der Kompetenz der Agentur.

Leitfragen für Datenschutztexte

Nun steht die Frage nach dem Datenschutztexte immer noch im Raum. Bevor Sie einen Datenschutztext erstellen oder besorgen, denken Sie darüber nach, das fragliche Tool zu entfernen oder durch eine Alternative zu ersetzen. Beispiele für Alternativen, für die kein Datenschutztext notwendig ist:

Wer immer noch einen Datenschutztext braucht, schreibt ihn selber oder besorgt sich eine Vorlage und passt diese an. Ihr Datenschutzbeauftragter kann womöglich einen Mustertext liefern. Wie der Name sagt, ist es ein unverbindliches Muster, für deren Nutzung Sie selber haften.

Folgende Fragen sollten durch einen Datenschutztext beantwortet werden. Optional reicht meist ein Blick in den Art. 13 DSGVO.

  • Warum, also zu welchem Zweck, wird ein Dienst eingesetzt?
  • Wer ist Anbieter? Nennung der Firmierung samt Adresse. Nur notwendig, wenn der Dienst auf einem Dritt-Server betrieben wird oder ein Dritter Zugang zu den Daten hat, die mit dem Dienst erhoben werden
  • Wer sind die Datenempfänger?
  • Welche Kategorien von Daten werden verarbeitet?
  • Wozu werden die Daten verarbeitet?
  • Welche technisch nicht notwendigen Cookies werden genutzt? Pro Cookie:
    • Name
    • Zweck
    • Lebensdauer
    • Ggf. technische Angaben wie Domäne (falls kein technisches First-Party Cookie)
  • Bei Datentransfer in Drittländer außerhalb der EU (wie etwa in die USA): Welche Risiken existieren? Für die USA: Amerikanische Geheimdienste und Behörden können auf Daten zugreifen
  • Optional: Wurde ein Auftragsverarbeitungsvertrag mit dem Anbieter des Dienstes abgeschlossen oder gibt es sonstige Garantien?

Wer diese Fragen nicht beantworten kann, geht mit der Nutzung des zugehörigen Dienstes ein rechtliches Risiko ein.

Der Text sollte allgemein verständlich geschrieben sein. Vermeiden Sie Falschaussagen der Verständlichkeit halber. Ich halte das zwar für eine Selbstverständlichkeit, aber einige andere nicht. Das zeigte mir die Diskussion zu meinem Beitrag, dass Cookies keine Textdateien sind. Manche meinten, Cookies fälschlicherweise als Textdateien bezeichnen zu dürfen, weil dies verständlich sei und somit zugunsten der Verständlichkeit falsch sein dürfe.

Fazit

Schreiben Sie Ihre Datenschutztexte selber. Wenn eine Agentur Ihnen ein Tool für Ihre Webseite empfiehlt, soll die Agentur auch den Hinweistext dazu liefern und Ihnen die rechtlichen Bedingungen erklären können. Kann die Agentur das nicht, wechseln Sie die Agentur oder geben Sie (vor sich selber) zu, dass Ihnen das Einhalten von Gesetzen nicht so wichtig ist. Nerven Sie dann aber auch nicht Ihren Datenschutzbeauftragten mit der Frage nach einem Datenschutztext.

Sie brauchen keinen Anwalt für Ihre Datenschutzhinweise. Das ist für Standarddienste für Webseiten sogar kontraproduktiv. Anwälte wissen meist zu wenig von technischen Gegebenheiten. Ich kenne keinen Anwalt, der technisch ausreichend versiert für den digitalen Datenschutz auf Webseiten ist. Kennen Sie einen? Wenn es um Bewerbungsprozesse oder andere kompliziertere Fragestellungen geht, kann der Anwalt schon der richtige Ansprechpartner sein. Ansonsten haftet der Anwalt m.E. auch nicht in nennenswerter Weise für Datenschutztexte, denn der Jurist fragt Sie nach allen benötigten Informationen. Geben Sie diese falsch oder unvollständig, sind Sie im Zweifel der Dumme und haften selber.

Bevor Sie über Datenschutztexte nachdenken, denken Sie über die eingesetzten Dienste nach. Wussten Sie, dass man mit bestimmten Google Diensten völlig datenschutzkonform und ohne Einwilligung ermitteln kann, wie Besucher auf Ihre Webseite kamen? Wer online Werbung mit Google oder Facebook betreibt, den bitte ich, mir seine Erfahrungen hierzu mitzuteilen. Meine These ist, dass diese Art der Werbung oft den Hauptvorteil hat, schneller zu scheitern als andere Werbeformen. Erfolg ist etwas anderes.

Datenschutztexte entstehen durch Beschreiben von Gegebenheiten. Nicht mehr und nicht weniger. Wer die Gegebenheiten nicht kennt und nicht in Erfahrung bringen kann, kann nur raten. Was bei Wer wird Millionär manchmal eine gute Strategie ist, ist zur Erfüllung rechtlicher Verpflichtungen ungeeignet.

Hier finden Sie in Kürze raus, ob kritische Dienste auf Ihrer Webseite vorhanden sind, für die es sich kaum lohnt, einen Datenschutztext zu erraten:

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.
  1. Jens-Uwe Viehrig

    Ich muss an dieser Stelle mal ganz herzlichen Dank an Herrn Meffert aussprechen.
    Die Website Dr. DSGVO spricht mir seit zahlreichen Artikeln quasi aus der Seele und stellt für mich eine Bereicherung, aber auch eine sehr angenehme Art der Unterhaltung dar.
    Als (externer) Datenschutzbeauftragter mit Spezialisierung auf den Fachbereich Web/Social Media bin ich regelmäßig mit haargenau den gleichen Problemen konfrontiert:
    – Agenturen, die den Google Tag Manager als essenzielles Tool predigen
    – Marketingabteilungen, die auf Bing Ads oder Facebook Pixel aufgrund des Gewohnheitseffektes nicht verzichten wollen
    – Websitebetreiber, die keine Ahnung haben, was und warum auf ihrer Website passiert und die den Kampf zwischen Agentur und Datenschutzbeauftragtem garnicht verstehen (wollen)

    Großartig, dass man sich dann die Bestätgung von “Leidensgenossen” wie Herrn Meffert holen kann.

    Darüber hinaus sind natürlich die zahlreichen Tipps, die Dr.DSGVO hier gibt, Gold wert.
    Wenn man – wie beispielsweise bei der einwilligungslosen Nutzung von Google Analytics (via Proxy) – als DSB einen alternativen Weg aufzeigen kann, bleibt man eben nicht der ewige Querulant, sondern mutiert zum Problemlöser.
    Ich liebe es mit den Hilfsmitteln, die uns Herr Meffert hier an die Hand gibt, die Faulheit oder Ignoranz der Agenturen bloßzustellen. Und wenn steter Tropfen den Stein aushöhlt, kann man im nächsten Jahrzehnt vielleicht ein paar Agenturen auf die helle Seite der Macht ziehen.

    Also: hier einfach noch einmal ganz herzlichen Dank und WEITER SO!

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Der interessante Lösungsweg eines deutschen Promis bei Datenschutzproblemen auf seiner Webseite