Mit Grund- und Bürgerrechten ist es in Seuchenzeiten nicht weit her: Freizügigkeit, Berufsfreiheit, Persönlichkeitsentfaltung – alles zugunsten des Gesundheitsschutzes eingeschränkt. Die Liste ließe sich fortführen. Auch das Recht auf informationelle Selbstbestimmung – der Datenschutz – leidet unter Maßnahmen zur Bekämpfung der Pandemie. Das geht aus dem Jahresbericht 2020 hervor, den Stefan Brink, Landesbeauftragter für den Datenschutz und die Informationsfreiheit (LfDI) in Baden-Württemberg, Anfang Februar vorgestellt hat. (8.2.2021)
Daten sind das neue Gold – nicht nur in Seuchenzeiten leidet das Recht auf informelle Selbstbestimmung. Wir alle surfen in der großen weiten Welt des Web und hinterlassen Spuren.
Ruft man aber derzeit eine Website auf, schiebt sich ein riesiger Textblock ins Bild: „Wir nutzen Cookies.“ Darunter plakativ und massiv die Aufforderung: „Alles akzeptieren“. Die Alternative, winzig und unauffällig darunter: „Weitere Einstellungen“. Dabei wollen Userinnen und User ja nichts einstellen, sondern einfach nur Seiten aufrufen. Kein Wunder, dass viele einfach auf „Alles akzeptieren“ klicken.
Ein bisschen beruhigend: Selbst Silicon-Valley-Größen wie Elon Musk ärgern sich mit. Eigentlich müssten sich Internetnutzer und -nutzerinnen ja über die Cookie-Banner freuen. Denn lange Zeit speicherten Websites und Werbetreibende einfach Cookies, die Profile über die User anlegten, ohne sie vorher zu fragen.
Die Flut an Cookies wurde reguliert: Erster Schritt war die Datenschutz-Grundverordnung (DSGVO), die im Mai 2018 in Kraft trat. Danach tauchten Banner auf Websites auf, die so etwas sagten wie: „Wenn Sie auf unserer Website surfen, akzeptieren Sie, dass wir Cookies einsetzen.“ Diese stille Zustimmung ist nicht rechtens, urteilte der Europäische Gerichtshof 2019 (Az. C 673/17) und verwies den betreffenden Fall zurück an den Bundesgerichtshof (Az. I ZR 7/16), von dem der Fall ursprünglich kam. Der BGH stellte im Mai 2020 fest, dass eine Einwilligung des Nutzers nötig ist, damit eine Seite Cookies speichern darf.
Wir sprechen mit Dr. Klaus Meffert.
Er ist seit mehr als 30 Jahren in der Softwareentwicklung tätig und beschäftigt sich seit 2017 intensiv mit dem Thema Datenschutz auf Webseiten.
Was ist denn die Grundlage, dass wir seit dem Sommer 2020 noch genauer hinschauen müssen, was den Datenschutz der Webseiten betrifft?
Es gibt natürlich einige rechtliche Grundlagen – darüber hinaus gibt es noch einen persönlichen Anspruch, den man als Unternehmer hat, dass man die Daten von Interessenten oder Kunden sorgsam behandelt. Und das Dritte: wir sind hier in Deutschland abhängig von Amerika, was online Dienste angeht, das fängt dabei an, über welche Tools man Videokonferenzen macht…
Dazu muss ich sagen: es wird ohne Weiteres nicht besser werden in Deutschland. Denn solange wir Google und anderen noch mehr Daten von uns geben, werden wir den Rückstand, den wir im online Bereich haben, nicht aufholen können. Ich habe extra nochmal nachgeschaut: Google hat jetzt einen dreistelligen Milliardenumsatz pro Jahr. Den macht Google – behaupte ich – zu einem sehr großen Teil aufgrund der Daten, mit denen wir so freizügig umgehen und die Google natürlich auch gezielt ausbeutet.
Eine einfache Anregung, die leicht umzusetzen ist: Warum finanziert der Staat nicht die Erstellung einer Video-Plattform? Damit könnten alle Webseiten-Betreiber das Problem lösen, Videos datenschutzkonform auf ihren Webseiten einzubinden. Diese Plattform muss auch nicht all das bieten, was YouTube kann, sondern nur so viel, wie für den Hauptzweck nötig ist. Die Kosten dafür sind erheblich geringer als für die Corona-App, wenn nicht wieder zwei schwerfällige Unternehmen, für die ich übrigens jeweils mehrere Jahre gearbeitet habe, beauftragt werden.
Zu den Rechtsgrundlagen – die sollten eigentlich Anlass genug sein. Gesetze sind dazu da, um eingehalten zu werden. Es ist manchmal ein bisschen schwierig, vor allem, wenn man falsch beraten wird.
Das eine ist, dass Netzwerkadressen personenbezogene Daten sind – also IP Adressen- und diese bei jedem Aufruf einer Webseite transferiert werden und wenn eine Webseite irgendwelche Tools Dritter einbindet – Google Maps, Schriften, Videos usw. dann wird die Netzwerkadresse des Aufrufers, also des Nutzers auch an diesen Dritten weiter gegeben. Darüber hinaus werden noch zahlreiche Verbindungsdaten weiter gegeben – das ist aufgrund des Internet Protokolls zwingend notwendig – und dadurch können Nutzer nachverfolgt werden. Genau das ist laut Datenschutzgrundverordnung ohne Einwilligung nicht erlaubt, und weiterhin gibt es dazu auch ein Urteil zum Privacy Shield vom 16. Juli 2020 vom EuGH. Nachdem der Transfer personenbezogener Daten in die USA ohne Rechtsgrundlage nicht erlaubt ist. Auch Standardvertragsklauseln können für die USA nicht wirksam sein, Stichwort: Cloud Act.
Man kann den Datenschutz im Internet einhalten – zumal es meistens gute Alternativen gibt. Manchmal ist es sogar sinnvoll, bestimmte Tools einfach nicht mehr zu verwenden und ersatzlos zu streichen. Statt Google Maps einzubinden, reicht oft ein Button „Route planen“. Dann kann man sogar die Zieladresse vorbelegen.
Es fällt auf, dass immer mehr Seiten diese Cookie-Banner haben, wo man einzeln die Berechtigungen anklicken muss.
Manche machen das ganz tricky und arbeiten mit verschiedenen Farben, um den Nutzer zum schnellen Freiklicken zu verleiten.
Datenschützer sprechen vom sogenannten „Nudging“ – also der Verführung der Auswahl zuzustimmen, weil das meist ein großer grüner Button ist und das andere ist ein kleiner grauer Button auf einem weißen Hintergrund. Das ist im Einzelfall vielleicht erlaubt. Nur: wenn man erst suchen muss, wo man ablehnen kann, dann glaub ich auch, dass dies rechtswidrig ist. Wenn es so ist, dass der Ablehnen-Button optisch etwas zurückgesetzt ist, die gleiche Größe hat wie der andere und auch mit einem Klick erreichbar ist, dann ist das ein Grenzfall. Ich halte das auch nicht für richtig, aber das Risiko ist für den Betreiber geringer. Ich habe ein Beispiel gesehen, da war die Ablehnen-Möglichkeit im Fließtext versteckt, als Textlink. Das halte ich persönlich für eindeutig rechtswidrig.
Cookie Banner sind an sich aber schon fast Garanten für rechtswidrige Webseiten. Das zeigt mein Praxistest, der in meinem Blog Dr. DSGVO veröffentlicht ist. Dort beschreibe ich auch, dass es beweisbare Gründe gibt, warum Consent Tools nie ganz zuverlässig arbeiten können.
Vielen Marketingleuten wachsen jetzt graue Haare, weil man da schon ganz gerne vieles über die Zielgruppe wissen möchte. Da entbrennen in manchen Firmen sicher harte Diskussionen.
Mit welcher Gefahr muss man rechnen, wenn man sich da eine gewisse Wurstigkeit leistet? Nach dem Motto „Die anderen machen das doch auch nicht, ich mach das auch nicht…“?
Das ist für mich kein Argument. Der Verantwortliche haftet, und das ist zunächst der Betreiber der Webseite bzw. die in der Datenschutzerklärung als verantwortlich genannte Stelle.
Von welchen Größenordnungen sprechen wir da bei der Haftung?
Haftung bedeutet erst einmal, verantwortlich zu sein. Daraus entstehen zunächst viel Arbeit, Stress und oft auch finanzielle Kosten. Es geht von der Kontrolle durch die Aufsichtsbehörde aufgrund einer (anonymen) Beschwerde, bis hin zur Abmahnung durch eine Privatperson oder einen Wettbewerber. Vor allem bei größeren Unternehmen drohen empfindliche Bußgelder, weil die DSGVO eine umsatzabhängige Sanktionierung zulässt.
Stichwort: Einbinden von Google Analytics – kann man das überhaupt rechtssicher einbinden?
Es ist nicht ganz rechtssicher möglich Google Analytics zu betreiben – so ist meine Meinung. Bei einer Einwilligung muss man ja erklären, in was eingewilligt werden soll. Jetzt müsste man ja dann eigentlich schreiben: „Bitte willigen Sie ein, dass wir Ihre Daten an Google weitergeben und Google macht mit Ihren Daten was es will und gibt diese Daten auch an jeden weiter, den Google dafür geeignet hält.“ Wenn man es so formuliert, könnte ich mir vorstellen, dass es rechtssicher wäre, wenn die DSGVO nicht fordern würde, Zwecke eindeutig festzulegen… Zusätzlich muss es gegeben sein, dass diese Einwilligung verständlich ist für den normalen Nutzer, der kein promovierter Informatiker ist, dass sie vollständig ist, in was man einwilligt und das alle Formvorschriften eingehalten wurden. Das also Google Analytics erst geladen wird, nachdem man eingewilligt hat. Ich halte das für ziemlich unmöglich bei Google Analytics. Abgesehen davon muss man auch sagen, dass die allermeisten Webseiten nicht so viel Besucher haben, dass Analytics wirklich gute Daten produziert. Wenn man jetzt noch einen Einwilligungsbanner setzt, was zwingend notwendig ist bei Google Analytics, dann sind es noch weniger Besucher. Und es lohnt sich noch weniger Google Analytics zu nutzen.
Stichwort Alternativen: Matomo
Das kann man so konfigurieren, dass das nicht mal einer Einwilligung bedarf und trotzdem findet man sehr viele Informationen über seine Nutzer. Da kann man sehr viel machen.
Man kann beispielsweise die IP Adresse kürzen, man dann auch einstellen, dass keine Cookies gesetzt werden oder das beispielsweise Nutzer nur 24 h als wiederkehrende Nutzer erkannt werden können. Datenschützer – bspw. aus BW – sagen, sie finden es noch ok, wenn ein Nutzer innerhalb von 48h als wiederkehrend erkannt werden kann. Datenschutzbehörden sind meistens etwas kulanter als die Rechtsprechung. Ich würde sagen, das Maximum, was vor Gericht Bestand haben könnte, das sind 24h. Das ist meine persönliche Einschätzung. Aber ganz sicher nicht eine Woche, wir sprechen da von ein oder zwei Tagen. … Man kann das Verhalten dieser pseudonymisierten Nutzers auf der Seite – welche Pfade er beispielsweise gegangen ist, welche Seiten, welche Themen interessant sind, ablesen.
Dh. ich kann also ablesen welche Suchwörter hat er benutzt, von wo kam er, was hat ihn besonders interessiert.
Aber ich kann nicht ablesen, das war die IP Adresse – und darüber wiederum das war Herr/Frau XY aus Z.
Stichwort: Google Search Console – wenn Sie wissen wollen, mit welchen Suchbegriffen Ihre Webseite aufgerufen wurde, dann kann man diese sehr gut nutzen und ist auch datenschutzrechtlich auf der sicheren Seite.
Stichwort einbinden von Social Media – Facebook, Instagram, Youtube –
Wenn man nur einen Link setzt, ist das datenschutzrechtlich unproblematisch. Wenn aber spezielle Plugins eingebunden werden, wo man bspw. die letzten Kommentare auf dem Facebook-Account auch auf der Webseite lesen könnte, ist das ohne Einwilligung nicht erlaubt.
Mit dem Plugin Shariff kann man die Einbindung der social Media Plugins halbwegs rechtssicher abwickeln. Wenn es um reine Verlinkungen geht, kann man das gefahrlos machen wie man möchte.
Einbindung von „Recaptcha“ in Mailformulare – wie sehen Sie das datenschutzrechtlich?
Das ist ein Tool von Google. Alleine wegen der übertragenen Cookies in erheblicher Anzahl ist dieses Tool einer Einwilligungspflicht unterworfen. Das ergibt sich absolut zwingend aus der ePrivacy Richtlinie, die laut einem BGH Urteil aus dem Jahr 2020 auch für Deutschland gilt.
Es gibt Alternativen. Dafür muss man aber das jeweilige System betrachten. Bei WordPress bspw Contactform Image reCaptcha. Das kann man einbinden und läuft auf dem eigenen Server.
Was sind die häufigsten Abmahngründe, denen Sie vorbeugen?
Sogenannten Consent Tools, oft auch als Cookie Consent bezeichnet, sind gemäß meines Praxistests von 10 populären Einwilligungslösungen eine große Gefahr für Webseiten und verschlimmbessern diese sehr sehr oft. Ich habe keine einzige Webseite gefunden, die auch nur in der Nähe von rechtlich einwandfrei war, wenn sie ein Consent Tool eingesetzt hat. Sogar die Anbieter solcher Tools, die ihr eigenes Tool auf ihrer eigenen Webseite einsetzen, kann man größtenteils als DSGVO-Versager bezeichnen.
Die Datenschutzerklärung ist so gut wie immer erheblich unvollständig, auch wenn jemand sich schon intensiv mit seiner Datenschutzerklärung abgemüht hat.
Dazu kommen oft falsch eingebundene YouTube-Videos. Google Analytics wird überraschend oft noch rechtswidrig eingebunden.
Recht häufig sind auch im Impressum Pflichtangaben nicht vorhanden (ist kein Datenschutzthema, kann aber abgemahnt werden).
Und oft ist die Datenschutzerklärung nicht immer mit zwei Klicks erreichbar (es reicht schon, wenn das Problem auf einem Endgerät, etwa dem Smartphone, vorliegt), oder nicht auf jeder Seite ist der Link auf die Datenschutzerklärung vorhanden. Letzteres trifft auf jede zweite Webseite zu, auch wenn viele meinen, es wäre anders.
Was ist Ihre Prognose für die Zukunft?
In den letzten Wochen habe ich mich noch intensiver als sonst mit technischen und rechtlichen Aspekten zum Datenschutz auf Webseiten beschäftigt. Meine Erkenntnisse werden Auswirkungen auf die Marktteilnehmer in Deutschland haben.
Mehr dazu und zu anderen Themen finden Sie in meinem Blog Dr. DSGVO. Um Datenschutz in Deutschland und Europa nach vorne zu bringen, unterstütze ich mit meinem Wissen die gemeinnützige Datenschutzorganisation None of Your Business (noyb.eu), deren Ehrenvorsitzender Maximilian Schrems ist. Er hatte die EuGH-Urteile zum Privacy Shield und damals auch zu Safe Harbor erwirkt.
Was genau ist Ihr Angebot an potentielle Interessenten, die dieses Interview gelesen haben und sagen: „Mensch der Mann hat Ahnung. Was muss ich tun, dass meine Webseite so datenschutzrechtlich sicher ist, dass ich ruhig schlafen kann“?
Es gibt mehrere Möglichkeiten. Das eine ist: für die die wenig Budget haben, bieten wir eine Möglichkeit an mit der von mir entwickelten Software schon eine sehr tiefgehende Prüfung der Webseite zu machen und da kommt sogar schon eine individuelle Datenschutzerklärung mit raus, die man als Muster nutzen kann. Und wenn jemand ein klein bisschen mehr Geld ausgeben will, dann beraten wir auch fachlich und technisch. Wir helfen unseren Kunden durch persönliche Beratung die bestmögliche Lösung zu finden. Aufgrund des Tools, was von mir geschrieben wurde, können wir das sehr effizient machen und das natürlich auch sehr kostengünstig. Und Rechtssicherheit ist dann keine Frage des Preises mehr, sondern nur noch des Wollens. Vor allem helfen wir dabei, Einwilligungsabfragen ganz zu vermeiden. Das macht den Besuchern einer Webseite mehr Spaß und erhöht die Rechtssicherheit für den Verantwortlichen enorm.
Wir bieten, nachdem jemand seine Webseite nach Abstimmung mit uns abgesichert hat, auch ein Datenschutz Qualitätssiegel an. Das kann man auf der Webseite einbinden. Ein Mehrwert ist für den Kunden offensichtlich, dass der Besucher sieht: da nimmt jemand Datenschutz ernst. Ein zweiter Mehrwert ist auch noch neben der Rechtssicherheit, dass wenn ein Besucher der Webseite meint, er hat doch ein Problem gefunden und er klickt auf dieses Siegel, dann kann er mit uns auch Kontakt aufnehmen und wir können dann schon mal, falls die Annahme das irgendwas nicht richtig ist, unberechtigt ist, auch direkt antworten. Ansonsten können wir gerne vermitteln und antworten, dass wir uns drum kümmern und die Anfrage weiter geben. Dann fühlt sich der Besucher aufgehoben und der Betreiber der Webseite hat keinen Stress damit.
Wer keine Webseiten-Prüfung haben möchte, sondern nur eine Beratung, der kann mich buchen und erhält Antworten auf alle Fragen zu seiner Webseite. Mein Anspruch ist eine technische als auch rechtliche Betrachtung der Thematik. Nur ganzheitlich kann eine gute Lösung geboten werden.
Wenn jemand den Datenschutz auf seiner Webseite sehr ernst nimmt, ist das schon mal ein positives Signal. Das ist ja sowas wie ein Qualitätsmerkmal für das Unternehmen.
Herzlichen Dank für das Interview!
Anmerkung der Redaktion: Dr. Meffert schreibt in seinem Blog Dr. DSGVO regelmäßig zum digitalen Datenschutz: https://dr-dsgvo.de