Hallo! Mein Name ist Marc Dauenhauer. Ich bin Datenschutzbeauftragter und IT-Architekt. Sie befinden sich hier auf einem Blog, auf dem ich über Themen der Digitalisierung im weitesten Sinne berichte. Wenn Sie meine Dienstleistungen als Datenschutz-Experte oder IT-Spezialist suchen, klicken Sie bitte hier!

Warum sich Webseitenbetreiber interessieren sollten

Mit Webseiten haben wir ja alle irgendwie zu tun, entweder als Besucher oder weil unser Unternehmen, unser Verein oder wir selbst eine Webseite betreiben. Aus einer aktuellen nicht repräsentativen Untersuchung gewinne ich dennoch den Eindruck, dass die allermeisten Webseiten nicht rechtskonform aufgebaut sind. Wenn ich dann mit Webdesignern spreche, ist das Sprachwirrwar um Begriffe wie Consent, Cookies, Tracking, Analytics, Drittdienste, Drittlandtransfers und für was welche Rechtsgrundlagen relevant sind, nahezu perfekt. Aus diesem Grund widme ich meinen heutigen Artikel dem Thema Webseiten und versuche, ein bisschen Licht ins Dunkel zu bringen.

Warum sich Webseitenbetreiber interessieren sollten?

Das Landgericht Dresden hat mit einem Urteil vom 11.01.2019 unter dem Az 1a O 1582/18 bestätigt, dass auch Privatpersonen gegen Verstöße der DSGVO mit Abmahnungen vorgehen können. Z.B. die Rechtsverletzung auf einer Webseite z.B. durch Google-Analytics ohne anonymisierte IP-Adressen kann bereits unangenehme Folgen haben. Zudem hat ja das Bundesarbeitsgericht (ich berichtete in meinem letzten Newsletter darüber) seine Meinung darüber geäußert, dass schon ein Datenschutzverstoß selbst einen Anspruch auf Schadenersatz auslöst und es dafür keinen Nachweis eines konkreten Schadens bedarf. Mit dem Inkrafttreten des TTDSG im Dezember wird die bisherige Rechtslage nochmals untermauert und wer bis jetzt nicht für einen rechtskonformen Aufbau der eigenen Webseite gesorgt hat, der sollte das zum Anlass nehmen, jetzt mal richtig Gas zu geben.

Viele wiegen sich in falscher Sicherheit, weil sie den Versprechungen ihrer Marketingagenturen oder Webseitendesigner blind glauben. Das kann leider fatal sein!

BDSG, DSGVO, e-Privacy Richtlinie, TMG, TTDSG, UWG: Die Liste der Gesetze, die auf einer Webseite zu beachten sind, ist lang. Häufig wird mit den Abkürzungen durch die Gegend geworfen, ohne dass wirklich klar ist, in welchem Falle welches Gesetz gerade zu beachten ist. Daneben gibt es auch noch diverse technische Aspekte zu beachten wie Cookies, 1st-Party-Cookies, 3rd-Party Cookies, Cookie-Banner, Consent-Mechanismen, Plugins, CMS, lokaler Speicher, Tracking, Fingerprinting, TLS, https und noch einiges mehr. Wem wird da nicht gleich schwindelig?

Meine eigene berufliche Erfahrung zeigt, dass viele Webseitendesigner/-agenturen leider nicht über die notwendigen Kenntnisse verfügen, Webseiten wirklich rechtskonform zu bauen. Viele der verbauten Cookie-Banner sind nicht nur wenig rechtskonform, sie sind oft genug auch teilweise bis vollkommen wirkungslos. Warum das alles so ist, werde ich im Folgenden aufzuklären versuchen: Natürlich kann ich in einem Artikel nicht all das erklären, wozu andere gute und dicke Bücher geschrieben haben, aber ich möchte dennoch versuchen, etwas Struktur in die Begriffswelten zu bringen, und das möglichst ohne mich im Fachchinesisch zu verlieren. Also, die Latte liegt. Fangen wir an.

Grundlagen des Datenschutzes – Keine Webseite ohne personenbezogene Daten – wirklich keine!

Da es in erster Linie ja um die Erfordernisse des Datenschutzes auf einer Webseite gehen soll, muss ich als gemeinsame Grundlage für uns ein paar Aspekte des Datenschutzes wiederholen. Die Experten mögen mir das jetzt verzeihen. Jede Webseite verarbeitet personenbezogene Daten. Das ist technisch gar nicht anders möglich. Wie höchstrichterlich festgestellt wurde, sind IP-Adressen als personenbezogene Daten anzusehen.

Für die Nicht-Techniker unter uns: IP-Adressen sind die Adressen im Internet, die Geräte brauchen, um miteinander zu kommunizieren. Jeder Rechner und jede Webseite besitzen jeweils eigene IP-Adressen und können so Datenpakete untereinander austauschen. Dazu muss jeder Partner die IP-Adresse seines Gegenübers kennen. Da sich die IP-Adresse eines Endgeräts mindestens dem Inhaber des Internetanschlusses zuordnen lässt, ist der Personenbezug gegeben (Die Techniker kommen mir hier mit Begriffen wie NAT usw. Das lasse ich bewusst außen vor, weil es in der Sache nicht viel ändert.) Ein wirklich anonymer Austausch von Daten ist nur mit einem besonderen technischen Aufwand möglich, auf den ich hier und heute nicht näher eingehen will. Wen es trotzdem interessiert, der kann ja mal nach dem Tor-Netzwerk suchen.

Weiterhin sendet jeder Webbrowser bei jeder Anfrage an einen Webserver viele Informationen über das verwendete Endgerät und über sich selbst. Diese Informationen sind teilweise notwendig, damit der Webserver seine Antwort für das jeweilige Endgerät entsprechend gestalten kann. Zu wichtigen Angaben gehören z.B. die verwendete Bildschirmauflösung oder der genutzte Browsertyp. Natürlich sind auch diese Daten personenbezogen, weil sie mit einer IP-Adresse verknüpft sind. Jeder normale Webserver, der mir in meinem Berufsleben untergekommen ist, speichert zudem alle Anfragen an ihn mit den zugehörigen Zusatzdaten und Zeitangaben in Dateien oder Datenbanken ab, damit der Betreiber die Nutzung nachträglich nachvollziehen, Probleme beheben oder Angriffe abwehren kann. Man sieht also leicht ein, dass schon eine einfache statische Webseite ohne großen Schnickschnack bereits eine Menge von personenbezogenen Daten im Hintergrund verarbeitet. Da braucht es gar keine eigene Datenerfassung in irgendwelchen Formularen oder Cookies, Tracking und andere kleine Schweinereien. Aber dazu gleich mehr.

Jede Datenverarbeitung von personenbezogenen Daten sollte transparent und fair nach Treu und Glauben geschehen. Das ist in Artikel 5 DSGVO geregelt und müsste eigentlich jedem sofort einleuchten. Das impliziert vor allen Dingen, dass Betroffene (also die Menschen, um deren Daten es geht) von Datenverarbeitungen nicht überrascht werden sondern ganz im Gegenteil voll informiert sein sollten – und das am besten, bevor mit der Datenverarbeitung begonnen wird. Der Satz “Ach, übrigens, was ich noch sagen wollte, … ” ist im Datenschutz eine ganz schlechte Idee.

Die Erfüllung der Informationspflichten gegenüber den Webseitenbesuchern ist daher eine der vornehmsten Pflichten eines Webseitenbetreibers. Üblicherweise werden diese Auskünfte “Datenschutzerklärung” oder “Datenschutzhinweise” genannt. Was in ihnen enthalten sein muss, ist in den Artikeln 12 und 13 der DSGVO geregelt. Darauf kommen wir später noch zurück. Wichtig ist hier erstmal nur die Feststellung, dass es eine solche Information geben muss und dass sie umfassend alle Vorgänge auf der Webseite enthalten sollte und dies auch noch in verständlicher Form. Häufiger sehe ich auch Checkboxen auf Webseiten, mit denen der Datenschutzerklärung zugestimmt werden soll. Das ist – nebenbei gesagt – ganz großer Unsinn und sollte unterbleiben. Denn erstens ist die Datenschutzerklärung nur eine Information und zweitens muss niemand mit dieser Information einverstanden sein, geschweige denn diese überhaupt zur Kenntnis nehmen, sonst wäre es ja eine Einverständniserklärung nach Art 6 Abs 1 lit. a DSGVO.

Manche Betreiber packen in diese Datenschutzinformationen auch noch alle möglichen anderen Beschreibungen von Verarbeitungen hinein, die auf der Webseite gar nicht vorkommen und plustern so die Informationen unnötig auf. Ich kann auch das nicht empfehlen, da die damit entstehende Unübersichtlichkeit den Anforderungen der DSGVO an eine einfache und klare Darstellung widerspricht.

Keine Verarbeitung personenbezogener Daten ohne Rechtsgrundlage.

Eine Datenverarbeitung benötigt nach der DSGVO immer eine Rechtsgrundlage. Bei Webseiten kommen in der Regel nur drei verschiedene Rechtsgrundlagen in Betracht:

  1. Die Einwilligung. Der Betroffene willigt informiert in die Verarbeitung seiner personenbezogenen Daten ein. Wichtig: eine Einwilligung kann nur vorab eingeholt werden bzw. gilt eben erst ab dem Zeitpunkt der Erteilung. Dieser schon fast triviale Umstand ist später aber noch von besonderer Bedeutung. Denn obwohl das jedem sofort einleuchten dürfte, tun sich Webseiten ausgespr ochen schwer damit, diese Reihenfolge von “erst Einwilligen, dann Verarbeiten” wirklich einzuhalten.
  2. Der Vertrag mit dem Betroffenen. Diese Rechtsgrundlage kommt in aller Regel dann zum Tragen, wenn die Nutzung des Webangebots kostenpflichtig ist bzw. dafür ein entsprechender Vertrag geschlossen werden muss. Diese Rechtsgrundlage ist z.B. auch anwendbar, wenn Informationen wie Whitepaper gegen Herausgabe von Daten wie E-Mail-Adressen für Newsletter angeboten werden.
  3. Das berechtigte Interesse des Webseitenbetreibers. Das ist die Auffangvorschrift der DSGVO für alle Datenverarbeitungen, die als rechtmäßig anzusehen sind, für die aber aufgrund der Vielzahl der Fallgestaltungen keine expliziten Vorschriften im Gesetz möglich sind. Mit dem berechtigten Interesse lassen sich aus Sicht des Verantwortlichen viele Datenverarbeitungen legitimieren, die einem legitimen Interesse des Verantwortlichen dienen. Dennoch ist dies kein Freibrief und die Bewertung, wann ein berechtigtes Interesse auch zur Erlaubnis der Datenverarbeitung führt, kann komplex sein.

Normalerweise ist es Aufgabe des Verantwortlichen, die für die jeweilige Verarbeitungssituation richtige Rechtsgrundlage zu wählen und die Datenverarbeitung entsprechend auszugestalten. Diese Abwägung wird ihm mit Inkrafttreten des TTDSG für bestimmte Verarbeitungen abgenommen. Das TTDSG ist an dieser Stelle eine Spezialisierung der DSGVO, indem es für bestimmte Verarbeitungen in klarer Weise eine Einwilligung einfordert. Während man davor in Grenzfällen vielleicht noch mit dem berechtigten Interesse durchgekommen wäre – sehr fraglich aber theoretisch möglich, ist jetzt definitiv Schluss. Um welche Datenverarbeitungen es sich handelt, darauf kommen wir gleich zu sprechen.

Ein bisschen Technik muss jetzt doch mal sein – Alle bitte anschnallen.

Schauen wir jetzt einmal, wie die Nutzung des WWW eigentlich abläuft und wann die verschiedenen Rechtsaspekte zum Tragen kommen. Zunächst braucht es für die Nutzung von Webangeboten einen Webbrowser. Es ist die Software, mit der der Betroffene in die Lage versetzt wird, Webangebote zu konsumieren. Die Aufgabe des Browsers ist es, Anfragen an den Webserver des Web-Anbieters zu senden, auf dessen Antwort zu warten und dann aus den Antworten eine entsprechende Darstellung auf dem Endgerät des Benutzers zu erzeugen, die Interaktionen mit dem Benutzer durchzuführen und dann ggf. weitere Seiten der Webseite abzurufen und vom Nutzer eingegebene Daten an den Webserver zurück zu übermitteln. Dabei erhält der Browser oft nicht die gesamten Webinhalte auf einmal. In den Antworten können Verweise zu weiteren Webseiten oder Ressourcen sein, von denen der Browser noch weitere Informationen nachladen muss. Um eine Webseite vollständig in einem Browser darstellen zu können, muss dieser ggf. mehrere Anfragen an unterschiedliche Webserver unterschiedlicher Anbieter stellen. Das ist z.B. der Fall, wenn Angebote Dritter auf einer Webseite eingebunden sind, wie z.B. Videos, Tracking-Tools, Webfonts u.ä.

Wie ich oben bereits erwähnte, erfordert die Datenverarbeitung nach Treu und Glauben, dass der Betroffene von Datenverarbeitungen nicht überrascht, quasi überrumpelt wird. Gibt der Betroffene in seinem Webbrowser eine bestimmte URL (Webseitenadresse) ein, dann ist die vernünftige Erwartung, dass die personenbezogenen Daten, die vom Browser bei der Anfrage mitgeschickt werden, nur vom jeweiligen Webseitenbetreiber zum Zwecke der Auslieferung des Webseiteninhalts verarbeitet werden. Der Betroffene muss ohne vorherige Information nicht damit rechnen, dass seine personenbezogenen Daten zu etwas anderem verwendet oder mit anderen unbekannten Dritten geteilt werden. Wenn aber eine Webseite Inhalte von Dritten eingebunden hat, z.B. einen Facebook-Like-Button oder ein YouTube-Video oder sehr häufig auch Schriftarten, die von anderen Webservern wie z.B. bei Google-Webfonts, nachgeladen werden, dann wird der Browser des Betroffenen zu all diesen Anbietern Kontakt aufnehmen, um die entsprechenden Inhalte zu laden. Dabei werden auch diese Anbieter nicht nur die IP-Adresse des Betroffenen sondern auch weitere Daten des Browsers übermittelt bekommen. All dies passiert automatisch, ohne dass der Betroffene eine effektive Interventionsmöglichkeit hätte. Von einer informierten Situation kann man hier sicher nicht mehr sprechen, wenn all dies schon beim allerersten Aufruf einer Webseite passiert, noch bevor der Benutzer eine Chance hatte, zu reagieren.

Wenn der Webserver ganze Programme schickt …

Die Antwort des Webservers enthält oft aber noch mehr Informationen als diejenigen, die im Browser visualisiert werden. Zu den Informationen können Daten gehören, die lokal auf dem Endgerät abgespeichert werden und vom Browser bei folgenden Anfragen wieder mitgeschickt werden. Außerdem kann der Webserver auch Programmcode an den Webbrowser schicken, der dann auf dem Endgerät des Benutzers durch den Browser ausgeführt wird (meist JavaScript). Dieser Programmcode kann zwar nur eingeschränkt auf das Endgerät zugreifen, aber er kann ebenfalls Daten lokal speichern oder eine eigene Kommunikation mit dem Webserver oder anderen Dritten im Hintergrund aufbauen, von der der Benutzer nur wenig mitbekommt. Moderne Webanwendungen arbeiten so. Beim Aufruf der Applikation auf der Webseite des Anbieters wird der Programmcode in den Browser des Nutzers geladen und dort ausgeführt. Eine stete Kommunikation im Hintergrund sorgt für einen regen Datenaustausch zwischen der Webapplikation und dem Webserver des Anbieters. Ohne den Programmcode zu kennen, ist es für den Endbenutzer kaum möglich, den Datenverkehr im Hintergrund zu durchschauen.

Webserver leiden unter fortgeschrittener Demenz – ohne Aufschreiben geht es nicht.

Webserver können sich keine Informationen merken. Sie sind wie Leute, die sich eben alles aufschreiben müssen, damit sie es in der nächsten Sekunde noch wissen. Auch der Webserver behandelt jede Anfrage immer so, als wäre es die allererste in seinem digitalen Leben gewesen. Die Experten nennen deshalb das HTTP-Protokoll ein zustandsloses Protokoll. Aber das nur nebenbei. Das ist natürlich extrem hinderlich, wenn sich ein Webserver gerade daran erinnern soll, was ich zuvor noch getan habe. Ein klassischer Anwendungsfall ist ein Web-Shop. Wenn ich Artikel in einen Warenkorb packe, so muss sich der Webserver das irgendwo speichern und bei jedem Aufruf der Webseite diese Information wieder hervorholen. Sonst ist es eben vergessen. Für die Speicherung gibt es zwei Möglichkeiten. Der Webserver speichert die Daten bei sich oder auf dem Endgerät des Benutzers. Für letzteres bietet der moderne Webbrowser verschiedene Möglichkeiten an, die vom Webserver genutzt werden können. Traditionell sind das Cookies aber es gibt auch noch weitere Methoden dazu. Ein Cookie ist ein Stück Information, das für eine bestimmte Webseite unter einem eindeutigen Namen im Browser abgespeichert wird. Jedes Cookie hat eine bestimmte Laufzeit, d.h. wird vom Browser nach Ende der Laufzeit automatisch gelöscht. Allerdings können diese Speicherzeiten auch Jahre umfassen. Sogenannte Session-Cookies haben keine spezielle Laufzeit sondern existieren so lange, wie der jeweilige Browser offen ist. Häufig liest man, Cookies seien kleine Textdateien. Ich weiß nicht, woher das kommt oder wer da mal eine schlechte Übersetzung gemacht hat, die seit Jahren alle abschreiben. Nein, Cookies sind Informationshäppchen, und die werden durch den Browser verwaltet und gespeichert. Der alleine entscheidet, in welchem Format er diese Informationen auf dem Rechner des Benutzer ablegt. Und das kann alles Mögliche sein, Textdateien sind es meistens nicht.

Solche Cookies können essentiell sein, damit die Webseite funktionieren kann. Sie sind dann häufig das “ausgelagerte” Gedächtnis der Seite wie in dem Beispiel des Webshops. Andere Cookies speichern aber Zusatzinformationen, die für das Funktionieren der Webseite nicht notwendig sind. Im Gegenteil, sehr oft dienen sie dazu, Benutzer-IDs auf dem Endgerät des Benutzers zu speichern, um diese bei einem späteren Webseitenbesuch wieder identifizieren zu können. Dann sind wir bereits beim Tracking. Man sieht, gleiche Technik aber vollkommen anderer Verwendungszweck. Und genau das ist die wichtige Differenzierung.

Unter First-Party-Cookies versteht man jene Informationshäppchen, die von der primär aufgesuchten Webseite stammen, grob gesagt, von der, deren URL man im Browser sehen kann. Wie bereits oben erwähnt, kann die Webseite selbst Referenzen auf URLs von Dritten besitzen, von denen der Browser weitere Teile nachlädt. Damit haben aber auch diese Drittseiten die Möglichkeit, ihrerseits Cookies im Browser des Nutzers zu speichern. Diese Cookies laufen unter dem Begriff Third-Party-Cookies. Technisch sind dies keine anderen Cookies, sie stammen nur eben nicht von der primären Seite.

Das datenschutzrechtlich Gemeine ist jetzt , dass die angesteuerten Drittanbieterseiten ihre Cookies zur Benutzerverfolgung über viele verschiedene Webseiten nutzen können. Dazu müssen sie auf jenen nur eingebunden sein. Beim Aufruf greifen sie auf die gespeicherten Cookies im Browser zu und können so das Nutzerverhalten analysieren. Das ist das Prinzip von Anbieter übergreifendem Tracking, was mit der Funktion der einzelnen Seite natürlich nichts mehr zu tun hat. Es handelt sich um eigenständige Verarbeitungsvorgänge, die nach der DSGVO auch eine entsprechende Rechtsgrundlage benötigen.

Neben den Cookies, die vom Webserver an den Browser geschickt werden, können auch Skripte, die vom Server geschickt und im Browser ausgeführt werden, eigene Daten in Form von Cookies oder anderen Mechanismen im Browser speichern oder abrufen.

Das berechtigte Interesse greift eher selten – weil die Verarbeitung fast nie erforderlich ist.

Wir haben neben der Einwilligung und dem Vertragsverhältnis ja bereits das berechtigte Interesse als eine mögliche Rechtsgrundlage bei der Verarbeitung von personenbezogenen Daten kennengelernt. Um als Rechtsgrundlage zu dienen, muss das berechtigte Interesse drei Bedingungen erfüllen:

  1. das verfolgte Ziel muss legitim sein.
  2. die eingesetzten Mittel müssen für die Zielerreichung erforderlich sein. Das heißt, sie müssen einmal tauglich sein, das Ziel überhaupt erreichen zu können und es darf keine milderen Mittel geben, die in gleicher Weise das Ziel erreichbar machen.
  3. Es darf keinen Grund zu der Annahme geben, dass Betroffene ein das berechtigte Interesse des Verantwortlichen übersteigendes eigenes Interesse am Ausschluss der Verarbeitung haben. Dabei ist zu berücksichtigen, ob der Betroffene in der jeweils gegebenen Situation mit einer entsprechenden Verarbeitung hat rechnen müssen.

Nur, wenn alle drei Bedingungen erfüllt sind, kann das berechtigte Interesse als Rechtsgrundlage angewendet werden. Der Vorteil dieser Rechtsgrundlage ist, dass für darunter fallende Datenverarbeitungen eben kein Einverständnis des Betroffenen notwendig ist. Während einige Verarbeitungen wie z.B. das Erstellen von Logfiles auf dem Webserver durchaus unter das berechtigte Interesse fallen, ist das für eine Mehrzahl von Verarbeitungen nicht der Fall.

Kein berechtigtes Interesse bei Google Webfonts 🙁

Google-Webfonts werden breit genutzt, weil sie eine ästhetische Darstellung einer Webseite ermöglichen. Bei der online-Einbindung von Google Fonts werden immer Verbindungen zu Google-Sites genutzt und Daten an Google übermittelt. Da Google-Fonts auch lokal auf einem Webserver gehostet werden können, ohne dass eine Online-Verbindung mit der IP-Adresse des Betroffenen zu Google aufgebaut wird, scheitert es schon an der Erforderlichkeit dieser Verarbeitung. Ein berechtigtes Interesse an der Online-Anbindung von Google-Fonts als Rechtsgrundlage kann daher nicht angenommen werden. Damit bleibt nur die Einwilligung als Rechtsgrundlage. Diese müsste allerdings schon vor dem ersten Laden auch nur der ersten Font-Datei vom Betroffenen abgefragt worden sein. Zudem müsste auf die Nutzung der Fonts verzichtet werden, wenn der Benutzer die Zustimmung verweigert. Gleiches gilt für andere Drittanbietertools auf der Webseite.

Einsatz von cloudflare, CDN und ähnlichen Tools

Viele Webseitenbetreiber nutzen zusätzliche Tools, um ihre Webseiten entweder abzusichern (z.B. gegen Angriffe) oder auch schneller zu machen, in dem sie bestimmte Teile der Webseite in sogenannte Content-Delivery-Networks auslagern. Dann kommen die Inhalte nicht mehr zwangsweise vom eigenen Webserver sondern von anderen Servern, die ggf. näher am Nutzer stehen und deshalb den Content schneller liefern können.

Leider ist die Nutzung dieser Tools derzeit extrem problematisch. Zum einen, weil diese Werkzeuge bereits zum Einsatz kommen, bevor der Nutzer eine Chance hätte, davon Kenntnis zu bekommen und sich zu überlegen, ob er die Webseiten dann überhaupt nutzen möchte und zum anderen, weil das berechtigte Interesse auch hier kaum zur Anwendung kommen kann, wenn die entsprechenden Anbieter z.B. in USA sitzen und die Nutzerdaten der Webseitenbesucher verarbeiten. In diesen Fällen ist das Schutzbedürfnis der Betroffenen höher zu Gewichten als das berechtigte Interesse des Webseitenbetreibers. Dies gilt insbesondere, wenn eine Seite auch von Kindern genutzt wird.

Es braucht Einwilligung First – Verarbeitung Second

Wenn das berechtigte Interesse bei der Mehrzahl von Verarbeitungen auf einer Webseite gar nicht anwendbar ist, so bleibt nur die Einwilligung des Benutzers VOR der Verarbeitung. Nach der DSGVO muss diese Einwilligung informiert und freiwillig geschehen. Ungültig wird die Einwilligung dann, wenn der Eindruck entsteht, der Benutzer wäre zur Einwilligung “überredet” worden oder die Ablehnung der Verarbeitungen war komplizierter als die Zustimmung. Auch wird eine Einwilligung dann als ungültig anzusehen sein, wenn nicht alle notwendigen Informationen zum Zeitpunkt der Einwilligung auf dem Tisch gelegen haben. Das sehe ich z.B. oft, wenn Cookies zwar erwähnt werden, ihr Einsatzzweck aber im Dunkeln bleibt. Es ist leicht zu sehen, dass alleine die Abfrage einer Einwilligung noch keine Rechtssicherheit bringt, wenn die Einwilligung nicht korrekt eingeholt worden ist.

Wozu braucht es jetzt die Einwilligung genau? Hier ein paar nicht abschließende Beispiele:

  1. Wenn die Webseite Dienste anderer Anbieter online nutzt und dazu die personenbezogenen Daten des Besuchers weitergeleitet werden, ohne dass dies für die Funktion der Webseite erforderlich wäre. Da es zu vielen Tools auch Alternativen gibt, die keine Datenübermittlung benötigen, ist die Erforderlichkeit meist nicht gegeben. Wir hatten das ja oben bei Webfonts bereits ausgearbeitet.
  2. Wenn Skripte und Referenzen auf der Webseite zum Aufruf fremder Drittinhalte genutzt werden.
  3. Wenn die Webseite direkt oder über ein Skript Daten im Endgerät des Endbenutzers speichert oder bereits gespeicherte Informationen abrufen möchte (Mit dem Inkrafttreten des TTDSG im Dezember ist das Erfordernis einer informierten Einwilligung vor dem ersten Speicher- oder Lesevorgang gesetzlich festgelegt).

Was machen nun eine überwältigende Zahl von Webseiten falsch? Die Liste ist lang, aber ich will ein paar typische Fehler herausgreifen:

  1. Die Webseite setzt sogenannte Cookie-Banner ein, die eine Einwilligung abfragen, die per se ungültig ist: Fehlende Informationen, komplizierte Ablehnung, unterschiedliche Farben und Größen für die Knöpfe zur Annahme und Ablehnung (der Ablehnen-Knopf hat die “schlechtere” Farbe oder ist einfach kleiner)
  2. Die Webseite nutzt ein Cookie-Banner, speichert aber schon vor der eigentlichen Zustimmung nicht-erforderliche Cookies ab. Der Klassiker und ab Dezember ein Garant für Abmahnungen.
  3. Die Webseite nutzt externe Tracking-Tools (in der Regel Skripte oder Referenzen (wie Bilder), die Nutzungsdaten an eine zentrale Stelle übermitteln), ohne dass dies bei der Zustimmung des Benutzers berücksichtigt wäre bzw. verhindert würde, wenn die Zustimmung nicht erteilt wird. Auch hier spielt die Frage der Erfordernis eine Rolle, da es genug lokale Möglichkeiten gibt, die Webseiten-Nutzung auf dem Server direkt zu analysieren. Facebook-Pixel und anderes sind da ganz weit vorne.
  4. Die Webseite nutzt im falschen Verständnis des berechtigten Interesses externe Werkzeuge wie Webfonts, für die es an der Erforderlichkeit fehlt.
  5. Die Webseite nutzt externe Tools in Drittländern ohne Angemessenheitsbeschluss bei gleichzeitiger Übertragung von Nutzerdaten.

Fazit

Die Prüfung einer Webseite ist relativ einfach möglich. Dazu gibt es eine Reihe von Werkzeugen auf dem Markt oder man schaut einfach mal in den Quellcode der Seite, was bei jedem Browser heute im “Developer”-Fenster geht. Wenn dort schon vor dem Consent-Klick Referenzen zu google, static.com oder anderen Webdiensten auftauchen (einfach mal “Suchen&Finden”), dann hat der Betreiber der Webseite einen Handlungsbedarf.

Durch die leichte automatisierte Suche nach Datenschutzschwachstellen in Webseiten, besteht daher auch die Gefahr, dass Verstöße schneller abgemahnt bzw. gemeldet werden. Nicht nur Datenschutzaktivist Schrems aus Wien hat solche Projekte bereits gestartet.

Wenn Ihnen mein Artikel gefallen hat, freue ich mich, wenn Sie meinen Newsletter abonnieren und/oder weiterempfehlen. Ich freue mich aber genauso auch über Kommentare, Kritik, Anregungen und Diskussionen zu den aufgezeigten Themen.