Eine Frage, die sich sicher einige Websitebetreiber stellen und die eigentlich in einem Satz zu beantworten ist: Damit die Seite konform mit dem Datenschutz und der DSGVO ist, dürfen keine personenbezogenen Daten ohne vorherige, ausdrückliche und informierte Einwilligung gesammelt und verarbeitet werden. So weit, so gut. Das hört sich einfach an, stellt sich in der Praxis aber gar nicht so einfach dar. Vor allem weil viele Betreiber aus kommerziellen Gründen nicht darauf verzichten wollen, personenbezogene Daten zu sammeln und zu verarbeiten. Und ebenso weil viele Websitebetreiber Daten sammeln und verarbeiten, ohne dass sie sich dessen irgendwie bewusst sind. Ich möchte mich in diesem Artikel etwas vertiefter mit der Problematik des Sammelns personenbezogener Daten durch Websites beschäftigen.
Wie findet man heraus, ob eine Website Daten sammelt?
Bevor ich die Frage beantworte, möchte ich noch einen Schritt zurückgehen: Wenn Sie einen Browser öffnen, werden bereits Daten von Ihnen gesammelt und verarbeitet, jedenfalls beim Google Chrome und beim Mircosoft Browser “edge”. Wenn Sie das vermeiden wollen, dann sollten Sie einen Morzialla Firefox Browser benutzen. In dem Firefox Browser benutzen sie als Siuchmaschine am besten Qwant.Aber auch wenn man das beherzigt, dann hilft das nicht viel, wenn die Website, die man aufruft, Daten sammelt und verarbeitet. “Verarbeitet” heißt in diesem Zusammenhang, dass die Website Ihre Daten irgendwohin schickt, wo sie kommerziell verwendet werden. Und das führt zu den Fragen: Wie finde ich heraus, ob eine Website Daten sammelt? Und wenn sie das tut, wohin schickt sie diese Daten?
Wenn man einen Laptop oder einen Desktio PC hat, dann ist das gar nicht so schwer herauszufinden. Klicken Sie im Firefox Browser einmal auf die rechte Maustaste. Es geht dann ein Festner auf, in dem Sie bitte “Element untersuchen” wählen. Im unteren Bereich des Browsers öffnet sich dann ein Fenster mit vielen Optionen. Wählen Sie hier bitte den Reiter “Debugger”. Dort finden Sie eine Auflistung darüber, mit welchen Servern die Seite Daten austauscht. Im Idealfall steht da nichts außer der Domain, die Sie gerade aufgerufen haben. Wenn Sie dort andere Domain-Adressen finden, zum Beispiel “google.com” oder “facebook.com”, dann sendet die Seite dahin Daten. So einfach kann man den Datenfluss überprüfen. Das geht übrigens auch in einem Microsoft edge Browser und einem Google Chrome. Im Google Chrome Browser heißt die Funktion zuerst “Untersuchen” und dann “Sources”, ist aber ansonsten nicht anders.
Welche gängigen Skripts sammeln Daten?
Unzählig viele Skripts sammeln und verarbeiten Daten. So viele, dass ich diese hier alle gar nicht aufzählen kann und will. Zum Beispiel Social Media Plattformen, wie Facebook, Twitter, Instagramm etc. Natürlich auch Analytics Dienste, wie zum Beispiel Google Analytics, Bing Analytics, etracker etc. Daneben aber auch technische Dienste, zum Beispiel wenn Funktionen oder Fonts von anderen Quellen geladen werden, wie bei Google Fonts, Font Awesome, jquerry etc. Letztlich kann jedes Tool auf einer Website ein Skript, das personenbezogene Daten sammelt und verarbeitet, ausführen, auch wenn es nach Außen nicht den Anschein macht. Eine eingebundene Karte von Google Maps, um noch ein Beispiel hierzu zu geben, lädt ein solches Skript und setzt dazu auch noch ein Tracking Cookie. Es werden dabei alle Nutzerdaten gesammelt und bei Google, laut deren eigenen Angaben, auch mit anderen Daten des Nutzer zusammengeführt. Dieses Procedere heißt “Profiling”. Was Google am Ende mit umfangreichen Profilen macht, das weiß keiner so genau. Aber darüber zu spekulieren, ist nicht Thema dieses Artikels.
Wenn Sie aufmerksam gelesen haben, dann ist Ihnen aufgefallen, dass eben noch der Begriff “Cookie” gefallen ist. Cookies sind kleine Text-Dateien, die von einem Browser auf ihrem Computer gespeichert werden. Es gibt Cookies mit sehr unterschiedlichen Funktionen. Zum Beispiel technische Cookies, vor allem Session Cookies, die zur verünftigen Nutzung einer Website unerlässlich sind und auch nichts böses tun. Auf der anderen Seite gibt es aber auch Tracking Cookies, die helfen das Nutzerverhalten aufzuzeichnen und jemanden zuzuordnen. Cookies haben hierbei eine ganz entscheidende Rolle. Daher müssen wir uns auch kurz näher damit befassen.
Cookies, Skripts und der Datenschutz
Man muss das leider ein wenig differenzieren. Wenn Cookies personenbezogene Daten sammeln, dann greift der Datenschutz. Wenn sie das nicht tun, dann nicht. Aber das heißt nicht automatisch, dass Cookies dann erlaubt sind, denn es gibt noch eine EU-Verordnung zu Cookies und andere Richtlinien. Hier widmen wir uns nur dem Datenschutz. Aus Sicht des Datenschutzes sind Cookies, die keine personenbezogenen Daten sammeln und verarbeiten, erlaubt. Was sind das eigentlich: Personenbezogene Daten?
Was Websites angeht, sind das vor allem die IP-Adressen anhand derer eine Person identifiziert werden könnte. Daneben sind es andere eindeutige Adressen oder Schlüssel, die solches ermöglichen oder dazu dienen, die Daten mit anderen Daten einer PErson zusammenzuführen. Wenn zum Beispiel ein “Google Analytics Skript” bereits im Browser die IP Adresse anonymisiert und dann anonymisiert nachhause schickt, heißt das nicht, dass das dann konform mit dem Datenschutz ist. Andere Funktionen können hier die gesammelten Daten konkreten Nutzern zuordnen und tun es auch. Und somit ist auch diese Form eines Skripts nicht konform mit dem Datenschutz. Bei manchen Tools hingegen wird die Ip-Adresse koreekt anonymisiert, ohne Zusätze, die eine Zuordnung der Daten zu einem Nutzer ermöglichen. Das wäre dann konform mit dem Datenschutz. Man muss ein Skript, das personenbezogene Daten sammelt, also immer im Einzelfall bewerten. Das ist in manchen Fällen nicht ganz einfach. Im Zweifelsfall sollte man immer eine ausführliche Darstellung in der Datenschutzerklärung eines Websitebetreibers nachlesen können. Wenn man eine solche Darstellung in der Datenschutzerklärung nicht findet, dann ist in der Regel etwas faul.
Ob ein Skript, ein Cookie oder beide zusammen personenbezogene Daten sammeln und übertragen, ist völlig unerheblich. Das kann technisch so oder so gelöst werden. Im Sinne des Datenschutzes ist das alles nicht erlaubt, so lange vorher nicht der Websitenuttzer seine Zustimmung zur Sammlung und Verarbeitung seiner Daten gegeben hat. Und damit kommen wir zum nächsten Punkt: Wie muss eine Zustimmung aussehen, damit sie konform mit dem Datenschutz ist?
Wie muss eine Zustimmung auf einer Website erfolgen?
Der ganz entscheidende Punkt ist hierbei zuerst, dass es sich um ein klares Opt-In-Verfahren handeln muss. Wenn ein Nutzer eine Website betritt, dann darf sie keine Daten sammeln und verarbeiten bevor er eine Zustimmung gegeben hat. Das heißt, dass erst nach dem Anklicken einer Bestätigung ein Skript geladen und ggf. Cookies gesetzt werden dürfen. So lange dieses nicht erfolgt ist, darf nichts dergleichen in der Website ausgeführt werden. Skripte, die personenbezogene Daten sammeln und verarbeiten, mit Laden bei Betreten der Website auszuführen, ist widerrechtlich.
Aber auch die Zustimung ist an eine beondere Form gebunden. Die Zustimmung muss informiert erfolgen. Dass heißt, dass bei Zustimmung dem Nutzer alle wesentlichen Fakten zur Art der Datensammlung mitgeteilt werden müssen. Die Zustimmung muss im weiterem benutzerfreundliche Voreinstellungen haben. Das heißt, dass nicht vorab die gewünschten Funktionen voraktiviert sind oder ähniches. Dazu zählt auch, dass die gesamte Aufmachung der Zustimmung nicht so gestaltet sein darf, dass der Nutzer dazu verleitet wird, dass er seine Zustimmung erteilt.
Und abschließend die Frage, ob man eine Zustimmung in der Website braucht, wenn keine Daten gesammelt und verarbeitet werden? Nein, das braucht man nicht! Aber eine kleine Einschränkung gibt es hier, denn jede Seite sammelt eigentlich personenbezogene Daten. Die IP-Adresse wird immer zum Host-Server der Website übertragen. Man nennt das oft den “Logfile”. Jeder Websitebetreiber darf diesen Logfile erheben und aus Sicherheitsgründen für einen kurzen Zeitraum speichern. Das ist erlaubt und kann mit einem berechtigten Interesse begründet werden. Es muss aber in der Datenschutzerklärung detailliert ausgeführt sein. Oftmals speichert ein Web-Hosting Service aber zusätzlich auch das Nutzerverhalten und nicht nur einen Logfile. Und das ganze auch länger als einen kurzen Zeitraum. Wenn das der Fall ist, dann wird es wiederum schwierig. In der Regel bieten Web-Hosting-Dienste Möglichkeiten an, mit denen man diese Funktionen beschränken oder abstellen kann.
Sonderfall “Kinder und Jugendliche”
Besondere Regeln gelten für Kinderund JUgendliche. Hat ein Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist die Verarbeitung von personenbezogenen Daten durch Dienste der Informationsgesellschaft, also auch durch Websites im Internet, nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird. Und der Betreiber der Website hat hierüber im Zwiefelsfall den Nachweis zu erbringen.
Für die Praxis heißt das, dass Websites, die sich gewöhnlich auch an Nutzer unter 16 Jahren richten, keine personenbezogenen Daten sammeln und verarbeiten dürfen. Auch nicht mit einer Zustimmung, da nicht sichergestellt werden kann, ob die Zustimmung durch die Erziehungsberechtigten oder mit deren Zustimmung erfolgt ist. Besonders schwierig wird es da, wo gewöhnlich auch Nutzer unter 16 Jahren die Website besuchen, sich die Seite vorwiegend aber nicht an diese Gruppe richtet. Auf dem Gebiet des Schutzes von Kindern beim Besuch von Websites gibt es noch viel zu klären. Wir befinden uns hier erst am Anfang des Weges und der Weg ist noch lang. Aber jeder Weg beginnt mit einem ersten Schritt. Und dieser erste Schritt ist bei einigen Betreibern getan. Beispiele wären das ZDF oder die Westermann Verlagsgruppe, die den Schutz der Daten von Kindern auf ihren Websites angemssen umsetzen.
Weitere Probleme mit dem Datenschutz auf Websites
Ich habe mich in diesem Artikel mit dem Sammeln und Verarbeiten personenbezogener Daten beschäftigt. Natürlich gibt es auch noch andere Komponenten, die eine Website nicht konform mit dem Datenschutz machen können. Nachstehend dazu eine kurze Auflistung gängiger Fehler:
- Die Website hat kein SSL-Zertifikat. Man sieht dieses, wenn oben, neben der URL das Schloss nicht geschlossen ist oder der Bemerk “unsichere Seite” angezeigt wird.
- Die Seite hat ein SSL-Zertifikat, aber das Schloss ist trotzdem nicht geschlossen. Das passiert zum Beispiel, wenn der Programmierer einen Fehler gemacht hat und einen Inhalt aus einer nicht sicheren Subadresse lädt. Das kommt häufiger vor als man denkt.
- Die Datenschutzerklärung ist falsch oder unvollständig.
- Es wird ein Kontaktformular betrieben und der Mailserver läuft über einen unsicheren Drittanbieter und nicht über den eigenen Mailserver. Auch das kommt in der Praxis sehr oft vor.
- Verfahren zur Anmeldung zu einem Newsletter, zu einer Kommentarfunktion oder ähnlichen Services hat kein Double-Opt-In oder kein korrektes Opt-Out.
Die Möglichkeiten den Datenschutz auf einer Website nicht einzuhalten sind also vielfältig und meinstens nicht ohne fachmännische Hilfe zu erkennen. Wenn Sie in Hamburg oder 150Km Umkreis sitzen und als Unternehmen einen externen Datenschutzbeauftragten suchen, der Ihnen hierbei hilft, dann werfen Sie gerne einen Blick auf meine Geschäftsseite und kontaktieren mich gegebenenfalls: www.dsb-hh.com
Abschließendes Fazit
Der Datenschutz und Websites sind ein komplexes Thema. Es geht dabei zum einen um viel Technik und zum anderen um kommerzielle Interessen, die man nicht aufgeben will. Es wundert daher nicht, dass die meisten Websites immer noch nicht konform mit dem Datenschutz sind und es in absehbarer Zeit auch nicht sein werden. Mit den Urteilen des EUGH aus dem Jahr 2019, dem so genannten “FasionID” und “Planet49” Urteilen, ist der Datenschutz auf Websites aber deutlich vorangeschritten. Es hat sich bei den Websitebetreibern etwas getan. Und die hohen Strafen, die nach der DSGVO möglich sind und inzwischen auch angewandt werden, tragen zum Druck auf die Websitebetreiber bei. Der Datenschutz auf Websites schreitet ganz klar voran, auch wenn der Weg noch ein langer ist.