Die Datenschutzhinweise auf der Webseite – ein echtes Risiko

Das TTDSG ist zum 01.12.2021 in Kraft getreten (s. unser Artikel). Es gibt Aussagen von Gerichten zum Einsatz des Consent Managers Cookiebot (s. unser Artikel hier). Es gibt Aussagen des Europäischen Gerichtshofs (EuGH) zum Thema Datentransfers in Drittstaaten und den hierfür notwendigen Garantien, die nach einer Risikobetrachtung gegebenenfalls noch um zusätzliche Maßnahmen ergänzt werden müssen (s. hier) und die sich bis in die neuen Standardvertragsklauseln durchgeschlagen haben (s. hier). Und es gibt noch unzählige weitere Anlässe, warum Unternehmen aktuell oder auch immer wieder an ihren Homepages arbeiten und dabei auch die Datenschutzhinweise („Datenschutzerklärung“) anpassen oder überarbeiten müssen.

Wir behaupten: Es gibt fast keine korrekten Datenschutzhinweise im Netz

In diesem Zusammenhang werden immer noch unglaubliche Fehler gemacht. Fehler, die sehr teuer werden können, handelt es sich bei den Datenschutzhinweisen doch um eine unabdingbare Pflicht aus Art. 13 DSGVO. Informiert werden muss auf der Homepage (oder jedem anderen Internetauftritt, Onlineshop, jeder App, die im Browser läuft und jedem Cloud-Service) über all das, worüber auch bei der jeder anderen Verarbeitung personenbezogener Daten informiert werden muss.

Dennoch findet man immer noch auf viel zu vielen Seiten Datenschutzhinweise, bei denen sich einem die Nackenhaare aufstellen – so offensichtlich sind die Verstöße gegen die Informationspflichten und so falsch sind teilweise die gegebenen Informationen.

Denn sie wissen nicht, was sie tun…

Diese Verstöße resultieren zum größten Teil aus einem einzigen Grund: Unwissenheit, was eigentlich wirklich auf der Seite passiert. Und diese Unwissenheit wiederum hat häufig mehrere Gründe:

  • Die technische Umsetzung wird durch einen Dienstleister (zum Beispiel eine Agentur) gemacht, welche auch ihre „Standarddatenschutzhinweise“ liefert. Diese passen aber nicht zu allen Seiten. Wenn aber erst einmal welche auf der Seite sind, gerät dieses Thema schnell in Vergessenheit.
  • Die Person, die für den Entwurf der Datenschutzhinweise zuständig ist, kennt die Seite nur „von außen“, weiß aber technisch nicht exakt was passiert.
  • Es wird ein Baukastensystem (wir kennen einige, möchten sie aber hier nicht nennen…) genutzt. Solche Baukastensysteme sind für technische Laien sehr komfortabel und einfach zu bedienen und liefern mit wenig Aufwand optisch und funktional ansprechende Ergebnisse. Leider weiß niemand außer dem Anbieter des Baukastensystems genau, was im Hintergrund passiert und welche Daten der Anbieter „abgreift“ und wofür. Darüber hinaus „leben“ auch die Baukastensysteme und es kann sein, dass Änderungen im Hintergrund des Baukastensystems sich auf die Datenschutzhinweise der Kunden-Seiten auswirken, ohne dass diese das merken.
  • Die Seite ändert sich im Laufe der Zeit. Es kommen Funktionalitäten oder Inhalte dazu. An die Datenschutzhinweise denkt dabei üblicherweise niemand.
  • Die Marketing-Abteilung möchte noch ein bisschen tracken, etwas (re-)targeting und da soll es neue tolle Funktionalitäten aus dem Social-Network XY geben. Wenn solche Dinge „nachgerüstet“ werden, müssen mit hoher Wahrscheinlichkeit die Datenschutzhinweise ergänzt werden.

Darüber hinaus ändern sich die Anforderungen seitens der Aufsichtsbehörden auch immer wieder durch höchstrichterliche Rechtsprechung oder Gesetzesänderungen. Oder einfach, weil die Behördenleitung wechselt. Ein Beispiel hierfür ist das Schrems-2-Urteil des EuGH. Dieses hat sich eigentlich nicht mit dem Thema der Datenschutzhinweise befasst. Dennoch hat das Urteil gravierende Auswirkungen auf die Datenschutzhinweise und sogar teilweise auf die Inhalte der Webseiten.

Die Anforderungen steigen ständig

Der EuGH und damit auch die Aufsichtsbehörden für den Datenschutz sehen aktuell Datentransfers in Drittstaaten, wie zum Beispiel die USA, sehr kritisch. In zahlreichen Konstellationen ist es derzeit gar nicht mehr möglich, Dienstleister, die einen US-Hintergrund haben, einzusetzen. Mit US-Hintergrund meinen wir nicht zwingend, dass die Unternehmen in den USA sitzen. Es reicht schon aus, dass Verträge mit inländischen oder EU-Unternehmen geschlossen werden, die Teil einer Unternehmensgruppe sind, deren Mutter in den USA sitzt. Wer mehr hierzu erfahren möchte, sollte unseren Artikel zum Verbot von Cookiebot durch das VG Wiesbaden lesen. Dort wurde – in unseren Augen sehr dogmatisch – per einstweiliger Verfügung entschieden, dass die Übermittlung der IP-Adresse in die USA ohne Einwilligung der Nutzer*innen nicht zulässig sei. Würde im Hauptsacheverfahren ebenso entschieden, hätte das zur Folge, dass schlagartig die Nutzung von zum Beispiel Google Fonts, Google reCAPTCHA oder auch von Content Delivery Networks (CDN) wie Cloudflare oder Akamai sowie die Nutzung üblicher Bibliotheken wie jquery (sofern von den entsprechenden Servern geladen) nicht mehr zulässig wäre. Gleiches gälte dann auch für die Nutzung von Hostern außerhalb der EU sowie von jeglicher Software von Microsoft, Oracle oder auch IBM.

Ok, wir beenden hier den Exkurs zu den Grundsatz-Themen. Dennoch: Es ist zwingend notwendig zu wissen, was auf der Homepage und auch dahinter (auf dem Webserver, im Content Management System, sogar im verwendeten Theme, sowie in allen genutzten Plug-Ins oder sonstigen Bibliotheken) passiert. Nur wenn alle diese Informationen vollständig und korrekt vorliegen können inhaltlich korrekte Datenschutzhinweise erstellt werden.

Fragen über Fragen

Wir haben für so etwas einen Fragebogen, den wir unseren Kunden geben und den diese üblicherweise zusammen mit der Marketingabteilung, der Agentur, gegebenenfalls mit Softwareentwicklern und dem Hoster gemeinsam beantworten. Darüber hinaus prüfen wir die abrufbaren Seiten manuell, schneiden den Netzwerkverkehr mit, sichten Cookies und prüfen die externen Aufrufe der Seite. Wir finden eigentlich immer noch etwas, was uns unsere Kunden nicht mitgeteilt haben.

Am Ende des Prozesses kommen aber mit vertretbarem Aufwand Datenschutzhinweise heraus, die einer Prüfung durch die Aufsichtsbehörde standhalten und die den betroffenen Personen alle notwendigen Informationen liefern, die Art. 13 DSGVO fordert. Darüber hinaus beraten wir Sie im gesamten Prozess auch bezüglich Technik oder Dienstleistungen, die Sie besser meiden sollten, so dass Sie sich in manchen Fällen die Consent Manager Monster sogar vollständig sparen können.

Bleiben Sie am Ball!

Webseiten leben, weil sich Änderungen auch durch Updates an der verwendeten Technik ergeben können, weil Menschen Fehler machen, weil in der Kommunikation mit mehreren Beteiligten doch mal ein Fakt vergessen wird. Deshalb bieten wir mittlerweile an, die Webseiten unserer Kunden regelmäßig zu prüfen und bei relevanten Änderungen aktiv zu benachrichtigen. Ein Service, der im Verhältnis zum Risiko äußerst günstig ist und daher von unseren Kunden gerne und immer häufiger in Anspruch genommen wird.

Dieser Service sorgt dafür, dass Sie Ihre Webseite mit allen Änderungen immer im Blick behalten und Sie die Datenschutzhinweise stetig aktuell halten können.

Planen Sie eine neue Webseite oder einen Relaunch der bestehenden? Klären Sie unbedingt vorher, worauf geachtet und worauf gegebenenfalls auch verzichtet werden muss. Wir unterstützen Sie gerne dabei!