Beschwerde bei Datenschutzverstößen einreichen: So geht’s

Viele Unternehmen halten sich an Datenschutzregeln. Das gilt zumindest für den Schutz von ortsgebundenen Daten, wie ausgedruckten Karteien. Im Internet und auf Webseiten sieht das anders aus. Eine Beschwerde kann sogar online, anonym und formlos erfolgen.

Aufsichtsbehörden

Wer Datenschutzverstöße feststellt, hat als Privatperson das Recht, eine Aufsichtsbehörde einzuschalten. In Deutschland gibt es für jedes Bundesland genau eine solche Aufsichtsbehörde. Für eine Beschwerde ist die Behörde zuständig, die im Bundesland sitzt, in dem das betroffene Unternehmen seinen Sitz hat. So ist für eine Beschwerde gegen ein Unternehmen in Frankfurt der Hessische Datenschutzbeauftragte zuständig.

Beschwerden können aber auch bei anderen Aufsichtsbehörden eingereicht werden. Diese leiten dann die Beschwerde an die zuständige Behörde weiter.

Eine Liste der Aufsichtsbehörden finden Sie weiter unten.

Warum eine Beschwerde?

Datenschutz ist Verbraucherschutz. Gesetze sind dafür da, um eingehalten zu werden. Wenn viele ein Gesetz missachten, nimmt es keiner mehr ernst. So war es zu Zeiten des Bundesdatenschutzgesetzes, aber so wird es nicht sein zu Zeiten der Datenschutzgrundverordnung. Glücklicherweise!

Dürfen Tools von Google ohne Einwilligung geladen werden?

Tools von amerikanischen Anbietern dürfen nicht ohne Einwilligung geladen werden, weil die IP-Adresse als personenbezogenes Datum nicht ohne Rechtsgrundlage nach Amerika übertragen werden darf. Betroffen sind auch YouTube, Vimeo, Adobe, Facebook, Twitter und andere

Außerdem macht die DSGVO Sinn. Viele empfinden sie als Zumutung, doch das ist eine sehr einseitige Betrachtung. Richtig ist: Die meisten Datenschutzprobleme etwa im Internet resultieren aus Urteilen aus dem Jahre 2017, also noch vor der Einführung der DSGVO.

Der Umsatz der Firma Google ist seit 2017 im dreistelligen Milliardenbereich:

Quelle: Statista, https://de.statista.com/statistik/daten/studie/74364/umfrage/umsatz-von-google-seit-2002/

Dieser Umsatz wurde hauptsächlich durch das Ausbeuten von Daten erreicht, insbesondere, um Nutzerverhalten zu analysieren und verhaltensbasierte Werbung zu verkaufen.

Unsere heimische Wirtschaft ist aufgrund dessen im Online-Bereich abgehängt, wie man an Videokonferenzlösungen, Bezahlsystemen, Chat-Plattformen usw. sieht. Es ist also angebracht zu handeln, um Amerika, dessen Politik zu wünschen übrig lässt, nicht weiter in unser Leben Einzug zu gewähren.

Wann ist eine Beschwerde angebracht?

Eine Beschwerde wegen Datenschutzverstößen ist immer dann gerechtfertigt, wenn wahrscheinlich oder eindeutig gegen die Datenschutzgrundverordnung verstoßen wurde. Eine Beschwerde kann also auch klärend sein, falls die Sachlage unklar ist. Allerdings sollte der Beschwerdeweg nur beschritten werden, wenn man recht sicher ist, dass die DSGVO nicht eingehalten wurde.

Für Webseiten lässt sich sehr einfach feststellen, ob ein Unternehmen die Datenschutzgesetze missachtet, also eine rechtswidrige Webseite betreibt.

Hierfür kann das Plugin Ghostery für den Mozilla Firefox Browser verwendet werden. Starten Sie dazu Firefox und rufen Sie diese Seite zur Installation des Plugins auf.

Auch für den Chrome Browser gibt es eine solche Erweiterung.

Rufen Sie nun die Webseite auf, die Sie im Verdacht haben, Daten zu missbrauchen. Schauen Sie sich an, welche Tools geladen werden. Dazu klicken Sie auf das Geist-Symbol, welches das Ghostery Plugin anzeigt:

Populäre Tools, die von einer Webseite geladen werden

Dort sind nun die populären Tools aufgelistet, die von der Webseite verwendet werden. Viele Tools dürfen ohne Einwilligung des Webseitenbesuchers nicht geladen werden. Das bedeutet, alle Tools, die in Ghostery angezeigt werden, wurden ohne Einwilligung geladen. Selbstverständlich dürfen Sie für die Untersuchung nicht auf ein Einwilligungsbanner geklickt haben.

Wir weisen darauf hin, dass Ghostery selbst nicht ganz unkritisch ist, was Datenkonformität angeht. Allerdings haben Sie selbst die Wahl, das Plugin zu installieren und bekommen es nicht durch den Besuch einer Webseite aufgezwungen. Das ist der feine Unterschied.

Ohne Ghostery geht es mit unserem kostenfreien Online-Tool wwwschutz: Webseiten eingeben, ein paar Sekunden warten und Befund sehen.

Der Privacy Shield ist seit 16. Juli 2020 vom EuGH für ungültig erklärt worden. Es regelte den Datenaustausch zwischen Amerika und Euuropa. Auch Standardvertragsklauseln können für amerikanische Unternehmen nicht mehr gelten, auch wenn Google so tut, als wäre das so. Der Grund: In Amerika erlaubt der Cloud Act den amerikanischen Geheimdiensten, auf Daten amerikanischer Firmen zuzugreifen, also auch auf Daten deutscher Personen. Dies ist komplett mit der DSGVO unvereinbar und wird es auf alle Zeit sein.

Jegliches Laden von Tools amerikanischer Anbieter ohne Einwilligung ist rechtswidrig

Konsequenz aus dem EuGH-Urteil vom 16.07.2020

Mehr zum Privacy Shield erfahren Sie in einem extra Artikel.

Welche Tools sind rechtswidrig?

Rechtswidrig sind folgende Tools, wenn sie auf einer Webseite ohne gültige Einwilligung geladen werden.

  • Google Maps
  • Google reCAPTCHA
  • Google Schriften (wenn vom Google Server geladen)
  • Google Analytics
  • YouTube Videos
  • Vimeo Videos
  • SoundCloud Audio Player
  • Omniture Analytics (Adobe Analytics)
  • Fast Fonts (Fonts.com)
  • Social Media Plugins amerikanischer Anbieter

Selbstverständlich ist dies nur eine Auswahl. Alle anderen Tools amerikanischer Anbieter, egal ob Schriftarten oder Videos, sind ebenso rechtswidrig.

Wer weiter analysieren möchte, ruft in Firefox die Entwicklerkonsole auf. Dies geht mit einem Druck auf die Taste F12. Danach laden Sie die Webseite neu, etwa durch Druck auf F5 (Neuladen der Seite). Die Entwicklerkonsole zeigt im Karteireiter Netzwerkanalyse die geladenen Dateien an:

Netzwerktransfers, die von einer Webseite ausgehen

Klickt man auf die Spalte Host, wird die Liste nach den Anbietern sortiert, von denen Tools und Dateien geladen werden. Hosts von Firmen aus den USA dürfen in dieser Liste nicht auftauchen, sofern keine Einwilligung erteilt wurde. Dies sind beispielsweise:

  • Javascript Bibliotheken
  • Schriftarten
  • Bilder
  • Videos

Man erkennt Indikatoren für solche rechtswidrig eingebundenen Hosts beispielsweise an Adressen, die das Wort cdn enthalten. Ein CDN ist ein Content Delivery Network, ein Inhaltslieferant. Dieses CDN darf nicht in den USA (bzw. nicht in einem unsicheren Land außerhalb Europas, was fast alle Länder der Welt sind) liegen.

Auch dürfen keine Tracker ohne vorige Einwilligung geladen werden egal, ob sie von einem amerikanischen oder einem europäischen Anbieter stammen. Hierzu gehören nach unserer Analyse:

  • INFOnline (die Firma gibt auf Nachfrage keine Auskünfte zur Datenerhebung, es besteht der Grund zur Annahme, dass Tracking vorliegt)
  • Matomo, sofern die Konfiguration nicht einwandfrei ist (bestimmte Konfigurationen erlauben das Nachverfolgen des Nutzers mit Cookies oder über einen unvertretbaren Zeitraum hinweg)

Was ist mit Cookies?

Cookies sind teilweise erlaubt. Dazu gehören funktionale Cookies. Was nicht erlaubt ist, ist das Tracking mit Cookies. Wir empfehlen allerdings, sich nicht über Cookies aufzuregen, sondern einfach die geladenen Tools zu prüfen (siehe oben). Dies ist einfacher und zweifelsfreier.

Übrigens funktionieren die meisten Cookie Banner, die eine Einwilligung abfragen, nicht bzw. sind rechtswidrig. Dies ergab unsere Untersuchung von einigen hundert Webseiten. Das bedeutet: Viele Webseiten zeigen eine Einwilligungsabfrage an. Egal, ob Sie etwas anklicken, zustimmen oder ablehnen, werden aber dennoch Tools ohne Einwilligung geladen, die einer Einwilligung bedürften (siehe Liste oben).

Warum Cookie Consent Lösungen meist nicht funktionieren, zeigt eine thereotische und praktische Untersuchung zu Cookie Popups.

Übrigens ist ein Cookie Popup mit Einwilligungsabfrage rechtswidrig, wenn man öfter klicken muss, um abzulehnen als um einzuwilligen. Auch in solchen Fällen ist eine Beschwerde gerechtfertigt.

Wie eine Beschwerde einreichen?

Eine Beschwerde kann grundsätzlich anonym erfolgen. Halbanonym geht es auch: Namen und Stadt nennen, aber Straßenangabe weglassen.

Ermitteln Sie das Bundesland, in dem das Unternehmen sitzt, gegen das sich Ihre Beschwerde richtet. Bei Webseiten kann das über das Impressum, die Anbieterkennzeichnung herausgefunden werden, die für alle geschäftsmäßigen Webseiten Pflicht ist.

Nutzen Sie entweder das online Formular der Behörde oder schreiben Sie eine Email an die Behörde. Wirkungsvoller ist allerdings folgendes Vorgehen:

  • Schreiben Sie eine Mail an den Datenschutzveantwortlichen des Unternehmens (s.u.)
  • Nehmen Sie die Aufsichtsbehörde in Kopie der Email (also in CC)
  • Benennen Sie die Art des Datenschutzverstoßes. Bei Webseiten wäre die Nennung der Adresse der Webseite (URL) relevant, ebenso die Namen der geladenen Tools und Dateien und der Hinweis, dass diese Tools bzw. Dateien ohne Einwilligung geladen werden
  • Fordern Sie eine Prüfung und Rückmeldung
  • Gibt es nach 6 Wochen keine Lösung und war Ihr Anliegen berechtigt, haken Sie bei der Aufsichtsbehörde nach

Die Mailadresse des Datenschutzveantwortlichen einer Firma ermitteln Sie so:

  • Rufen Sie die Datenschutzerklärung der Webseite der Firma auf
  • Dort kann, muss aber nicht, ein Datenschutzveantwortlicher explizit genannt sein
  • Finden Sie dort keine Mailadresse, nehmen Sie die Mailadresse aus dem Impressum

Das Anschreiben kann formlos und anonym sein. Hier ein Beispiel:

Sehr geehrte Damen und Herren,

auf Ihrer Webseite www.adresse-der-webseite.de liegen anscheinend Datenschutzverstöße vor.
Beispielsweise wird Google Analytics ohne Einwilligung geladen. Ebenso wird Google Maps ohne Einwilligung geladen. Sollten Sie eine sogenannte Cookie Consent Lösung einsetzen, funktioniert diese nicht.
Seit dem EuGH Urteil zum Privacy Shield vom 16.07.2020 sind sogar Datenübertragungen durch IP-Adressen (= personenbezogene Daten) in unsichere Drittländer wie Amerika ohne Einwilligung rechtswidrig.

Ich fordere Sie auf, die Datenschutzverstöße zu prüfen, zu beheben und mir innerhalb von 2 Wochen eine Rückmeldung über die Berichtigung zu geben. Den Datenschutzbeauftragten des Landes habe ich in Kopie gesetzt.

Aufsichtsbehörden: Kontaktdaten

Die zuständige Aufsichtsbehörde für das jeweilige Bundesland finden Sie in dieser Liste:

BundeslandEmailWeb
Baden-Württembergpoststelle@lfd.bwl.deOnline-Formular
Bayernpoststelle@lda.bayern.deOnline-Formular
Berlinmailbox@datenschutz-berlin.deOnline-Formular
Brandenburgpoststelle@lda.brandenburg.deOnline-Formular
Bremenoffice@datenschutz.bremen.deOnline-Formular
Hamburgmailbox@datenschutz.hamburg.deOnline-Formular
Hessenpoststelle@datenschutz.hessen.deOnline-Formular
Mecklenburg-Vorpommerninfo@datenschutz-mv.deOnline-Formular
Niedersachsenpoststelle@lfd.niedersachsen.deOnline-Formular
Nordrhein-Westfalenpoststelle@ldi.nrw.deFormular (PDF)
Rheinland-Pfalzpoststelle@datenschutz.rlp.deOnline-Formular
Saarlandpoststelle@datenschutz.saarland.deOnline-Formular
Sachsensaechsdsb@slt.sachsen.deOnline-Formular
Sachsen-Anhaltpoststelle@lfd.sachsen-anhalt.deOnline-Formular
Schleswig-Holsteinmail@datenschutzzentrum.deOnline-Formular
Thüringenpoststelle@datenschutz.thueringen.deOnline-Formular
Deutsche Aufsichtsbehörden für Datenschutzverstöße

Die genannten Online-Formulare sind für Beschwerden durch betroffene Personen (wie Webseitenbesucher) bei Verstößen gegen Datenschutzgesetze geeignet. Bei Datenpannen, also etwa wegen eines Hacker-Angriffs, gibt es gesondere Möglichkeiten, die hier nicht genannt sind.

Haben Sie Zweifel, ob eine Beschwerde angebracht ist oder nicht, prüfen wir den Fall für Sie gerne kurz. Verwenden Sie dafür unser Kontaktformular:

Übrigens unternehmen wir selbst allergrößte Anstrengungen, um alle Datenschutzregeln einzuhalten. Wir erhielten wenige Male unberechtigte Vorwürfe von Wutbürgern, die meinen, Cookies seien an sich verboten. Auch wird das Urheberrecht manchmal mit dem Datenschutz verwechselt. Einige kennen auch das Prinzip lizenzfreier Bilder nicht und machen unbegründete Vorwürfe.

Haben Sie das Gefühl, auf unserer Internetseite stimmt etwas nicht, schreiben Sie uns bitte ebenfalls. Höfliche Anschreiben bei möglicherweise unbegründeten Vorwürfen erhöhen die Chance einer Antwort!

2020-10-20T11:50:06+02:00