Das Märchen von der rechtssicheren Datenschutzerklärung

Nicht selten liest man von einem Angebot, mit dem eine rechtssichere Datenschutzerklärung erstellt werden könne. Insbesondere Datenschutzgeneratoren bieten dies an. Die Wahrheit: Damit wird Ihre Webseite nicht datenschutzkonform.

Was ist eine rechtssichere Datenschutzerklärung?

Die Aussage, eine Datenschutzerklärung sei rechtssicher, geht am Problem vorbei. Entscheidend ist, dass die Webseite insgesamt rechtssicher ist. Rechtssicher gemäß DSGVO ist eine Webseite nur, wenn zahlreiche Datenschutzvorschriften eingehalten wurden. Die Datenschutzerklärung ist nur ein (im Sinne des Besuchers einer Webseite eher unwichtiger) Bestandteil davon.

Eine Datenschutzerklärung ist nur ein Bestandteil einer Webseite, die den Anspruch erhebt, DSGVO-konform zu sein. Die Datenschutzrichtlinie, wie diese Erklärung auch bezeichnet wird, kann aber erst erstellt werden, nachdem eine Webseite tiefgehend untersucht wurde.

Was ist gemeint, wenn von einer rechtssicheren Datenschutzerklärung gesprochen wird?

Betrachtet man diese Aussage nüchtern, bedeutet sie folgendes:

  • Die Datenschutzerklärung enthält alle notwendigen Formulierungen
  • Ob alle anderen Vorgaben der DSGVO auf der Webseite eingehalten wurden, ist eine ganz andere Frage

Wenn Ihre Webseite beispielsweise Tracking Tools einsetzt oder Cookies von Dritten verwendet, haben Sie ein Problem. Und zwar auch dann, wenn die Datenschutzerklärung angeblich rechtssicher ist. Tracking und nichtfunktionale Drittpartei-Cookies dürfen nur nach voriger Einwilligung durch den Nutzer betrieben werden.

Auch wenn Ihre Datenschutzerklärung nicht ordentlich erreichbar ist, spielt es keine wesentliche Rolle, welchen Inhalt die Datenschutzhinweise haben. Als nicht erreichbar gilt eine solche Seite bereits, wenn sie nicht mit maximal zwei Klicks von jeder Seite der Homepage aus erreichbar ist. Dies gilt auch für Loginseiten für Admins, die öffentlich erreichbar sind. Viele WordPress Homepages oder Typo3 Installationen leiden unter diesem Problem und sind somit nicht datenschutzkonform.

Eine rechtssichere Datenschutzerklärung zu haben und alles andere nicht zu beachten, ist ungefähr so als wenn ein Auto korrekte Nummernschilder besitzt, aber die Abgaswerte und Lärmvorschriften nicht einhält.

Extremer ausgedrückt: Wenn Sie einen Auftragsmörder beauftragen, wird es dadurch nicht besser, dass Sie es dem Opfer gegenüber erklären.

Vertrauen Sie Datenschutztexten nicht

Viele meinen, nur weil ein Anwalt einen Datenschutztext geschrieben hat, wäre er richtig und rechtssicher. Das ist unserer Einschätzung nach Unsinn. Haben Sie jemals einen Datenschutztext gesehen, in dem auf amerikanische Geheimdienste hingewiesen wird? Stand 21.08.2020 haben wir dies noch nicht vernehmen können. Sollte es ab jetzt anders sein, dann vielleicht, weil sich jemand in diesem Artikel aufgeschlaut hat.

Der Cloud Act in Amerika erlaubt amerikanischen Geheimdiensten den Zugriff auf Daten amerikanischer Firmen, wie etwa Google, Facebook oder Apple. Diese Daten enthalten auch Informationen zu deutschen Nutzern. Dies müsste unserer Ansicht nach ganz eindeutig in Datenschutztexten erwähnt werden, wenn Tools amerikanischer Anbieter auf einer Webseite eingesetzt werden. Betroffen sind beispielsweise:

  • Google Analytics
  • Google Maps
  • Google Schriften (vom Google Server geladen)
  • Google AdWords Conversion Script
  • YouTube Videos
  • Vimeo Videos
  • Facebook Pixel
  • Facebook Connect
  • Twitter Plugin
  • Instagram Plugin
  • Pinterest Plugin
  • Adobe Analytics

Die Liste ist bei weitem nicht vollständig und stellt nur eine Auswahl populärer Tools dar.

Auch vor dem Wegfall des Privacy Shield zwischen EU und USA galt der Cloud Act schon und war wirksam anwendbar! Dennoch konnten wir hierzu in Datenschutztexten, insbesondere in denen von Datenschutzgeneratoren, keine Hinweise finden.

Schauen Sie doch einmal auf Webseiten mit sogenannten Cookie Consent Lösungen, ob über die Anbieter dieser sogenannten Lösungen in der Datenschutzerklärung der Webseite aufgeklärt wird. Schließlich wird die IP-Adresse aller Besucher der Webseiten u.a. nach Dänemark oder in die Niederlande übertragen. Ggfs. bleiben die Daten auch in Deutschland, was aber beim Transfer an Dritte nicht von der Deklarierung befreit (außer, ein AV-Vertrag o.ä. mit dem Anbieter ist vorhanden).

Cookie Banner sind keine Lösung

Folgen Sie nicht der Empfehlung, einfach eine sogenannte Cookie Consent Lösung einzubinden. Dies führt regelmäßig zu rechtswidrigen Webseiten, weil derartige Cookie Blocker einfach nicht so funktionieren, wie es viele Werbeaussagen glauben machen wollen.

Erfahren Sie in einem illustrierten Artikel mit ausführlichen Untersuchung, warum Cookie Popups der falsche Ansatz sind. Der Hauptgrund, warum die suggerierten Cookie Consent Lösungen keine Lösungen, sondern Problembringer sind, ist folgender:

  • Das Cookie Consent Script wird als erstes auf jeder Unnterseite der Webseite eingebunden
  • Dieses Script soll nun alle gefährlichen Tracker und Cookies blockieren, bis der Nutzer eine Einwilligung dafür erteilt hat
  • Moderne Browser wie Firefox, Opera, Chrome oder Microsoft Edge laden aber mehrere Scripte nahezu gleichzeitig
  • Bevor das Consent Script fertig geladen wurde, begann bereits der Ladevorgang für Tracker, für die noch gar keine Einwilligung erteilt wurde

Die Folge beim Einsatz von Cookie Blockern ist oft eine verschlimmbesserte Webseite. Dies verraten die Anbieter solcher Lösungen aber nicht gerne, sondern erst auf Nachfrage oder, wenn man deren Webseite ganz genau liest. Ein uns bekannter Fall hat zutage gefördert, dasss ein Anbieter eine ausführliche Anleitung in englischer Sprache hinter einen schwer auffindbaren Link versteckt hat. Diese Anleitung offenbart, was für den Verkauf von Cookie Lösungen schädlich wäre: Dass diese nämlich ohne größeren Aufwand im Allgemeinen nicht funktionieren.

Das Problem mit der Einwilligung

Selbst, wenn Sie es technisch hinbekommen haben, eine Einwilligungslösung zu realisieren, die wirkungsvoll Tracker blockiert, sind die Vorgaben der DSGVO noch lange nicht erfüllt.

Für eine rechtssichere Einwilligung müssen mindestens folgende Punkte erfüllt sein:

  • Vorige Einwilligung: Bevor Scripte geladen werden
  • Aktiv: Nutzer muss genauso leicht ablehnen können wie annehmen. Psychologisch gewählte Farben und Positionen von Buttons sind nicht erlaubt
  • Informiert: Alle (alle!) relevanten Datenverarbeitungsvorgänge müssen erklärt werden
  • Verständlich: Der Nutzer muss Ihren Einwilligungstexte verstehen
  • Vollständig: Alles muss erklärt werden, was zu erklären ist.

Wissen Sie, welche Daten Google Analytics wie verarbeitet und an wen weitergibt? Falls nein, dann können Sie keine Einwilligung für Google Analytics einholen. Falls ja, melden Sie sich bitte bei uns, wir wüssten es gerne.

Weitere Anforderungen an Webseiten

Neben Datenschutzerklärung und Einwilligungsabfrage gibt es zahlreiche weitere, mindestens genauso wichtige Anforderungen der DSGVO an Ihre Webseite. Erst wenn all diese erfüllt sind, kann über den Begriff Rechtssicherheit nachgedacht werden:

  • Korrekte Erreichbarkeit der Datenschutzerklärung
  • Cookie-Liste mit aussagekräftigen Zwecken (technische Zwecke, die keiner versteht, sind nicht ausreichend)
  • Newsletter mit Double-Opt In
  • Kontaktformulare mit einer angemessenen Anzahl an Pflichtfeldern
  • Durchgängiges SSL-Zertifikat inkl. vertrauenswürdiger Ausgabestelle und genügend hoher Verschlüsselung
  • Keine externen Dateien (Bilder, Videos, Scripte, Siegel etc.), außer von Dienstleistern, mit denen Sie einschlägige Verträge zum Schutz der Daten Ihrer Kunden geschlossen haben

Empfehlung

Vermeiden Sie alle einwilligungspflichtigen Tools und Scripte. Dann benötigen Sie keinen Cookie Blocker mehr, der sowieso meist nicht rechtssicher betrieben werden kann oder wenn, dann eine ganz erhebliche Arbeit für Sie bedeutet würde. Zudem müssten Sie die Einwilligungstexte überarbeiten, da die Standardtexte der Einwilligungbanner unserer Ansicht nach als ungenügend bezeichnet werden können.

Bevor Sie an eine Datenschutzerklärung denken, führen Sie einen Scan Ihrer Webseite durch. Ihr Anwalt kann das nicht? Kein Wunder, er ist der falsche für diesen Job (unsere Meinung). Wir bringen unser Auto zur Reparatur lieber in die Profi-Werkstatt als zum Verkehrsrechtsanwalt. Und Sie?

Einen online Webseiten Scan mit sofortiger Ergebnisanzeige können Sie hier durchführen:

Nach einem vollständigen Scan ergibt sich die Datenschutzerklärung ganz automatisch. Falls Sie eine Checkliste oder einen Fragebogen ausfüllen müssen, merken Sie, dass Sie auf dem falschen Weg sind (unserer Einschätzung nach, denn bei uns brauchen Sie keinen Fragenbogen und keine Checkliste ausfüllen).

2020-09-07T10:14:51+02:00