Warum Datenschutzgeneratoren unsicher sind

Viele Webseitenbetreiber überlegen, ob sie wegen der Datenschutzgrundverordnung einen Datenschutzgenerator verwenden sollen. Das ist besser also nichts, sorgt aber nicht für Datenschutzsicherheit.

Das versprechen Anbieter von Datenschutzgeneratoren

Oft liest man Sätze wie: „Wir haften natürlich für unsere Rechtstexte“. Das ist aber nur die halbe Wahrheit: Die Texte an sich sind nicht das Problem. Vielmehr muss man wissen, welche Texte überhaupt zu verwenden sind. Das leisten Datenschutzgeneratoren nicht wirklich (s.u.). Die Frage nach eingesetzten Tools und deren Konfiguration kann nur ein Superuser beantworten, der den ganzen Tag nichts anderes macht, als seine Webseite zu betreuen. Aber genau das verlangt ein Datenschutzgenerator!

Nicht wirklich Nutzer-freundlich!

So funktioniert ein Datenschutzgenerator

Wichtiger Bestandteil ist eine Checkliste. Sie müssen diverse Fragen zu Ihrer Webseite beantworten, beispielsweise ob Sie Videos einsetzen, welche Tracker Sie nutzen und welche Scripte Sie auf Ihrer Internetseite einbinden.

Nach Beantworten zahlreicher Fragen dieser Art erhalten Sie einen generierten Text. Oft erhalten Sie die Möglichkeit, Zusatzinformationen anzugeben, die in Formularform abgefragt werden. Auch diese Zusatzinformationen, wie die Angabe Ihres Datenschutzbeauftragten, landen in der generierten Datenschutzerklärung. Das immerhin schafft ein Textgenerator.

Die Probleme mit Datenschutzgeneratoren

Problem 1: Ausfüllen der Checkliste

Checkliste klingt erst mal gut. Jedoch weiß so gut wie kein Betreiber einer Webseite, was im tiefsten Inneren dieses komplexen Konstruktes namens Webseite so alles vor sich geht. Selbst Webmaster, die Internetpräsenzen erstellen, wundern sich oft, welche Ressourcen nachgeladen werden. WordPress und seine Plugins beispielsweise laden oft externe Schriften nach, ohne dass dies dem Ersteller der Webseite bewusst ist.

Das Ausfüllen einer Checkliste ist eher einem Glücksspiel gleichzusetzen

Stellen Sie sich vor, Sie sollten beschreiben, wie Ihr Auto arbeitet und aus welchen Teilen es besteht. Das gelingt heutzutage selbst kaum einem Mechaniker.

Viele Scripte laden zudem Drittscripte nach, von denen Sie noch nie etwas gehört haben. Alleine YouTube Videos, wenn sie standardmäßig eingebunden werden, laden das DoubleClick Netzwerk nach. Dies dürfte den wenigsten bekannt sein.

Was man nicht weiß, kann man auch nicht angeben. Und so ist das Ergebnis der Befragung unvollständig. Heißt auch, dass die Datenschutzerklärung potentiell unvollständig ist, was der Datenschutzgrundverordnung widerspricht.

Problem 2: Kontaktformulare

Für Kontaktformulare gelten strenge Regeln, die man mit einem Generator nicht abwickeln kann. Hier die wichtigsten dieser Regeln für Formulare:

  • Datenminimierung: Reduzieren der Musseingabefelder auf das minimal Nötige
  • Abfrage Einwilligung
  • Erklärung Widerrufsrecht
  • Erwähnung und Verlinkung Datenschutzrichtlinie

Ein Datenschutzgenerator kann zwar Hinweise geben, sagt aber nicht, welche Formulare überhaupt betroffen sind.

Hier ein Beispiel für ein Formular, auf dem alles falsch gemacht wurde, was man falsch machen kann:

Formular mit zahlreichen Datenschutzfehlern

Stellen Sie sich vor, dieses Formular befindet sich auf Seite 53 Ihrer Webseite, also irgendwo ganz weit hinten. Hätten Sie es gefunden?

Oft gibt es Formulare, die dem Webseitenbetreiber nicht bekannt sind. Ein Beispiel hierfür sind Kommentarfelder in Blog-Artikeln.

Problem 3: Erreichbarkeit Datenschutzerklärung

Betrifft in gleicher Weise auch das Impressum:

Die Datenschutzrichtlinie muss von jeder Seite der Internetpräsenz aus mit maximal zwei Klicks erreichbar sein.

Dies gilt sowohl für die Desktop-Ansicht als auch für Smartphones, Tablets und Notebooks. Viele Webseiten sind responsiv und erfordern bei Smartphones einen Klick mehr. Sind es mehr als zwei Klicks, gilt die Datenschutzerklärung als nicht erreichbar.

Hier ein Beispiel für einen Link, der als nicht erreichbar gilt:

Link zur Datenschutzerklärung ist verdeckt (roter Kringel)

Verdeckt ein Cookie Banner den Link zur Datenschutzerklärung, gilt diese ebenfalls als nicht erreichbar. Dies kann kein Generator prüfen.

Problem 4: Tracker und Analysewerkzeuge

Viele wissen nicht, dass auf ihrer Webseite überhaupt Tracker vorhanden sind. Die meisten werten die von Google Analytics, Matomo oder etracker gesammelten Daten überhaupt nicht aus. Besser wäre es, solche Tracker zu entfernen. Das kann man aber nur im Beratungsgespräch klären.

Das Prolem mit vielen Analyse-Tools, die wie Google Analytics oder wie der Facebook Pixel arbeiten und den Nutzer über viele Webseiten hinweg verfolgen: Sie dürfen ohne vorige Einwilligung durch den Nutzer nicht verwendet werden. Vergleiche hierzu das Urteil des Europäischen Gerichtshofs.

Bei Google Analytics kommt noch hinzu, dass es richtig konfiguriert sein muss. Ansonsten dürfen sogar Privatpersonen eine Unterlassungserklärung vom Betreiber der Webseite fordern. Siehe hierzu das Urteil des Landgerichts Dresden aus dem Jahr 2019.

Problem 5: Videos

Betrifft insbesondere YouTube-Videos und Vimeo-Videos.

Diese Videos dürfen nicht einfach so über den Standard Einbettungscode eingebunden werden, so merkwürdig das klingt. Das Problem ist, dass die Standardeinbindung nicht DSGVO-konform ist.

Eingebundene Videos sind ein häufiger Grund für Datenschutzprobleme

Ein Generator weiß nicht, auf welchen Seiten Ihrer Homepage Sie ein Video einbinden. Und Sie wissen es auch nicht sicher, außer, Ihre Webseite ist wirklich klein. Abgesehen davon wissen Sie wahrscheinlich nicht, wie man diese Videos korrekt einbindet oder wie man erkennt, ob sie korrekt eingebunden sind.

Problem 6: Rechtsversprechen

Das Versprechen, dass der Anbieter eines Generators für die (generierten) Texte der Datenschutzerklärung haftet, ist wenig wert. Der Anwender selbst ist veantwortlich für alles andere inkl. Herausfinden, welche Texte benötigt werden und Konfiguration der Webseite an sich.

Es hilft wenig, wenn man wegen eines fehlenden Rechtstextes abgemahnt wird, wenn alle vorhandenen Texte in Ordnung sind.

Fazit

Ein Datenschutzgenerator sorgt nicht für Rechtssicherheit. Um eine Datenschutzerklärung zu erstellen, muss zunächst ein möglichst umfassender Scan Ihrer Webseite durchgeführt werden. Dies geht am besten mit Hilfe einer Roboter-Software (Analysewerkzeug).

Lesen Sie hier unsere Studie zu den häufigsten Datenschutzproblemen auf Webseiten:

Über 50000 untersuchte Webseiten

Für hohe Datensicherheit müssen zusätzliche Prüfungen durchgeführt werden, beispielsweise zu Analytics, zur Erreichbarkeit von Impressum und Datenschutzerklärung oder zu Kontaktformularen. Erst dann kann die Datenschutzerklärung aufgestellt und die Webseite abgesichert werden.

Wir empfehlen deshalb auch keine Impressumsgeneratoren, sondern prüfen im Rahmen unseres günstigen Services Ihr Impressum persönlich. Fehlende Pflichtangaben können so schnell identifiziert werden. Zusätzlich helfen wir Ihnen, schädliche Angaben zu entfernen, beispielsweise den sogenannten schädlichen Disclaimer. Dies ist ein Haftungsausschluss, der erstens ungültig und zweitens nachteilig ist.

Für Agenturen, die mehrere Webseiten betreuen, bieten wir attraktive Möglichkeiten.

2019-09-27T13:46:21+02:00