Die größten Datenschutz-Missverständnisse im Internet

Insbesondere wenn es um Datenschutzregeln auf Webseiten geht, existieren zahlreiche Falschinformationen. Viele davon basieren auf fragwürdigen Geschäftsmodellen.

Einleitung

Die Datenschutzgrundverordnung gilt seit dem 25.05.2018. Seitdem gibt es einige Aufregung, was die Einhaltung der DSGVO auf Webseiten anbelangt. Dabei ist sie überwiegend unbegründet bzw. hängt nicht mit der DSGVO zusammen. Die Liste der Missverständnisse verrät, warum.

Die größten DSGVO-Missverständnisse im Internet

Missverständnis 1: Die DSGVO ist an allem Schuld

Jeder dachte, die Welt geht am 25.05.2018 unter, an dem Tag, als die DSGVO tatsächlich in Kraft trat. Das vorige Bundesdatenschutzgesetz wurde ungültig. Für Webseiten bedeutete dies für viele, dass nichts mehr erlaubt sei. Insbesondere die Datenschutzerklärung wurde nun wichtig.

Bereits seit 2017 gelten IP-Adressen also personenbezogene Daten. Dies wurde in Urteilen des EuGH und des BGH höchstrichterlich entschieden. 2017 war vor der DSGVO. Es war also schon damals nicht einfach so erlaubt, Tools von Google auf seiner Webseite einzubinden, denn dabei wird die besagte IP-Adresse (Netzwerkadresse) der Besucher der Webseite an Google übertragen. Das gilt natürlich analog für alle anderen Anbieter von Tools, wie etwa Facebook, Pinterest, Twitter, Vimeo, YouTube, Fonts.com oder auch eTracker, um nur einige zu nennen.

Die DSGVO war also gar nicht der Grund dafür, dass zahlreiche Webseiten (auch heute noch, im Jahre 2020) gegen Datenschutzrichtlinien verstoßen.

Missverständnis 2: Die rechtssichere Datenschutzerklärung

Viele reden fast nur von der Datenschutzerklärung, wenn Sie meinen, dass eine Webseite DSGVO-konform werden soll. Dies ist absoluter Unsinn und Zeichen von Inkompetenz, sofern dies von einem Datenschutz-Dienstleister (DSB oder Anwalt) so verlautbart wird.

Weil das Missverständnis so oft vorkommt, haben wir dafür einen eigenen Beitrag erstellt: Das Märchen von der rechtssicheren Datenschutzerklärung.

Kurzfassung: Die Datenschutzerklärung ist ein Abfallprodukt nach genauer Betrachtung aller Datenschutzvorgänge auf einer Webseite. Die auf der Webseite verwendeten Tools, wie Karten, Schriften oder Tracker sind aus unserer Sicht viel wichtiger und kritischer als die Erklärung dazu.

Um es ganz plastisch auszudrücken: Wenn Sie einen Auftragsmörder beauftragen, wird es nicht dadurch gesetzmäßig, dass Sie dies Ihrem Opfer gegenüber erkären.

Missverständnis 3: Mit Verträgen kann man jedes Tool legitimieren

Oft ist folgende Situation anzutreffen:

  • Jemand setzt ein Tool ein, beispielsweise Zoom oder Vimeo Videos
  • Derjenige möchte es unbedingt einsetzen, also wischt er alle Bedenken Beiseite und sucht nach einer – in unseren Augen – fadenscheinigen Begründung, warum dieses Tool ohne Einwilligung erlaubt ist

Für Zoom etwa wurde nicht selten behauptet, dass das Tool rechtskonform einsetzbar sei, weil es ja jetzt einen Vertrag mit Zoom gäbe, der dies regele. Dabei wird oft absichtlich vergessen, dass der Cloud Act in Amerika dem amerikanischen Geheimdienst den Zugriff auf Daten amerikanischer Firmen mit deutschen Kunden erlaubt. Dies ist generell nicht mit der DSGVO vereinbar und kann nur durch eine sehr weitreichende Einwilligung des deutschen Nutzers legimitiert werden.

Missverständnis 4: Anwälte können Webseiten rechtssicher machen

Anwälte genießen bei einem Teil der Bvölkerung einen sehr guten Ruf und bei einem anderen Teil einer eher schlechten Ruf. Jedenfalls kann man wohl allgemein behaupten, dass die meisten Anwälte wenig bis keine Ahnung von technischen Sachverhalten haben, die auf einer Webseite eine Rolle spielen.

Daher berufen sich Anwälte oft auf Missverständnis 2 (die rechtssichere Datenschutzerklärung). Wenn Sie einen Anwalt Ihre Webseite DSGVO-konform machen lassen wollen, passiert folgendes:

  • Der Anwalt legt Ihnen einen Fragenkatalog vor, den Sie beantworten müssen (siehe hierzu Missverständnis 6: Webseitenbetreiber wissen, was auf ihrer Webseite los ist)
  • Der Anwalt legt Ihrem Dienstleister, der Ihre Webseite betreut, einen Fragenkatalog vor, den dieser beantworten muss (auch hier gilt Missverständnis 6)
  • Der Anwalt gibt Ihnen Empfehlungen aufgrund der von Ihnen erhaltenen Auskünfte und erstellt eine Datenschutzerklärung (siehe hierzu Missverständnis 5: Anwälte können Datenschutzerklärungen erstellen)

Wie Anwälte herausfinden wollen, ob von jeder Unterseite einer Webseite die Datenschutzerklärung korrekt verlinkt ist, bleibt bis heute ein Rätsel.

Wenn Sie Ihr Auto reparieren lassen möchten, wohin bringen Sie es? Zum Verkehrsrechtsanwalt oder in die Profi-Werkstatt? Fragt Sie die Profi-Werkstatt, was genau repariert werden soll oder erwarten Sie, dass die Werkstatt das selber rausfindet?

Missverständnis 5: Anwälte können Datenschutzerklärungen erstellen

Ein Anwalt muss eine Datenschutzerklärung erstellen können, weil es ein Rechtstext ist. Das denken viele. Wer einen Rechtstext erstellen soll, sollte aber am besten fachlich über das Bescheid wissen, worum es in dem Rechtstext geht. Dass dies bei Datenschutzerklärungen oft nicht der Fall ist, lässt sich leicht zeigen:

Haben Sie in irgendeiner Datenschutzerklärung für eine Webseite, die Tools amerikanischer Anbieter einsetzt, schon einmal gelesen, dass amerikanische Geheimdienste wegen des Cloud Act Zugriff auf Ihre Daten haben können? Diese Information dürften die meisten Personen als ausgesprochen relevant einstufen, zumindest, wenn sie einmal vorhaben, nach Amerika zu reisen. Wer Webseiten besucht, die Amerika-kritisch sind, könnten am Zielflughafen evtl. ein Problem bekommen. Hier nur ein Drittbeitrag zum Nachdenken, der das Thema etwas weiter beleuchtet.

Missverständnis 6: Webseitenbetreiber wissen, welche Tools sie einsetzen

In vielen Datenschutzerklärungen ist zu lesen: Wir erheben keine personenbezogenen Daten. Diese Aussage ist seit 2017 grundsätzlich immer falsch, da IP-Adressen personenbezogene Daten sind. Bei jedem Aufruf einer Webseite findet also eine Erhebung personenbezogener Daten statt.

Weiter geht es mit der Einschätzung vieler, die meinen zu wissen, welche Tools sie einsetzen. Analysiert man deren Webseiten genauer, ist in weit mehr als 90% der Fälle die Überraschung vorprogrammiert.

Testen Sie es doch auf die Schnelle einmal selbst:

Siehe auch Missverständnis 12: Unsere Webseite ist sicher

Missverständnis 7: Datentransfer innerhalb Europa ist erlaubt

Wer Tools europäischer oder deutscher Anbieter einsetzt, macht nichts falsch. Das denken manche. Richtig ist: Ist ein Tool nicht mit dem berechtigten Interesse oder einer Gesetzesgrundlage zu rechtfertigen, ist eine Einwilligung vor Nutzung des Tools erforderlich. Die Einwilligung muss der Besucher der Webseite geben.

Missverständnis 8: Cookies sind böse

Zu Cookies gibt es gleich zwei Missverständnisse, die hier zusammengefasst sind, aber getrennt betrachtet werden.

Aussage a: Cookies sind an sich böse

Richtig ist: Technische notwendige Cookies sind unkritisch und sind nicht böse. Sie müssen auch nicht abwählbar sein.

Ausage b: Nur für Cookies bedarf es einer Einwilligung

Richtig ist: Für Cookies Dritter (Drittpartei-Cookies) bedarf es gemäß Lesart des EuGh-Urteils zu planet49 vom 01.10.2019 einer Einwilligung, die zahlreichen Anforderungen genügen muss.

Außerdem Bedarf es einer Einwilligung, wenn Tracking betrieben wird, egal ob mit oder ohne Cookies. Tracking ist das potentielle Analysieren des Nutzers über eine Webseite hinweg oder über eine Sitzung hinweg. Eine Sitzung ist ein Aufruf einer Webseite, bis man diese oder den Browser wieder schließt.

Missverständnis 9: Erst seit dem Urteil des EuGH gilt dies und jenes

Gesetze sind eher abstrakte Vorgaben, deren Auslegung sich in der Praxis mit der Zeit herauskristallisiert. Urteile interpretieren Gesetze und sagen, was nach Meinung des Gerichts die Interpretation des Gesetzes ist.

Hat der BGH ein Urteil gefällt, gilt es für Deutschland ohne weitere Diskussion. Sofern nicht im Einzelfall der EuGH als höhere Instanz zulässig ist, ist das Urteil endgültig bindend. Nicht selten wird vom BGH eine Rechtssache an den EuGH weitergegeben mit der Bitte um Hilfestellung bei der Wahrheitsfindung. Der EuGH fällt dann ein Urteil, in dem die Fragen des BGH beantwortet werden und leitet es an den BGH zurück. Dieser wird, das kann jeder gesunde Menschenverstand leicht erkennen, meist dem Urteil des EuGH folgen.

Gesetze gelten ab Inkrafttreten und nicht erst, nachdem ein Urteil Klarheit gebracht hat, wie ein Gesetz auszulegen ist.

Missverständnis 10: Das war jetzt aber überraschend, was der EuGH entschieden hat

In den Medien liest es sich eben besser, wenn man so tut, als wäre es eine riesengroße Überraschung gewesen, dass der EuGH entschieden hat, was er entschieden hat. Beispiele:

  • Cookie Urteil
  • Privacy Shield Urteil
  • Safe Harbor Urteil

Wer nur ein wenig nachdenkt, wird schnell zum Schluss kommen, dass der EuGH selbstverständlich immer im Sinne der Privatpersonen als Dateninhaber ihrer eigenen Daten entscheidet und nur in sehr engen Grenzen Abweichungen von Datenschutzrichtlinien zulässt, die die Rechte von Privatpersonen an ihren eigenen Daten stärken.

Missverständnis 11: Webseiten-Checks sind einfach

Hierzu gibt es zwei häufigere Aussagen von Dienstleistern, die sich in Sachen Datenschutz versuchen wollen.

Aussage a: Es gibt genügend freie Tools, mit denen man Webseiten prüfen kann.

Richtig ist: Diese freien Tools sind entweder nicht professionell oder nicht dafür gemacht, Datenschutzprobleme auf Webseiten zu erkennen und zu lösen. Kostenlos heißt immer, dass die Qualität nicht gesichert ist. Wie kombininiert man eigentlich die Ergebnisse von drei Tools, die sich teils widersprechen? Wer bezahlt eigentlich die Zeit, die das umständliche Nutzen eines bunten Straußes an Tools kostet?

Aussage b: Wir denken darüber nach, selber ein Website Check Tool zu entwickeln.

Richtig ist: Das wird nicht in endlicher Zeit gelingen. Vorher ist entweder Ihr Budget erschöpft oder Ihre Geduld. Vielleicht fehlt Ihnen auch einfach das nötige Fachwissen aus den Gebieten IT und Datenschutz dazu.

Schauen Sie doch mal, ob Sie die erste Stufe hinbekommen. Ein Online-Tool, welches zuverlässig Datenschutzbefunde liefert und mit allen möglichen Arten von unterschiedlichsten Webseiten klarkommt:

Ist das gelungen, denken Sie darüber nach, wie Sie eine Lösung für all die gefundene Probleme liefern. Hier sehen Sie einen Beispiel-Datenschutzbericht, an dem die Komplexität des Vorhabens erahnt werden kann.

Missverständnis 12: Unsere Webseite ist sicher

Wir oder unser Datenschutzbeauftragter oder unser Anwalt hat gesagt, dass unsere Webseite datenschutzkonform ist.

Weil viel Zeit oder Geld investiert wurde, muss die Webseite sicher sein. Es gibt keine andere Möglichkeit. Wofür sonst hätte der Anwalt eine solch hohe Rechnung gestellt?

Richtig ist: Ihre Webseite ist mit einer Wahrscheinlichkeit von weit über 90% nicht DGVO-konform und bietet die Angriffsfläche für Abmahnungen oder Unterlassungserklärungen und oft auch für Sanktionen durch Aufsichtsbehörden. Wir wollen hier nicht noch einmal auf unseren Online Check hinweisen. Wenn Sie wenige Euro ausgeben wollen und Datenschutz ernst nehmen, schauen Sie sich doch einmal unseren Volkstarif für Webseiten an.

Leider wird gelegentlich von mamchen Dienstleistern die Realität verweigert, weil diese ihre Arbeit nicht richtig gemacht haben. Ein guter Dienstleister wird Ihnen sagen, wenn etwas dessen Kompetenzen überschreitet und Sie lieber einen Experten hinzuziehen sollten.

Missverständnis 14: Cookie Consent Popups sind die Lösung aller Probleme

Ein Cookie Popup hat sicher jeder schon einmal gesehen. Es sind entweder Hinweise oder Zustimmungsabfragen. Hinweise auf Cookies sind unserer Ansicht nach unsinnig. Sich auf das Informationsgebot bei Datenerhebung zu berufen klammert aus, dass bereits IP-Adressen diesem Gebot zuzuordnen wären.

Was Popups angeht, die eine Einwilligung abfragen, bevor böse Tools wie Google Analytics geladen werden: Hier müssen wir Sie enttäuschen. Diese Tools funktionieren nicht, jedenfalls nicht ohne immensen Aufwand Ihrerseits. Viele Anbieter dieser sogenannten Cookie Lösungen suggerieren Ihnen nur, dass Sie keinen Aufwand haben und durch Einbinden eines magischen Cookie-Scripts eine rechtssichere Webseite erhalten. Das ist absoluter Unsinn.

In einer ausführlichen Untersuchung zu Cookie Consent Lösungen finden Sie sowohl thereotische als auch praktische Beweise, warum diese Cookie Blocker die Webseiten meist verunstalten anstatt sie rechtssicherer zu machen.

Missverständnis 15: Einwilligungsabfragen sind rechtssicher

Angenommen, Ihnen gelingt eine technisch funktionierende Einwilligungsabfrage (siehe hierzu auch voriges Missverständnis). Dann ist Rechtssicherheit leider immer noch in weiter Ferne. Für Google Analytics können Sie quasi keine rechtssichere Einwilligung abfragen. Dazu müssten Sie selber erst einmal wissen, wie Google mit den Daten Ihrer Nutzer umgeht.

Zweiter Punkt: Eine Einwilligungsabfrage muss zahlreiche Bedingungen erfüllen, damit sie als wirksam und somit rechtssicher gelten kann. Hierzu zählen die vorige, informierte, aktive, selektive und unbeeinflusste Entscheidung des Nutzers. Alleine das psychologisch günstigere Darstellen des Zustimmen-Buttons gegenüber dem Ablehnen-Button würde zu einer angreifbaren Einwilligungsabfrage führen.

Missverständnis 16: Wir brauchen dieses Tool unbedingt

Viele meinen, Sie brauchen Google Maps unbedingt auf ihrer Webseite. Warum eigentlich? Für die Planung einer Anfahrt reicht ein Button, der in einem neuen Fenster, außerhalb Ihrer Zuständigkeit, eine Karte anzeigt und die Zieladresse vorbelegt.

Wer, bitte schön, möchte denn beim Besuchen Ihrer Webseite unbedingt Ihren Firmenstandort auf einer eher abstrakten Karte sehen?

Noch krasser verhält es sich mit Google Analytics: So gut wie kein einziges kleines oder mittelständisches Unternehmen erreicht mit Google Analytics mehr Umsatz. Für die Messung des Besucherstroms gibt es unkritischere Alternativen. Und zu AdWords, einer an sich nicht besonders gut konvertierenden Werbeform, trägt Google Analytics nicht wirklich viel bei.

Was ist der Nutzen von auf einer Webseite eingebetteten Videos, die zudem auf einem PC Bildschirm mickrig dargestellt werden? Gerne beraten wir unsere Kunden bezüglich des Nutzens einzelner Tools und zu Alternativen. Entscheiden Sie dann selbst, ob der Nutzen das rechtliche Risiko übertrifft.

Missverständnis 17: Der Datenschutzgenerator

Der größte Fluch der Neuzeit sind Datenschutzgeneratoren, eine Idee geboren, um möglichst viele Backlinks einzusammeln. Es klingt so einfach: Sie beantworten eine ganze Reihe von Fragen und am Ende kommt die angeblich fertige Datenschutzerklärung heraus. Diese binden Sie auf Ihrer Webseite ein und sie ist rechtssicher.

Problem 1: Sie wissen nicht, welche Tools auf Ihrer Webseite eingesetzt werden. Siehe auch Missverständnis 6: Webseiten-Betreiber wissen, welche Tools sie auf ihrer Webseite einsetzen.

Problem 2: Es gibt zig tausend Tools. Wie soll ein Generator diese mit wenigen Fragen erfassen können?

Problem 3: Datenschutzregeln fordern weit mehr als nur eine Datenschutzerklärung. Siehe auch Missverständnis 2: Die rechtssichere Datenschutzerklärung.

Problem 4: Anwälte sind nicht unbedingt prädestiniert, um für technische Objekte wie Webseiten Rechtstexte zu erstellen. Siehe auch Missverständnis 4: Anwälte können Webseiten rechtssicher machen.

Weil Datenschutzgeneratoren so ein Blendwerk sind, haben wir diesem Phänomen einen eigenen Artikel gewidmet.

Schlussfolgerung

Datenschutz auf Webseiten gelingt nur, wenn ein Experten sich darum kümmert. Nutzen Sie unser Tool um zu sehen, ob zumindest grundlegend alles auf Ihrer Webseite passt. Behauptet Ihre Agentur oder Ihr DSB, dass die mit dem Tool gefundenen Verstöße keine seien, lesen Sie Missverständnis 12. Noch besser: Bitten Sie Ihren Dienstleister um eine Bestätigung, dass er für Ihre Webseite gerade steht. So finden Sie ganz schnell heraus, wie ernst dessen Aussagen in Wirlichkeit sind.

PS: Zwischen Missverständnis 12 und 14 fehlt eine Nummer, genauso wie in vielen Hotels, die die Zimmernummer 13 nicht vergeben.

2020-08-28T21:39:14+02:00