Lesezeit: 6 Minuten

Die Umsetzung der DGSVO im Praxistest

Wir verwenden Cookies. Diese Meldung findet sich auf vielen Websites. Als Nutzer, der schnell Informationen benötigt, hat man oft nicht die Zeit, sich näher mit dem Hinweis zu beschäftigen. In einem Zusatz heißt es ohnehin meist, dass man sich mit dem weiteren Besuch der Website mit dem Einsatz von Cookies einverstanden erklärt. Alternativ hat man die Möglichkeit auf den Button "Datenschutz" oder "Mehr erfahren" zu klicken oder zu touchen.

Cookie-Hinweis Haus der Kunst München als Negativbeispiel
Rudimentärer Cookie-Hinweis

Mühselige Informationsbeschaffung

Mit dieser Wahl erhält man meist jede Menge Lesestoff. Und mit dem Lesen allein ist es oft gar nicht getan. Ist man mit den dort hinterlegten Konditionen der Website-Nutzung nicht einverstanden, muss man über Opt-out-Links den eingebundenen Diensten widersprechen - und zwar jedem einzeln. Meistens aber kann man mit den genannten Unternehmensbezeichnungen wie HubSpot, Adobe Cloud Front oder crazyegg nichts anfangen. Also ist weitere Recherche angesagt. Wer macht das schon?
Man erklärt sich gezwungenermaßen einverstanden und bleibt im Unklaren darüber, welche seiner Daten wohin übermittelt werden und zu welchem Zweck.

Trotzdem oder besser gesagt, gerade deswegen, ist ein Streifzug durch die Datenschutzerklärungen großer Unternehmen und Institutionen eine interessante Angelegenheit. Dabei wird einem deutlich vor Augen geführt, wie verschieden Daten- und Privatsphäreschutz ausgelegt werden. Selbst die seit knapp einem Jahr geltende DGSVO scheint noch genügend Spielraum zu lassen zwischen der Informationspflicht darüber, in welcher Weise Datenspeicherung erfolgt und einem, die Privatsphäre der Besucher respektierenden Idealzustand.

Anspruch und Wirklichkeit

Den digitalpolitischen Zielen nach sollte ein weitgehender Privatsphäreschutz längst Standard sein. Bereits in den Neunzigerjahren wurden für Software-Gestaltung die Konventionen Privacy by default und Privacy by design verfasst. Gemeint ist damit, dass Geräte und Programme durch ihre technische Gestaltung optimal datenschutzfreundlich voreingestellt sein müssen. Das heißt, dass jeder Anwender, also auch der technisch weniger versierte, sich der Einhaltung technischer Sicherheitsstandards gewiss sein können muss. Darüber hinaus muss ihm transparent sein, welche seiner Daten zur Nutzung benötigt werden.

Zusätzlich zu den Standards der datensicheren Produktentwicklung hat die DGSVO in Artikel 5 die Prinzipien Datenvermeidung und Datensparsamkeit festgeschrieben. Danach sollten nur diejenigen persönlichen Daten abgefragt werden, die für den jeweiligen Zweck benötigt werden.
Für den Versand von Newslettern beispielsweise genügt folglich der Name und die Email-Adresse. Entsprechend sollte auch das Eingabeformular gestaltet sein. Darüber hinaus gehende Abfragen in als freiwillige Angaben gekennzeichneten Feldern, sind so verwirrend wie unnötig. Formulare mit Zusatzfeldern sind daher nicht als datenschutzfreundlich voreingestellt zu bezeichnen.

Newsletter-Formular der Therme Erding als Negativbeispiel
Newsletter-Formular mit überflüssigen Feldern

Newsletter-Anmeldung mit Bedacht

Der Blick in die Datenschutzerklärungen zeigt, dass längst nicht jedes Unternehmen darüber aufklärt, welchen Newsletter-Anbieter es einsetzt. Dabei ist diese Information durchaus von Interesse bei der Entscheidung für eine Newsletter-Anmeldung.
Nicht wenige Firmen versenden ihre Newsletter mit den US-amerikanischen Diensten MailChimp oder ActiveCampaign. Für Abonnenten bedeutet dies, dass ihre Daten auf amerikanischen Servern gespeichert werden. Zwar haben sich diese Email-Versender mit dem EU-US-Privacy-Shield zertifizieren lassen, doch ist dies nicht mehr als ein Label, das Verbraucher in Sicherheit wiegen soll.
Dies beweist die deutliche Kritik der EU-Datenschutzkommission. Sie sieht etliche Unternehmen als zu Unrecht zertifiziert, weil sie nicht nachweisen können, wie sie für die Einhaltung der Privacy-Shield-Vereinbarungen sorgen.
Neben diesen Ungewissheiten sollte man sich als potentieller Abonnent bewusst sein, dass amerikanische Sicherheitsbehörden weitgehende Zugriffsbefugnisse auf Daten haben. Auf Grundlage des im März 2018 verabschiedeten CLOUD-Act gilt dies sogar für Daten, die amerikanische Unternehmen außerhalb der USA gespeichert haben!

Berechtigte Interessen auf dem digitalen Marktplatz

In vielen Datenschutzerklärungen ist vom berechtigten Interesse an Datenauswertung die Rede. Mit dieser Formulierung stützen sich Unternehmen auf Artikel 6 der DGSVO. In der Praxis ist das "berechtigte Interesse" ein dehnbarer Begriff und die Argumente dafür sind nicht in jedem Fall nachvollziehbar.
Häufig werden die Datenerhebungen als Maßnahmen zur Verbesserung der Websites deklariert. Für die dazu nötige Analysetätigkeit haben viele Unternehmen und Institutionen Verträge zur Auftragsdatenverarbeitung mit Online-Marketing-Plattformen und Agenturen für Suchmaschinenoptimierung geschlossen. Deren Aufgabe ist es, Kunden zielgenau anzusprechen und Streuverluste von Werbebudgets einzugrenzen. Dazu messen sie vom Scrollverhalten über Interaktionsraten bis zur Postingfrequenz in den Social-Media-Kanälen alles, was gemessen werden kann.
Nur leider verstecken die Website-Betreiber die beauftragten Dienste sozusagen im Kleingedruckten ihrer Datenschutzerklärungen.

Erzwungenes Einverständnis zu Tracking-Tools

Es steht außer Frage, dass Online-Shop-Betreiber und Anbieter von Webanwendungen ein Recht darauf haben ermitteln zu können, ob ihre Angebote angenommen werden und wie ihre Services funktionieren. Jedoch ist den allermeisten Unternehmen mangelnde Transparenz im Hinblick auf die zum Einsatz kommenden Trackingtechnologien vorzuwerfen. Gleichzeitig ist die gängige Praxis, das Einverständnis des Nutzers zur Datenverarbeitung mittels Cookie-Banner einzuholen, alles andere als datenschutzkonform.

In einer kürzlich durchgeführten Prüfaktion ist das Bayerische Landesamt für Datenschutzaufsicht zu genau diesem Ergebnis gekommen. Allen der begutachteten Websites waren Datenschutzverstöße nachzuweisen. Deren Anbieter müssen deshalb nun mit rechtlichen Konsequenzen rechnen.
Beanstandet wurde die weitverbreitete Praxis, dass Website-Betreiber direkt beim Seitenaufruf Datenverarbeitung durch Drittanbieter veranlassen. Mit anderen Worten, trotz DGSVO werden weiterhin umfangreiche Nutzerprofile erstellt, und zwar ohne Wissen der Nutzer.

Befremdlicherweise binden selbst bayerische Kultureinrichtungen wie das Haus der Kunst in München und das Deutsche Museum Schriftarten über einen Google-Dienst ein und nicht über den eigenen Server. Bei einer solchen Handhabung helfen dem Nutzer selbst die via Cookie-Banner angebotenen Möglichkeiten zu Opt-out-Verfahren nichts, denn die Verbindung zu externen Servern ist bereits beim Seitenaufruf passiert.

Einsparungspotenzial dank Google

Die Deutsche-Handwerks-Zeitung begründet das gleiche Vorgehen folgendermaßen:

"Unser hierfür erforderliches berechtigtes Interesse liegt dabei in dem großen Nutzen, den eine einheitliche Darstellung der Schrifttypen bietet. Durch die Möglichkeit einer einheitlichen Darstellung halten wir den Gestaltungsaufwand geringer, als wenn wir auf Schriftarten-Standards verschiedener Betriebssysteme bzw. Browser mit eigenen grafisch angepassten Webseiten reagieren müssten. Google hat darüber hinaus u.a. ein berechtigtes Interesse an den erhobenen (personenbezogenen) Daten, um die eigenen Dienste zu verbessern."

Herausgeber der Deutschen Handwerkszeitung ist der Verbund von 23 Handwerkskammern. Er nennt sein Presseorgan im Untertitel "Die Wirtschaftszeitung für den Mittelstand". Es darf den Verantwortlichen dieser Publikation durchaus die Frage gestellt werden, warum die Datensicherheit einer Vielzahl von Lesern nicht die Beschäftigung entsprechender IT-Fachkräfte wert ist.

Das umfassende Angebot von Google-Diensten erfreut sich bei vielen Website-Betreibern großer Beliebtheit, allen voran Google Analytics, aber auch Google MAPS oder das reCAPTCHA-Verfahren zum Ausschluss von Spambots. Dabei ist Google nachgewiesenermaßen ein Datensammler. Durch die Vielfalt seiner Anwendungen ist es ihm ein Leichtes umfassendes Profiling zu betreiben.
Warum so viele Anbieter ihre Besucher der Überwachung des Digitalkonzerns ausliefern und somit die Monopolstellung von Google vorantreiben, ist unerklärlich.

Integrierte Google-Suche bei t-online
Integrierte Google-Suche als "Service" bei t-online

Bis die Vorgaben der DGSVO so umgesetzt sind, wie sie gedacht waren, gibt es für die Datenschützer noch sehr viel zu tun. Wie der Pressemitteilung des Bayerischen Landesamts für Datenschutzaufsicht zum Safer Internet Day 2019 zu entnehmen ist, achten glücklicherweise inzwischen auch vermehrt Bürger darauf, dass online Sicherheitsstandards eingehalten werden bzw. beanstanden die Missachtung solcher.

Für ihre digitale Zukunft sind Unternehmen gut beraten, wirklich datensichere Websites bereitzustellen.