Zur Navigation springen Zum Inhalt springen Zum Footer springen

Datenschutzbehörde prüft Webseiten auf Einhaltung der DSGVO

Rechtstipp vom 11.02.2019
(1)
Rechtstipp vom 11.02.2019
(1)

Datenschutzbehörde prüft Webseiten auf Einhaltung der DSGVO, insbesondere bei Einbindung von Cookies, sowie Tracking und Analyse Tools. Cookie-Banner nahezu immer unwirksam und Datenschutzerklärungen oft intransparent.

Die Bayerische Datenschutzbehörde (Bayerisches Landesamt für Datenschutzaufsicht) hat zum Safer Internet Day 2019 am 5. Februar eine kurz zuvor angekündigte Prüfung von ausgewählten Webseiten bayerischer Verantwortlicher vorgenommen. Darunter waren insbesondere Webseiten mit großer Reichweite und von größeren Unternehmen vertreten. 

Mit den Worten des Präsidenten des Landesamtes war das Ergebnis „ernüchternd“ und weitere aufsichtliche Verfahren werden sich anschließen, Bußgelder nicht ausgeschlossen. 

Was wurde nun geprüft? Was festgestellt und wie ist diese Prüfung zu bewerten?

Prüfkriterien waren neben Sicherheitsaspekten wie Account-Passwörter und weiteren „Cybersicherheitsanforderungen“ die datenschutzrechtliche Bewertung der Einbindung von Cookies, Tracking und Analyse-Technologien auf den geprüften Webseiten. 

Kurz zusammengefasst das Ergebnis hinsichtlich der Cybersicherheit: 

Die Behörde stellte fest, dass bei keinem der geprüften Dienste starke Passwörter vom Nutzer gefordert werden, zumeist genügen schwache Passwörter wie „123456“, „Passwort“ oder sogar „0000“. 

Es wurde angekündigt, weitere Verfahren einzuleiten, um zu prüfen, wie bei den jeweiligen Unternehmen mit den Passwörtern schließlich umgegangen wird. Dieses Thema hatte kürzlich durch das erste öffentlich bekanntgewordene DSGVO-Bußgeld eine gewisse Bedeutung erhalten, da Auslöser des Bußgeldes die Tatsache war, dass das betroffene Unternehmen sämtliche User-Passwörter im Klartext gespeichert hatte und diese (über 1 Mio. an der Zahl) durch ein Datenleck abhandengekommen waren.

Neben der Passwortsicherheit auf den Webseiten wurden etwa auch Bestätigungsprozesse der E-Mail-Adressen nach Registrierung sowie mögliche Mehr-Faktor-Anmeldungen geprüft.

Tracking und Analyse-Tools

Etwas ausführlicher soll hier jedoch das Ergebnis und die Einschätzung der Behörde der Verwendung von Tracking und Analysetools dargestellt werden, denn dies dürfte wohl in (naher) Zukunft eine gewisse Auswirkung auf die ohnehin schwierige Bewertung der Zulässigkeit dieser Technologien und des Einsatzes von (lästigen) Cookie-Bannern haben. 

Es wurden im Rahmen der Prüfung 40 Webseiten untersucht, wobei auf allen 40 Seiten Tracking-Tools eingesetzt wurden. Die Prüfung befasste sich dabei in erster Linie mit den Transparenzanforderungen und der Frage, ob etwaige Einwilligungen der Webseitenbesucher wirksam eingeholt werden.

Das Ergebnis der Behörde vorweg: KEINE der geprüften Webseiten erfüllt aus Sicht der Behörde die datenschutzrechtlichen Vorgaben!

Warum kommt die Behörde zu diesem Ergebnis? 

Es wurde zunächst untersucht, ob die Transparenzanforderungen und Informationspflichten der DSGVO erfüllt wurden. Hier war das Ergebnis, dass nur ein Viertel der Webseiten ausreichende Informationen über den Einsatz von Tracking-Tools in der Datenschutzerklärung bereitstellen, die übrigen 75 % tun dies nicht oder nur unzureichend. Aus den Erläuterungen der Behörde lässt sich erkennen, dass hier an die bereitgestellten Informationen hohe Anforderungen gestellt werden und eine pauschale Benennung der Tools diesen Anforderungen nicht genügt. Auch muss die Darstellung vollständig und aktuell sein, um den Nutzer wirksam zu informieren. Es sind Informationen darüber dem Nutzer zu geben, welche Daten von ihm erhoben werden, für welche Zwecke dies erfolgt und wie lang diese Daten gespeichert werden. Dies wurde in den meisten Fälle nicht entsprechend umgesetzt.

Knackpunkt Einwilligung! – entweder es wurden keine Einwilligungen eingeholt oder die Behörde hält diese für unwirksam.

Diese Einschätzung ist nun insofern nicht ganz überraschend, als dass bereits nach Wirksamwerden der DSGVO in einer Stellungnahme der Datenschutzkonferenz (DSK- Gremium der Datenschutzbehörden) erklärt wurde, dass Tracking- und Analyse-Tools nur mit ausdrücklicher Einwilligung durch die Webseitenbesucher nach Ansicht der DSK zulässig seien. Diese Ansicht wurde seinerzeit stark kritisiert, lässt sie etwa weitere Rechtsgrundlage wie sog. berechtigte Interessen nach Art. 6 Abs. 1 lit f. DSGVO außer Betracht. 

Es war nun so, dass rund um den Mai 2018 eine Zunahme von Cookie-Bannern auf Webseiten zu erkennen war, welche die Einwilligung in die Datenverarbeitung durch die Webseitenbesucher einholen sollen. Diese zumeist sehr lästigen Banner sind überwiegend so gestaltet, dass der Nutzer in sehr kleiner Schrift informiert wird, dass Cookies (ohne genaue Differenzierung) eingesetzt werden und man sich durch den weiteren Besuch der Webseite (und ggf. durch Kenntnisnahme der Datenschutzerklärung) damit einverstanden erklärt. Ist das nun eine wirksame Einwilligung? Nach Ansicht der Behörde nein und das bei allen verwendeten Cookie-Bannern (immerhin auf 30 der 40 geprüften Webseiten wurden diese eingebunden).

Warum sind die Einwilligungen nach Meinung der Behörde nun unwirksam? 

Eine Einwilligung ist nur wirksam, wenn sie vorab erteilt wird, wenn also alle Tracking-Skripte blockiert sind, solange bis der Nutzer aktiv zugestimmt hat. Zudem muss die Einwilligung freiwillig sein. Ist auch nur eine dieser Voraussetzungen nicht berücksichtigt, so ist die Einwilligung rechtswidrig. In den geprüften Fällen war es nun so, dass entweder Tracking bereits bei Besuch der Webseite und quasi schon beim Lesen des Cookie-Banners aktiv war, also nicht „vorab“ eingewilligt wurde, oder die Informationen nicht ausreichend waren. Da keine Einwilligung hier nun wirksam war bedeutet dies im Ergebnis, dass die Datenverarbeitung durch einwilligungsbedürftige Tracking-Tools nach Ansicht der Behörde rechtswidrig ist. 

Wie könnte man es richtig machen? 

Einige Webseiten haben bereits sog. „Vorschaltseiten“ implementiert, quasi ein Cookie-Banner in groß und vor der eigentlichen Webseite. Dabei wird der Nutzer, bevor die Seite geladen wird, über die eingesetzten Tools informiert und kann dann jeweils aktiv einwilligen, bevor diese aktiviert werden. Der Nutzer bekommt zudem eine differenzierte Auswahl angezeigt. Ob dies eine nutzerfreundliche Lösung ist, sei jedoch dahingestellt. 

Ist die Sicht der Behörde nun der Weisheit letzter Schluss?

Das wird sich zeigen. Es wurde schon kurz angesprochen, dass die strikte Sicht, dass immer die Einwilligung erforderlich ist, stark kritisiert wurde. Auch hier wird man abwarten müssen, bis letztlich gerichtlich entschieden ist, wann man beim Einsatz von Tracking und Analyse-Tools etwa auch auf die Rechtsgrundlage der berechtigten Interessen setzen kann. Dies würde dann zwar ebenso die ausführliche und verständliche Information der Webseitenbesucher, verbunden mit einem Widerspruchsrecht bedeuten, könnte aber eventuell das Internet (wieder) nutzerfreundlicher gestalten. 

Bis dahin ist der „einfache“ Cookie-Banner jedoch leider recht dünnes Eis und Beschwerden und Prüfungen könnten sich häufen nach dieser ersten „großen“ Prüfung durch eine Behörde.


Rechtstipp aus der Themenwelt Datenschutz und DSGVO und dem Rechtsgebiet IT-Recht

Sie haben Fragen? Gleich Kontakt aufnehmen!

Rechtstipps zum Thema

Rechtstipps des Autors