Als Datenschutzbeauftragter gehört die datenschutzrechtliche Überprüfung von Internetseiten zum kleinen Einmaleins. Dabei ist oftmals festzustellen, dass verantwortliche Stellen kaum einen aktuellen Überblick über die tatsächlichen Datenverarbeitungen der eigenen Internetseite haben und/oder das Bewusstsein für die datenschutzrechtliche Relevanz fehlt. Der folgende Blog-Beitrag zeigt überblicksartig auf, welche datenschutzrechtliche Anforderungen im Zusammenhang mit Internetseiten bestehen und wie in wenigen Schritten eine Überprüfung der eigenen Internetseiten erfolgen kann.
Relevanz des Themas
Nahezu jede verantwortliche Stelle, egal ob Behörde, Unternehmen oder Verein, betreibt eine Internetseite, über die sich interessierte Personen über Neuigkeiten informieren, Produkte kaufen oder Anfragen stellen können. Unabhängig von den konkreten Inhalten der jeweiligen Internetseite, werden bei einem jedem Aufruf personenbezogene Daten, beispielsweise in Form von IP-Adressen, verarbeitet. Datenschutzwidrige Verarbeitungen stellen somit aufgrund der Vielzahl betroffener Personen und der vergleichsweisen leichten Überprüfbarkeit der Datenverarbeitungen ein hohes Risiko für verantwortliche Stellen dar. Weiterhin steht gemäß Art. 77 DS-GVO jeder von einer Datenverarbeitung betroffenen Person das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, sofern die betroffene Person bereits nur der Ansicht ist, dass eine Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DS-GVO verstößt.
Datenschutzrechtliche Anforderungen
Die konkreten Anforderungen an eine datenschutzkonforme Verarbeitung durch eine Internetseite ergibt sich im Wesentlichen aus den Normen der DS-GVO sowie des TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz). Zu benennen sind in diesem Zusammenhang die Rechtsgrundlagen nach Art. 6 Abs. 1 Satz 1 DS-GVO und § 25 TTDSG, die Verpflichtung zur Bereitstellung von Datenschutzinformationen nach Art. 13 DS-GVO, die Notwendigkeit zum Abschluss von Verträgen zur Auftragsverarbeitung mit eingesetzten Dienstleistern (z.B. Hosting-Dienstleistern) nach Art. 28 DS-GVO sowie die besonderen Anforderungen im Zusammenhang mit der Übermittlung personenbezogener Daten in Drittländer nach Kapitel V der DS-GVO.
Grundsätzlich sollte sichergestellt sein, dass sämtliche Datenverarbeitungen einer Internetseite auf einschlägige Rechtsgrundlagen gestützt werden. Wie im Rahmen unseres Blog-Beitrags Analysen, Karten, Schriftarten & Co. – Datenschutz bei Internetseiten bereits dargestellt, ist zunächst zwischen einwilligungsfreien und einwilligungsbedürftigen Datenverarbeitungen zu unterscheiden. Eine Datenverarbeitung ist grundsätzlich ohne Einwilligung möglich, soweit diese für die Bereitstellung der Internetseite zwingend erforderlich ist – das heißt, ein fehlerfreier Abruf der Internetseite ohne diese Datenverarbeitung gänzlich unmöglich ist. Alle weiteren Datenverarbeitungen, zum Beispiel im Zusammenhang mit einem Nutzer-Tracking oder der Bereitstellung von Medieninhalten, bedürfen in der Regel einer Einwilligung der Nutzenden. Weiterführende Informationen zur Anforderung an Einwilligungen auf Internetseiten, können in dem oben genannten Blog-Beitrag oder in der Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 202 nachgelesen werden.
Unabhängig von der Einwilligungsbedürftigkeit von Datenverarbeitungen ist darauf zu achten, dass personenbezogene Daten ausschließlich so lange gespeichert werden dürfen, wie es zur Erfüllung des Verarbeitungszwecks zwingend erforderlich ist. Neben Protokollierungen und Logfiles, deren Speicherdauer in der Regel 30 Tage nicht übersteigen sollte, betrifft dies ebenfalls Cookies und weitere personenbeziehbare Daten, wie beispielsweise Analysen des Nutzungsverhaltens.
Wichtig ist, dass sämtliche Datenverarbeitungen im Rahmen einer Datenschutzinformation (auch „Datenschutzerklärung“ genannt) transparent beschrieben werden. Die konkreten Anforderungen an eine solche Datenschutzinformation ergeben sich im Detail aus den Artikeln 12 bis 14 DS-GVO. Die im Rahmen einer Datenschutzinformation geschilderten Sachverhalte müssen stets zutreffend sein, es dürfen also ausschließlich solche Datenverarbeitungen beschrieben werden, welche tatsächlich auch stattfinden. Auch sollte möglichst auf Phrasen und Begriffsdefinitionen verzichtet werden, welche den Informationstext für die betroffene Person unnötig in die Länge ziehen. In diesem Zusammenhang ist ebenfalls darauf hinzuweisen, dass sogenannte „Generatoren für Datenschutzerklärungen“ ausschließlich mit Vorsicht zu gebrauchen sind. Sie ermöglichen bereits mit wenigen Klicks die Erstellung umfassender Datenschutzinformationen, welche meist jedoch nicht auf die Besonderheiten einer Internetseite angepasst sind. Werden Internetseiten mehrsprachig zur Verfügung gestellt, ist in den gleichen Sprachen ebenfalls die Datenschutzinformation bereitzustellen.
Überprüfung der INternetseite
Da bereits minimale Anpassungen an Internetseiten eine Änderung der jeweiligen Datenverarbeitungen bewirken kann, sollte diese regelmäßig überprüft werden. So kann stets auch eine Aktualität der Datenschutzinformation sichergestellt werden. Im Folgenden sollen einige Werkzeuge und Möglichkeiten dargestellt werden:
Identifizierung des Hosting-Dienstleisters
Zum Teil bestehen Unsicherheiten hinsichtlich des konkreten Hosting-Dienstleisters. Beispielsweise geben Agenturen gelegentlich an, ein Hosting der Internetseite selbst durchzuführen. Eine nähere Betrachtung zeigt oftmals jedoch, dass das Hosting durch einen Subdienstleister realisiert wird. Als Werkzeug bietet sich hierbei als Firefox Browser Add-On „Flagfox“ an. Über eine Länderflagge in der Adresszeile des Browsers wird stets der Standort des jeweiligen Servers angezeigt. Mit einem Klick auf die Länderflagge folgt eine Darstellung weiterführender Informationen, unter anderem auch der Name des Hosting-Dienstleisters.
Identifizierung von Datenübermittlungen und Konfigurationen
Zur Visualisierung der Übermittlungen personenbezogener Daten können verschiedene Werkzeuge genutzt werden. Beispielsweise Webbkoll überprüft bei einer Internetseite durch das Fingieren eines Seitenaufrufs, welche Konfigurationen (z.B. Verschlüsselung, Content Security Policy, Referrer Policy) aktiv sind, welche Anfragen an Drittanbieter übermittelt und ob Informationen auf dem Gerätespeicher abgelegt werden. Hinsichtlich der Anfragen an Drittanbieter erfolgt eine Auflistung der jeweiligen Inhalte und über welche IP-Adressen diese Anfragen bearbeitet werden. So lassen sich beispielsweise auch Übermittlungen personenbezogener Daten in Drittländer identifizieren. Bei der Verwendung von Webbkoll ist zu beachten, dass hierbei nur Datenverarbeitungen angezeigt werden können, welche ohne Reaktion auf etwaig verwendete Cookie-Banner stattfinden.
Für eine technisch detailliertere Darstellung umgesetzter Konfigurationen eignet sich PrivacyScore. In der Übersicht lassen sich neben grundlegenden Informationen zu Drittinhalten auch die Absicherungen gegen typische Angriffsszenarien auf Internetseiten überprüfen.
Aber auch die browsereigenen Mittel ermöglichen eine gute Übersicht über Datenübermittlungen bei einem Aufruf der Internetseite. Bei Firefox ist dies beispielsweise per Rechtsklick auf der Internetseite und einem Klick auf „Untersuchen“ möglich. Über den Reiter „Netzwerkanalyse“ werden bei einem Laden der Internetseite sämtliche Ressourcen und angefragte Hosts aufgelistet.
Identifizierung von Cookies und Nutzung des Gerätespeichers
Ebenfalls über den jeweiligen Browser ist eine Ermittlung der gesetzten Cookies und der Nutzung des Gerätespeichers möglich. Hierzu wird wie zuvor beschrieben der Reiter „Web-Speicher“ aufgerufen. Unter „Cookies“ werden mit Angabe der jeweiligen Speicherdauer die Cookies der jeweiligen Hosts aufgelistet. Über den Abschnitt „Local Storage“ erfolgt eine Darstellung, welche Informationen innerhalb des internen Gerätespeichers abgelegt werden.
Identifizierung von Facebook-Inhalten
Gelegentlich werden auf Internetseiten Facebook-Inhalte verwendet, welche bereits ohne Einwilligung der Nutzenden eine Serververbindung zu Facebook aufbauen. Das Firefox Browser Add-On „Facebook Container“ identifiziert (und blockiert) derartige Inhalte und kennzeichnet diese durch ein farbiges Symbol. Das Add-On eignet sich insbesondere zur Überprüfung, ob Facebook-Inhalte tatsächlich nur mit Einwilligung aktiv sind oder diese erfolgreich von der Internetseite entfernt wurden.
Fazit
Datenschutzwidrige Datenverarbeitungen und unzutreffende Datenschutzinformationen stellen auf Internetseiten ein besonderes Risiko für verantwortliche Stellen dar. Eine regelmäßige Überprüfung der eigenen Internetseite kann helfen, Mängel zu identifizieren und das rechtliche Risiko so zu minimieren. Auch wenn durch die aufgezeigten Hilfsmittel nicht immer alle Datenverarbeitungen zweifelsfrei abgebildet werden, decken diese die „gröbsten Schnitzer“ allemal auf.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
