Update: Aufsichtsbehörde prüfte 30.000 Internetseiten

Update: Aufsichtsbehörde prüfte 30.000 Internetseiten


Im Sommer berichteten wir bereits darüber, dass die Sächsische Datenschutz- und Transparenzbeauftragte (STDB) etwa 30.000 Internetseiten von Unternehmen, Vereinen und öffentlichen Stellen in Sachsen kontrollierte. Gegenstand der Überprüfungen war insbesondere die einwilligungsbasierte Nutzung von Google Analytics. In rund 2.300 Fällen konnten seitens der sächsischen Aufsichtsbehörde Mängel festgestellt werden. Im Rahmen einer kürzlich veröffentlichten Pressemitteilung zieht die sächsische Aufsichtsbehörde Bilanz.


Automatisierte Prüfung durch die Aufsichtsbehörde

Eine solch flächendeckende Prüfung von automatisierten Datenverarbeitungen dürfte in Sachsen zum ersten Mal stattgefunden haben. Schließlich setzt die Überprüfung von Internetseiten in solch einem Umfang eine entsprechende technische Ausstattung voraus. Bereits im Sommer dieses Jahres wies die sächsische Aufsichtsbehörde diesbezüglich auf das neu eingerichtete IT-Labor hin. Mit moderner Hard- und Software sei nun auch eine datenschutzrechtliche Analyse von Internetseiten, Anwendungen und IT-Produkten in größerem Umfang möglich. Wie auch aus der aktuellen Pressemitteilung zu entnehmen ist, stehen für die Zukunft weitere Prüfungen von Internetseiten an. Somit sollten Verantwortliche in Sachsen ab sofort regelmäßig die eigenen Internetangebote, Apps und IT-Produkte auf Datenschutzkonformität kritisch prüfen.


Aufsichtsbehörde zieht positives Fazit

Rückblickend auf die erste Überprüfung zieht Dr. Juliane Hundert ein positives Fazit: „Auf zwei Dritteln der identifizierten Websites wird nunmehr auf den Einsatz von Google Analytics zur Nachverfolgung des Nutzerverhaltens verzichtet, oder es wird vorher um eine eindeutige Einwilligung gebeten. Die Kontrolle bewirkte zudem, dass Verantwortliche auch bei anderen Diensten das Datenschutzniveau verbesserten. Dadurch sank beispielsweise die Anzahl der Cookies auf den geprüften Websites um die Hälfte.“ Für den Datenschutz im Internet sei das eine gute Nachricht. Im Rahmen einer veröffentlichten Statistik stellt die sächsische Aufsichtsbehörde hierzu mit konkreten Zahlen insbesondere den Rückgang von Google Analytics-Einbindungen, Drittanfragen und Drittanbieter-Cookies dar.

Weiterhin wird über die große Resonanz bei den Verantwortlichen berichtet: „Im Zusammenhang mit der Website-Prüfung bearbeitete die SDTB 300 schriftliche Rückmeldungen sowie 250 Anrufe. Vor allem Unternehmen und Vereine benötigten Hilfestellung bei der Umsetzung der rechtlichen Anforderungen. In den Anfragen ging es nicht nur um Google Analytics, sondern beispielsweise auch um die richtige Einbindung von Zahlungsdienstleistern bei Onlineshops und die Einbettung von Videos aus sozialen Netzwerken.“ Dies zeigt einerseits, dass Aufsichtsbehörden grundsätzlich auch eine beratende Funktion übernehmen können, andererseits jedoch auch, dass auf Seiten der Verantwortlichen weiterhin große Unsicherheiten in Bezug auf Datenschutz und Internetseiten bestehen.


Einigen Stellen drohen nun Konsequenzen

Doch bei weitem nicht alle der 2.300 Seitenbetreiber sind auf die Hinweise der Aufsichtsbehörde eingegangen und haben datenschutzrechtliche Nachbesserungen vorgenommen. Diesen könnten nun entsprechende Konsequenzen bevorstehen: „Verantwortliche, die trotz der Aufforderung der SDTB weiterhin rechtswidrig Nutzerdaten mit Google Analytics verarbeiten, müssen nun mit Sanktionen rechnen. Der Aufsichtsbehörde steht ein umfassender Katalog von Untersuchungs- und Abhilfebefugnissen zur Verfügung, um die Einhaltung datenschutzrechtlicher Bestimmungen durchzusetzen.“ Unter Berücksichtigung des Art. 58 DS-GVO wären hierbei beispielsweise Verwarnungen, Bußgelder, Untersagungen der weiteren Datenverarbeitungen, aber auch Löschverpflichtungen denkbar.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.