Datenschutzverstöße auf Webseiten
Das Urteil des Landgerichts München I (LG München I, Aktenzeichen: 3 O 17493/20) zu Beginn des Jahres 2022, das die dynamische Einbindung von Google Fonts als einen Verstoß gegen das Recht auf informationelle Selbstbestimmung einstuft, dies löste eine Lawine von Abmahnungen aus. Zahlreiche Webseitenbetreiber sahen sich plötzlich mit Forderungen konfrontiert, die auf diesem Urteil basierten. Diese Abmahnwelle führte zu beträchtlicher Verunsicherung und Kosten für viele Betroffene. Allerdings wurde später festgestellt, dass die meisten dieser Abmahnungen aufgrund rechtlicher Unstimmigkeiten oder fehlender Grundlage unrechtmäßig waren. Diese Erkenntnis sorgte für Kritik an der Handhabung und Interpretation des Urteils sowie für eine Diskussion über die Rechtmäßigkeit solcher Abmahnpraktiken.
Zwei Jahre nach dem Hype und den Kontroversen um das Urteil hat sich FoxHost.de nun die Aufgabe gemacht, die Datenschutzkonformität von 1012 Seiten aus 25 verschiedenen Orten in 8 verschiedenen Landkreisen bzw. kreisfreien Städten im Bundesland Brandenburg zu überprüfen. Dabei kamen erschreckende Zahlen zum Vorschein, die auf erhebliche Verstöße gegen Datenschutzbestimmungen hinwiesen. Bei der Prüfung der Datenschutzkonformität wurden verschiedene Dienste berücksichtigt. Grundsätzlich ist die Nutzung dieser Dienste nicht problematisch, wenn die Nutzer dem zugestimmt haben. Falls jedoch keine Zustimmung vorliegt, kann dies zu Datenschutzverstößen führen.
Welche Dienste wurden gesucht?
- Verwendung von GoogleAPI
- Nutzung von GoogleAnalytics
- Einbindung von GoogleFonts
- Integration von GoogleMaps
- Nutzung von YouTube-Inhalten
- Vorhandensein einer SSL-Verschlüsselung
- Integration des Google Tag Managers
Bei der Prüfung wurde besonders darauf geachtet, ob diese Dienste ohne vorherige Zustimmung durch den Nutzer geladen wurden, wenn es um die Einwilligung bei der Cookie-Nutzung ging. Dies ist ein wichtiger Aspekt, da die Datenschutzgesetze vieler Länder und Regionen vorsehen, dass Nutzer der Verwendung von Cookies aktiv zustimmen müssen, insbesondere wenn es um das Tracking und die Sammlung personenbezogener Daten geht. Das Laden dieser Dienste ohne vorherige Zustimmung könnte gegen diese Bestimmungen verstoßen und somit Datenschutzprobleme verursachen.
Vorweg sei angemerkt, dass bei unseren Überprüfungen eine bedeutende Anzahl von Webseiten, konkret 782, sämtliche Bestimmungen einhielten und zudem entsprechende Cookie-Banner implementiert hatten. Dies verdeutlicht das Engagement vieler Webseitenbetreiber für die Einhaltung der Datenschutzvorschriften sowie ihr Bewusstsein für die Bedeutung des Schutzes der Privatsphäre ihrer Nutzer.
Doch wie oft wurden denn nun unberechtigterweise Daten ohne Zustimmung weitergegeben?
Von den insgesamt 1012 geprüften Seiten wurden bei Besuchen von 230 Seiten Daten an Drittdienste übermittelt, ohne dass dafür eine entsprechende Zustimmung der Nutzer vorlag. Diese Erkenntnis unterstreicht die Dringlichkeit einer strengeren Kontrolle und Einhaltung der Datenschutzbestimmungen im Online-Bereich. Da einige Seiten auch mehrere Dienste gleichzeitig einsetzen, summiert sich die Anzahl der Übermittlungen ohne Zustimmung auf insgesamt 280.
- [GoogleAPI] = 41x
- [GoogleAnalytics] = 34x
- [GoogleFonts] = 102x
- [GoogleMaps] = 26x
- [YouTube] = 12x
- [SSL] = 2x
- [GoogleTagManager] = 65x
Wir waren bezüglich des Trackings mit GoogleAnalytics schockiert und besorgt, da Webseiten Tracking nur dann einsetzen dürfen, wenn eine explizite Zustimmung vorliegt. Trotz dieser rechtlichen Vorgabe stellten wir fest, dass nicht weniger als 34 Seiten GoogleAnalytics zum Tracking verwenden, und das, obwohl einige von ihnen sogar ein Cookie-Banner implementiert haben, das eigentlich dafür da ist, um diesem Tracking abzulehnen oder zuzustimmen. In diesen Fällen wurde der Tracker einfach ohne die erforderliche Zustimmung geladen, und das meist sogar noch bevor der Cookie-Banner geladen wurde.
Doch wie macht man es besser?
Um die Datenschutzkonformität Ihrer eigenen Webseite zu verbessern, sollten Sie zunächst sicherstellen, dass alle Dienste, die personenbezogene Daten sammeln oder verarbeiten, nur mit ausdrücklicher Zustimmung der Nutzer geladen werden. Implementieren Sie ein Cookie-Banner, das Nutzern die Möglichkeit gibt, der Verwendung von Cookies zuzustimmen oder sie abzulehnen, insbesondere in Bezug auf Tracking-Dienste wie Google Analytics. Stellen Sie sicher, dass Ihre Webseite eine klare Datenschutzrichtlinie hat, die erklärt, welche Daten gesammelt werden, wie sie verwendet werden und wie Nutzer ihre Rechte ausüben können. Regelmäßige Überprüfungen Ihrer Webseite auf Datenschutzkonformität sind ebenfalls wichtig, um sicherzustellen, dass alle Dienste und Prozesse den geltenden Datenschutzbestimmungen entsprechen. Durch diese Maßnahmen können Sie nicht nur das Vertrauen Ihrer Nutzer stärken, sondern auch potenzielle rechtliche Probleme vermeiden.
Funfact - Statistiken zu Domain-Endungen der Seiten die wir geprüft haben:
Die Verteilung der Domain-Endungen zeigt interessante Muster. Mit 896 Einträgen dominiert die .de-Domain deutlich die Liste, gefolgt von .com mit 90 Einträgen. Es gibt auch eine Vielzahl anderer Endungen, die weniger häufig vorkommen, wie .eu mit 8 Einträgen, .net mit 7 Einträgen, und .org mit 4 Einträgen. Es gibt auch einige weniger verbreitete Endungen, von denen nur wenige vertreten sind, darunter .at und .biz mit jeweils nur einem Eintrag sowie .info und .tv, von denen jeweils 3 bzw. 2 Einträge vorhanden sind.