Immer wieder hört man bei uns in Deutschland, aber auch in anderen Ländern, über die zunehmende Wichtigkeit von Datenschutz auf Webseiten. Meist begegnen uns Hinweise jedoch in Form von nervigen Cookie-Bannern, die sich beim Besuch von Webseiten aufzwängen. Doch, was genau ist das Problem mit dem Datenschutz auf Webseiten?

Vor einigen Jahren haben wir Webseiten gebaut, ohne uns groß Gedanken darüber zu machen, was überhaupt mit Daten im Internet passiert:

• Wer darf überhaupt Daten von unserer Website speichern?
• Wer darf Informationen über unsere User speichern?
• Wer oder was soll beim Datenschutz eigentlich geschützt werden?
• Auf welche Daten haben wir selbst oder Dritte Zugriff?
• Was ist ohne Zustimmung des Users immer erlaubt?

Jeder Websitebetreiber sollte Antworten auf diese Fragen haben.

Bei der Programmierung von Websites braucht es in Deutschland und der EU zwingend nicht nur einen Entwickler der Website, sondern auch jemanden, der sich beim Datenschutz auskennt. Daher haben viele Unternehmen einen Datenschutzbeauftragten, der fit sein sollte bei der Beantwortung von datenschutzrechtlichen Aspekten. In der Regel hat jede GmbH einen solchen Datenschutzbeauftragen, was ein nicht sehr poplärer Job ist: Denn als Datenschutzbeauftragter muss man nicht nur die eigene Datenverarbeitung kennen (und damit IT-Kenntnisse haben), sondern auch analysieren können, ob das Gesagte auch zutrifft.

Es besteht also bei der Entwicklung einer Website eine große Unwissenheit darüber, was überhaupt aktuell erlaubt ist. Sicher ist jedoch: ohne Einwilligung darf die IP-Adresse des Nutzers nicht außerhalb der EU übertragen werden. Eine Website ist jedoch Dank von Content-Management-Systemen wie WordPress schnell zusammengeklickt. Aber Entwickler und Marketingbeteiligte haben häufig keine Ahnung und Interesse beim Thema Datenschutz. Umgekehrt kennen sich Datenschutzbeauftragte nicht praktisch mit der IT aus und können implementierte Zusammenhänge selbst nicht analysieren oder gar bewerten. Das ist leider ein großes Problem und eine tickende Zeitbombe in Bezug zu DSGVO-Verstößen und Abmahnungen. Dies zeigen die Fälle rund um Massen-Abmahner zu genüge.

Bei den meisten kleineren Unternehmen, bei denen ich bisher war, wurde das Thema Datenschutz nach außen hin abgehakt („Ja, wir haben jemanden für den Datenschutz“) aber in Bezug auf Websites bestanden häufig Probleme in Bezug zur Datenschutzgrundverordnung (DSGVO) oder anderer rechtlicher Rahmenbedingungen. Es wird gesagt, man würde Daten konform verarbeiten, in der Praxis sah es dann aber ganz anders aus. Die häufigsten Probleme beim Datenschutz von Websites ist das sogenannte Hotlinking von Daten von Drittservern. Dabei werden Daten von einer Webadresse direkt übertragen, ohne ein vorheriges Einverständnis des Betroffenen einzuholen. Das ist derzeit in Deutschland und der EU aber notwendig, um nicht abgemahnt zu werden. Ein Hotlinking von Google (Google Fonts, Google Analytics, Google Ads, Google Maps, Youtube, etc.), LinkedIn, OpenStreetmap, HubSpot, MailChimp und anderer sorgen in der Regel bei Einbindung für Datenschutzprobleme.

Einige Unternehmen versuchen das Problem mit Cookie-Bannern zu lösen, indem der User sein Einverständnis gibt zur Verwendung der eben besagten Onlinedienste. Aber auch hier lauern die Herausforderungen im Detail. Bei nicht sachgemäßer technischer Anwendung drohen Datenschutzverstöße und Abmahnungen. Ich habe beispielsweise schon gesehen, dass ein Cookie-Banner verwendet wurde, was aber selbst von einem gehotlinkten amerikanischen Server geladen wurde und damit für sich selbst ein Problem war.

Wird tatsächlich ein rechtlich einwandfreies Datenschutz-Banner für das Einverständnis des Users verwendet, bleibt die Frage was passiert, wenn der Benutzer KEIN Einverständnis für die Nutzung von gehotlinkten Inhalten gibt. Ganz einfach: die betreffenden Dienste dürfen nicht geladen werden. Das bedeutet im schlimmsten Fall keine Ausspielung von Tracking-Pixeln, keine Verwendung von Newsletter-Signups, keine Youtube-Videos oder sonstige relevanten Inhalte. Dieser Sachverhalt ist natürlich meistens ein praktisches No-Go für das Unternehmen.

Daher verwende ich bei der Konzeption von Websites grundsätzlich Dienste, die sich NICHT außerhalb der EU befinden und/oder auf der eigenen Infrastruktur laufen, damit gar kein Einverständnis benötigt wird. Sollen doch Inhalte an Standorte außerhalb der EU übertragen werden, die eine Relevanz für die DSGVO haben, wird mit dem Dienste-Anbieter eine Auftragsverarbeitung (AVV) abgeschlossen und beim User ein individuelles Einverständnis vor dem Übertragen der Daten angefordert.

Am besten ist es natürlich, wenn man auf Drittanbieter und „Third Party Cookies“ komplett verzichtet.