Ja, wenn nachvollziehbar ist, wie Sie und Ihre Dienstleister (beispielsweise Web-Hoster) personenbezogene Daten verarbeiten, sodass dies beschrieben werden kann. Beispielsweise bleibt gerade bei US-amerikanischen Diensten die Datenverarbeitung häufig nebulös. Das gilt besonders bei sehr langen Datenschutzerklärungen wie von Microsoft oder Google. Diese dienen häufig nicht dazu, Datenverarbeitungen transparent zu machen, sondern im Gegenteil nicht auf den Punkt zu kommen und sich so alle Möglichkeiten offen zu halten. Beispiel: Versuchen Sie einmal, in Googles 31-seitiger Datenschutzerklärung die Löschfristen zu finden, die man in wenigen Zeilen aufführen könnte. Falls Sie sich fragen, ob hier nicht schon aufgrund des Renommees von Rechtmäßigkeit auszugehen ist – siehe Frage 4.
Eine Datenverarbeitung wird jedoch nicht schon dadurch zulässig, dass sie in der Datenschutzerklärung aufgeführt wird, eine Datenschutzerklärung ist kein Vertrag!
Entscheidend ist beispielsweise, ob die Daten für die Erfüllung eines Vertrags erforderlich sind oder die betroffene Person eingewilligt hat. Drittland-Übermittlungen müssen gesondert geprüft werden. Es sind sogenannte Folgenabschätzungen nötig, es muss ein Verarbeitungsverzeichnis geführt werden, es müssen Verträge zur Auftragsverarbeitung geprüft werden und anderes mehr – gewöhnliche Tätigkeiten eines Datenschutzbeauftragten. Teilweilse ergibt sich bei der Prüfung, dass die fragliche Seite oder der Dienst umgebaut werden muss.
Ein typisches Beispiel bei jungen Unternehmen sind (meist in anderen Rechtskreisen und damit nicht auf die DS-GVO hinentwickelte) Website-Vorlagen aus Baukastensystemen, die im Hintergrund Web-Inhalte von Drittservern nachladen. Dabei wird jeweils die IP-Adresse des Besuchers an den Zielserver übermittelt. Diese stellt nach der Rechtsprechung des Bundesgerichtshofs bereits ein personenbezogenes Datum dar – selbst wenn Ihre Website nicht bewusst personenbezogene Daten abfragt. Das verstößt oftmals gegen die DS-GVO und kann auch durch eine Datenschutzerklärung nicht legalisiert werden. Tipp: Sie können solche Drittdienste sichtbar machen, indem Sie die Website auf Webbkoll analysieren lassen, indem Sie in Ihrem Browser die kostenlosen Plugins “uMatrix” oder “uOrigin” installieren oder indem Sie die Funktion “Werkzeuge für Webentwickler” im Browser Firefox aktivieren.
Aus dem genannten Aufwand ergibt sich, dass bei mir regelmäßig mit mittleren drei bis vierstelligen Kosten zu rechnen ist.
Eine Datenschutzerklärung muss auch Datenverarbeitung durch Ihre technischen Dienstleister berücksichtigen, beispielsweise Ihren Web-Hoster (z. B. 1&1 oder Hetzner). Denn dafür sind Sie mitverantwortlich. Wie diese Plattformen Besucherdaten im Hintergrund ja nach konkreter Konfiguration und nach gewähltem Tarif Ihres Diensts verarbeiten, kann der Generator von außen nicht erkennen. Es gibt darauf auch keine einheitliche Antwort. Das müssen Sie den Verträgen mit Ihren Dienstleistern entnehmen oder dort erfragen. Folglich kann ein Generator dazu keine aussagekräftige und zuverlässige Datenschutzerklärung generieren.
Außerdem binden viele Website-Vorlagen externe Drittdienste ein, die ebenfalls zu berücksichtigen sind. Dazu zählen beispielsweise Cloud- oder Analysedienste. Die könnte ein Generator zwar theoretisch durch eine technische Analyse Ihrer Website ermitteln (siehe Frage 1), wüsste aber dann noch immer nicht, wie diese Dienste im Hintergrund je nach Konfiguration Besucherdaten verarbeiten. Selbst bei vielen Standarddiensten, etwa von Google, verrät Google trotz episch langer Datenschutzerklärung wenig Konkretes über die Datenverarbeitung; die Nutzer werden vielmehr bewusst im Unklaren gelassen, siehe dazu Frage 1. Dies kann auch ein Generator nicht wissen. Er kann daher nur raten oder weder für die betroffene Person noch juristisch sinnvolle Allgemeinplätze à la “Ihre Daten können unter Umständen auch zu Marketingzwecken verwendet werden” von sich geben.
Wenn Sie fremde Datenschutzerklärungen ungeprüft kopieren, können zu den genannten DS-GVO-Problemen zusätzlich Urheberrechtsstraftaten hinzukommen. Mit Suchrobotern können Plagiate heute schnell ermittelt und abgemahnt werden.
Dass die Zulässigkeit einer Datenverarbeitung nicht mit einer Datenschutzerklärung steht und fällt, wurde bereits in Frage 1 besprochen.
Das ist auch jenseits des Datenschutzrechts nicht anders. Wenn Sie Ihren PKW durch eine Werkstatt reparieren lassen und ein Lehrling zerkratzt versehentlich den Lack, kann die Werkstatt Sie mit Ihrer Schadensersatzforderung nicht an den Lehrling weitererweisen, der mit einem Monatsgehalt von 800 Euro unter die Pfändungsfreigrenze fällt. Die Werkstatt bestimmt und überwacht ihr Personal und deshalb haftet sie dafür.
Für bestimmte externe Datenverarbeitungen haften Sie allerdings nicht oder nur zum Teil. Das gilt etwa für bestimmte Telekommunikations- oder Zahlungsdienste. Gerne berate ich Sie hierzu.
Ein Dienst an sich ist weder zulässig noch unzulässig. Es kommt auf die Art seiner Verwendung an. Beispiel: Ob die Datenübermittlung an einen US-amerikanischen Cloud-Service zulässig ist, kann davon abhängen, ob Sie eine Einwilligung vorgeschaltet haben oder ob Sie sich an eine US-amerikanische oder europäische Zielgruppe wenden. All das weiß der Plattformhersteller nicht.
Die datenschutzrechtliche Haftung eines Diensts oder einer Software liegt nicht beim Hersteller, sondern bei dem, der sich für seine/ihre Benutzung entscheidet. Wenn jemand mit einem Messer einen Menschen verletzt, haftet auch sein Benutzer und nicht der Messerhersteller. Erst durch die Benutzung werden personenbezogene Daten verarbeitet. Die großen Softwarehersteller wissen das und wälzen die Haftung oft nach dem Prinzip “friss oder stirb” auf ihre europäischen Kunden ab.
In den USA, dem Herkunftsland vieler Online-Dienste, gibt es (fast) kein Datenschutzrecht, (fast) keine Datenschutz-Aufsichtsbehörden und keine realistischen Klagemöglichkeiten für Nicht-Amerikaner. Auch im steuergünstigen Irland, in dem viele US-amerikanische Tech-Anbieter Tochterunternehmen unterhalten, arbeitet die Datenschutz-Aufsichtsbehörde dysfunktional und Klagen sind zwar wirksam, aber so teuer, dass sie kaum vorkommen.
Solange sich mit rechtswidrigen Datenverarbeitungen Geld verdienen lässt, ein eigenes Sanktionsrisiko faktisch kaum existiert und Konkurrenzprodukte dieselben Mängel aufweisen, haben die Hersteller keinen wirtschaftlichen Anreiz etwas zu ändern. Das hat nichts mit fehlenden Ressourcen oder bösen Absichten amerikanischer Unternehmen zu tun, sondern mit Angebot und Nachfrage. Nicht anders handeln deutsche Unternehmen, wo die Marktmacht auf ihrer Seite ist. Deshalb kann strategisch Datenschutz und Autarkie nicht allein dadurch geschaffen werden, dass wir konsumieren und Gesetze verabschieden, sondern wir müssen selbst innovative Produkte entwickeln.
Oft gibt es Alternativen oder Wege, Risiken zu reduzieren und Ihre Ziele dennoch zu erreichen. Gerne berate ich Sie hierzu.
Zunächst ist ein Dienst an sich weder zulässig noch unzulässig. Es kommt auf die Art seiner Verwendung, seiner konkreten Konfiguration, seine Version und den Kontext an. Beispiel 1: Das Unternehmen SAP hat mit bestimmten drittländischen Anbietern (nach außen nicht sichtbar) Individualverträge über die Behandlung personenbezogener Daten abgeschlossen, die nicht öffentlich angeboten werden. Was für SAP zulässig ist, ist daher längst nicht für jeden zulässig. Beispiel 2: Es gibt ein Website-Baukastensystem namens “WordPress” mit ganz unterschiedlichen Seitenvorlagen. Je nach verwendeter Vorlage kann der Einsatz von WordPress rechtmäßig oder unrechtmäßig sein.
Bei kleinen Unternehmen liegen Datenschutzverstöße meist daran, dass die Unternehmen ihre Technik und Rechtslage nicht überblicken. Es ist auch schwierig, finanzschwache Kleinunternehmer oder gar Verbraucher rentabel rechtlich zu beraten, weswegen dort häufig Google-Halbwissen regiert.
Bei großen Unternehmen beruhen Rechtsverstöße eher darauf, dass man in ausgewählten Fällen bewusst “auf Risiko fährt”. Man spekuliert darauf, dass Sanktionen zuerst die Konkurrenz treffen oder der wirtschaftliche Gewinn höher als die erwartete Sanktion ist. Das kann gut gehen; die übrigen Fälle können Sie regelmäßig der Presse entnehmen.
Wenn jeder darauf spekuliert, ein anderer werde eine Software schon prüfen, hat sie am Ende oft niemand geprüft.
Die polizeiliche Kriminalstatistik verzeichnet aktuell 1,7 Mio. Diebstähle pro Jahr. Trotzdem folgt daraus nicht, dass Diebstahl straf- oder sanktionsfrei sei. Dasselbe gilt im Datenschutzrecht.
Es gibt aktuell keine juristisch anerkannten DS-GVO-Zertifizierungen, auch wenn sich dies künftig ändern kann (Art. 42 DS-GVO). Es handelt sich um gekaufte Fantasieauszeichnungen und damit um PR-Blendwerk – bei kleineren Unternehmen und Verbrauchern kann das erfolgreich sein. (Das spricht nicht generell gegen Zertifizierungen, die sich auf bestimmte datenschutzrechtliche Teilbereiche wie die Datensicherheit beziehen.)
Zum einen ist ein Daten verarbeitendes Produkt an sich weder zulässig noch unzulässig, siehe Frage 5 Spiegelstrich 1. Daher kann das so pauschal auch niemand zertifizieren.
Zum anderen sind solche Auszeichnungen schon deshalb wertlos, weil der Prüfungsmaßstab, auf den es aus dem eben genannten Grund aber ankommt, erfahrungsgemäß selbst auf Nachfrage nicht offengelegt wird. Es handelt sich um eine Blackbox. Mit Blick auf die wahre Zielrichtung solcher Instrumente (PR) ist das auch verständlich.
Besonderes Irreführungspotential bergen Zertifizierungen der verschiedenen “TÜV”-Gesellschaften. Diese sind privatrechtliche Unternehmen, denen im Bereich der Kfz-Überwachung hoheitliche Aufgaben zugewiesen wurden, sodass sie im Ruf einer besonderen Unabhängigkeit stehen. Im Bereich der DS-GVO existiert eine solche Zuweisung hoheitlicher Aufgaben aber nicht.
Aus diesen Gründen sind DS-GVO-Zertifikate oder -Siegel zwar nicht immer, aber oft ein Hinweis auf Mängel und es empfiehlt sich eine vertiefte Prüfung. Sie können sich damit Ihrer Prüfungspflicht und Haftung nicht entziehen, dazu bedürfte es vertraglicher Vereinbarungen. Gerne berate ich Sie hierzu.
Doch.
Jede öffentlich abrufbare Website verarbeitet personenbezogene Daten. Beim Abruf wird technisch bedingt die sogenannte IP-Adresse des Abrufenden erhoben. Ähnlich wie ein Brief ohne Zieladresse nicht zugestellt werden kann, bedarf es auch bei der Auslieferung der Website einer Kennung, an welchen Anschluss die Seiteninhalte gesandt werden. Über den Internetprovider des Abrufenden ist die Zuordnung zwischen IP-Adresse und Name/Anschrift ermittelbar und rechtlich sind personenbeziehbare und personenbezogene Daten gleichgestellt. Die IP-Adresse ist deshalb nach der Rechtsprechung des Bundesgerichtshofs ein personenbezogenes Datum, auch wenn Sie Name und Anschrift des Abrufenden nicht kennen.
Eine solche Verarbeitung personenbezogener Daten ist in der Regel zulässig, da Sie zur sogenannten Wahrung Ihres berechtigten Interesses, nämlich der Funktion Ihrer Website, erforderlich ist. Trotzdem findet die DS-GVO Anwendung.
Es ist richtig, dass die Übertragung von Website-Inhalten verschlüsselt werden kann, üblicherweise über den Standard “Transport Layer Security” (TLS). Dies ist beispielsweise beim Online-Banking der Fall und ist meist optisch an einem Verschlüsselungs-Symbol in Ihrem Browser erkennbar.
Erstens wird die IP-Adresse aber auf einer tieferen Protokollschicht übertragen (IP-Protokoll) und kann daher von einer TLS-Verschlüsselung (Anwendungsprotokoll) niemals betroffen sein. Das ist etwa so, als würden Sie bei einem Telefonanruf über einen auf Sie registrierten Anschluss Ihren Namen vor der Deutschen Telekom verbergen wollen, indem Sie sich gegenüber dem Angerufenen mit falschem Namen vorstellen.
Zweitens kann ein Internetprovider keine Daten an eine verschlüsselte IP-Adresse senden. Beispiel: Sie können zwar den Inhalt eines Briefs vor der Deutschen Post verschlüsseln. Sie können aber nicht den Briefempfänger vor der Deutschen Post verschlüsseln, anderenfalls kann sie den Brief nicht ausliefern. Nicht anderes gilt für den Datentransport durch Internetprovider.
Drittens werden die Daten beim Empfänger, also Ihrem Server, wieder entschlüsselt. Ihnen liegen somit alle Daten im Klartext vor, auch die, die während des Transports verschlüsselt waren. Dies kann bei einer sogenannten Ende-zu-Ende-Verschlüsselung anders sein, TLS ist aber keine solche.
Die IP-Adresse ist deshalb trotz TLS-Verschlüsselung stets von Mithörenden im Klartext sichtbar, beispielsweise den beteiligten Internetprovidern oder Nachrichtendiensten, erst recht für den Sender- und Empfängerserver. Ähnlich wie mit der IP-Adresse verhält es sich mit einer Reihe weiterer Daten. Verschlüsselung schützt deshalb weder pauschal vor einer Überwachung des Internetnutzungsverhaltens noch bewirkt sie eine Anonymisierung. Hierzu bedarf es anderer Technologien.