Die Webseite einer Organisation, insbesondere im Gesundheits- und Sozialwesen, wo häufig die besonderen Vorschriften der kirchlichen Datenschutzgesetze gelten, ist oftmals die erste Anlaufstelle für Personen, die Informationen zu den durch die Organisation erbrachten Leistungen suchen. Häufig handelt es sich hier um besonders sensible Leistungsbereiche wie Schwangeren-, Sucht- und Erziehungsberatung oder sogar Online-Beratungsangebote. In der Praxis zeigt sich zudem, dass viele Verantwortliche gar nicht vollständig wissen, welche Dienste auf der Webseite integriert wurden, da jeder Bereich hier seine eigenen Präferenzen hat und am Ende ein wildes Durcheinander der Datenverarbeitung herrscht.
Ein Beitrag von David Große Dütting, Senior-Berater Datenschutz bei der Curacon GmbH Wirtschaftsprüfungsgesellschaft. Sein Beitrag zur datenschutzkonformen Gestaltung von Webseiten basiert auf seinem Vortrag bei der Tagung »Drei Jahre Gesetz über den kirchlichen Datenschutz« der nordrhein-westfälischen Caritasverbände und der Curacon.
Darüber hinaus setzen sich die eingesetzten Dienstleister und Agenturen nicht immer in ausreichendem Maße mit den (datenschutz-)rechtlichen Anforderungen auseinander bzw. wird der Datenschutzbeauftragte nicht regelhaft eingebunden. Zudem ist das Online-Datenschutzrecht ein sehr dynamisches Rechtsgebiet, sodass fortlaufend neue Rechtsurteile und Vorgaben zu beachten sind. Weiterhin gilt es auch alle inhaltlichen Veränderungen auf der Webseite stets im Blick zu halten.
Diese Problematiken sind auch den konfessionellen Datenschutzaufsichtsbehörden bewusst geworden. Daher haben diese begonnen systematische Prüfungen der Webauftritte durchzuführen, wie z. B. das Katholische Datenschutzzentrum in Frankfurt, solche Prüfungen anlassbezogen umgesetzt, wie der BfD EKD oder zumindest umfangreichere Überprüfungen ankündigt, wie die Kirchliche Datenschutzaufsicht der ostdeutschen Bistümer für das Jahr 2021 in seinem Tätigkeitsbericht 2020.
Zunächst technische Prüfung
Grundsätzlich besteht die Websiteprüfung aus mehreren Phasen. Zunächst wird eine technische Standardprüfung durchgeführt. Dabei wird in der Regel geprüft, ob eine aktuelle und zugelassene Verschlüsselung hinterlegt ist, die Verlinkungen zu Impressum und Datenschutzerklärung von der Unterseite funktionsfähig sind oder der eingesetzte Cookie-Banner funktionstüchtig ist (Abbildung 1.). Immer wieder problematisch ist die Einbindung externer Inhalte. Beispielhaft können hier die Schriftarten von Google genannt werden. Sobald eine Webseite solche Schriftarten einbindet, werden Daten der Besucher auch an Google-Server in die USA übertragen, ohne dass der Nutzer hier eine Wahlmöglichkeit hat. Die Aufsichtsbehörden empfehlen daher diese Schriftarten über eigene Server bereitzustellen, was allerdings größere Ressourcen erfordert und unter Umständen mit Performanceverlusten, wie längeren Ladezeiten, verbunden ist.
Cookie-Banner und andere Einwilligungen
Eine Einwilligung zur Datenverarbeitung ist immer dann erforderlich, wenn die Datenverarbeitung über das erforderliche Maß hinausgeht. Dies sind zumeist die sogenannten Session-Cookies, die beispielsweise helfen, einen Nutzer zu identifizieren und seine Entscheidung im Cookie-Banner zu speichern. Letzterer dient dazu, die Einwilligungen der Nutzer zu den verschiedenen Cookie-Arten einzuholen.
Vor allem bei den Cookie-Bannern besteht eine Reihe von Fallstricken (Abb. 2.): So werden unter Umständen bereits Cookies gesetzt, ohne dass der Nutzer eine Auswahl getätigt hat, wodurch die Datenverarbeitung ohne Rechtsgrundlage erfolgt. Zum Teil werden die Banner auch über Plug-Ins geladen, welche den Datenverkehr über US-amerikanische Dienste routen.
Weiterhin sollte der Banner ausreichend differenziert sein und dem Nutzer die Entscheidung erlauben, welche Cookiekategorien er im Einzelfall zulassen möchte. Dies hat die Konferenz der Diözesandatenschutzbeauftragten bereits 2018 in einem Beschluss formuliert. Insbesondere wurde von den Aufsichtsbehörden neben der Funktionalität der eingesetzten Banner auch die inhaltliche Ausgestaltung kritisiert. So muss für eine wirksame Einwilligung neben dem Zweck der Verarbeitung auch auf die Folgen der Verweigerung hingewiesen werden. Da die Cookie-Banner meist platzsparend gestaltet werden sollen, kommt die Umsetzung dieser Anforderungen häufig zu kurz. Keine Positionierung von Seiten der katholischen und evangelischen Aufsichtsbehörden gibt es bislang für das häufig eingesetzte Nudging, um den Nutzer zu einer bestimmten Entscheidung, nämlich der Zustimmung zu den Cookies, zu »schubsen«. Insgesamt zeigt das Thema, wie wichtig für Website-Betreiber eine besondere Sorgfalt bei der Auswahl und der individuellen Anpassung der Cookie-Banner ist.
Eine andere Maßnahme zur Einholung der Einwilligung auf Webseiten besteht in der sogenannten Zwei-Klick-Lösung, die explizit als Option in dem zuvor genannten Beschluss der Diözesandatenschutzbeauftragten genannt wird, um die Verarbeitung durch eingebundene Dienste, wie Videos oder Social-Media-PlugIns, zu legitimieren. Hierbei werden an Stelle der Dienste Schaltflächen eingebunden, die solange inaktiv sind, bis der Nutzer diese manuell aktiviert und hierdurch seine Einwilligung erteilt. Die Praxis zeigt, dass diese Möglichkeit bislang nur selten umgesetzt wird.
Captchas – Trügerische Sicherheit
Im Zuge der Überprüfungen ist auch die Integration von sogenannten Captchas (Completely Automated Public Turing test to tell Computers and Humans Apart), die als ein Schutz- und Missbrauchs-Mechanismus für Web-Formulare in Webseiten integriert sind, auffällig geworden. Die Captchas in Form von Bilder- oder Zahlenrätseln werden ebenfalls häufig über externe Anbieter eingesetzt und stellen in der Folge im Hintergrund eine Verbindung zum Service-Anbieter her. Einer der bekanntesten Dienste ist hier sicherlich der reCaptcha von Google.
Von den Aufsichtsbehörden wird vor allem kritisiert, dass über die Datenübermittlungen in den Datenschutzerklärungen nicht oder nicht hinreichend aufgeklärt wird bzw. die Rechtsgrundlagen zur Verarbeitung nicht genannt werden. Zu empfehlen sei stattdessen die Einbindung lokaler Alternativen.
Inhaltliche Prüfung – Häufige Widersprüche
Nicht weniger Auffälligkeiten wurden bei der inhaltlichen Prüfung der Webseiten festgestellt (Abb. 3.). Die nachfolgenden Erkenntnisse stützen sich vor allem auf die Rückmeldungen des Katholischen Datenschutzzentrums in Frankfurt. Hier wurde sehr häufig die fehlende Benennung der Rechtsgrundlagen bzw. die Darstellung falscher Rechtsgrundlagen kritisiert. So wäre das Referenzieren auf die Grundlagen der DSGVO im Geltungsbereich des Gesetzes über den Kirchlichen Datenschutz (KDG) aus Transparenzgründen nicht angemessen. Aus dem gleichen Grund sollten auch inhaltliche Widersprüche sowie Dopplungen und Verwechselungen der Rechtsgrundlagen, wie dem Widerrufs- und Widerspruchsrecht, korrekt dargestellt werden.
Weiterhin macht das KDSZ deutlich, dass eine detaillierte Darstellung der Rechte der Betroffenen unter Nennung der jeweiligen Rechtsgrundlagen notwendig sei, um den Betroffenen die Umsetzung dieser Rechte zu erleichtern. In der Praxis war zudem lange Zeit fraglich, ob beim Recht auf Beschwerde auch die jeweils zuständige Aufsichtsbehörde konkret zu benennen ist. Dies wurde letztlich von der Aufsichtsbehörde bejaht und folgt damit des zu Grunde gelegten Argumentationsstrangs.
Außerdem wird deutlich, warum die Webseite als Spiegel des Datenschutzmanagements betrachtet werden kann. Wie die Aufsichtsbehörde in vielen Fällen kritisiert, wurde in den Datenschutzerklärungen zum Teil auf Dienste verwiesen, die nicht mehr eingesetzt werden bzw. Dienste, die zum Einsatz kommen, darin nicht beschrieben werden. Dies macht deutlich, wie wichtig die regelmäßige Einbindung des Datenschutzbeauftragten bei der Anpassung der Webseite ist.
Fazit
Wie die Positionierung und ersten Prüfungsergebnisse der konfessionellen Datenschutzaufsichtsbehörden zeigen, ist bei der technischen und inhaltlichen Gestaltung ein nicht unerheblicher Aufwand zu erbringen, um die datenschutzrechtlichen Vorgaben sicher umzusetzen. Dies begründet sich zum einen durch das nach wie vor dynamische, rechtliche Umfeld und die schnelle technische Weiterentwicklung der eingesetzten Dienste. Zum anderen werden vor allem in größeren Organisationen aus den Bereichen und Abteilungen eine große Anzahl verschiedener Anforderungen an die Unternehmenskommunikation herangetragen. Hier gilt es den Datenschutzbeauftragten regelhaft einzubinden, um eine jederzeit aktuelle Umsetzung der Anforderungen gewährleisten zu können.