Interessantes Gerichtsurteil zu mangelhaften Datenschutzerklärungen

Aktuell gibt es ein Urteil (LG Würzburg, Beschluss v. 13.9.2018, Az. 11 O 1741/18) gegen eine Rechtsanwältin, das zwei Anforderungen hinsichtlich Websites und Datenschutz klarstellt und damit unabhängig von anderen Fragen für alle Website-Betreiber interessant ist.

Wer ist betroffen?

Im Prinzip Jeder, der eine Website betreibt, die nicht ausschließlich von einem eng begrenzten Personenkreis genutzt werden kann. Das würde ausschließlich solche Seiten betreffen, die durch Zugangsbarrieren vor der Nutzung Fremder geschützt sind.
Das heißt auch wer einen privaten Blog betreibt oder eine Vereinswebsite sollte aufmerksam seine Website noch einmal überprüfen.

Um was ging es?

Der Beschluss untersagt der Rechtsanwältin den Betrieb einer Website mit unvollständiger Datenschutzerklärung und ohne Verschlüsselung. Die Website enthielt wohl eine Datenschutzerklärung, diese berücksichtigte aber nicht die Anforderungen gem. DSGVO. Folglich fehlten bestimmte Angaben, die Information zu den Betroffenenrechten sowie die Nutzung , Weitergabe und Erhebung von Daten über Analysetools.

Zudem hat das Gericht bemängelt, dass Daten über das Kontaktformular unverschlüsselt übertragen wurden.

Unverschlüsselte Übertragung über ein Kontaktformular

Verfügt eine Website über ein Kontaktformular, mit dem Interessenten, Kunden, Besucher oder andere natürliche Personen Kontakt zum Websitebetreiber aufnehmen können, werden damit fast immer personenbezogene Daten erfasst, denn ohne E-Mail- Adresse oder Telefonnummer könnte der Websitebetreiber die Anfrage nicht beantworten. Eine unverschlüsselte Übertragung der Daten zwischen dem Browser des Nutzers und dem Server, kann dazu führen, dass Dritte die Daten abfangen und somit in den Besitz der personenbezogenen Daten kommen. Dies hat der “Verantwortliche” zu verhindern, sofern der Betroffene dem nicht ausdrücklich zugestimmt hat.

Fraglich ist hier, kann der Betroffene durch einfaches Absenden und Zustimmen zur Datenschutzerklärung überhaupt zustimmen, das seine Daten möglicherweise entwendet werden?

Ich bin der Meinung, eine solche Zustimmung kann der Betreiber der Website nicht einholen, denn er müsste den Betroffenen darüber informieren, an wen und in welcher Weise und für welche Zwecke die Daten erhoben und weitergegebenen und vom Empfänger genutzt werden. Wenn der Empfänger aber nur ein “möglicher” Datendieb ist, kann der Betreiber der Website dies gar nicht. Er hat diese Informationen einfach nicht.

Hinzu kommt, dass eine Einwilligung freiwillig erfolgen muss und diese Freiwilligkeit muss man auf jeden Fall bezweifeln, wenn das Kontaktformular die einzige Möglichkeit ist, wie der Betroffene Kontakt mit dem Websitebetreiber aufnehmen kann. Hinsichtlich der Impressumspflicht gibt es zwar schon Urteile, die zumindest dafür sprechen dass eine Beschränkung auf ein Kontaktformular nicht in jedem Fall ausreichend ist. Aber es gibt ja auch von der DSGVO betroffene Websites, die keiner Impressumspflicht unterliegen. Gibt es für den Besucher nur die Möglichkeit das Kontaktformular zu nutzen, ist die Freiwilligkeit einer Einwilligung sicher nicht gegeben schon gar nicht, wenn für die Website ein Impressum Pflicht ist. In diesem Fall zwingen Sie den Nutzer nämlich, Ihnen Daten auf einem unsicheren Weg zu übermitteln, um bspw. seine Rechte gem. DSGVO geltend zu machen oder seine Rechte die sich aus der Impressumspflicht ergeben.

Hinweis

Wenn Sie ein Kontaktformular nutzen und diese Daten nicht verschlüsseln, sollten Sie den Nutzer deutlich sichtbar (nicht nur in einer verlinkten Datenschutzerklärung) auf diesen Umstand und die möglichen Folgen aufmerksam machen und ihm in diesem Hinweis eine alternative Möglichkeit der Kontaktaufnahme anbieten, die für ihn nicht mehr Umstände macht als das Kontaktformular.
Ob das rechtssicher ist, muss die Zukunft zeigen, aber zumindest können Sie dann davon ausgehen, dass jeder die Wahl hatte, eine sichere Alternative zu nutzen. Dann besteht zumindest die wage Möglichkeit, dass ein Absenden des Formulars unter Kenntnis der Umstände als Einwilligung gewertet werden kann. Sie müssen diese Kenntnis allerdings dokumentieren, also bspw. mit Kontrollkästchen bestätigen lassen.

Auf der sicheren Seite

Sicher sind Sie, wenn Sie den Grundsatz befolgen: Kontaktformular erfordert eine Verschlüsselung mit einem SSL-Zertifikat (Abruf der Seite mit https://). Sie sollten also, wenn Sie kein SSL-Zertifikat nutzen möchten oder können, auf ein Kontaktformular verzichten.

Fehlerhafte Datenschutzerklärung

Die zweite Information, die sich aus diesem Urteil entnehmen lässt, sind die Anforderungen an die Datenschutzerklärung. Alte Datenschutzerklärungen erfüllen die Anforderungen in der Regel nicht, denn Sie enthalten oft keine Informationen zu den Betroffenenrechten.
Sie sollten daher unbedingt noch einmal die Datenschutzerklärungen auf Ihren Websites dahingehend prüfen, ob dort folgende Informationen vorhanden sind:

  • Wer ist der “Verantwortliche”?
  • Welche Kategorien von personenbezogenen Daten werden erhoben und verarbeitet (Bspw. E-Mail-Adressen, Anschriften, Kontaktdaten)?
  • Zu welchem Zweck werden diese Daten verarbeitet?
  • An wen werden welche Daten weitergegeben (Google, Facebook etc. ) und zu welchem Zweck?
  • Welche Recht hat der Betroffene? Widerspruch, Löschung, Auskunft, Berichtigung, Beschwerde …

Sollten Sie feststellen, dass irgendwelche Bereiche in Ihrer Datenschutzerklärung nicht abgedeckt werden, sollten Sie diese unbedingt erneuern, ergänzen oder von einem Fachmann prüfen lassen.

Fazit

Sicherlich ist wegen des Urteils keine Panik angebracht, aber es ist ein guter Anlass, die eigene Website noch einmal zu überprüfen.

Hinweis

Die vorstehenden Erläuterungen sind nur allgemeine Hinweise und Erläuterungen und ersetzen nicht eine fachkundige Beratung im Einzelfall. Sie geben meinen Wissenstand und die mir vorliegenden Informationen zum Zeitpunkt der Veröffentlichung wider.