Springe zum Inhalt

Analyse von Webseiten: Verstöße gegen TMG und BDSG/DS-GVO

website analysis Bild

Einleitung

Wir haben über 6000 Webseiten darauf hin geprüft, ob sie Verstöße gegen das Telemediengesetz (TMG) oder das Datenschutzgesetz (BDSG bzw. dessen Nachfolger, die DS-GVO) enthalten. Von diesen Webseiten wurden über 200 intensiver analysiert. Das Ergebnis daraus ist im Folgenden dargestellt.
Die analysierten Webseiten wurden willkürlich ausgewählt. Es handelt sich um Webseiten aus allen möglichen Branchen und von Unternehmen jeder Größe.
Geprüft wurden nur Webseiten, die Inhalte in deutscher Sprache anbieten und die offensichtlich für den deutschen Markt bestimmt sein. Fast immer handelt es sich bei den Betreibern der Webseiten um in Deutschland ansässige Unternehmen, Gewerbebetriebe oder Organisationen.
Am häufigsten wurden Webseiten von deutschen Unternehmen mit mehr als zehn Mitarbeitern geprüft, gefolgt von solchen mit weniger Mitarbeitern. Relativ selten waren Organisationen oder Seiten von Privatpersonen Teil der Prüfung.

Prüfer

Die Prüfung wurde durchgeführt von der IT Logic GmbH, deren Haupttätigkeitsfeld die IT-Beratung und Software-Entwicklung samt Webseiten-Erstellung ist. Autor für die IT Logic GmbH ist deren Geschäftsführer, Dr. Klaus Meffert (Diplom-Informatiker). Juristische Expertise wurde von der Anwaltskanzlei Rodenberg eingeholt, die auf IT-Recht spezialisiert ist.
Die Prüfung wurde manuell durchgeführt und unterstützt von einer eigens entwickelten Software, die alle Seiten einer Internetpräsenz scant, sowie Auffälligkeiten automatisch identifizieren und vorklassifizieren kann.

Grundlage der Prüfung

Rechtliche Grundlage ist das deutsche Recht, das für alle Webseiten gilt, die für den deutschen Markt bestimmt sind. Insbesondere wurden Urteile aus den vergangenen zwei bis drei Jahren berücksichtigt, so u.a. die Entscheidung des BGH, dass selbst dynamische IP-Adressen als personenbezogene Daten gelten, aber auch Entscheidungen von deutschen Gerichten zu Google Analytics und zur wettbewerblichen Betrachtung von Datenschutzverstößen.
Nach unserer Auffassung ist die Einbindung von Ressourcen, die auf Drittservern liegen, ohne entsprechende Datenschutzerklärung bzw. Nutzereinwilligung nicht zulässig, da dabei zwangsläufig die IP-Adresse des Nutzers zum Dritten übertragen wird. Solche Ressourcen sind etwa Schriftarten, Scripte oder Bilder. Wir haben diese Art von Fällen allerdings nicht weiter untersucht, weil die Rechtslage hier noch nicht gefestigt ist.

Prüfzeitraum

Die Prüfung fand im dritten und vierten Quartal 2017 sowie im Januar 2018 statt.

Geprüfte Sachverhalte

Unsere Prüfung konzentrierte sich auf folgende Sachverhalten:

  • Erreichbarkeit des Impressums
  • Pflichtangaben im Impressum
  • Erreichbarkeit der Datenschutzerklärung
  • Existenz allgemeiner Klauseln in der Datenschutzerklärung
  • Datenschutzkonforme Verwendung von Analyseprodukten
  • Datenschutzkonforme Verwendung von Social Media Komponenten
  • Datenschutzkonforme Verwendung von Mediendateien wie Videos
  • Vorliegen von Datenschutzerklärungen zu verwendeten Komponenten
  • Ausreichende Verbraucherinformation zum Datenschutz außerhalb der Datenschutzerklärung

Die Prüfungsergebnisse wurden im Zweifel zugunsten der geprüften Webseite festgelegt. War die Datenschutzerklärung (nur) über das Impressum erreichbar, wurde dies nicht als Verstoß gewertet.
Nicht geprüft wurden mit Newslettern spezifisch zusammenhängende Sachverhalte, wie etwa das Vorhandensein des Double Opt-in Verfahrens oder ein vorhandenes Impressum in Newslettern. Bei Newslettern wurde lediglich geprüft, ob die notwendigen Angaben dort vorhanden waren, wo der Newsletter bestellt werden konnte.

Abgrenzung

Kleinere Verstöße, wie eine vorhandene, aber unvollständige Erklärung zu einem Analyseprodukt, wurden nicht aufgenommen. Wir haben davon abgesehen, spezielle Seiten wie Login-Seiten oder RSS-Feed-Seiten, in die Betrachtung aufzunehmen. Nach unserer Auffassung, die einer strengen Auslegung der Datenschutzvorschriften folgt, gehören diese Seiten mit einem Link auf Datenschutzhinweise und auf das Impressum versehen. Eine strenge Auslegung ist unserer Auffassung und der Verfolgung der Rechtsprechung nach zwar angebracht, würde die Statistik aber einseitig verfälschen, weil derartige Probleme noch nicht als solche in die Rechtsprechung eingegangen sind.
E-Commerce Funktionen, wie sie charakteristisch für Online Shops sind, waren nicht Gegenstand unserer Untersuchung.
Urheberrechtsverletzungen wurden nicht geprüft, u.a. auch, weil dies über einen Black Box Test gar nicht oder nur mit sehr hohem Aufwand möglich ist.
Verlinkte externe Inhalte wurden nicht geprüft.

Ergebnis der Analyse

207 Webseiten wurden detaillierter analysiert. Die weniger intensive Beurteilung der restlichen der über 400 Webseiten bestätigt das Ergebnis der detaillierten Analyse der Teilmenge.
Die folgende Statistik stellt konsolidiert die häufigsten der gefundenen Verstöße dar.
Die Namen der Webseiten und der Betreiber werden zum Schutz der Betroffenen nicht genannt.
Für alle Angaben übernehmen wir keine Gewähr.

Häufigste gefundene Verstöße

Im Rahmen dieser Studie wurden mehrere Verstöße geprüft, die nachfolgend ausgelistet sind. Pro Webseite sind mehrere Verstöße möglich. Die Prozentzahl gibt an, auf wie vielen der untersuchten Websites der jeweilige Verstoß vorhanden war.

  • Datenschutzerklärung allgemein unvollständig: 91%
  • Datenschutzerklärung fehlt für Einzelkomponente: 60,9%
  • Rechtswidriges Kontaktformular: 50,4%
  • Rechtswidrige Einbindung von YouTube Videos: 37,6%
  • Unberechtigter Einsatz von Social Media Widgets: 19,2%
  • Fehlendes Cookie-Popup: 12,4%
  • Impressum oder Datenschutzerklärung nicht erreichbar: 10,7%
  • Impressum unvollständig: 4,2%
  • Google Analytics ohne IP-Adressenanonymisierung: 27,7%

Die Prozentzahl für den zuletzt genannten Verstoß bezieht sich nur auf Seiten, die Google Analytics einsetzten.

Anzahl problematischer Websites

Von allen geprüften Webseiten enthielten über 95% Verstöße, die nach unserer Einschätzung eine Abmahnung rechtfertigen würden.
Selbst Webseiten von Unternehmen, die Security-Produkte oder Dienstleistungen mit Bezug auf Datensicherheit anbieten, waren oft voll von Unzulänglichkeiten.
Webseiten von Banken waren überdurchschnittlich oft ohne gravierende Mängel.

Weitere Statistiken

Die Angaben sind gerundet, bei Prozentwerten können in Summe so andere Werte als 100% entstehen.

Umfang der Webseiten

Der Umfang einer Webseite ergibt sich hier aus der Anzahl der Seiten (pages). Eine Seite ist etwa die Startseite, das Impressum oder die Seite mit der Datenschutzerklärung. Eine Webseite mit genau einer Seite ist ein sog. One-Pager. Aus Gründen der Effizienz wurden max. 950 Seiten pro Webseite untersucht. Es ist nicht auszuschließen, dass wegen dieser Limitierung eine im Einzelfall unvollständige Erfassung verwendeter Komponenten vorliegt.
Durchschnittlich enthielt eine Website ca. 300 Seiten.
Der Umfang der untersuchten Webseiten in Seiten samt Anzahl der Webseiten pro Größenkategorie:

  • 700 und mehr Seiten: 10,2%
  • 400 bis 699 Seiten: 22,0%
  • 200 bis 399 Seiten: 19,1%
  • 100 bis 199 Seiten: 13,0%
  • 50 bis 99 Seiten: 15,4%
  • 20 bis 49 Seiten: 11,3%
  • 2 bis 19 Seiten: 7,4%
  • One-Pager: 1,7%

Verwendete Analyse-Tools

Die analysierten Webseiten verwendeten folgende Analytics Bibliotheken in der angegebenen Häufigkeit (Angaben gerundet, Mehrfachnennung pro Website möglich):

  • Google Analytics: 62,8%
  • Piwik: 12,8%
  • INFOnline: 8,7%
  • Optimizely: 4,7%
  • WordPress Status: 4,6%
  • eTracker (kostenpflichtig): 3,5%
  • NewRelic: 2,3%
  • Kein Tracker: 14,5%

Wenn Google Analytics durch den Google Tag Manager nachgeladen wurde, konnten wir dies erkennen und in die Statistik aufnehmen.
Weitere verwendete Tools dieser Art sind vorhanden, aber nicht aufgeführt, weil deren Nutzungsgrad entsprechend gering ist oder eine automatische Erkennung nicht durchgeführt wurde. Vollständig lokal laufende Lösungen wie WP Statistics konnten nicht aufgeführt werden, weil sie an sich nicht erkennbar sind.

Webseiten-Systeme

Hierzu zählen Content Management Systeme (CMS), aber auch Homepage-Baukästen oder reines HTML. Die von den analysierten Seiten verwendeten Systeme sind:

  • WordPress: 24,7%
  • Typo3: 21,3%
  • Jimdo: 3,1%
  • HTML/Unbekannt, mit Cookies: 8,6%
  • HTML/Unbekannt, ohne Cookies: 2,9%
  • (Noch) Nicht ermittelt: 31,9%

Das populärste CMS, WordPress, wurde auch in unserer Statistik als Nummer eins bestätigt. Wir verwenden es ebenfalls.

Fazit

Wie unsere umfangreiche Untersuchung zeigt, gibt es so gut wie keine Webseite in Deutschland bzw. für den deutschen Markt, die konform mit dem TMG und den einschlägigen Datenschutzbestimmungen ist. Der versteckte Hauptgrund ist nach unserer Beobachtung die Tatsache, dass IP-Adressen als personenbezogene Daten gelten. Dies ist vielen zum jetzigen Zeitpunkt immer noch nicht bewusst. Selbst Anwälte wissen darüber oft nicht bescheid. Diese Unwissenheit lässt sich auch anhand des folgenden Satzes nachweisen, der in zahlreichen Datenschutzerklärungen zu finden ist:
Sie können diese Webseite in der Regel besuchen, ohne uns personenbezogene Daten zu hinterlassen.
Viele Verantwortliche meinen, ihr Webmaster, die Webagentur oder ein für die Rechtstexte auf der Webseite zuständiger Anwalt hätte ausreichend Kompetenz. Dies ist eindeutig nicht der Fall. Wir sagen voraus, dass auch Datenschutzbeauftragte, die durch die DS-GVO einen Boom erleben werden, im Allgemeinen nicht die nötige Kompetenz in derartigen Fragen vorweisen können.
Seit 2016, dem Jahr mit einigen richtungsweisenden Entscheidungen zum Datenschutz, reicht es bei weitem nicht mehr aus, den sogenannten Disclaimer im Impressum anzugeben. Man muss mittlerweile für jede Webseite, egal wie wenig Inhalt sie enthält, eine recht umfangreiche Datenschutzerklärung bereitstellen.
Die Konfiguration von Komponenten wie Google Analytics oder YouTube Videos vergrößert das Problem. Hier prallen zwei Welten aufeinander: Technik und Juristerei. Es reicht eben nicht, nur Rechtstexte einzubauen und davon auszugehen, dass diese automatisch eingehalten werden. Dementsprechend sind Textgeneratoren kaum geeignet, eine rechtlich halbwegs einwandfreie Datenschutzerklärung zu erhalten.
Die Bestandsaufnahme von auf einer Webseite verwendeten Komponenten ist mühsam bis unmöglich. Zumindest, wenn diese manuell vorgenommen wird. Ohne eine solche Inventarisierung ist aber eine korrekte Datenschutzerklärung nicht möglich.
Wegen der DS-GVO und ihren weitreichenden Konsequenzen kann nur empfohlen werden, vom Datentransfer hin zu Unternehmen, die nicht Mitglied der EU sind, nach Möglichkeit Abstand zu nehmen. Nicht umsonst wurde der Einsatz des Facebook Like Button in seiner von Facebook angebotenen Form in Deutschland gänzlich untersagt. Demnetsprechend empfehlen wir, Google Analytics - das bis dato populärste Analyseprodukt - gar nicht mehr einzusetzen, sondern lokal auf dem eigenen Server laufende Alternativen wie Piwik zu setzen. Dann spart man sich auch die Mühe, eine komplexe Auftragsdatenverarbeitung mit der Firma Google (Sitz Irland) per Briefpost abzuschließen, ganz zu schweigen von dem Wegfall des Opt-Out Cookies samt zugehörigem JavaScript-Code.

Schlussbemerkungen

Wir haben ein paar der Unternehmen kontaktiert, auf deren Webseite eindeutige und mehrfache Verstöße vorlagen. Die meisten Unternehmen haben aus verschiedenen Gründen nicht so reagiert, wie man es hätte erwarten dürfen. Hier die häufigsten Gründe, warum den offensichtlich vorliegenden Rechtsverstößen wenig oder keine weitere Beachtung geschenkt wurde:

  • Das Thema wird nicht ernst genommen und dringt nicht bis zum Verantwortlichen vor
  • Die Webagentur des Unternehmens wird als kompetent angesehen, ungeachtet der Tatsache, dass diese es offensichtlich nicht war/ist
  • Ein Anwalt, der eine Webseite in Rechtsfragen betreut, wird als kompetent angesehen - oder er hat ein Problem damit, indirekt zuzugeben, dass er der Komplexität der Materie nicht vollständig gewachsen ist
  • Mit der Webseite gab es bisher keine Probleme, warum soll das in Zukunft anders sein?
  • Man bemüht sich schon so sehr darum, alles korrekt zu machen, irgendwann muss mal Schluss sein
  • Für die Behebung von rechtlichen Problemen auf der Webseite wird kein Budget bereitgestellt

Diese Gründe wurden durch Interpretation der Rückmeldungen zusammengestellt, sie wurden wortwörtlich so u.U. nicht mitgeteilt.

Ein Service von

IT-Kompetenz seit 25 Jahren
Die Untersuchung und der Bericht wurden von der IT Logic GmbH angefertigt. Die Anwaltskanzlei Rodenberg ist für die IT Logic GmbH beratend tätig gewesen. Die IT Logic GmbH bietet keine Rechtsberatung an.

Fachanwalt für IT-Recht

Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn Sie diese Website ohne Änderung der Cookie-Einstellungen verwenden oder auf "Akzeptieren" klicken, erklären Sie sich damit einverstanden.

Schließen