Internet & IoT, News, Recht & Justiz, zAufi

Hundert durchsucht 30.000 Netzseiten in Sachsen auf Datenschutz-Verstöße

Tritt am 25. Mai 2018 auch in deutschland in Kraft: die neue Datenschutz-grundverordnung der EU. Fotos: hw, EU, Montage: Heiko Weckbrodt

Seit Mai 2018 in Deutschland in Kraft: die Datenschutz-Grundverordnung der EU. Fotos: hw, EU, Montage: Heiko Weckbrodt

2300 Betreiber bekommen nun Warnpost von der Datenschutzbeauftragten

Dresden, 13. Juni 2024. Die sächsische Datenschutzbeauftragte Juliane Hundert hat mit ihrem neuen informationstechnologischen (IT) Labor im Mai 2024 zirka 30.000 Internet-Auftritte aus Sachsen durchsucht. Dabei hat sie nach fehlenden oder zu einfachen Cookie-Bannern und anderen Verstößen gegen die Datenschutz-Gesetze gesucht. Dabei hatte sie vor allem Seiten im Visier, die „Google Analytics“ nutzen, um Nutzer zu zählen.

Sachsens Datenschutzbeauftragte Dr. Juliane Hundert. Foto: Ronald Bonß für die SDB

Sachsens Datenschutzbeauftragte Dr. Juliane Hundert. Foto: Ronald Bonß für die SDB

Datenschützerin: Tracking-Dienste gewähren tiefe Einblicke in Privatsphäre von Websitebesuchern

In 2300 Fällen wurden Hundert und ihr IT-Stab fündig – die Betreiber der entsprechenden Internet-Seiten bekommen in den kommenden Tagen Warn-Briefe. „Sollten Website-Betreibende diesem Hinweis nicht nachkommen, droht ihnen nach einer erneuten Überprüfung ein förmliches Verwaltungsverfahren“, kündigte Hundert an. Die Aktion sei im Interesse der Internet-Nutzer, argumentiert die Datenschutzbeauftragte: „Tracking-Dienste wie Google Analytics gewähren tiefgehende Einblicke in das Verhalten und die Privatsphäre von Websitebesuchern. Datenschutzrechtlich stehen die Interessen der Betreiberinnen und Betreiber deshalb zurück.“

Eigenes IT-Labor steht für Folge-Durchsuchungen bereit

Für solche Aktionen hat die Datenschutzbeauftragte kürzlich ein IT-Labor bekommen. „Zu den wichtigsten Werkzeugen gehört moderne Hard- und Software, mit denen wir Websites, Apps und IT-Produkte datenschutzrechtlich analysieren können“, berichtet Hundert. Damit bin ich mit meiner Behörde in der Lage, auch künftig Kontrollen in größerem Umfang vornehmen zu können.“

Im einst regelarmen Internet ist ein Regel-Dschungel gewachsen

Hintergrund: War das Internet bis Ende der 1990er Jahre als besonders regelarmes und unkompliziertes Netz zum freien Austausch über Ländergrenzen hinweg bekannt, haben die EU, die deutsche Regierung, Gerichte und weitere Institutionen in den vergangenen Jahren zahlreiche neue Richtlinien, Vorschriften und Urteile erlassen, um das Netz stärker durchzuregulieren. Dazu gehören beispielsweise der Digital Services Act (DSA), der Digital Markets Act, der Data Act, der Data Gouvernment Act, die E-Privacy-Verordnung, das Netz-Durchleitungsgesetz, mehrere Novellen im Urheberrecht, das Telemediengesetz, das „Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten“ (TTDSG) und dergleichen mehr.

Grundverordnung verschärfte Datenschutz in der Praxis stark

Speziell im Teil-Sektor „Datenschutz“ hatte vor allem die „Datenschutz-Grundverordnung“ (DS-GVO) ab 2018, deren besonders strenge Auslegung in Deutschland und die folgende Rechtsprechung die Bürokratie im Internet deutlich ausgeweitet. Statt Datenschutz für die Nutzer besonders leicht und rasch verständlich zu machen, wie von den Urhebern postuliert, hat die DS-GVO zu immer ausführlicheren Cookie-Aufklapp-Bannern und vielseitigen Datenschutzerklärungen geführt, da sich viele Netzseitenbetreiber in alle denkbaren Richtungen gegen teure Abmahnungen und den schwer durchschaubaren aktuellen Auslegungsstand der Datenschutz-Vorschriften absichern wollen.

Banner-Vorgaben ausgeweitet

Zu den jüngsten Regeländerung gehört, dass nun automatisch aufklappende Banner verpflichtend sind, die mindestens die Optionen enthalten, Cookies („Datensammel-Kekse“) abzulehnen, ihnen zuzustimmen und eine selektive Auswahl anbieten. Außerdem sollen sie nicht als Vorauswahl die „Zustimmung“ hervorheben. Dies war im Zuge neuerer Urteile – unter anderem durch den Europäischen Gerichtshof – und das TTDSG obligatorisch geworden. Ein schönes Beispiel, welches Rechts-Kauderwelsch Webseiten-Betreiber mittlerweile durcharbeiten sollen, ist die 42-seitige „Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien“ von 1. Dezember 2021 – und die ist nur als Kurzfassung und „schnelle“ Orientierung gedacht.

Datenschutz-Dschungel als Modernisierungs-Bremse kritisiert

Wiederholt gab es auch aus Wirtschaft und Politik diverse Kritik an der ausufernden Datenschutz-Praxis in Deutschland. In einer Bitkom-Umfrage im Herbst 2023 bekundete beispielsweise eine breite Mehrheit der befragten Unternehmen, dass die DS-GVO zu kompliziert und zu praxisfern sei. „In praktisch jedem Unternehmen sind Innovationsprojekte am Datenschutz gescheitert“, berichtet der Bitkom. Auf ähnliche Befunde kam der Deutsche Industrie- und Handelstag (DIHT) in einer eigenen Umfrage Anfang 2024. Eine der Kernaussagen dabei: „Auch nach sechs Jahren bleibt die Europäische Datenschutzgrundverordnung einer der größten Bürokratietreiber für deutsche Betriebe.“ Im Ausland werde die Verordnung weit unbürokratischer umgesetzt.

In der Unternehmensumfrage des Bitkom überwiegen fünf Jahre nach dem Start der DS-GVO in Deutschland die Nachteile die Vorteile durch die strengen Datenschutz-Regeln der EU. Grafik: Bitkom

In der Unternehmensumfrage des Bitkom überwiegen fünf Jahre nach dem Start der DS-GVO in Deutschland die Nachteile die Vorteile durch die strengen Datenschutz-Regeln der EU. Grafik: Bitkom

„Die Fehler der DSGVO dürfen sich nicht wiederholen“

Mittlerweile gilt vielen wirtschaftsnahen Verbänden die DS-GVO nahezu als Negativ-Beispiel dafür, wie deutsche Behörden und Datenschützer bei der Umsetzung von EU-Richtlinien übers Ziel hinausschießen und daraus einen „Goldstandard“ machen wollen. „Die Fehler der DSGVO dürfen sich nicht wiederholen“, forderte beispielsweise der Internetwirtschafts-Verband Eco mit Blick auf die neuen KI-Gesetze der EU. „Deutschland oder andere EU-Mitgliedsstaaten sollten bei der Regulierung … keine nationalen Sonderwege gehen.“ Ähnlich äußerte sich erst jüngst die sächsische Wirtschafts-Staatssekretärin Ines Fröhlich mit Blick auf den weltweiten Wettbewerb inmitten der digitalen Transformationen zahlreicher Volkswirtschaften: Sie habe den Eindruck, dass Datenschutz in Deutschland vor allem als Verhinderung von Datennutzung verstanden werde statt als Aufgabe, die Datennutzung unter klaren Regeln möglich zu machen. Dies dürfe sich bei den KI-Gesetzen nicht wiederholen.

Immerhin könnte die wachsende Durchregulierung des Internets Impulse für den Arbeitsmarkt haben: Weil mittlerweile ohne das Wissen spezialisierter Datenschutz-Auskenner ein rechtskonformer Betrieb von Internetseiten kaum noch möglich ist, machen sich Datenschützer mehr und mehr unentbehrlich.

Autor: Heiko Weckbrodt

Quellen: Sächsische Datenschutz- und Transparenzbeauftragte (SDTB), KI-Reise Fröhlich, Bitkom, DIHT, EIZ Niedersachsen, Eco, Wikipedia, Oiger-Archiv, Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder

Repro: Oiger, Original: Madeleine Arndt