Fehlstart der neuen Website der Stiftung Datenschutz – wo sind die Datenschutzhinweise?

Datenschutz

Seit heute ist die neue Website der Stiftung Datenschutz online.

Sieht optisch ja ganz in Ordnung aus. Was mich jedoch gewundert hat, ist, dass ich keine Datenschutzhinweise auf der Website gefunden habe. Habe ich mich da etwa vertan? Aber ich sehe auch beim zweiten und dritten Hinsehen keine Datenschutzhinweise oder einen Link dazu.
Stiftung Datenschutz
Lediglich ein Impressum kann ich finden, aber auch dort vermisse ich etwaige Hinweise zur Verwendung von personenbezogenen Daten auf dieser Website.

Aber muss nicht nach § 13 Abs. 1 TMG ein Diensteanbieter über Zweck über Art, Umfang und Zweck der Erhebung und Verwendung von personenbezogenen Daten in Datenschutzhinweisen unterrichten? Ja, das ist richtig.

Okay…dann kann es natürlich auch sein, dass gar keine personenbezogenen Daten verarbeitet werden. Vielleicht wird die IP-Adresse sofort gelöscht und auch sonstige Daten über HTTP-Requests gar nicht erst protokolliert. Vielleicht ist das Logging im Webserver also komplett deaktiviert? Ja, das mag sein. Aber wäre es denn nicht trotzdem dann erst recht guter Stil, die Besucher hierüber zu informieren? Ich finde schon.

Aber weiter im Takt…bei meiner Prüfung (Stand: 26.06.2013) wurden auch keine Cookies auf der Website eingesetzt. Auch gut.

Dann aber habe ich doch einen Grund dafür gefunden, dass die Website der Stiftung Datenschutz gegen die Informationspflicht des § 13 Abs. 1 TMG verstößt. Ein Blick in den Sourcecode bringt nämlich zum Vorschein, dass auf der Website zum einen Webfonts zum Einsatz kommen. Das ist jetzt per se erst einmal kein Skandal, zumal diese in datenschutzfreundlicher Weise lokal eingebunden werden.

Dann findet sich im Sourcecode aber Folgendes:

sourcecodestifung

Hier wir also JQuery eingebunden, was nun auch nichts wirklich Schlimmes ist. ABER: Die Einbindung erfolgt über die Google API Server, die meines Wissens natürlich in den USA stehen und damit auch dem üblichen Logging von Google unterliegen. Finde ich das an sich schlimm? Nein.

Was aber wirklich – und das ist noch geschmeichelt – semiprofessionell ist, ist, dass die Stiftung Datenschutz es dennoch nicht für notwendig hält, hier Datenschutzhinweise vorzuhalten. Muss Sie das denn? Ja, sie muss. Denn nach § 13 Abs. 1 TMG muss insbesondere auch über eine Verarbeitung von personenbezogenen Daten in Drittstaaten, also Staaten außerhalb der EU, informiert werden. Genau das ist hier nicht der Fall. Da beim dem Aufruf von Google-Servern in jedem Fall auch die IP-Adresse übermittelt und diese von Google nach eigenen Angaben auch gespeichert wird, kann in jedem Fall von einer Verwendung personenbezogener Daten ausgegangen werden.

Schade, das hätte wirklich ein bisschen professioneller laufen können mit der Website der Stifung. Übrigens stellt ein Verstoß gegen die Informationspflicht des § 13 Abs. 1 TMG nach § 16 Abs. 2 Nr. 2 TMG eine Ordnungswidrigkeit dar, die mit einer Geldbuße von bis zu 50.000,00 € geahndet werden kann. Na dann…vielleicht wird der Fehler ja noch behoben.

Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.