Vor der Europawahl: Diese deutschen Spitzenkandidaten halten sich nicht an die DSGVO

Es entbehrt nicht einer gewissen Ironie: Auf den Tag genau drei Jahre ist das Inkrafttreten der Datenschutz-Grundverordnung, die seitdem den Umgang mit personenbezogenen Daten vorgibt, heute her. Seit einem Jahr ist sie unmittelbar anwendbar, die Umsetzung also vor dem Europäischem Gerichtshof einklagbar. Derzeit rühren die Spitzenkandidaten aller Parteien die Werbetrommel für die jetzt anstehende Europawahl. Und trotz verschiedenster politischer Standpunkte vereint am Ende doch fast alle eins: Ihre Wahlkampf-Webseiten sind größtenteils nicht wirklich DSGVO-konform.

Er gilt als Vater der Datenschutz-Grundverordnung: Jan-Philipp Albrecht saß von 2009 bis 2018 für die Grünen im Europäischen Parlament, war seit 2012 der Berichterstatter für die DSGVO. 3.999 Änderungsanträge hatte er berücksichtigt und eingearbeitet, wurde von der FAZ zum „Zuckerbergbesieger“ gekürt und bekam mit „Democracy – Im Rausch der Daten“ einen eigenen Dokumentarfilm. Man sollte also meinen, dass die Grünen in der DSGVO-Umsetzung ein Musterbeispiel sind.

Ist Ska Kellers Webseite nicht DSGVO-konform?

Doch genau das Gegenteil scheint der Fall zu sein. Beziehungsweise – etwas weniger dramatisch – hat an einer oder an mehreren Stellen, an denen die Webseite der europäischen Spitzenkandidatin der Grünen auf Einhaltung der Datenschutz-Grundverordnung hätte geprüft werden müssen, offenbar jemand geschlafen. Denn auf skakeller.de, so die Domain der Politikerin Ska Keller, fehlt dann doch die eine oder andere Einstellung, wie die Consent Management Platform Usercentrics jetzt herausgefunden hat.

Auszug aus der Webbkoll-Analyse der Domain skakeller.de

Mit Hilfe des Tools Webbkoll, das den Besuch einer Seite mit einem Browser wie Chrome simuliert, hat Usercentrics die Seiten deutscher Spitzenkandidaten für die Europawahl auf beispielsweise Cookie-Banner und Anzahl der Third-Party-Requests untersucht. Im Anschluss wurden die Ergebnisse mit einem weiteren Tool, disconnect.me, gegengecheckt, um Fehler zu vermeiden. Bei der Analyse hat sich das Unternehmen auf die sechs Spitzenkandidaten der im Deutschen Bundestag vertretenen Parteien beschränkt. Das Ergebnis in aller Kürze: Bei allen Seiten lässt sich eine eher laxe Umsetzung der DSGVO erkennen. Oder härter: Nahezu alle bleiben hinter den Anforderungen zurück.

Keine Opt-Out-Möglichkeiten, Ad-Cookies, dutzende Third-Party-Requests

Vor allem die Webseite von Grünen-Politikerin Ska Keller hat durchaus Nachholbedarf und sticht in der Reihe der sechs Kandidaten am meisten hervor. Insgesamt 111 Third-Party-Requests, also Anfragen, die nicht von der eigenen Domain skakeller.de stammen, weist Webbkoll aus. Außerdem erkennt das Tool fünf Third-Party-Cookies: vier von Youtube und einen von Doubleclick. Das wäre nicht weiter schlimm, wenn es erstens in der Datenschutzerklärung der Domain aufgeführt wäre und User zweitens per Banner-Klick dem Tracking widersprechen könnten. Das sogenannte Cookie-Banner, das User seit der DSGVO auf vielen Seiten ausgespielt bekommen, fehlt komplett, der Cookie der Doubleclick-Werbetechnologie lädt also, ohne dem User ein Opt-Out anzubieten und auch die Datenschutzerklärung ist unvollständig. Was wohl DSGVO-Vater Jan-Philipp Albrecht dazu sagt?

Cookie-Banner auf martin-schirdewan.eu (zum Vergrößern klicken)

Mit Martin Schirdewan von Die Linke hat noch ein weiterer Spitzenkandidat Doubleclick auf seiner Webseite eingebunden. Zwar weist er mit einem Banner die User auf die Verwendung von Cookies hin, eine Opt-Out-Funktion fehlt aber auch hier. In der Datenschutzerklärung findet sich diese ebenfalls nicht, hier können Nutzer lediglich dem Cookie der Analytics-Lösung Matomo widersprechen.

Cookie-Banner auf katarina-barley.spd.de (zum Vergrößern klicken)

Nicola Beer von der FDP und Katarina Barley von der SPD informieren auf ihren Webseiten zwar beide jeweils mit einem Banner über die Cookie-Speicherung, eine Wahl darüber, ob diese akzeptiert oder abgelehnt wird, haben die Besucher aber bei beiden nicht. Bei Barley findet sich im Banner außerdem noch der Hinweis: „Durch die Nutzung unserer Webseite erklären Sie sich mit der Verwendung von Cookies einverstanden.“ Ein Link führt dann zu den Datenschutzhinweisen auf die Domain der SPD – wer der Verarbeitung seiner Daten für Werbezwecke widersprechen möchte, müsse eine kurze Mail an den Datenschutzbeauftragen schreiben.

Und wie schneiden die Parteien rechts von der Mitte ab?

Jörg Meuthen, EU-Spitzenkandidat der AfD, hat als einziger aus dieser Runde keine eigene Homepage. Die Webseite der AfD, die Usercentrics stellvertretend für Meuthens Seite analysiert hat, wartet zwar mit einem Cookie-Banner inklusive Buttons zum Akzeptieren und Ablehnen auf – dennoch lädt im Hintergrund aber auch hier bereits eine Werbetechnologie (von One Signal), bevor der User sein Einverständnis gegeben hat.

Cookie-Banner auf manfredweber.eu/de/ (zum Vergrößern klicken)

Die wohl sauberste Umsetzung der in der DSGVO sehr allgemein gehaltenen Regeln zu Tracking und Cookies findet man auf der Seite von CSU-Politiker Manfred Weber: Cookie-Banner inklusive Optionen, zu akzeptieren oder abzulehnen, keine Werbetechnologien im Hintergrund – lediglich Google Analytics trackt auch hier direkt ohne konkrete Einwilligung des Users. Das Fazit von Mischa Rürup, CEO und Founder von Usercentrics, fällt eindeutig aus: „Aus Unternehmenssicht ist es völlig inakzeptabel, dass die Politiker, die für ein Gesetz verantwortlich sind, und deren Websites darunter fallen, es dann selbst nicht einhalten.“

DSGVO-konform, Verstoß oder Grauzonen?

Ein weiteres Fazit, was sich sicher eindeutig ziehen lässt: So richtig klar scheint auch den großen Parteien immer noch nicht zu sein, wie transparent welche Informationen Webseiten-Nutzern angezeigt werden müssen und wo sie wie widersprechen dürfen müssen. Dr. Nils Christian Haag, Rechtsanwalt und Vorstand der intersoft consulting services AG, kennt den Grund für die offensichtliche rechtliche Verwirrung: „Die Datenschutz-Grundverordnung klärt noch nicht eindeutig, was zulässig ist und was nicht. Die Tracking- und Cookie-Regeln sind noch sehr allgemein, mehr Klarheit wird wohl erst die ePrivacy-Verordnung bringen. Mit der ist aber nicht vor Ende dieses Jahres zu rechnen.“

Nils Christian Haag

Also verstoßen die Spitzenkandidaten nicht gegen die DSGVO? „Das lässt sich so klar eben nicht sagen. Natürlich wäre es eine rechtssichere Lösung und im Sinne der Aufsichtsbehörden, wenn Webseiten-Betreiber alle Tracker mit Opt-Ins versehen und entsprechende Cookies auch erst nach dem Zustimmen laden“, so Haag. „Rechtlich eindeutig ist das aber wie gesagt noch nicht. Webseiten-Betreiber können auch anderer Meinung sein und am Ende müsste ein Gericht entscheiden. So eine Entscheidung gibt es aber noch nicht.“ Klar sei allerdings auch jetzt schon, dass der Einsatz aller Tracker zumindest transparent gemacht werden muss – inklusive Opt-Out-Lösungen. Das ist beispielsweise bei Ska Keller von den Grünen nicht der Fall.

Dass die Datenschutz-Grundverordnung auch im Großen und Ganzen bisher nicht annähernd die gewünschten Effekte erzielen konnte, erklärt auch der US-Politik-Blog Politico in einem sehr lesenswerten Stück anlässlich des einjährigen Jubiläums des Inkraftretens der DSGVO. Der Titel: „How Silicon Valley gamed Europe’s privacy rules“. Das, was die Verordnung eigentlich bezwecken sollte, also den Bürgern mehr Transparenz und vor allem Kontrolle über die eigenen Daten zu verschaffen, sei demnach mitnichten eingetreten. Vielmehr hätten erneut die großen Tech-Player, Google, Facebook & Co., profitiert.