Datenschutzbeschwerde: Mal wieder eine Rückmeldung

Nach gut einem halben Jahr gab es mal wieder eine Rückmeldung bzgl. einer von mir bei der Datenschutzbehörde gemeldeten Webseite einer deutschen Stadt.

Das Ergebnis ist meiner Meinung nach so wie diese ganze Datenschutz-Geschichte: Unbrauchbar und nicht eindeutig genug.

Was hatte ich gemeldet?

  • Dass der eTracker-Dienst eingesetzt wird ohne das in der Datenschutzerklärung darauf hingewiesen wird. Zusätzlich hatte ich auch einfach mal ein fehlendes Opt-In in diese Verarbeitung angemeckert.
  • Dass im Kontaktformular viel zu viele Daten verpflichtend einzugeben sind, die eiegntlich für die Kontaktanfrage nicht nötig sind.

 

Was ist passiert?

  • Die Stadt hat nun den eTracker-Dienst, meiner Meinung nach nicht gerade ausführlich, in Ihrer Datenschutzerklärung aufgeführt. Ein paar Zeilen wurden dem Dienst gewidmet.
  • Es wurde zusätzlich eine Opt-Out-Möglichkeit für den eTracker-Dienst geschaffen und ist in der Datenschutzerklärung aufrufbar.
  • Das Kontaktformular wurde auf die nötigen Pflichtangaben reduziert und der Rest ist nur noch optional anzugeben.

 

Was mich an der Antwort der Behörde stört?

Eine Formulierung der Datenschutzbehörde die wie folgt anfängt: „Nach meiner Auffassung…“. Sorry, aber es hat keine persönliche Auffassung zu geben. Entweder ist etwas nun gesetzlich erlaubt oder nicht. Und genau das ist das Problem: Es ist für niemanden, auch bei den Behörden, möglich herauszufinden ob bestimmte Dinge nun zu 100% entsprechend der DSGVO korrekt umgesetzt wurden. Laut der Auffassung des Datenschutzbeauftragten ist der eTracker-Dienst, da er im Gegensatz zu Google Analytics angeblich lokal auf einem eigenen Server betrieben wird und keine Daten an einen Drittanbieter gehen, nicht Opt-In-pflichtig. Dies würde ich auch so sehen, wenn es sich dabei wirklich um eine lokal betriebene Analyse-Software wie Matomo handeln würde 😀

Denn damit liegt der Mann von der Behörde leider falsch, da der Dienst defintiv nicht lokal auf einem eigenen Server der Stadt betrieben wird. Dies ist schon durch einen einfachen Blick in den Quellcode der Webseite ersichtlich, wo eindeutig die entsprechenden Skripte von der Webseite etracker.com geladen werden. Laut eTracker selber soll alles DSGVO-konform und kein Opt-In erforderlich sein. Über die Opt-In-Pflicht für Tracking mit Cookies und die Datenübermittlung an einen Anbieter ist man sich bisher nicht sowieso nicht einig. Eins steht fest: Die Datenschutzbehörden werden dies derzeit defintiv nicht abschließend klären.

Positiv ist allerdings, dass man bei vielen Dingen, wie die eTracker-Geschichte zeigt, anscheinend weiterhin Narrenfreiheit hat, zumindest in Bezug auf die Behörden.

Schreibe einen Kommentar