Willkommen beim Web Privacy Check!

Web Privacy Check verfolgt datenschutzfördernde Features auf Websites und unterstützt Sie dabei herauszufinden, wer Sie das Recht auf Ihre Privatsphäre ausüben lässt. Wir prüfen, in welchem Umfang eine Website Ihr Verhalten überwacht und wie viel sie darüber an Drittanbieter weitergibt. Wir haben zudem eine Reihe von Empfehlungen für Webdesigner und -manager darüber zusammengestellt, wie man in digitalen Umgebungen nicht trackt oder Informationen nicht weitergibt. Wir regen außerdem Websitebesucher dazu an, Fragen und Feature-Anfragen zu stellen, um Webmaster auf die Möglichkeit zur Verbesserung aufmerksam zu machen.

Was ist Datenschutz?

Datenschutz ist ein Grundrecht in der Europäischen Union. Es ist eine Sammlung von administrativen und formalen Anforderungen an das Sammeln, Verarbeiten und Verwenden von personenbezogenen Daten. Der Zweck dieses Schutzes ist es, Personen mit den Mitteln auszustatten, die sie zur Ausübung ihres Rechts auf Privatsphäre benötigen. Das Datenschutzrecht garantiert dem Einzelnen Transparenz, Wahlmöglichkeiten und Wissen in Bezug darauf, wer ihn beeinflusst und unter welchen Bedingungen.

Im Mai 2018 ist ein neues Gesetz zum Datenschutz in der Europäischen Union in Kraft getreten. Es handelt sich um eine Verordnung, die in allen 28 Mitgliedsstaaten gleichermaßen gilt.

Was ist „Verhaltensmonitoring“?

Mit Verhaltensmonitoring oder „Profiling“ ist gemeint, dass jemand beobachtet, wie eine bestimmte Person oder eine Personengruppe sich normalerweise verhält. Dies beinhaltet auch Beobachtungen darüber, ob eine bestimmte Personengruppe, zum Beispiel junge Menschen oder Frauen mit mittlerem Einkommen, häufig bestimmte Deeplinks besuchen, ob sie oft bestimmte Vokabeln nachschauen müssen oder dass sie auf der Website über eine bestimmte Suchmaschine oder soziale Plattform gelandet sind. Verhaltensmonitoring wird dazu verwendet herauszufinden, was bestimmte Personengruppen interessant, schwierig oder lustig finden könnten.

Es umfasst auch die Einstufung von Einzelnen in diese Gruppen. Sobald ein Webseitenbesucher in eine bestimmte Kategorie gesteckt wird, kann es passieren, dass er positiv oder negativ diskriminiert wird aufgrund dieser Einstufung.

Profiling wird meist in der Werbeindustrie genutzt, um zu entscheiden, welcher Art der Werbung der Einzelne ausgesetzt sein soll. Eltern von kleinen Kindern oder Menschen, die Eltern kleiner Kinder kennen, könnten Werbung für Windeln, Kinderwagen oder Familienurlaube erhalten. Profiling wird verstärkt genutzt, um zu entscheiden, welche Inhalte von Zeitungen angeboten werden. Die oben genannten Gruppen könnten zum Beispiel kurze Artikel über Neugeborene erhalten, wenn sie Schlange stehen (und wenig Zeit haben), oder längere Artikel über Neugeborene, wenn sie sich in einem Zug befinden (und mehr Zeit haben).

Profiling kann zusätzlich dazu genutzt werden, um politische Meinungen zu formen, indem man zum Beispiel bestimmte Personengruppen mit politischen Informationen versorgt oder Maßnahmen gegen Personengruppen basierend auf deren vermuteten Charakteristiken erlässt. Diese Art der politischen Arbeit wird „Nudging“ genannt und kann auch eingesetzt werden, um die Akzeptanz bestimmter Maßnahmen (wie die Errichtung eines öffentlichen Parks) bei bestimmten Personengruppen (wie bei denjenigen, die in der Nähe des geplanten Parks leben) zu erhöhen.

Was bedeutet „Gossiping mit Drittanbietern“?

Wir verwenden den Begriff „Gossiping“ für den Umstand, dass Informationen über das Verhalten, die Lesegewohnheiten oder die Vorlieben des Einzelnen an jemand anderen als den für die Website Verantwortlichen übermittelt werden.

In der modernen Webentwicklung ist es üblich geworden, dass eine Website nicht nur von einem Standort aus betrieben wird. Wenn Sie eine Website besuchen, treten Sie nicht nur in Kontakt mit den Seitenbetreibern sondern auch mit all den Unternehmen und Organisationen, mit denen diese zusammenarbeiten. Dies können Internet-Provider, Skript-Provider, Font-Provider, Analyse-Tool-Provider und eine Vielzahl von anderen Providern sein. Wenn der Seitenbetreiber Informationen über Besucher an einen dieser Drittanbieter übermittelt, ist dies eine Form des „Gossiping“, denn für die Besucher ist es meist nicht offensichtlich, dass solche Informationen übergeben werden.

Ein Webshop könnte zum Beispiel das Profiling der Besucher an eine Werbeagentur abgeben, und eine Behörde könnte seine Website so erstellt haben, dass sie automatisch Daten über das Benutzerverhalten an Werbetreibende übergibt. Werbetreibende sind die häufigsten und am wenigsten transparenten Drittanbieter.

Wie lauten die Grundsätze der EU-Datenschutz-Grundverordnung?

Die Datenschutz-Grundverordnung der Europäischen Union ist am 25. Mai 2018 in Kraft getreten und bezieht sich auf den Machtausgleich zwischen diesen beeinflussenden Personen (normalerweise Unternehmen und Behörden) und den Personen selber. Der Web Privacy Check ist ein Tool, mit dem herausgefunden werden kann, wer Informationen über Personen sammelt und was getan werden kann, um das nicht sichtbare Tracking zu stoppen.

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz

Eine Person sollte die Interaktionsbedingungen mit anderen nachvollziehen können. (5(1)(a))

Der Web Privacy Check sieht in dem Grundsatz „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz“ eine Forderung danach, dass Personen nachvollziehen können sollten, mit wem sie in Kontakt treten, wenn sie eine Website besuchen. Wenn eine Werbeagentur oder ein anderes Unternehmen, wie ein Internetanbieter, leichten Zugang zu Verhaltensdaten hat, sollte die Person das wissen. Wenn eine Person von diesen Parteien beeinflusst werden kann, sollte sie es ebenfalls wissen können. Eine Person sollte nicht Webentwicklung beherrschen oder ausgefeilte technische Tools besitzen müssen, um derartiges herausfinden zu können. Auch wenn der Grundsatz der Transparenz unkompliziert ist, werden in den Artikeln 13-20 zulässige Abweichungen von der Verordnung aufgelistet.

Transparenz bedeutet auch, das Recht zu haben, es zu erfahren, wenn etwas schief gelaufen ist: Wenn Sie Daten über Personen gesammelt haben und diese durchgesickert oder verloren gegangen sind, hat die betroffene Person das Recht dies zu erfahren. Dies wird „Meldung von Verletzungen des Schutzes personenbezogener Daten“ genannt und die genauen Vorschriften dazu stehen in Artikel 34 der Verordnung.

Zweckbindung

Daten sollten nur für festgelegte und bedingte Zwecke gesammelt werden. Diese Zwecke sollten eindeutig und verständlich sein. (5(1)(b))

Der Zweck zur Sammlung von Daten kann breit ausgelegt werden und umfasst alles vom Marketing bis zur Verbesserung des Netzes. Wir vom Web Privacy Check bevorzugen Methoden zur Netzverbesserung, die nicht das Sammeln von persönlichen Daten einbeziehen. Darum haben wir eine große Anzahl an Empfehlungen und Tools zusammengestellt, die das Sammeln von Daten minimieren.

Datenminimierung

Es sollten nur so viele Daten gesammelt werden wie notwendig sind, um den Zweck zu erfüllen. (5(1)(c))

Abhängig von den Zwecken zur Sammlung von personenbezogenen Daten kann Datenminimierung unterschiedliches bedeuten. Mit dem Web Privacy Check lässt sich leicht herausfinden, wie man keine personenbezogenen Daten sammelt und wie man nicht unbeabsichtigt personenbezogene Daten ausgibt. Sollte man sich dennoch für das Sammeln personenbezogener Daten entscheiden, muss man dies transparent machen und zusätzlich den Regeln in Kapitel 4 der Verordnung folgen. Die Regeln für das Sammeln und Weiterverarbeiten personenbezogener Daten sollen sicherstellen, dass derjenige, der sich für die Datensammlung entscheidet, auch über die Konsequenzen solcher Entscheidungen nachdenkt.

Richtigkeit

Persönliche Daten sollen sachlich richtig sein und wenn sie dies nicht sind, muss es ein Verfahren zur Berichtigung geben.

Dieser Grundsatz betrifft vor allem Informationen, die von Behörden oder Unternehmen gesammelt werden, zum Beispiel in der Kreditwirtschaft. In der Webentwicklung sind „Fuzzy“-Datensätze üblicher und die Folgen der Falscheinstufung in einen bestimmten Profiling-Vorgang sind normalerweise nicht schlimmer, als dass man Onlinewerbung erhält, die nicht wirklich der eigenen Zielgruppe entspricht.

Speicherbegrenzung

Persönliche Daten sollten nicht länger als nötig gesichert oder gespeichert werden.

Diese Recht knüpft an die Zweckbindung und die Datenminimierung an. Wenn man den Empfehlungen des Web Privacy Check folgt, muss man sich nicht so sehr um diesen Grundsatz sorgen.

Integrität und Vertraulichkeit

Daten sollten auf sicherem Wege verarbeitet werden, sowohl organisatorisch als auch technisch.

Mit dem Web Privacy Check lässt sich leicht herausfinden, welche technischen Schutzmaßnahmen zum Datenschutz auf einer bestimmten Seite vorhanden sind. Wir haben Maßnahmen zusammengestellt, die keine großen organisatorischen Veränderungen nach sich ziehen und auch nicht die Kosten für das Webmanagement erhöhen sollten. Die meisten unserer Empfehlungen sind leicht zu implementieren und kostenneutral. Unser Ziel ist es, es dem Einzelnen so leicht wie möglich zu machen sein Rechte auf Privatsphäre und Datenschutz auszuüben und zudem Webdesigner und -manager mit einfachen „Faustregeln“ auszustatten, mit denen sie dem Einzelnen helfen können diese Rechte auszuüben.

Rechenschaftspflicht

Derjenige, der für die Website verantwortlich ist, ist auch verantwortlich für die Einhaltung dieser Grundsätze.

Da Haftung eine schwere Bürde sein kann, bietet der Web Privacy Check eine große Anzahl von Empfehlungen für den Datenschutz, die vielleicht sogar weiter gehen als das, wofür man haftbar gemacht werden kann. Wir wollen den bestmöglichen Datenschutz mit der kleinsten administrativen Last ermöglichen. Die Regeln der Datenschutzverordnung lassen es deshalb so bürokratisch und langweilig erscheinen keine Daten zu minimieren, damit jeder Akteur in der Gesellschaft, der andere beeinflussen möchte, sich genau überlegen muss, auf welchem Wege er solche Macht benutzt.