Sofatutor: Kurzanalyse der Datenschutzinformationen
Die nachfolgende Kurzanalyse bezieht sich auf die aktuell gültige Fassung der Datenschutzinformation (13.11.2022). Der Verantwortliche stellt keine Historie zur Verfügung. Auf eine frühere Version, beispielsweise vom Juni 2022, kann mithilfe der Wayback Maschine zugegriffen werden. Die Kurzanalyse erhebt keinen Anspruch auf Vollständigkeit – die Datenschutzinformation wurde auf augenscheinliche Mängel untersucht und dient als Ergänzung zu Mikes Erkenntnissen: Sofatutor: Übermittlung personenbeziehbarer Daten von Kindern an TikTok, Facebook und Co. (7. November 2022)
Gastbeitrag von lacrosse
Lacrosse ist betrieblicher Datenschutzbeauftragter in der Konzerndatenschutzorganisation einer deutschen Unternehmensgruppe. In seiner Freizeit engagiert er sich ehrenamtlich, um gemeinnützigen Vereinen bei der Umsetzung der DSGVO zu helfen.
Feedback und Fragen können direkt an ihn gerichtet werden. Spenden für seine Arbeit möchte er direkt dem Kuketz-Blog zukommen lassen. Ihr könnt also direkt an den Kuketz-Blog spenden.
Punkt Allgemeines
Die Formulierung in Absatz 2 ist eine Aufzählung von rechtlichen Grundlagen. Einen konkreten Informationsgewinn hat der Betroffene davon nicht. Zudem fehlt es den Informationen an Klarheit und Genauigkeit.
[…] Sofern die Rechtsgrundlage in dieser Datenschutzerklärung nicht ausdrücklich genannt wird, gilt Folgendes: […]
Der Stil, mit dem Informationen zur Verfügung gestellt werden (wenn das nicht ausdrücklich genannt, dann gilt das), ist unpräzise. D.h. die Formulierung hat stilistisch keinen hinreichenden Grad an Genauigkeit. Es ist für den Betroffenen schwer nachzuvollziehen und damit intransparent, auf welche Rechtsgrundlage sich welche Verarbeitungstätigkeit stützt.
Siehe: Transparenzanforderung in Art. 5 (1) lit. a) DSGVO, sowie Art. Formulierungsanforderungen in Art. 12 (1) DSGVO.
In Absatz 5 bezüglich für Datenübermittlungen in Drittländer (außerhalb des EWR; ohne geeignetes Datenschutzniveau) ist ebenso allgemein gehalten, wie die Informationen in Absatz 2.
Sofern wir Daten in einem Drittland […] auf Grundlage Ihrer Einwilligung, aufgrund einer rechtlichen Verpflichtung oder auf Grundlage unserer berechtigten Interessen geschieht […]
Eine Datenübermittlung in ein Drittland kann nicht auf ein berechtigtes Interesse gestützt werden. Die DSGVO sieht dies nicht vor.
Siehe: Anforderungen für eine Datenübermittlung in ein Drittland in Art. 44ff DSGVO, sowie aufgrund der mangelnden Genauigkeit Art. 5 (1) lit. a) DSGVO, sowie Art. 12 (1) DSGVO.
Punkt Cookies
Die Verarbeitungstätigkeiten im Zusammenhang (Speichern und Auslesen) kann nicht auf ein berechtigtes Interesse nach Art. 6 (1) lit. f) DSGVO gestützt werden.
Gleichzeitig ist beispielsweise die Formulierung »Optimierung und Auswertung unseres Onlineangebots« erneut zu allgemein und unpräzise. Laut den Leitlinien für Transparenz des Europäischen Datenschutzausschusses (Beispiele Seite 10ff) sind derartige Formulierungen nicht hinreichend klar.
Wir verwenden Cookies um unsere Website nutzerfreundlich zu gestalten und bestimmte Einstellungsmöglichkeiten und Funktionalitäten zur Verfügung zu stellen. Rechtsgrundlage für die Verwendung von Cookies ist dabei sowohl Art. 6 Abs. 1 S. 1 lit. a und b DSGVO als auch unser berechtigtes Interesse an der Optimierung und Auswertung unseres Onlineangebots gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO
Das Speichern und das Auslesen von Cookies (auch aller anderen Informationen) auf dem Rechner bzw. Endgerät eines Verbrauchers unterliegt den Regelungen von § 25 des Gesetzes zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG). Dazu die DSK in ihrer Handreichung für Telemedien (2021):
Bei der Prüfung der Voraussetzungen ist zu beachten, dass § 25 TTDSG eine andere Systematik aufweist als Art. 6 Abs. 1 DS-GVO. § 25 TTDSG sieht nur zwei Legitimationsmöglichkeiten vor.
Es findet sich kein Verweis auf das TTDSG in der Datenschutzinformation.
Siehe: § 25 TTDSG, sowie aufgrund der mangelnden Genauigkeit Art. 5 (1) lit. a) DSGVO, sowie Art. 12 (1) DSGVO.
Sie können die Speicherung von Cookies durch Ihre Browsereinstellungen verhindern. In diesem Fall ist jedoch das Angebot von sofatutor nur eingeschränkt nutzbar.
Datenschutzrechtliche Pflichten, wie z.B. geeignete Maßnahmen für den Widerspruch gemäß Art. 21 DSGVO oder der Widerruf einer Einwilligung gemäß Art. 7 (3) DSGVO obliegen dem Verantwortlichen. Sie können nicht auf den Betroffenen »abgewälzt« werden. Denn die Verwendung bzw. die Integration externer Dienste ist eine geschäftliche Entscheidung des Verantwortlichen und daher sind die Verarbeitungstätigkeiten in seinem Verantwortungsbereich.
Siehe: Erleichterung von Betroffenenrechten durch den Verantwortlichen in Art. 12 (2) DSGVO.
Punkt E-Mail-Kommunikation und Werbung
Ein wiederkehrender Mangel der Datenschutzinformationen ist, dass der Betroffene keine Klarheit darüber hat, welche Garantien für Drittland-Datentransfers gemäß 44ff DSGVO verwendet werden. Wie oben schon geschildert, die Datenübermittlung in ein Drittland kann nicht auf ein berechtigtes Interesse gestützt werden.
(…) Dies gilt auch für die Bewerbung unseres kostenpflichtigen Angebots, sowie Sie durch Anlegung eines Nutzerkontos zunächst nur Zugriff zu unserem kostenfreien Angebot gewählt haben. Die Rechtsgrundlage dieser Verwendung findet sich in Art. 6 Abs. 1 lit. f DSGVO i.V.m. § 7 Abs. 3 UWG. (…)
sofatutor nutzt für die Versendung von Angeboten und Informationen per E-Mail die Anbieter Episerver GmbH (Deutschland) und SendGrid der Twilio Inc. (USA). Hierbei werden E-Mail-Adressen, Namen sowie weitere Informationen hinsichtlich Ihrer Interaktion mit unseren E-Mails auf Servern dieser Anbieter gespeichert. Personenbezogene Daten dürfen jedoch von diesen Anbietern nicht für andere Zwecke als die Versendung von E-Mails im Auftrag von sofatutor verwendet werden.
Siehe: Art. 44ff DSGVO.
Punkt Webanalyse & A/B-Testing
Grundsätzlich ziehen sich obige Kritikpunkte auch durch den Punkt A/B-Testing. Einige Punkte seien hier kurz geschildert:
- das Auslesen der IP-Adresse (Informationen aus einem Endgerät) durch Google Analytics wird beispielsweise nicht dem TTDSG zugeordnet.
- es wird auf Art. 6 (1) lit. a) DSGVO oder Art. 6 (1) lit. f) DSGVO als Rechtsgrundlage verwiesen. Dies ist erneut unpräzise und z.B. im Falle der IP-Adresse (es kommt eine IP-Anonymisierung zum Einsatz), die von Google Analytics erhoben wird, kann diese Verarbeitungstätigkeit nicht auf ein berechtigtes Interesse gestützt werden. Die Anonymisierung der IP-Adresse ist unerheblich, da Art. 25 TTDSG vom Auslesen von Informationen spricht – auf den Personenbezug kommt es nicht an.
- der Widerruf der Einwilligung bezgl. Google Analytics soll mittels des Downloads eines Browser Plug-ins erfolgen. Dies steht im Widerspruch zu Art. 7 (3) DSGVO. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein – sofern man davon ausgeht, dass eine Einwilligung die rechtliche Grundlage darstellt.
- Es werden diverse Drittanbieter eingebunden, darunter convert, Hotjar, Lucky Orange usw. Zwar werden die Verarbeitungstätigkeiten teilweise etwas genauer beschrieben. Allerdings wird dann durchweg auf meist englischsprachige Widerrufs- bzw. Widerspruchslösungen oder Datenschutzinformationen von Drittfirmen verwiesen. Die Informationspflicht aus Art. 13 bzw. 14 DSGVO obliegt den Verantwortlichen ebenso, wie geeignete Maßnahmen für Widerspruch und Widerruf zu treffen Es stellt zudem keine Erleichterung von Betroffenenrechten dar, wenn Nutzer*innen sich der Datenverarbeitung von Drittanbietern aussetzen müssen, um jene Rechte wahrzunehmen. Der Beweggrund von Betroffenen bei Widerruf oder Widerspruch bezweckt genau das Gegenteil.
Punkt Marketing- & Werbeanbieter
Obige Kritikpunkte, vor allem bezogen auf die Einbindung von Drittanbietern und Datenübermittlung in ein Drittland, finden sich auch hier.
Zum Consent-Banner der Webseite
Der Verantwortlich verwendet ein (Cookie-)Consent-Banner:
Aus der Datenschutzinformation geht nicht ausreichend präzise hervor, welche datenschutzrechtliche Grundlage für Datenübermittlungen in Drittländer gilt.
Entnimmt man diese Information obigem Consent-Banner, kann man davon ausgehen, dass eine Einwilligung zum Einsatz kommt (»umfasst Ihre Einwilligung auch die Übermittlung von Daten in Drittländer«). Art. 49 (1) lit. a) DSGVO sieht, für diese Konstellation, eine ausdrückliche Einwilligung für bestimmte Fälle (nach vorheriger Risikoaufklärung vor) – gleichzeitig sind die allgemeinen Anforderungen an eine Einwilligung des Art. 7 DSGVO zu beachten.
Ob grundsätzlich die Anforderungen des Art. 7 DSGVO an eine informierte Einwilligung – aufgrund der ungenauen Datenschutzinformationen – überhaupt erfüllt sind, muss in Frage gestellt werden.
Die abstrakte Feststellung, dass Drittländer kein vergleichbares Datenschutzniveau aufweisen, stellt allerdings kaum eine angemessene und konkrete Aufklärung über die Risiken dar, wie Art. 49 (1) lit. a) DSGVO dies fordert.
Die Überschrift des Art. 49 DSGVO lautet »Ausnahmen für bestimmte Fälle«, d.h. Pauschaleinwilligungen (wie vorliegend) können nicht hierunter fallen, da es ihnen an Bestimmtheit mangelt. Eine abgestufte, weiterführende Risikoaufklärung in der Datenschutzinformation war nicht auffindbar.
Regelungen zum Widerruf einer Einwilligung bzw. Widerspruch gemäß Art. 21 DSGVO
Die Erteilung einer Einwilligung ist mittels nur eines Klicks im Consent-Banner möglich – eine etwaige technische Umsetzung des Widerrufes fehlt. Der Widerruf einer Einwilligung soll mittels einer E-Mail an den Verantwortlichen erfolgen – es handelt sich um einen aufwändigeren Weg, als die Erteilung einer Einwilligung. Dies steht im Widerspruch zu Art. 7 (3) DSGVO. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.
Fazit
Die Datenschutzinformation weist Mängel in Bezug auf Transparenz, Genauigkeit und Klarheit auf. Vor allem ist unklar, auf welche Rechtsgrundlage sich eine Datenübermittlung in ein Drittland konkret stützt – im Ergebnis muss es zu Problemen mit den Anforderungen des Artikel 13 (1) lit. f) DSGVO bzw. Art. 14 (1) lit. f) DSGVO kommen.
Ein einfacher Widerruf der Einwilligung ist nicht möglich, der Betroffene muss einen aufwändigeren Weg beschreiten oder wird auf die Maßnahmen von Drittanbietern verwiesen.
Zudem ist der Verantwortliche, was datenschutzrechtliche Anforderungen betrifft, nicht auf dem aktuellen Stand – die Anwendbarkeit des TTDSG scheint ihm entgangen zu sein.
In der Gesamtschau können sich Eltern und Lehrkräfte kaum ein klares Bild von der Verarbeitung von personenbezogenen Daten oder Informationen, durch den Anbieter, machen. Dies ist insbesondere besorgniserregend, da Daten von Kindern verarbeitet werden. Allerdings muss man nach Lektüre der Datenschutzinformation feststellen, dass offenbar zwischen Daten von Kindern und Erwachsenen kein Unterschied gemacht wird.