Ein erheblicher Teil des Parlaments hat den Datenschutz der eigenen Wähler:innen verletzt. 289 Bundestagsabgeordnete haben illegale Datenschutzerklärungen auf ihren Websites und ermöglichen US-Plattformen, politisch interessierte Bürger:innen quer durch’s Netz zu verfolgen.
Eine Analyse von netzpolitik.org zeigt, dass sich die Datenschutzerklärungen von vielen Abgeordneten auf die vor einem halben Jahr gekippte Privacy-Shield-Regelung stützten. So auch die Fraktionschefs Christian Lindner (FDP), Katrin Göring-Eckardt (Grüne) und Alice Weidel (AfD) – zumindest bis vor wenigen Tagen. Nach unserem Hinweis haben bereits einige Mandatsträger:innen Mängel in ihren Datenschutzhinweisen behoben.
Der Europäische Gerichtshof urteilte im Juli, dass in den USA kein vergleichbares Datenschutzniveau wie in Europa herrscht. Es drohe Massenüberwachung durch die NSA und andere US-Geheimdienste. Das sei unvereinbar mit europäischen Grundrechten. Die Nutzung des Privacy Shield sei unzulässig, da europäische Daten nicht vor dem Zugriff der US-Geheimdienste geschützt seien.
Auch Websites von Merkel und Spahn betroffen
Verweise auf das Privacy Shield fanden sich bis zuletzt auf den persönlichen Websites von Bundeskanzlerin Angela Merkel, ihres Kanzleramtsministers Helge Braun und Gesundheitsministers Jens Spahn (alle CDU) sowie bei Hubertus Heil (SPD) und Gerd Müller (CSU). Die genannten Regierungsmitglieder haben ein Bundestagsmandat.
Insgesamt stützten sich nach Zählung von netzpolitik.org 41 Prozent der Abgeordneten auf die ungültige Klausel. Auch Netzpolitiker:innen wie Anke Domscheit-Berg (Linke) und Lars Klingbeil (SPD) beriefen sich auf Privacy Shield, ebenso wie der digitalpolitische Sprecher der Union, Tankred Schipanski, und der Vorsitzender des Ausschusses Digitale Agenda, Manuel Höferlin (FDP).
Die persönliche Webpräsenz der Kanzlerin wird offenbar von der CDU-Parteizentrale verwaltet. Klickt man bei angela-merkel.de (nachdem ein Datenschutz-Plugin die Google Tracking-Cookies abgewehrt hat) weiter zur Datenschutzerklärung, landet man auf der Partei-Hauptwebsite. cdu.de verweist auf das Privacy Shield. spd.de und fpd.de machen das auch.
Die CDU-Zentrale argumentiert auf Anfrage, dass durch die Entscheidung des EuGH Rechtsunsicherheit entstanden sei. Bevor die CDU ihre Datenschutzerklärung ändert, will sie die Ergebnisse von zwei Taskforces des Europäischen Datenschutzausschusses abwarten. „Selbstverständlich wird sich die CDU Deutschlands nach Klärung dieser Rechtsfrage auf europäischer Ebene an die dann bestehenden Vorgaben halten.“ Mit der Einschätzung, dass momentan kein Handlungsbedarf bestehe, ist die CDU aber alleine.
Datenschützer:innen: „Keine Schonfrist“
Nach dem EuGH-Urteil hielten die deutschen Datenschutzbeauftragten der Länder und des Bunds unmissverständlich fest, dass die „Übermittlung personenbezogener Daten in die USA auf der Grundlage des Privacy Shield unzulässig“ ist. Sie müsse unverzüglich eingestellt werden.
Der Bundesdatenschutzbeauftragte Ulrich Kelber betonte, dass es dafür „keine Schonfrist“ gebe. Der Europäische Datenschutzausschuss stellte ebenfalls klipp und klar fest: „Übermittlungen auf der Grundlage von diesem Rechtsrahmen [Privacy Shield] sind rechtswidrig.“
Bis zum Urteil waren Privacy Shield und Standardvertragsklauseln die häufigste rechtliche Grundlage, um Daten europäischer Nutzer:innen in die USA zu schicken und dort für Werbezwecke zu verarbeiten.
Nach der Konfrontation mit den Rechercheergebnissen von netzpolitik.org kündigten bereits zahlreiche Politiker:innen an, ihre Datenschutzerklärungen rechtskonform zu ändern.
Schnüffelnde Analytics und Social-Media-Plugins
Websites müssen in ihren Datenschutzerklärungen auf die Übertragung von persönlichen Daten an Dritte hinweisen, insbesondere wenn sie die Dienste direkt einbinden. Beim Aufruf kommen Teile der Seite von US-Diensten, sie erlangen im Gegenzug IP-Adressen, Informationen zum Browser und können Tracking-Cookies setzen.
Konkreter Grund für den Verweis auf das Privacy Shield sind oft Einbettungen von Facebook, Twitter oder Google. Die Konzerne sammeln etwa mit eingebetteten Youtube-Videos oder Google Maps-Karten auf vielen Seiten im Netz personenbezogene Daten und verarbeiten sie für Werbezwecke in den USA.
„Google verarbeitet Ihre personenbezogenen Daten auch in den USA und hat sich dem EU-US Privacy Shield unterworfen“, heißt es in einer Formulierung, die sich auf mehreren Politiker:innen-Seiten findet. Deshalb „kann […] juristisch von einem angemessenen Schutzniveau ausgegangen werden“, war dort bis zum Erscheinen dieses Artikels zu lesen.
„Facebook ist unter dem Privacy-Shield-Abkommen zertifiziert und bietet hierdurch eine Garantie, das europäische Datenschutzrecht einzuhalten.“ Diese Garantie konnte Facebook allerdings nie leisten, wie der EuGH vor Monaten festgestellt hat.
Auffällig häufig ist Mailchimp, ein Dienst für E-Mail Newsletter aus den USA, in Zusammenhang mit dem Privacy Shield genannt. US-Überwachungsmaßnahmen, die E-Mail-Adressen abgreifen, haben es besonders leicht mit diesen Identifikationsmerkmalen Datenprofile zusammenzusetzen.
Die Datenübertragung ist schon deshalb problematisch, da sich aus dem Besuch von Websites von Politiker:innen Rückschlüsse auf die politische Präferenz der Nutzer:innen ableiten lassen. Die Seiten der Abgeordneten liefern diese sensiblen Daten deutscher Nutzer:innen an US-Diensteanbieter, die an Überwachungsprogrammen der US-Geheimdienste mitwirken müssen.
Die Webangebote einiger Abgeordneter geben unterdessen Daten an US-Firmen weiter, auch ohne dies überhaupt in der Datenschutzerklärung zu rechtfertigen.
Alle Fraktionen betroffen
Je nach Parteienzugehörigkeit ähneln sich viele Politiker:innen-Sites im Design. Die Fraktionen oder Parteien bieten jeweils eigene Baukästen an, etwa „Das Linke CMS“ auf Basis des Content-Management-Systems Typo3. Bei fdpbt.de lassen einige FDP-Abgeordnete ihre Seite bequem hosten, haben aber ein eigenes Impressum. Auch ähneln sich die Datenschutzerklärungen stark.
Diese Standardisierung konnte aber nicht verhindern, dass es zu groben Datenschutz-Schnitzern kommt.
Eher im Gegenteil: 84 Prozent (67 von 80) der Seiten aus der FDP-Fraktion haben ungültige Privacy-Shield-Klauseln. Offenbar haben viele FDPler:innen eine Website zur Bundestagswahl 2017 aufgesetzt, diese aber seitdem nicht mehr angefasst.
In absoluten Zahlen hat die CDU/CSU-Fraktion die meisten Datenschutz-Sünder:innen, sie hat aber auch die meisten Mandate. Allerdings ist der Anteil von Privacy Shield-Erwähnungen in der Unionsfraktion mit 48 Prozent (117 von 246) am zweithöchsten.
In der SPD-Fraktion berufen sich immerhin 37 Prozent (56 von 152) auf das Privacy Shield. Von der AfD-Fraktion hat zwar jede:r fünfte Abgeordnete keine eigene Website, trotzdem reicht mit 27 Prozent ein gutes Viertel der Fraktion (24 von 89) unrechtmäßig Daten über den Atlantik.
Bei der Linksfraktion und den Grünen sind es immerhin noch 20 (14 von 69) und 15 Prozent (10 von 67) der Fraktionen, die beim Datenschutz offensichtlich so schludrig sind, dass sie das Privacy Shield noch erwähnen. Allerdings weisen je drei Abgeordnete aus den Fraktionen darauf hin, dass das Privacy Shield seit dem Urteil des EuGH nicht mehr als Grundlage herhalten kann. Diese negierenden Aussagen über das Privacy Shield zählen nicht zu den 289 grob falschen Datenschutzerklärungen.
Es geht auch korrekter
Insgesamt weisen 11 Abgeordnete – darunter Claudia Roth, Danyal Bayaz (beide Grüne) und Karamba Diaby (SPD) – auf die Ungültigkeit des Privacy Shield hin. Teils gibt es den für das ungeübte Auge dramatischen Hinweis, dass Geheimdienste auf persönliche Daten zugreifen können, die beim Besuch der Seite anfallen. Auch drei Abgeordnete in der Unionsfraktion und zwei in der SPD beziehen das EuGH-Urteil mit ein. Nur in der Bundestags-AfD und FDP hat niemand einen Hinweis auf die Ungültigkeit des Privacy Shield.
Was die elf MdB mit Vorzeigedatenschutzerklärung (bzw. die Autor:innen der Mustererklärung) schreiben, sollten sich auch die anderen Bundestagsabgeordneten mal durchlesen.
Wir weisen darauf hin, dass die USA kein sicherer Drittstaat im Sinne des EU-Datenschutzrechts sind. US-Unternehmen sind dazu verpflichtet, personenbezogene Daten an Sicherheitsbehörden herauszugeben, ohne dass Sie als Betroffener hiergegen gerichtlich vorgehen könnten. Es kann daher nicht ausgeschlossen werden, dass US-Behörden (z.B. Geheimdienste) Ihre auf US-Servern befindlichen Daten zu Überwachungszwecken verarbeiten, auswerten und dauerhaft speichern. Wir haben auf diese Verarbeitungstätigkeiten keinen Einfluss.
Allerdings könnten sie auch auf die Einbettung von US-Diensten verzichten oder es den Nutzer:innen selbst überlassen, diese zu aktivieren.
Peinliche Fehler
Auf 19 Politiker:innen-Websites gibt es gar keine Erklärung zum Datenschutz. Da bei der Verbindung zur Website schon personenbezogene Daten wie die IP-Adresse anfallen, sollten auch die datensparsamsten Seiten darauf hinweisen, wie damit umgegangen wird.
Dietmar Bartsch, Fraktions-Co-Vorsitzender der Linken, teilt auf seiner Website ein YouTube-Video. Damit fängt sich jede:r Besucher:in einen Tracking-Cookie von Googles Werbenetzwerk ein. Auf welcher rechtlichen Grundlage das geschieht, erfahren Nutzer:innen nicht. Die Seite „Datenschutz“ ist leer. Sein Büro teilte mit, dass der Entwurf vorbereitet, aber noch nicht freigeschaltet war.
Auch ausgewiesene Netzpolitiker:innen wie Lars Klingbeil und Anke Domscheit-Berg haben es unterlassen, ihre Datenschutzerklärungen zu aktualisieren und die unrechtmäßige Datenübermittlung auf Grundlage des Privacy Shield zu beenden. Domscheit-Berg teilte dazu mit:
Die eigene Datenschutzerklärung nicht ausreichend aktualisiert zu haben, ist mir natürlich peinlich und es hätte keine Anfrage von Netzpolitik.org brauchen sollen, um das zu merken. Wir haben das sofort geändert und die Beschreibungen in der Datenschutzerklärung angepasst und bei der Gelegenheit die Einbindung von Tweets über ein Plugin beendet.
Die Einbettungen von YouTube etwa von Reden im Bundestag und Berichten vom Digitalausschuss „erfolgt auf Rechtsgrundlage der DSGVO, wie es jetzt in der Datenschutzerklärung klar beschrieben ist“. Dort heißt es nun, eine ansprechende Darstellung der Website sei ein berechtigtes Interesse im Sinne der DSGVO.
Das Büro von Lars Klingbeil schiebt die Verantwortung auf den Anbieter des Redaktionssystems soz.is, die Firma barracuda. Der Dienstleister habe Klingbeils Mitarbeiter:innen bereits zugesagt, die vorgefertigten Datenschutzhinweise zu aktualisieren.
FDP und CDU-Digitalpolitiker wollen neues Privacy Shield
Der Vorsitzende des Bundestagsausschusses Digitale Agenda Manuel Höferlin (FDP) gibt auf seiner Website das Motto „Lösungen finden statt Ausreden“ aus. Er hat seinen IT-Dienstleister ebenfalls angewiesen, die Datenschutzerklärung rechtskonform zu ändern, betrachtet seine Datenschutzerklärung aber als „weiterhin korrekt“.
Höferlin kritisiert die Bundesregierung und EU-Kommission dafür, dass sie das Privacy Shield nicht sofort durch ein neues Abkommen ersetzt haben. Die „Rechtsunsicherheit“ müssen jetzt Seitenbetreiber und Unternehmen „ausbaden“. „Ich erwarte nun von Kommissionspräsidentin von der Leyen, dass sie diesen unhaltbaren Zustand schnellstens beseitigt“, betonte Höferlin auf unsere Anfrage.
„Ungeachtet dieses rein redaktionellen Versäumnisses, möchte ich klarstellen, dass die Datenverarbeitung auf meiner Website ausschließlich auf Grundlage der geltenden rechtlichen Bestimmungen und damit vollständig rechtmäßig stattfindet“, sagte er zu netzpolitik.org. „Insoweit ist die Datenschutzerklärung für jene Bereiche der Website, die in meiner alleinigen Verantwortung liegen, auch weiterhin korrekt. Darüber hinaus ist die Website als Landing Page konzipiert und arbeitet daher grundsätzlich extrem datensparsam.“
Sein Kollege im Ausschuss Digitale Agenda und Digitalsprecher der Unionsfraktion Tankred Schipanski (CDU) räumte ebenfalls ein, dass er „versäumt“ habe, seine Datenschutzerklärung anzupassen. Die Lösung für ihn ist ebenfalls, eine neues Privacy Shield herbeizuführen: „Wir sind als Digitalpolitiker der CDU/CSU-Bundestagsfraktion und Ausschuss Digitale Agenda im intensiven Austausch mit dem zuständigen Bundesinnenministerium und darüber mit der EU-Kommission über die Neuverhandlungen für ein „Privacy-Shield“ Abkommen.“
Das Privacy Shield-Abkommen war schon der zweite Rechtsrahmen für Datenübertragungen in die USA, den der EuGH gekippt hat. 2015 hatte das Gericht das Safe Harbor-Abkommen aus den gleichen Gründen wie das Privacy Shield scheitern lassen.
Michel Brandt von der Linksfraktion verweist als einziger Bundestags-Abgeordneter sogar noch auf den Vorgänger des Privacy Shield, das Safe Harbor-Abkommen. Nach unserer Anfrage will sein Büro jetzt die Rechtsmäßigkeit der Datenschutzerklärung „schnellstmöglich herstellen.“
Kraut und Rüben in der Datenschutzecke
Bei unserer Rundschau fanden wir auch andere Seltsamkeiten: Abgelaufene Zertifikate und den Dauerzustand „Diese Webseite befindet sich im Aufbau“. Auf einige Websites erlauben aktuelle Browser aus Sicherheitsgründen nicht mal mehr den Zugriff. Wenn die eigene Visitenkarte im WWW so vernachlässigt wird, wundert es auch nicht, dass einige die Datenschutzerklärung schlicht vergessen.
Zu Helge Brauns Website teilte sein Büro mit, man habe bereits vor einiger Zeit mehrere gesprächige Plugins von der Seite genommen. Für die restlichen Einbettungen von sozialen Medien nutze man eine zwei-Klick-Lösung. Dabei können sich Nutzer:innen entscheiden, ob sie den Plattformen mitteilen wollen, welche Seite sie gerade ansurfen. „Leider wurde nach der Umstellung und dem Wegfall einiger dieser Plug-ins vergessen, die Datenschutzerklärung entsprechend anzupassen.“
Auch bei Katrin Göring-Eckardt sind alte Plugins der Ursprung des Problems. Sie lassen Inhalte direkt von US-Plattformen laden, die Tracking-Cookies hinterlassen. Der Sprecher der Vorsitzenden der Grünenfraktion sagte: „In der Tat war die Seite leider nicht auf dem aktuellen Stand. Wir haben die entsprechende Formulierung ersetzt und die Einbindung der Social-Media-Kanäle in der bisherigen Form beendet.“ Sie bereiten nun eine datenschutzfreundliche Anzeige von Inhalten vor.
Neben Plugins, die Inhalte von woanders holen, machen auch Analysetools kuriose datenschutzrechtliche Probleme. Johannes Vogel (FDP) stellt seine Datenschutzerklärung als 11-seitiges PDF zum Download bereit, anstatt den Text auf die Website zu stellen. Das Problem dabei ist, dass das darin erwähnt Analytics-Tool Matomo eine interaktive Datenschutzerklärung vorsieht, in der die Einwilligungen jeweils individuell angezeigt werden, die in den Cookies des Browsers gespeichert sind. Die Stelle im PDF ist dann hinfällig: „Nutzer können der anonymisierten Datenerhebung durch das Programm Matomo jederzeit mit Wirkung für die Zukunft widersprechen, indem sie auf den folgenden Link klicken. XXX.“ Dort hätte das Tool eine Schaltfläche generiert.
Sein Pressereferent teilte mit, man stimme in der FDP-Fraktion nun eine überarbeitete Datenschutzerklärung ab, um sich nicht mehr auf das Privacy Shield zu berufen. Aber man verwende eh gar keine „Tracking- oder Analysecookies“, „weder Google Analytics, noch Matomo oder irgendetwas anderes.“ Allerdings blockiert das Datenschutz-Add-on Privacy Badger auch nach der Antwort auf unsere Anfrage einen Tracking-Cookie von Google Analytics auf Vogels Website.
Da das Privacy Shield ungültig ist, ist es recht leicht, mit diesem Stichwort Datenschutzerklärungen mit unrechtmäßigen Klauseln zu identifizieren. Auf den ersten Blick ist aber auch Volker Münz‘ (AfD) Datenschutzerklärung als unzureichend zu erkennen. Ein Absatz zu E-Mails ist alles, was er schreibt. Direkt darüber ist allerdings eine Einbettung von Google Maps, die fleißig Tracking-Cookies setzt.
Fight for your digital rights
Bei dem FDPler Christoph Meyer ist eine Seite für den Datenschutz angelegt, aber leer. Dort steht bloß: „Bitte ausfüllen“. Ironie der Schlamperei: Auf dem Bild ist deutlich ein „Fight for your digital rights“-Sticker von netzpolitik.org zu erkennen, der auf einem Straßenschild in der Nähe des Büros angebracht ist.
Das Büro von Christoph Meyer erklärte, „dass ein Bug vorlag und die Datenschutzbestimmungen nur in der mobilen Version angezeigt wurden.“ Jetzt beruft sich Meyer auch auf’s Privacy Shield.
Bei Beate Müller-Gemmeke (Grüne) und Dieter Stier (CDU) hat sich Werbung in die Datenschutzerklärung auf ihren Websites geschmuggelt. Immerhin ist sie nicht personalisiert. Beide haben wohl windige Datenschutzgeneratoren „in Kooperation mit der […] GmbH“ (Name entfernt) verwendet, „die gebrauchte Computer wiederverwertet“ (Link entfernt). Müller-Gemmeke teilte mit, man wolle den Satz jetzt streichen.
Erhebliche Mängel sind bekannt
Dem Bundesdatenschutzbeauftragten Ulrich Kelber „ist bekannt, dass die Internetseiten der Bundestagsabgeordneten teilweise erhebliche Mängel bei der Ausgestaltung der Datenschutzbestimmungen haben“, teilte sein Pressesprecher Christof Stein auf Anfrage mit.
Die Bundestagsabgeordneten hätten 2018 eine Handreichung über ihre Pflichten als datenschutzrechtlich Verantwortliche nach dem Inkrafttreten der DSGVO bekommen. Mit Konsequenzen müssen sie jetzt aber offenbar nicht rechnen. Derzeit beschränke sich der Bundesdatenschutzbeauftragte auf die Beratung von MdB, aus verfassungsrechtlichen Gründen, sagte sein Sprecher.
Offensichtlich kommen die Veranwortungsträger:innen ihrer Verantwortung beim Datenschutz nicht ausreichend nach. Die Bundestagsabgeordneten sind dafür nur ein Beispiel. Datenschutz zu „vergessen“, gefährdet Grundrechte. Die gewählten Vertreter:innen müssen sie aktiv schützen anstatt die Rechte von Bürger:innen zu untergraben.
Die Analyse der Seiten ist auf aktive Mitglieder des Bundestags beschränkt und wurde im November 2020 durchgeführt. Die Erhebung und Auswertung erfolgte teils automatisiert, alle Fälle wurden mit Sichtungen kontrolliert. Der Datensatz ist hier zum Download als CSV verfügbar. Vor Veröffentlichung haben wir den erwähnten Abgeordneten geschrieben, möglicherweise sind daher einige Datenschutzerklärungen bereits aktualisiert. Vielen Dank an S. für den Hinweis!
Die Liste mit den 289 Bundestagsabgeordnete hätte ich gerne in ihrer vollständigen Schönheit gesehen. Ich hätte aber vollstes Verständnis dafür, wenn netzpolitik.org diese Gelegenheit dazu nützen würde, um einträgliche Abmahnungen auf den Weg zu bringen.
Guten Abend,
Abmahnungen sehe ich eigentlich nur durch das Wettbewerbsrecht gedeckt. Einen Verstoß dagegen kann ich hier aber nicht erkennen.
Ich habe schön mehrmals davon gehört, dass zumindest prinzipiell auch Schadenersatz möglich wäre, wenn personenbezogene Daten illegal verarbeitet werden. Gab es schon einmal einen Fall wo jemand erfolgreich Schadenersatz gegen Webseitenbetreiber mit fehlerhafter/ungültiger Datenschutzerklärung und/oder illegaler Datenübertragung nach USA geltend machen konnte?
Soso, der Anbieter von soz.is erstellt also die Datenschutzerklärungen für die Abgeordneten. Ob dieser über eine Anwaltszulassung verfügt?