Datenschutz im Deutschen Bundestag
Eine Datenschutzanalyse der Webseiten von Bundestagsabgeordneten
Clarisse Lydia Jähn
Viele Bundestagsabgeordnete in Deutschland verstoßen auf ihren Webseiten gegen die Datenschutz-Grundverordnung (DSGVO) und das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG). Die Bundestagsabgeordneten handeln somit gegen eine Grundverordnung und brechen ein Gesetz, bei dessen Erlassung sie selbst mitverantwortlich waren.
Unsere Analyse zeigt im Folgenden, wie verbreitet diese Verstöße bei deutschen Politiker:innen sind und was das für den Datenschutz in Deutschland bedeutet. Die DSGVO und das TDDDG sind wichtige Instrumente der Bundesrepublik, die im digitalen Raum das Menschenrecht auf Privatsphäre gewährleisten können – wenn sie umgesetzt und richtig angewendet werden.
Inhalt
- Was wurde untersucht?
- Die Bundestagsabgeordneten
- Technisches
- Was sind die Konsequenzen – Sanktionen und Haftung?
- Was kann man als Bürger:in tun?
- Resümee
Was wurde untersucht?
Wir haben die Webseiten aller Abgeordneten des deutschen Bundestags auf Datenschutzkonformität überprüft – sofern sie eine Webseite besitzen.
Dabei haben wir uns darauf fokussiert, welche Cookies beim Aufruf einer Webseite gesetzt werden und welche Datenübertragungen an Dritte passieren, noch bevor beidem Erlaubnis erteilt wurde.
Dies ist eine bewusst niedrig gewählte Messlatte.
513 Mitglieder des Deutschen Bundestags, also 72%, begehen auf ihren Webseiten Datenschutzverstöße. Nur 196 der Politiker:innen gestalten ihre Webseite nach unserer Ansicht datenschutzkonform. 27 Personen besitzen zum aktuellen Zeitpunkt keine Webseite und waren somit aus der Analyse ausgeschlossen.
Die Bundestagsabgeordneten
Um die Datenschutzanforderungen an Webseiten-Betreiber:innen zu veranschaulichen, stellen wir fünf Ansätze von Bundestagsabgeordneten und deren Umgang mit Datenschutz genauer vor. Diese illustrieren anschaulich die Komplexität der richtigen Umsetzung, warum ein hoher Aufwand bei der Webseitengestaltung oft nicht ausreichend ist, um personenbezogene Daten zu schützen und mit welchen Methoden Bundestagsabgeordnete versuchen das Thema anzugehen bzw. zu umgehen.
Der Datensatz mit den Analyse-Ergebnissen aller Bundestagsabgeordneten-Webseiten ist hier zu finden.
Hansjörg Durz – gute Intentionen, schlechte Umsetzung
Hansjörg Durz von der CSU, Mitglied sowohl des Wirtschaftsausschusses mit Schwerpunkt Digitalwirtschaft als auch des Ausschusses für Digitales, hat einen substantiellen Bezug zum Thema digitaler Datenschutz. Trotz seiner Stellung misslingt die Umsetzung des Datenschutzes auf seiner Webseite.
hansjoerg-durz.de
Auf dieser Webseite läuft einiges schief: Ungefragt werden Besucherdaten an Dienste wie Facebook übermittelt.
Diese Dienste werden ohne Zustimmung der Nutzer:innen geladen:
zuletzt geprüft:
Schon vor jeglicher Interaktion beim Besuch der Webseite von Hansjörg Durz werden Dienste wie YouTube, Facebook und Twitter geladen. Diese Dienste spionieren Besucher:innenverhalten aus und verkaufen die Daten weiter.
In der Datenschutzerklärung Durz‘ wird erläutert, dass auf der Webseite Tools von US-amerikanischen Unternehmen zum Einsatz kommen, was die Weitergabe personenbezogener Daten an US-Sicherheitsbehörden ermöglichen kann. Doch bevor die Besucher:innen die Möglichkeit haben, diese Information aufzurufen, ist die Weitergabe der Daten bereits geschehen.
Eigentlich würde man von Hansjörg Durz aufgrund seiner Position im Bundestag eine Expertise im Bereich des Datenschutzes erwarten.
Vor Veröffentlichung dieses Artikels, haben wir Hansjörg Durz um Stellungnahme gebeten. Sein Büro teilte uns mit, dass sie den Datenschutz auf seiner Webseite sehr ernst nehmen würden. In unserer ersten Analyse der Webseite wurden noch mehr Cookies und Dienste ohne Einwilligung geladen. Dies wurde basierend auf unserer Anfrage teilweise behoben und auf einen technischen Defekt zurückgeführt.
Es laden nun einige Cookies und Dienste nicht mehr. Dennoch konnten wie oben ausgeführt nicht alle Fehler behoben werden, was wiederum deutlich macht, wie schwierig die korrekte technische Umsetzung der DSGVO auch bei besten Intentionen ist. Es ist jedenfalls löblich, dass Hansjörg Durz versucht, alles richtig zu machen.
Andrew Ullmann – hat schon viele personenbezogene Daten gesehen
Prof. Dr. Andrew Ullmann, FDP, ist Arzt und Vorsitzender des Globalen Gesundheitsausschusses. Als Mitglied der Ampelkoalition befürwortet Ullmann die Digitalisierung im Gesundheitswesen. Regierungspläne sehen bis 2025 die digitale Patientenakte für 80% der Bevölkerung vor. Es bleibt zu hoffen, dass mit diesen sensiblen Gesundheitsdaten verantwortungsbewusster umgegangen wird, als mit personenbezogenen Daten beim Besuch von Andrew Ullmanns Webseite.
andrew-ullmann.de
Diese Webseite scheint übermäßig penibel in Datenschutzthemen zu sein. Dies stellt jedoch nur eine Täuschung dar, und schon auf der Startseite werden ohne Einwilligung personenbezogene Daten an YouTube übertragen.
Diese Dienste werden ohne Zustimmung der Nutzer:innen geladen:
zuletzt geprüft:
Wie der Großteil seiner Kolleg:innen folgt auch Andrew Ullmanns Webseite einem parteiinternen Standard. Anstatt beim Besuch der Webseite direkt Zugriff auf deren Inhalte zu erhalten, wird man zunächst auf ein Fenster geleitet, das an Pay or Okay erinnert, und bei vielen FDP-Politiker:innen einheitlich ist. Entscheidet man sich nur für den technisch notwendigen Funktionsumfang werden allerdings bestimmte datenschutzkritische Dienste nach der Auswahl automatisch aktiviert, was eine deutliche Täuschung darstellt und eine falsche Sicherheitskulisse schafft.
Neben dem Versuch, die Einwilligung zur Datennutzung transparent zu gestalten, deuten auch andere Merkmale der Webseite von Andrew Ullmann darauf hin, dass die Datenschutzproblematik bei der Konzeption der Webseite berücksichtigt wurde. Zu den positiven Aspekten seiner Webseite gehört die Nutzung von Matomo, einer Google Analytics Alternative, das eine datenschutzkonforme Analyse der Aktivitäten der Webseitenbesucher:innen ermöglicht. Darüber hinaus werden Facebook-Beiträge lokal eingebunden, wodurch eine ungewollte Datenübermittlung an das Sozialnetzwerk verhindert wird.
Leider werden diese Bemühungen durch die Integration datenschutzkritischer Elemente schon auf der Startseite konterkariert. Ein YouTube-Video wird ohne Zustimmung der Nutzer:innen angezeigt, wodurch auch Dienste wie Google Ads und Google Fonts geladen werden. Dies eröffnet Google die Möglichkeit, Daten zu sammeln und potenziell weiterzuverkaufen, was in weiterer Folge zur gezielten politischen Beeinflussung durch Wahlwerbung genutzt werden könnte. All dies aufgrund eines harmlosen Besuchs auf Andrew Ullmanns Webseite.
Annalena Baerbock – so und doch anders
Annalena Baerbock, Außenministerin der Bundesrepublik Deutschland, setzt sich für die korrekte Handhabung personenbezogener Daten ein, und zwar auch ohne spezialisierte Expertise im Bereich des Datenschutzes.
annalena-baerbock.de
Auf dieser Webseite werden keine Cookies und externe Dienste ohne Einwilligung geladen. Bis auf einen kleinen Design-Mangel ist auf dieser Webseite alles perfekt.
zuletzt geprüft:
Besucht man die Webseite von Annalena Baerbock, kann man sich darauf verlassen, dass ausschließlich unbedenkliche Technologien zum Einsatz kommen. Wenn Inhalte aus sozialen Netzwerken wie Twitter, Instagram oder Facebook geteilt werden, erfolgt dies lediglich lokal auf dem Server, sodass eine Verknüpfung der Nutzerdaten mit diesen Diensten unterbunden wird.
Ein weiterer Punkt, der zwar nicht Teil unserer ursprünglichen Analyse war, aber dennoch Beachtung finden sollte, betrifft die Gestaltung der Webseite von Annalena Baerbock. Hier wird auf einen möglichen Mangel hingewiesen: Das Einsetzen eines Einwilligungsbanners mit einer farblich hervorgehobenen „Akzeptieren“-Funktion könnte ein „Nudging“ erzeugen, das die Entscheidung der Nutzer:innen unbewusst beeinflusst.
Da nach der Einwilligung lediglich „Matomo“ geladen wird – ein Dienst, der unbedenklich auch ohne Cookies betrieben werden kann –, stellt sich die Frage nach der Notwendigkeit der Verwendung von Matomo-Cookies und infolgedessen eines Einwilligungsbanners. Eine vorbildliche Webseite könnte durch eine technisch korrekte Umsetzung von vornherein auf einen solchen verzichten.
Die technische Ausführung der Webseite Baerbocks steht einer ästhetisch ansprechenden Präsentation in keiner Weise im Weg. Selbst ohne Integration von Diensten aus Drittländern wurde ein schlichtes und ansprechendes Design geschaffen. Annalena Baerbock beweist damit: Mit einer reflektierteren Herangehensweise kann der Schutz personenbezogener Daten gewährleistet werden, ohne dabei Einbußen von Nützlichkeit und Ästhetik in Kauf nehmen zu müssen.
Josef Rief – Scheinbar Vorzeige-CDUler
Josef Rief ist CDU-Politiker und Landwirtschaftsminister. Obwohl seine Zuständigkeitsbereiche im Bundestag und sein Beruf als Landwirt nicht unbedingt einen direkten Bezug zum Thema Datenschutz nahelegen, nimmt er diese Thematik auf seiner Webseite ernst, es unterlaufen ihm aber auch ein paar Fehler.
josef-rief.de
Auf den ersten Blick wird auf dieser Seite vorbildliche Arbeit geleistet, bei intensiver Analyse, finden sich allerdings mehrere Facebook-Einbindungen.
Diese Dienste werden ohne Zustimmung der Nutzer:innen geladen:
zuletzt geprüft:
Die Webseite präsentiert sich pragmatisch und fokussiert sich darauf, Interessierten die neuesten Informationen über die Aktivitäten von Josef Rief bereitzustellen, ohne personenbezogene Daten an Dritte weiterzugeben. Auf soziale Medien und Videos wird auf den ersten Seiten lediglich verlinkt – hier werden keine personenbezogenen Daten weitergegeben. So scheint auf den ersten Blick alles perfekt datenschutzkonform zu sein.
Bei intensiver Analyse aller Unterseiten durch unser Analysetool finden sich allerdings erst nach über 200 analysierten Unterseiten Facebook-Einbindungen, die personenbezogene Daten weiterleiten. Auch hier sieht man, wie schwierig es ist, jegliche Einbindungen auf einer Webseite zu finden und zu entfernen.
Gregor Gysi – ohne alles
Gregor Gysi ist in unserer Analyse einer der wenigen Abgeordneten ohne einen einzigen Verstoß auf seiner Webseite, denn – wie 27 weitere – hat er keine. Es lässt sich festhalten: Abstinenz bleibt die beste Verhütung.
Technisches
Cookies
Wir haben das Ergebnis der gesamten Analyse auch in geladene Cookies und externe Datenverbindungen unterteilt. Etwa ein Drittel der Abgeordneten, die eine Webseite besitzen, laden gar keine Cookies. Etwa ein Viertel laden 1-2 Cookies, ein Drittel laden 3-7 Cookies und 33 laden über 8 Cookies.
Cookies müssen nicht zwingend schlecht sein, funktionale Cookies bedürfen auch keiner Einwilligung. Es gibt aber viele Cookies, die automatisch von Builder Programmen gesetzt werden, auf die man sehr einfach verzichten könnte. Dies ist Webseitenbetreiber:innen allerdings häufig nicht bewusst. Aus diesem Grund würden wir das Laden von 3-7 Cookies bei Webseiten, die eigentlich nur als Informationsquelle für Bürger:innen dienen sollten, als wirklich bedenklich einschätzen.
Externe Datenverbindungen
Externe Datenverbindungen auf Webseiten sind Verbindungen, die Inhalte oder Ressourcen von Servern außerhalb der eigenen Webseite laden. Diese werden verwendet, um zusätzliche Informationen wie Schriftarten, Videos, Analysetools oder soziale Medien-Widgets einzubinden. Sie ermöglichen eine dynamische und interaktive Benutzererfahrung, können jedoch auch Datenschutz- und Sicherheitsrisiken bergen, denn bei jeder dieser Verbindungen, senden Nutzer:innnen auch personenbezogene Daten wie z.B. die IP-Adresse mit.
Da Webseitenbetreibende diese Verbindungen über die Webseite iniitieren, sind sie auch dafür verantwortlich, wo diese personenbezogenen Daten hingehen.
Ein konkretes Beispiel hierfür ist der Dienst Google reCaptcha, den 49 Abgeordnete ohne vorherige Zustimmung auf ihrer Webseite laden. Dieser soll meist das Kontaktformular vor Spam schützen. Zu Google reCaptcha gibt es ein jüngst erschienenes Urteil der französischen Datenschutzbehörde.
Der französischen E-Scooter Firma Cityscoot wurde in einer Klage unter anderem vorgeworfen, durch Einbindung von Google reCaptcha auf ihrer Anmeldeseite ohne Zustimmung der Kund:innen personenbezogene Daten an Google weiterzugeben.
Die Datenschutzbehörde verwies auf Googles Datenschutzerklärung in der klar vermerkt ist, dass die Verantwortung bei dem liege, der den Dienst einbinde und dass Google darüberhinaus die Daten für Tracking verwende. Sie urteilte, dass die Firma ihre Verpflichtungen nach Artikel 82 des “Datenschutzgesetzes” nicht erfüllt habe, indem sie die Platzierung von Cookies auf den Endgeräten der Nutzer:innen über den von Google bereitgestellten reCaptcha-Mechanismus zugelassen habe, ohne die Nutzer:innen zu informieren und ohne deren Zustimmung einzuholen. Die Datenschutzbehörde verhängte schließlich einen Strafe von 25.000 Euro für diesen Verstoß. (Für die weiteren Verstöße der exzessiven Datensammlung erhielt die Firma eine Strafe von 100.000 Euro).
Was sind die Konsequenzen – Sanktionen und Haftung?
Abgeordnete gelten gemäß Bundesdatenschutzgesetz (BDSG) als öffentliche Stellen2 und sind als solche von exekutiver Beobachtung, Kontrolle und Beaufsichtigung befreit3. Als öffentliche Stelle fallen sie zwar nicht in den Anwendungsbereich der DSGVO, aber müssen sich gemäß dem BDSG daran halten4.
Hier besteht aktuell ein rechtsfreier Raum für Abgeordnete. Sie müssen sich de facto an die Vorgaben der DSGVO halten und mit dem/der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) gibt es auch eine dafür zuständige Datenschutzbehörde. Diese hat jedoch keine Kontrollmöglichkeit über Abgeordnete und deren Einhaltung der DSGVO und kann somit nur unverbindliche Vorgaben machen.
Wir haben beim BfDI nachgefragt, wie er basierend auf den rechtlichen Vorgaben seine Rolle wahrnimmt. Der BfDI sieht seine Aufgaben in der Beratung der Abgeordneten und geht in den Austausch mit dem Bundestag.
Ein mögliches Umdenken könnte sich aufgrund eines Urteils des Europäischen Gerichtshof (EuGH) vom 16.01.2024 ergeben. In der vom österreichischen Verwaltungsgerichtshof vorgelegten Vorabentscheidung entschied der EuGH, dass parlamentarische Untersuchungsausschüsse grundsätzlich nicht vom Anwendungsbereich der DSGVO ausgenommen sind.
Weiters entschied der EuGH, dass sich auch bei Staaten, die nur eine Aufsichtsbehörde eingerichtet haben, die Zuständigkeit unmittelbar aus der DSGVO ergibt, ungeachtet des Grundsatzes der Gewaltenteilung. Die Datenschutzaufsicht in Artikel 55 Absatz 3 DSGVO sei vom Unionsgesetzgeber nur in Bezug auf Gerichte im Rahmen ihrer rechtsprechenden Tätigkeit eingeschränkt worden.
Aus dem Urteil ergibt sich, dass es keinen rechtsfreien Raum geben darf. Laut unserer Konversation mit dem BfDI könnte der Bundestag basierend auf diesem Urteil eine eigene Kontrollinstanz einrichten oder die Kontrollfunktion könnte automatisch an den BfDI als Instanz übergehen.
In einer aktuellen Folge des Podcasts “Datenfreiheit!” geht der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, Prof. Dr. Tobias Keber auch näher auf das EuGH-Urteil ein. Seiner Einschätzung nach wäre es sinnvoll ein eigenes, unabhängiges Gremium einzurichten, da es bei Ausschuss-Arbeit schnell um personenbezogene Daten und datenschutzrechtlich sowie politisch heikle Fragen ginge.
Was kann man als Bürger:in tun?
Im ersten Schritt kann man die Politiker:innen direkt kontaktieren. Die Kontaktdaten finden sich auf deren Webseiten oder auf bundestag.de. Unserer Erfahrung nach wollen die meisten Menschen den Datenschutz auf Ihrer Webseite wirklich ernst nehmen, er wird nur im Alltag manchmal vergessen. Deswegen ist ein kleiner Impuls oft ausreichend.
Sollte sich dadurch nichts ändern, kann man beim BfDI, der aktuell für den Bundestag zuständigen Datenschutzbehörde5, eine Beschwerde einreichen. Wie oben jedoch beschrieben, kann dieser derzeit den Abgeordneten eine Beschwerde nur weiterleiten und dazu beraten, aber die Umsetzung nicht erzwingen.
So bleibt im letzten Schritt nur die zivilrechtliche Klage. Wenn man sich in seinen Datenschutzrechten verletzt sieht, hat man Nach Art. 79 DSGVO das Recht auf einen gerichtlichen Rechtsbehelf und kann dieses Recht vor einem Zivilgericht geltend machen. Wenn einem ein materieller oder immaterieller Schaden entstanden ist, hat man Nach Art. 82 Abs. 1 DSGVO Anspruch auf Schadenersatz und kann diesen auch vor einem Zivilgericht geltend machen.
Bis zu dem Zeitpunkt, an dem das jüngst erschienene Urteil des EuGH auch in Deutschland möglicherweise Anwendung findet, obliegt es also den Bürger:innen sich an die Abgeordneten zu wenden. Man hat die Verantwortung aber auch die Macht, Veränderungen bei Abgeordneten anzustoßen und nicht locker zu lassen. Dies bietet allen Bürger:innen die Chance der aktiven Teilhabe an Demokratie jenseits von Wahlen.
Resümee
Die Analyse der verschiedenen Webseiten von ausgewählten Bundestagsabgeordneten zeigt auf, wie facettenreich der Umgang mit Technologien im Internet ausfällt. Während manche Abgeordnete personenbezogenen Datenschutz und die Wahrung der Privatsphäre ihrer Wähler:innen aktiv fördern, wird bei anderen der Verbesserungsbedarf deutlich.
Die Mehrheit der untersuchten Webseiten weist Fehlverhalten auf und betreibt die unrechtmäßige Weitergabe personenbezogener Daten. Immerhin konnte über die letzten Monate bei wiederholter Analyse der geladenen Services ein Trend zur Verbesserung beobachtet werden. Das Thema Datenschutz wird offenbar bearbeitet und durchläuft im Bundestag eine Entwicklung.
Die Bedeutung von Privatsphäre und Datenschutz ist in anderen Quellen reichlich behandelt und wird durch Aktivismus wie jenem von Max Schrems verdeutlicht. An dieser Stelle soll abschließend trotzdem nochmals festgehalten werden, dass die Möglichkeit zur aktiven Entscheidung von Menschen über die Weitergabe ihrer personenbezogenen Daten, sowie die transparente Information über die Handhabung dieser, in Zukunft gefördert werden muss.
Obwohl ein Großteil der Gesellschaft auf Plattformen wie Google, Facebook, & Co. täglich mit dem Missbrauch ihrer privaten Daten rechnen muss, geschieht dies immerhin freiwillig. Beim Besuch einer politischen Webseite wie beispielsweise der von Hansjörg Durz wird jedoch ein Datenprofil der Besuchenden erstellt. Und jene Personen, welche die Dienste von Google, Facebook und co. nutzen, müssen beim Besuch einer der 513 auffälligen Webseiten von Bundestagsabgeordneten mit noch präziseren Informationen über sich rechnen. Ein Zustand der nicht mehr als Norm akzeptiert werden kann.
Es liegt an den Bundestagsabgeordneten, die eigens verabschiedeten Instrumente wie die DSGVO oder die TTDSG auf ihren Webseiten zu befolgen, und so in puncto Datenschutz ein Vorbild zu sein. Erst wenn auch die Politiker:innen ihre eigenen Gesetze ernst nehmen und befolgen, wird die Relevanz dieser für den Rest der Gesellschaft glaubwürdig.
Disclaimer: Vor Veröffentlichung des Artikels haben wir die namentlich erwähnten Bundestagsabgeordneten um Stellungnahme gebeten. Bisher hat sich nur Hansjörg Durz zurückgemeldet.
Das Datenset mit der Analyse der Webseiten aller Bundestagsabgeordneten ist hier zu finden.
Fotocredits:
Cover © Claudio Schwarz
Hansjörg Durz © Büro Durz, MdB
Prof. Dr. Andrew Ullmann, MdB © Stefan Fercho (Schlappinho)
Annalena Baerbock MdB © Bündnis 90/Die Grünen Bundestagsfraktion
Josef Rief Portrait 2013 © Janr07
- § 2 Abs. 1 Bundesdatenschutzgesetz (BDSG): “Öffentliche Stellen des Bundes sind die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen des Bundes, der bundesunmittelbaren Körperschaften, der Anstalten und Stiftungen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform.”↩
- Öffentliche Stellen sind nach Art. 38 Abs. 1 Satz 2 GG nach Auffassung des BVerfG von exekutiver Beobachtung, Kontrolle und Beaufsichtigung befreit: “Sie sind Vertreter des ganzen Volkes, an Aufträge und Weisungen nicht gebunden und nur ihrem Gewissen unterworfen.”. Dies kann man in Zusammenhang mit dem Grundsatz der Gewaltenteilung aus Art. 20 Abs. 2 Satz 2 GG sehen: “Sie wird vom Volke in Wahlen und Abstimmungen und durch besondere Organe der Gesetzgebung, der vollziehenden Gewalt und der Rechtsprechung ausgeübt.”.↩
- § 1 Abs. 8 BDSG: “Für Verarbeitungen personenbezogener Daten durch öffentliche Stellen im Rahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten finden die Verordnung (EU) 2016/679 und die Teile 1 und 2 dieses Gesetzes entsprechend Anwendung, soweit nicht in diesem Gesetz oder einem anderen Gesetz Abweichendes geregelt ist.""↩
- Jede betroffene Person hat nach Art. 77 DSGVO das Recht sich mit einer Beschwerde über eine Verletzung ihrer Datenschutzrechte an den BfDI zu wenden.↩