Auf zahlreichen, über das Internet zugreifbaren Websites werden Besucherinnen und Besuchern Chat-Funktionalitäten angeboten. Eine minimalistische Benutzerschnittstelle suggeriert häufig ein klares und einfaches Kommunikationskonzept, während im Hintergrund diverse begleitende Prozesse ablaufen. Bei der Bereitstellung derartiger und vergleichbarer Funktionalitäten müssen Verantwortliche ein besonderes Augenmerk auf die rechtmäßige und transparente Verarbeitung personenbezogener Daten nach Treu und Glauben gemäß Art. 5 Abs. 1 lit. a DSGVO richten.
Im Frühjahr erreichte die Aufsichtsbehörde eine Beschwerde gegen die Chat-Funktionalität auf der Webseite eines Finanzdienstleisters. Über diese Chat-Funktionalität hatten die Besucher der Website die Möglichkeit, mit Mitarbeiterinnen und Mitarbeitern des Dienstleisters in Kontakt zu treten und sich bspw. über dessen Angebote zu informieren.
Die Benutzerschnittstelle der beanstandeten Chat-Funktionalität war sehr einfach aufgebaut. Nach der Eingabe eines frei wählbaren Namens gelangten die Benutzer auf die eigentliche Chat-Oberfläche. Auf dieser standen ihnen neben einem Eingabefeld für Nachrichten auch eine Absenden-Schaltfläche für den Versand der Nachrichten zur Verfügung. Die ausgetauschten Nachrichten konnten über einen Gesprächsverlauf eingesehen werden. Der Aufbau der Benutzerschnittstelle orientierte sich offensichtlich in vereinfachter Form an denen gängiger Messenger-Applikationen.
Für eine derartige Chat-Funktionalität ist davon auszugehen, dass die Benutzer erwarten, dass sie ihre Chat-Nachrichten im dafür vorgesehenen Eingabefeld erstellen und ggf. korrigieren können, sowie dass eine von ihnen erstellte Chat-Nachricht ausschließlich bei Betätigung der Absenden-Schaltfläche an den Kommunikationspartner übermittelt wird. Erst mit Betätigen einer solchen Schaltfläche ist ferner davon auszugehen, dass ein Benutzer in die Übermittlung der personenbezogenen Daten aus dem Eingabefeld einwilligt.
Der Petent führte in seiner Beschwerde an, dass Chat-Nachrichten nicht erst durch Betätigung der Absenden-Schaltfläche übermittelt werden würden. Vielmehr würden nicht zur Übermittlung vorgesehene Chat-Nachrichten unmittelbar nach der Eingabe einzelner Buchstaben an den Finanzdienstleister übermittelt, ohne dass die Benutzerin oder der Benutzer hiervon in Kenntnis gesetzt werde. Für seine Behauptungen lieferte der Petent entsprechende Belege.
Als Reaktion auf die Beschwerde führte die Aufsichtsbehörde im eigenen IT-Laboratorium eine technische Prüfung der Chat-Funktionalität durch. Im Ergebnis konnte der Vorwurf des Petenten auch auf der technischen Ebene des Transfer-Protokolls nachvollzogen werden. Die Chat-Funktionalität auf der Website des Finanzdienstleisters war so eingerichtet, dass Änderungen im Eingabefeld für Chat-Nachrichten nahezu in Echtzeit an den Finanzdienstleister übermittelt wurden. Eine Betätigung der Absenden-Schaltfläche war hierzu nicht erforderlich. Diese Übermittlung personenbezogener Daten war für Benutzer in der Web-Oberfläche der Chat-Funktionalität in keiner Weise ersichtlich. Auf Basis der Resultate der technischen Analysen kam die Aufsichtsbehörde zu dem Ergebnis, dass die Chat-Funktionalität in dieser Form nicht DS-GVO konform war. Sie verstieß gegen den Grundsatz, dass personenbezogene Daten gemäß Art. 5 Abs. 1 lit. a DSGVO in einer für den Benutzer nachvollziehbaren Weise verarbeitet werden müssen. Im vorliegenden Fall war für die Verarbeitung personenbezogenen Daten im Rahmen der Chat-Funktionalität außerdem eine Einwilligung der betroffenen Person gemäß Art. 6 Abs. 1 lit. a DSGVO erforderlich. Eine solche Einwilligung lag für die ohne Betätigung der Absenden-Schaltfläche übermittelten personenbezogenen Daten nicht vor.
Die Aufsichtsbehörde forderte den Finanzdienstleister daraufhin zu einer Stellungnahme auf. Der Finanzdienstleister teilte mir mit, dass er die rechtliche Auffassung hinsichtlich der erforderlichen Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO und deren Fehlen im Falle der fraglichen Datenübermittlung teile. Ferner teilte er mir mit, dass die beanstandete Teilfunktionalität zwischenzeitlich deaktiviert worden sei und somit eine Datenübermittlung im Kontext der Chat-Funktionalität nur noch durch Betätigung der Absenden-Schaltfläche durch die Benutzer erfolge.
Im Rahmen der Klärung des Sachverhalts stellte sich heraus, dass der Finanzdienstleister als Grundlage seiner Chat-Funktionalität keine Individualentwicklung einsetzte, sondern das Produkt eines Herstellers verwendete. Der Hersteller bewarb die beanstandete Teilfunktionalität für dieses Produkt explizit auf seiner Website. Für den datenschutzkonformen Einsatz dieser und ähnlicher Teilfunktionalitäten trägt jedoch im konkreten Fall ein Verantwortlicher gemäß Art. 24 DSGVO die Verantwortung. Daher sollten Verantwortliche bereits bei der Auswahl von Produkten und Dienstleistungen, in deren Kontext personenbezogene Daten verarbeitet werden, ein besonderes Augenmerk auf eine datenschutzkonforme Einsetzbarkeit derselben richten. Nach deren Auswahl bilden die konkrete Konfiguration und die Ausgestaltung des Einsatzkontextes weitere wesentliche Bausteine im Zusammenhang mit dem Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellung gemäß Art. 25 DSGVO.
Da durch den Einsatz der beanstandeten Teilfunktionalität der Grundsatz des Art. 5 Abs. 1 lit. a DSGVO nicht beachtet wurde und darüber hinaus erforderliche Einwilligungen gemäß Art. 6 Abs. 1 lit. a DSGVO nicht vorlagen, liegt ein Verstoß im Sinne des Art. 83 Ab. 5 lit. a DSGVO vor. Die Verarbeitung von personenbezogenen Daten wie im vorliegenden Fall kann einen Bußgeldbestand erfüllen und wird deshalb nach Abschluss der fachlichen Fallprüfung von der Bußgeldstelle der Behörde noch geprüft und bewertet werden.
Quelle: HBDI
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks