René Floitgraf info@rene-floitgraf.de +49 2402 385700

    • YoungData – das Jugendportal der DSK zum Thema Datenschutz und Informationsfreiheit – eine Analyse zum Datenschutz…

    10. Mai 2023 René Floitgraf
    1 Comment
    Datenschutz, Digitale Selbstverteidigung!

    Ist das Jugendportal der DSK zum Datenschutz datenschutzkonform?

    Das Portal youngdata.de, welches sich an Jugendliche richtet und diesen den sorgsamen Umgang mit personenbezogenen Daten näherbringen soll, wurde von der DSK (Datenschutzkonferenz) neu aufgelegt und wird laut Impressum federführend vom Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern (LfDI M-V) betrieben.

    Man sollte davon ausgehen können, dass die Webseite datenschutzrechtlich perfekt und sauber aufgesetzt ist, denn wenn jemand alle Vorgaben an die datenschutzkonforme Gestaltung von Webseiten kennen sollte, dann ja wohl die Aufsichtsbehörden.

    Es ist daher nicht verwerflich, wenn man von den Besten lernen will. Also schauen wir uns die Webseite doch einfach mal an. Natürlich nur in Stichproben, aber mehr braucht man da auch nicht.

    Die Startseite scheint in der Tat absolut datenschutzfreundlich zu sein, denn es sind weder Cookies noch Drittanbieter in der Webseite zu finden. Daher gibt es auch kein Consent-Management auf der Seite – absolut verständlich und vorbildlich.

    Von der Startseite aus, kann man verschiedene Themengebiete ansteuern. Die Kacheln sind optisch ansprechend gestaltet und aussagekräftig beschriftet. Natürlich soll die Jugend lernen was Datenschutz ist. Deswegen schauen wir uns nun die Seite „Worum geht es beim Datenschutz?“ an!

    Wenig überraschend: Auch hier werden beim Seitenaufruf keine Cookies oder Drittanbieter geladen oder gesetzt. Also auch hier alles im grünen Bereich.

    Aber was ist das: Zur Sensibilisierung der Jugend wird auf YouTube-Videos zurückgegriffen!

    Bei dieser Einbindung stellen sich für mich gleich 3 Fragen:

    1. YouTube, echt jetzt? Warum? Mittlerweile kann man Videos mit wenig Aufwand und ohne technische Komplikationen auch direkt auf dem eigenen Webserver bereitstellen. Wenn wir hier also den gleichen Maßstab ansetzen, wie es bei Google Fonts gemacht wird, dann dürfte die Notwendigkeit durchaus bezweifelt werden dürfen.
    • „Wenn du hier klickst, wird das Video von YouTube geladen.“
      Ist dies eine ausreichend informierte Einwilligung, um am Ende einen Drittanbieter einzubinden und damit eine Datenübermittlung an einen Dritten einzuleiten?
    • Zudem richtet sich die Webseite gezielt an Jugendliche. Damit sollte zumindest darüber nachgedacht werden, ob nicht auch Art. 8 DSGVO zur Anwendung kommen muss. Dann muss bei Kindern, die das 16te Lebensjahr noch nicht vollendet haben, die Einwilligung der Sorgeberechtigten vorliegen, wenn es um Dienste der Informationsgesellschaft geht, was bei dem Betrieb eines solchen Informationsprotales gegeben sein dürfte.

    Nun lassen wir Art. 8 DSGVO mal außen vor und betrachten nur die Einwilligung an sich. Man könnte vielleicht natürlich noch davon ausgehen, dass die Einwilligung eine gestufte Information nutzt und weitere Informationen in der Datenschutzerklärung der Webseite zu finden sind. Natürlich hätte es dazu in unmittelbarer Nähe zum Video aus meiner Sicht dazu einen (verlinkten) Hinweis oder eine Information geben müssen, aber vielleicht wurde dies einfach nur vergessen – kann ja passieren.

    Also schauen wir uns die Datenschutzerklärung an.

    Diese ist vorbildlich im Fußbereich der Webseite zu finden. Wer nun aber erwartet auf dieser Datenschutzerklärung das Wort „Google“, „YouTube“, „Video“ oder „Einwilligung“ zu finden – tja, der wird enttäuscht werden!

    Zudem behält sich die Aufsichtsbehörde das Recht vor, dass die Logfiles des Webserver für 60 Tage gespeichert bleiben. Bisher bestand nach meinem Kenntnisstand relative Einigkeit darüber, dass die Speicherung von Protokolldaten 7 Tage in der Regel nicht überschreiten sollte. Ok, mit Zunahme der Cyberangriffe akzeptieren die Aufsichtsbehörden mittlerweile auch längere Speicherungen, mehr als 30 Tage (Berlin und Bayern) war bisher jedoch nicht drin.

    Eine Speicherdauer von 60 Tagen erscheint daher ungewöhnlich lange und widerspricht den regelmäßigen Aussagen der Aufsichtsbehörden.

    Fazit:

    So lobenswert ich das Projekt „YoungData“ der DSK finde und so wichtig das Thema auch ist. Gut gemeint ist leider nicht gut gemacht. Nach meinem Dafürhalten verstößt diese Webseite der deutschen Aufsichtsbehörden gegen die aktuelle und anerkannte Auslegung der datenschutzrechtlichen Regelungen.

    Von den Besten lernen? In diesem Fall lieber nicht!