Heute noch ein kleines Beispiel zu Abhängigkeiten bei an Dienstleister ausgelagerten Aufgaben und wie das schief gehen kann. Der Ministerpräsident von Thüringen betreibt eine Webseite unter eigenem Namen, mit ausführlicher Datenschutzerklärung. Kann man als persönliche Homepage interpretieren. Problematisch wird es, weil die Webseite Inhalte einer CDU-Webseite einbindet, was in der Datenschutzerklärung so nicht angegeben wird.
Vorab die Bemerkung, dass es mir im aktuellen Fall nicht darum geht, ein politisches Süppchen zu kochen. Und ich sehe selbst an meinen Webseiten, wie schwer es ist, alles sauber in Bezug auf Datenschutzerklärung & Co. hin zu bekommen und aktuell zu erhalten. Es ändert sich was, aber Du trägst es nicht nach oder übersiehst etwas, schon zeigt sich ein schiefes Bild.
Andererseits gibt es auch Fälle, wo nichts passt. Und wenn ein Ministerpräsident eines Bundeslandes eine Webseite unter eigenem Namen betreibt, und den Anschein erweckt, dass dies eine private Seite sei, sollte zumindest die Datenschutzerklärung sauber sein. Ich gehe davon aus, dass ein Dienstleister da ziemlich gepatzt hat.
CDU-Ministerpräsidenten-Webseiten
Ich habe es nicht genau verfolgt, bin aber jetzt darauf gestoßen, dass die CDU-Ministerpräsidenten deutscher Bundesländer jeweils eine eigene Webseite unter ihrem Namen haben. Man findet Hendrik Wüst, Boris Rhein, Daniel Günther und eben die Seite von Mario Voigt.
Die Webseiten gleichen sich in der Struktur, enthalten einige Informationen zum Lebenslauf der Person, geben die Arbeit des Ministerpräsidenten in ausgewählten Artikeln wieder. Die meisten der Ministerpräsidentenseiten geben dabei im Impressum klar zu erkennen, dass sie von einem CDU-Landesverband geführt werden und weisen auch in der Datenschutzerklärung darauf hin. Das ist legitim und auch so in Ordnung, die Teams, die die Webseiten der Ministerpräsidenten aufgesetzt haben, waren fit – zumindest soweit ich beim ersten, schnellen Blick gesehen habe. Ein Blog-Leser hat mich nun darauf hingewiesen, einen Blick auf die Webseite von Mario Voigt zu werfen.
Die Webseite mario-voigt.com
Herr Voigt ist Ministerpräsident des Bundeslands Thüringen. Hier hätte ich erwartet, dass er zur Eigendarstellung eine Webseite der Staatskanzlei hat. Aber er hat seinen Webauftritt unter mario-voigt.com, was auch legitim ist.
Das Impressum gibt eine (Privat-) Adresse der Person Mario Voigt an. Das suggeriert, dass es sich um die Privatseite von Mario Voigt handeln könnte – auch wenn er die Thüringer und Thüringerinnen quasi als Ministerpräsident begrüßt. In der Datenschutzerklärung wird darauf hingewiesen, dass die Seite bei IONOS SE gehostet wird, und auch Mail- und Nameserver liegen dort. Der interessierte Leser wird dort über die bei IONOS SE erfassten Daten, die Rechtsgrundlage nach DSGVO sowie seine Rechte informiert. Auch das ist alles in Ordnung und nicht zu beanstanden.
Plötzlich Inhalte anderer Seiten geladen
Wer die Website mario-voigt.com allerdings aufruft, erlebt im Hintergrund mehr als erwartet, schrieb mir der Leser. Von den 37 erfolgreichen Requests, die der Browser beim Laden der Seite absetzt, landet kein einziger auf mario-voigt.com selbst – sondern auf cdu-th.de. Inhalte wie Bilder und Skripte kommen von dort, wie nachfolgender Screenshot aus der Entwicklerkonsole zeigt.
Mit anderen Worten: Der Internetauftritt wird hinter den Kulissen von der CDU Thüringen betrieben. Während andere Ministerpräsidenten auf ihren persönlichen Seiten auf so etwas hinweisen und oft den CDU-Landesverband aus Betreiber angeben, bleibt dies auf obiger Webseite unerwähnt.
DNS-Records und Lookup angeschaut
Der Leser hat noch ein wenig gebohrt und schrieb: Whois bestätigt zunächst, was die Datenschutzerklärung von auf mario-voigt.com behauptet: Registrar ist IONOS SE, auch Mail- und Nameserver liegen dort. Dann hat der Leser einen Blick auf cdu-th.de geworfen. Laut DENIC-Auskunft verwendet diese Domain einen Nameserver der Hetzner Online GmbH.
Interessant wurde es dann bei der Inspektion des DNS-Eintrags von mario-voigt.com undcdu-th.de– genauer gesagt bei den A/AAA-Records. Beide Domains, mario-voigt.com und cdu-th.de, zeigen auf dieselbe IPv4-Adresse: 78.46.125.4 (siehe obiger Screenshot). Eine IPv6-Adresse ist bei keiner hinterlegt. Diese IP gehört zur AS-Range 78.46.0.0/15, die dem Autonomen System AS24940 zugeordnet ist – ebenfalls Hetzner, schrieb mir der Leser.
Damit ist allerdings noch nicht bewiesen, dass Hetzner selbst als Hoster auftritt. Denkbar ist auch, dass ein Dienstleister dort einen Server angemietet hat oder physisch hostet.
Was sagen die Datenschutzerklärungen?
Die Seite mario-voigt.com patzt und nennt ausschließlich IONOS SE als Hosting-Anbieter. Die Datenschutzerklärung beschreibt, dass IONOS Logfiles inklusive IP-Adressen beim Besuch der Website erfasst. Von Hetzner oder irgendeiner anderen Stelle liest man dort kein Wort.
Die Webseite cdu-th.de ist da aufschlussreicher und nennt die New Definition GmbH aus Wiesbaden als Hoster. Augenscheinlich betreibt diese Agentur also einen Server bei Hetzner, auf dem beide Websites liegen, schrieb mir der Leser.
Ein Blick auf die eigene Datenschutzerklärung von newdefinition.de ist umständlich: Sie liegt nicht als HTML-, sondern als PDF-Datei vor. Hetzner wird dort ebenfalls nicht als Infrastrukturanbieter erwähnt, was laut Leser nachvollziehbar ist. Eine Agentur, die im Kundenauftrag hostet, wählt die Infrastruktur oft projektspezifisch oder nach eigenen Präferenzen.
Offenbar hat die Agentur bereits Erfahrungen mit der Politik. Unter dem Produkt NDPolitik bietet sie eine Komplettlösung für Politiker und Parteien an.
Das betrifft das die DSGVO
An dieser Stelle ist m.E. unsauber gearbeitet worden und es läuft auf DSGVO-Probleme hinaus. Nach Art. 13 DSGVO sind Websitebesucher darüber zu informieren, welche Stellen ihre Daten verarbeiten. Die Seite mario-voigt.com nennt dafür IONOS, verschweigt aber, dass die Inhalte von den Webseiten der Thüringer CDU stammen. Tatsächlich landet der Traffic beim Aufruf der Webseite bei einem Hetzner-Server, betrieben von der New Definition GmbH. Beide Anbieter tauchen in der Datenschutzerklärung der Webseite mario-voigt.com mit keinem Wort auf. Das ist keine kleine Schludrigkeit, und was übersehen, sondern inhaltlich eine falsche Angabe.
Dazu kommt möglicherweise ein weiteres Problem. Die Datenschutzerklärung rühmt sich eines Auftragsverarbeitungsvertrags (AVV) mit IONOS – einem Vertrag, der sicherstellen soll, dass Daten nur nach Weisung und DSGVO-konform verarbeitet werden. Das klingt ordentlich, ist es aber nicht, merkt der Leser an. Denn IONOS verarbeitet schlicht keine Besucherdaten, weil dort der Server gar nicht steht. Der AVV läuft also ins Leere.
Mit der New Definition GmbH, die tatsächlich hostet, müsste ein solcher Vertrag nach Art. 28 DSGVO zwingend geschlossen sein – ob das intern existiert, lässt sich von außen nicht prüfen. Und Hetzner als Infrastrukturanbieter im Hintergrund? Ebenfalls unerwähnt und vertraglich ungeklärt, zumindest nach außen hin.
Am Ende läuft das auf einen Verstoß gegen Art. 5 Abs. 1 lit. a DSGVO hinaus: den Transparenzgrundsatz. Eine Datenschutzerklärung, die den falschen Hoster nennt und den richtigen verschweigt, erfüllt ihren gesetzlichen Zweck nicht.
Ich werde den oder die Websitebetreiber freundlich auf die Unvollständigkeit hinweisen, damit das geheilt wird. Sollte keine Reaktion erfolgen, überlege ich, Beschwerde beim Thüringer Landesbeauftragten für den Datenschutz (TLfDI) einzureichen. Denn es ist immerhin die Webseite des Ministerpräsidenten des Bundeslandes Thüringen, der das Ganze gemäß Impressum betreibt.
MVP: 2013 – 2016
