Links auf Webseiten DSGVO-konform einsetzen

Die DSGVO ist in aller Munde. Selbst reguläre Links zu anderen Webseiten sind betroffen. Mit dem intuitiven Triple-Klick-Verfahren sind diese jedoch auch weiterhin DSGVO-konform einsetzbar.

Achtung Gefahr

Jeder Internetnutzer kennt Sie: Links stecken unscheinbar auf Webseiten und wenn man sie anklickt, wird man meist auf eine neue Internetseite weitergeleitet. Was viele bisher nicht wussten: hinter dieser arglosen und nützlich erscheinenden Technik lauern ernste Gefahren. Klickt man nämlich einen solchen Link an, übermittelt der Browser die persönliche IP-Adresse an einen wildfremden Server, möglicherweise sogar ins Ausland. Unter Umständen setzen diese Server sogar noch gefährliche Cookies im Browser ab.

Das Triple-Klick-Verfahren

Als Webseitenbetreiber müssen sie jetzt aktiv werden. Rechtsexperten sind sich einig, dass nur das sogenannte Triple-Klick-Verfahren den rechtssicheren DSGVO-konformen Einsatz von Links noch erlaubt. Dieses setzt auf die informierte Einwilligung der Nutzer.

Das Verfahren beinhaltet 3 Schritte:

  1. der Nutzer klickt auf einen Link auf der Webseite. Es öffnet sich ein Fenster mit Hinweisen.
  2. der Nutzer stimmt durch Aktivierung einer Checkbox, die die mögliche Datensammlung der Zielseite erklärt, der Weitergabe zu.
  3. der Nutzer klickt auf eine “Link folgen” Taste und gelangt zur Zielwebseite

Wenn der Nutzer der Weitergabe nicht zustimmen möchte, kann er durch Klicken einer “Lieber nicht”-Taste das Fenster schließen und mit dem Surfen auf der Ursprungswebseite fortfahren.

Rechtliche Konsequenzen

Natürlich muss die Einwilligung des Nutzers zweifelsfrei dokumentiert werden. Dies kann durch Speicherung der IP und des Checkbox-Statuses in einer Datenbank erfolgen, die Empfehlung ist jedoch auch gleich die Email, Postadresse und Personalausweisnummer abzufragen, um die Identität des Einwilligers zweifelsfrei beweisen zu können. Die Email muss natürlich per Double-Opt-In-Verfahren verifiziert werden.

Es gibt jedoch auch kritische Stimmen zum Triple-Klick-Verfahren. Fraglich ist insbesondere, ob wegen des Kopplungsverbots der DSGVO die “Link folgen”-Taste auch ohne Zustimmung nutzbar sein muss. Der Webseitenbetreiber muss dann durch geeignete technische Maßnahmen oder durch entsprechende Verträge mit dem Zielserverbetreiber sicherstellen, dass der Nutzer die Zielseite auch ohne dortige Datensammlung genießen kann. Hier werden zukünftige Gerichtsurteile Klarheit schaffen.

Wie geht’s weiter?

Das Triple-Klick-Verfahren soll vor allem eins: Spaß machen! Zusammen mit den lustigen Cookie-Bannern fördert es die Interaktivität und damit die User-Experience auf Webseiten ungemein. Und gleichzeitig schütz es auch noch unsere Privatsphäre. Was will man mehr?

Doch erste Stimmen merken an, dass nach ca. 100 Link-Klicks — durchschnittliche Nutzer sind hier nach ca. 5 min — erste Ermüdungserscheinungen auftreten können. Deshalb ist derzeit Google-Forscher-Team dran, ein neues DSGVO konformes Link-Verfahren mit dem Namen “Link-Roulett” zu entwicklen. Hier wird die sensible IP Adresse einfach gar nicht übertragen. Der Server sendet dann einfach die Seite an irgendeine IP Adresse zurück. Auch dies wird die User-Experience nochmals deutlich verbessern. Schöne neue Welt dieses Internet!

Fazit

Dies ist Satire, mit ernstem Hintergrund. Wenn man sich anschaut, was die Datenschutzkonferenz aktuell von sich gibt, ist dieses Szenario nicht so weit entfernt. Insbesondere wenn auf nicht DSGVO-konforme Webseiten verlinkt wird (also 100% der Webseiten außerhalb der EU und 95% der Webseiten in der EU) wäre eine solche Forderung duchaus konsequent.

Leider stellt die DSGVO in ihrer aktuellen Unfertigkeit und logischen Inkonsistenz eine erhebliche Gefahr für die europäische Internetszene dar. Hier habe ich solche logischen Fehler und deren Folgen mal etwas zugespitzt aufgezählt.