Mit einem Bein im Knast

Moin!

Es gibt diesen Satz, den wir als Agenturen gerne sagen, wenn es um Websites, Datenschutz, Cookies oder andere kleine Gemeinheiten geht:

„Wir stehen eh schon mit einem Bein im Knast.“

Natürlich ist das ein bisschen übertrieben. Aber der Kern stimmt leider trotzdem: Wenn wir Websites bauen, warten oder regelmäßig betreuen, sind wir oft näher an den Risiken dran als unsere Kunden.

Wir sehen, ob ein YouTube-Video eingebunden ist. Wir wissen, ob Google Maps geladen wird. Wir erkennen, ob ein Newsletter-Tool, ein Bewerbungsformular oder irgendein Tracking-Script auf der Seite läuft. Und wir wissen auch, dass bestimmte Dienste eigentlich erst nach einer Einwilligung geladen werden sollten.

Beispiel YouTube: Auf dem Papier soll das Video natürlich geblockt werden, bis die Besucher zugestimmt haben. Im Cookie-Banner ist alles hübsch angelegt. In der Datenschutzerklärung steht auch irgendwas mit „erst nach Einwilligung“. Alles sieht sauber aus.

Aber in der Praxis wird das Video trotzdem direkt geladen.

Vielleicht, weil ein:e Redakteur:in später ein neues Inhaltselement verwendet hat. Vielleicht, weil ein Plugin nach einem Update anders arbeitet. Vielleicht, weil ein Embed-Code direkt in ein HTML-Element kopiert wurde. Oder weil das Consent-Tool zwar eingebaut, aber nicht richtig mit dem jeweiligen Dienst verbunden wurde.

Und dann kommt die spannende Frage:

Wer haftet eigentlich, wenn ein Drittanbieter blockiert werden sollte, es technisch aber nicht wird?

Der Websitebetreiber, weil es seine Website ist? Der Datenschutzbeauftragte, weil er es hätte prüfen müssen? Der Anbieter des Consent-Tools, weil die Blockierung nicht greift? Oder die Agentur, weil sie die Website gebaut, betreut oder den Dienst eingebunden hat?

Ich bin kein Anwalt und genau deshalb will ich diese Frage hier auch nicht beantworten. Aber allein, dass diese Frage im Raum steht, reicht aus, dass wir uns darüber Gedanken machen sollten.

Denn aus Kund:innensicht ist es oft ziemlich einfach:

„Ihr habt die Website doch gebaut.“
„Ihr macht doch die Updates.“
„Ihr kennt euch doch damit aus.“

Und so ganz Unrecht hat er oder sie damit nicht.

Natürlich sollten wir keine rechtlichen Bewertungen abgeben. Wir sollten keine Datenschutzerklärungen schreiben, keine verbindlichen Aussagen zur DSGVO treffen und nicht so tun, als könnten wir einen Fachanwalt ersetzen.

Aber wir können technische Risiken erkennen. Und wenn wir sie erkennen, sollten wir sie auch ansprechen.

Für uns als Agentur heißt das:

• Wir erstellen keine Rechtstexte für Kunden.
• Wir prüfen keine Website rechtlich final auf DSGVO-Konformität.
• Wir weisen aber auf erkennbare technische Risiken hin.
• Wir prüfen bei Wartungsverträgen auf eben jene erkennbaren technischen Risiken (NEU).
• Wir empfehlen bei Datenschutzthemen den Gang zu Fachanwalt oder Datenschutzbeauftragten.
• Wir dokumentieren Hinweise schriftlich, statt sie nur „mal eben am Telefon“ zu erwähnen.

Gerade bei Drittanbietern ist das wichtig: YouTube, Google Maps, Vimeo, externe Schriftarten, Tracking, Bewerbungsportale, Buchungstools, Newsletter-Dienste, KI-Chatbots. Alles Dinge, die technisch schnell eingebunden sind, aber rechtlich und datenschutztechnisch nicht automatisch harmlos werden, nur weil sie funktionieren.

Und genau da liegt für Agenturen das Risiko: Nicht unbedingt, weil wir alles wissen müssen. Sondern weil wir oft die Einzigen sind, die überhaupt sehen können, was technisch passiert.

Deswegen mag ich den Satz mit dem Bein im Knast eigentlich nicht besonders. Er klingt dramatisch, aber auch ein bisschen bequem. Als könnten wir nur die Hände heben und sagen: „Tja, Internet ist halt gefährlich.“

Besser wäre vielleicht:

Wir stehen nicht mit einem Bein im Knast. Wir stehen mit beiden Beinen in der Verantwortung.

Und Verantwortung heißt nicht, dass wir alles selbst lösen müssen. Aber wir sollten unseren Kunden sagen, wenn unter Deck Wasser reinkommt.

Bonusfrage: Wann hast du eigentlich das letzte Mal die eigene Website auf mögliche Verstöße überprüft?

Erstma',
Dennis

PS: Der Contao Update Check hat Dank eurem Feedback noch ein paar Updates bekommen. Probier ihn gern aus.