Spezialelemente

Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum.

Weitere Informationen

• Link zu einer Seite

Downloads

• Titel des PDF (1.23 MB)

Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua.
At vero eos et accusam et justo duo dolores et ea rebum. 
Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam.

Datenschutzrisiken von Accessibility-Overlays in Bezug auf die Verarbeitung von personenbezogenen Daten besonderer Kategorien (Art. 9 DSGVO)

Abstract

Der Einsatz von Accessibility-Overlays zur Erreichung digitaler Barrierefreiheit steht in einem direkten Konflikt mit den Anforderungen der Datenschutz-Grundverordnung (DSGVO). Dieser Bericht belegt, dass bereits die Verarbeitung von Nutzerinteraktionen durch den JavaScript-Code eines Overlays eine Verarbeitung von Gesundheitsdaten gemäß Art. 9 DSGVO darstellt. Da diese Verarbeitung Informationen über die körperliche oder geistige Gesundheit des Nutzers offenbart, ist sie ohne explizite Einwilligung grundsätzlich untersagt. Eine dauerhafte Speicherung oder Protokollierung (z. B. in Server-Logs) ist für den Tatbestand eines Rechtsverstoßes nicht erforderlich.

Die Analyse betont, dass Overlays keine technische Lösung für die Einhaltung der Barrierefreiheitsstandards (WCAG) sind. Angesichts der Tatsache, dass die Prüfung der digitalen Barrierefreiheit auch ohne technisches Vorwissen möglich ist, wird die Eliminierung von Overlays zugunsten der Quellcode-Optimierung als datenschutzkonforme und technisch überlegene Handlungsstrategie empfohlen.

I. EINLEITUNG UND METHODIK

A. Problemstellung

Die digitale Barrierefreiheit ist ein fundamentales Recht, das durch die UN-Behindertenrechtskonvention (UNCRPD) und die Web Accessibility Directive (WAD) gestärkt wird ¹.

Um eine vermeintlich schnelle Konformität mit den Web Content Accessibility Guidelines (WCAG) zu erreichen, setzen viele Website-Betreiber JavaScript-basierte Overlays ein ^{2, 3.} Diese Overlays sind Drittanbieter-Lösungen, die Code zur Laufzeit in das Document Object Model (DOM) injizieren und die Darstellung modifizieren ^2,1. Obwohl sie als "Quick-Fix" beworben werden, resultiert ihr Einsatz in einer erhöhten Datenschutzexposition.⁴

B. Klassifizierung als Art. 9 Daten

Das Kernproblem entsteht, weil Overlays zur Erfüllung ihrer Funktion die Interaktion des Nutzers mit den bereitgestellten Assistenzfunktionen verarbeiten. Dies beinhaltet die Erfassung von Aktionen wie der Aktivierung von Screenreadern, die Nutzung spezifischer Kontrastmodi oder die Steuerung über spezialisierte Tastaturmuster ⁴,⁵. Die Protokollierung der Nutzung solcher Hilfsmittel lässt unmittelbar auf körperliche oder geistige Einschränkungen schließen.⁶ Nach der Auslegung der Aufsichtsbehörden fallen diese Informationen unter die Kategorie der Gesundheitsdaten im Sinne von Art. 9 DSGVO ^7,8. Diese Daten unterliegen als besondere Kategorien personenbezogener Daten einem generellen Verarbeitungsverbot.⁹

II. RECHTLICHER VERARBEITUNGSVERSTOSS (ART. 9 DSGVO)

A. Der Verstoß durch bloße Benutzung

Der Verstoß gegen die DSGVO entsteht nicht erst im Falle eines Datenlecks, einer Speicherung mittels Cookies oder einer anderweitigen Protokollierung im Sinne von Webserver-Logs. Der primäre Verstoß liegt bereits in der Verarbeitung der sensiblen Daten, die beim bloßen Einsatz des Overlays erfolgt. Der JavaScript-Code des Overlays sammelt und verarbeitet die Daten über die Nutzung von Assistenztechnologien, um die Anzeige anzupassen oder diese Daten an den Drittanbieter zu übermitteln. Dieser Verarbeitungsakt ist durch Art. 9 Abs. 1 DSGVO grundsätzlich untersagt ^8,9. 

Eine Verarbeitung ist nur zulässig, wenn eine der engen Ausnahmen in Art. 9 Abs. 2 DSGVO greift. Da der Verarbeitungszweck (Bereitstellung des Overlays) in der Regel weder für lebenswichtige Interessen noch für rechtliche Pflichten erforderlich ist, konzentriert sich die Zulässigkeit primär auf die explizite Einwilligung des Betroffenen (Art. 9 Abs. 2 lit. a).¹⁰

Entscheidend ist:

• Die DSGVO ist technologieneutral und schützt Daten unabhängig davon, wie oder wie lange sie verarbeitet werden.
• Ein Verstoß gegen Art. 9 DSGVO setzt keine dauerhafte Speicherung oder Protokollierung voraus. Der bloße Akt, eine Interaktion zu erfassen, die Rückschlüsse auf eine Behinderung zulässt, ist eine Verarbeitung.

B. Fehlende Explizite Einwilligung

Die Einwilligung muss nach Art. 9 Abs. 2 lit. a DSGVO nicht nur informiert und unmissverständlich sein, sondern sich ausdrücklich (explizit) auf die Verarbeitung der besonderen Kategorien personenbezogener Daten beziehen.¹⁰

• Verstoß: Da gängige Cookie-Consent-Plattformen (CMPs) das Tracking der Assistenztechnologie-Nutzung in der Regel nicht als eigene, sensible Kategorie abfragen, fehlt die erforderliche explizite Zustimmung.¹¹
• Rechtsfolge: Fehlt diese Rechtsgrundlage, ist die gesamte Verarbeitung der Art. 9 Daten rechtswidrig (Verstoß gegen Art. 5 i. V. m. Art. 9 DSGVO). Dies stellt eine Rechtswidrigkeit der Verarbeitung dar, unabhängig davon, ob die Daten später zu einem Datenleck führen.

C. Die Inferenzfalle: Indirekte Gesundheitsdaten

Daten, die die Nutzung assistiver Technologien offenbaren, gelten als Gesundheitsdaten, da sie Rückschlüsse auf den körperlichen oder geistigen Zustand einer natürlichen Person zulassen. Gemäß Art. 9 Abs. 1 DSGVO ist die Verarbeitung solcher Daten grundsätzlich untersagt. Da Overlays die Interaktion in dem Moment verarbeiten, in dem der Nutzer eine Barrierefreiheitsfunktion aktiviert, findet eine Verarbeitung sensibler Daten statt.

D. Haftung und Risikoeskalation

Der Website-Betreiber fungiert als Verantwortlicher (Controller) und trägt die primäre Haftung für die Rechtmäßigkeit der Verarbeitung ¹². Bei einem Art. 9-Verstoß trägt er die volle Haftung.

• Schwere des Schadens: Der Europäische Datenschutzausschuss (EDPB) stuft die Verletzung von Art. 9-Daten (Gesundheitsdaten) als potenziellen besonders schwerwiegenden Schaden ein (Risiko der Diskriminierung, psychische Belastung) ^13,14.
• Meldepflichten: Dies erhöht die Wahrscheinlichkeit, dass die Schwelle für die Meldepflicht an die Aufsichtsbehörde (Art. 33) und die Benachrichtigung der Betroffenen (Art. 34) erreicht wird.¹⁵

Eine rechtmäßige Verarbeitung wäre nur mit einer expliziten Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO möglich. Da Nutzer das Overlay in der Regel ohne vorherige, spezifische und ausdrückliche Zustimmung zu diesem sensitiven Verarbeitungsschritt verwenden, agiert der Website-Betreiber ohne Rechtsgrundlage.

III. TECHNISCHE ANFORDERUNGEN UND FEHLVERHALTEN

A. Technische Unzulänglichkeit und Quellcode-Pflicht

Overlays stellen keine angemessene Lösung zur Herstellung von Barrierefreiheit dar, da sie komplexe Probleme, die die WCAG betreffen (z. B. fehlende Semantik, unklare Linktexte), nicht beheben können.⁴ Overlays beheben Fehler nicht an ihrer Quelle, sondern versuchen, diese dynamisch zu maskieren, was oft zu Störungen der nativen assistiven Technologien (wie Screenreadern) führt.⁵ Die beste Praxis bleibt die Behebung von Barrierefreiheitsproblemen direkt im Quellcode (Accessibility by Design) ^16,17.

B. Einfache Überprüfbarkeit der Barrierefreiheit

Die Notwendigkeit, sich auf die Versprechen von Overlay-Anbietern zu verlassen, wird durch die einfache Überprüfbarkeit der digitalen Barrierefreiheit hinfällig. Die Umsetzung von Barrierefreiheit kann auch ohne technisches Vorwissen von Laien überprüft und eingefordert werden.¹⁸ Dies ermöglicht es Auftraggebern, die Einhaltung der WCAG-Kriterien jederzeit unkompliziert zu kontrollieren, und macht die Notwendigkeit von fehleranfälligen und datenschutzrechtlich riskanten Drittanbieter-Lösungen obsolet. Die Implementierung von Barrierefreiheit direkt in den HTML-Code ist somit nicht nur die datenschutzkonforme, sondern auch die sicherste und prüfbarste Methode zur Konformität.

C. Unabhängigkeit der Auftraggeber

Da die Qualität der Umsetzung somit mess- und testbar ist, sind Auftraggeber nicht auf die oft irreführenden Werbeversprechen von Overlay-Anbietern angewiesen. Eine Website, deren Barrierefreiheit im Quellcode verankert ist, lässt sich objektiv verifizieren, während ein Overlay lediglich eine unkontrollierbare "Black Box" darstellt, die zusätzliche rechtliche Risiken induziert.

IV. FAZIT UND HANDLUNGSEMPFEHLUNGEN

Der Einsatz von Web-Overlays, die Art. 9-Daten erfassen, begründet ohne nachweislich explizite Einwilligung eine rechtswidrige Verarbeitung und damit ein hohes juristisches Risiko, das bereits bei der bloßen Nutzung des Overlays entsteht.

A. Strategische Empfehlungen

1. Unverzügliche Deaktivierung: Der Einsatz von Overlays, die Assistenztechnologie-Nutzung tracken, muss sofort gestoppt werden, um die rechtswidrige Art. 9-Verarbeitung zu beenden.
2. Quellcode-Priorität: Barrierefreiheit muss als Accessibility by Design direkt im Quellcode der Website umgesetzt werden.¹⁶ Dies ist die einzig sichere Methode zur Beseitigung der Art. 9-Risiken und zur Erreichung der tatsächlichen WCAG-Konformität.
3. Compliance-Audit: Eine Datenschutz-Folgenabschätzung (DPIA) ist zwingend erforderlich, um die Verarbeitung von Art. 9-Daten zu bewerten und geeignete Garantien nach Art. 35 DSGVO zu definieren.¹³
4. Eigenständige Prüfung: Auftraggeber sollten die Umsetzung ihrer digitalen Angebote mithilfe einfacher Testmethoden selbst verifizieren, statt sich auf automatisierte Drittanbieter-Lösungen zu verlassen.