Eine Datenschutzerklärung dient dazu, die betroffene Person, sprich den Besucher der Webseite, darüber zu informieren, welche seiner Daten, für welchen Zweck, durch wen und mit welchen Mittel verarbeitet werden – kurzum: was mit seinen personenbezogenen Daten passiert. Des Weiteren dient sie dazu, den Betroffenen über seine Rechte aufzuklären. Wobei, die Rechte – von Recht auf Auskunft bis hin zum Beschwerderecht bei einer Aufsichtsbehörde – immer dieselben sind, ungeachtet dessen, in welchem Kontext die personenbezogenen Daten verarbeitet werden. Diese gelten also immer, egal ob der Bürger und Verbraucher in epischer Breite oder kurz und bündig darüber informiert wird (oder auch nicht). Diese Rechte haben die Betroffenen nicht erst seitdem Gültigwerden der Datenschutz-Grundverordnung (DS-GVO) am 25.05.2018, diese Rechte konnte man auch schon nach dem „alten“ Bundesdatenschutzgesetz (BDSG a.F.) in Anspruch nehmen (Ausnahme: Datenübertragbarkeit). Auf diese Rechte kann nicht verzichtet werden. Es obliegt also dem Betroffenen, ob er von seinen Rechten Gebrauch macht oder nicht.
In unserer Beratungspraxis lesen wir immer wieder unvollständige und fehlerhafte Datenschutzerklärungen. Dies rührt vor allem daher, dass
- verständlicherweise die meisten Webseitenbetreiber die Anforderungen der Datenschutzrechte nicht kennen;
- sie sich nicht von einem Datenschutzexperten unterstützen lassen bzw. nicht der gesetzlichen Benennungspflicht eines Datenschutzbeauftragten nachkommen;
- der Webseitenbetreiber der Meinung ist, alle Datenschutzerklärungen sind gleich und diese einfach von einer anderen Webseite (vorzugsweise der eines Mitbewerbers) kopiert sowie
- der Irrglaube herrscht, dass das Thema auch ganz einfach mit den zuhauf im Internet auffindbaren und kostenlosen Datenschutz-Generatoren „abgefrühstückt“ werden kann.*
Viele Webseitenbetreiber wissen zudem nicht, ob und welche Daten wie auf ihren Webseiten verarbeitet werden und für was diese genutzt werden. Zu allem Überdruss kommt hinzu, dass auch der Webseitendesigner oder die Marketingagentur, es auch nicht wissen, obwohl diese z.B. die Cookies einbinden. Gefährlich wird es hier i.S.v. abmahn- und bußgeldfähig, wenn der besagte Dienstleister mit Halbwissen, den noch weniger wissenden Verantwortlichen, datenschutzrechtlich berät – was zudem einen Gesetzesverstoß darstellt.
Welche Informationen muss eine Datenschutzerklärung prinzipiell enthalten?
Das, worüber im Rahmen der Informationspflichten in einer Datenschutzerklärung zu informieren ist, findet sich im Gesetzestext, Artt. 13 und 14 DS-GVO sowie §§ 32, 33 BDSG n.F. Dies sind u.a.
- Name und Kontaktdaten des Verantwortlichen (ähnlich wie im Impressum);
- Kontaktdaten des Datenschutzbeauftragten (sofern vorhanden);
- Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen;
- Rechtsgrundlage (z.B. Einwilligung, Vertragserfüllung);
- Empfänger der personenbezogenen Daten (z.B. Newslettertool);
- Erfolgt eine Übermittlung in ein Drittland;
- Speicherdauer der personenbezogenen Daten (z.B. Cookie);
- ggf. Vorliegen einer automatisierten Entscheidungsfindung (inkl. Profiling).
des Weiteren ist die betroffene Person über ihre Rechte zu informieren (Artt. 12 ff. DS-GVO):
Die Verschlüsselung der Webseite – HTTPS ist längst Standard – ist eine Selbstverständlichkeit. Spätestens seit dem Inkrafttreten der Datenschutz-Grundverordnung ist eine verschlüsselte Übertragung gesetzlich verpflichtend. Sollte dies bei Ihnen, lieber Leser, nicht der Fall sein, ist umgehende Umsetzung mehr als empfehlenswert. Wie funktioniert’s: Sie benötigen ein SSL-Zertifikat (Secure-Sockets-Layer), welches online von diversen Anbietern angeboten wird. Der Nachfolger von SSL ist die Transport-Layer-Security (TLS).
Website-Formulare sind doch nichts Besonderes…
…aus Datenschutzsicht schon. Denn es werden mehr personenbezogene Daten erhoben, als dies für den Betrieb der Webseite erforderlich ist. Viele Webseiten bieten ein Anmeldeformular für einen Newsletter oder eine Registrierung für einen Online-Shop. Hierbei werden Formulare eingesetzt, mit denen der Webseitenbesucher seine Daten an den Webseitenbetreiber übermittelt, um eben z.B. eine Bestellung zu tätigen oder um einen Newsletter zu abonnieren. Im Rahmen der Datenschutzrechte sind hier mehrere Anforderungen zu erfüllen.
Ein wichtiger Punkt ist zudem die Datenminimierung (Datensparsamkeit) im Sinne der Erforderlichkeit für den Zweck der Verarbeitung. So dürfen nur die Daten abgefragt werden, die für die Durchführung der Leistung erforderlich sind. Für die Zustellung eines Newsletters ist ausschließlich die E-Mail-Adresse erforderlich. Sollte der Versender hier noch mehr Daten „wollen“, wie z.B. den Vor- und Nachnamen, um den Newsletter persönlicher zu gestalten, so sind diese Angaben des zukünftigen Empfängers des Newsletters bei der Anmeldung optional, also freiwillig. Über die Verwendung dieser zusätzlichen Daten ist der Empfänger des Newsletters zu informieren (siehe oben).
Noch ein Hinweis:
Sollte für die Erhebung der Daten wie auch für den Versand des Newsletters ein Dienstleister (aus Datenschutzsicht: Auftragsverarbeiter) genutzt werden bzw. dessen Software, so ist mit diesem eine sog. Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DS-GVO (sog. AVV) abzuschließen. Auch hierzu sind im Internet zuhauf Vorlagen abrufbar.* Zum einen sind das aber nur Muster, zum anderen sind diese den individuellen Bedürfnissen der Verarbeitung anzupassen und/oder zu ergänzen. In der Regel verfügen die Anbieter über entsprechende Vertragsdokumente. Aber auch hier gilt: Fragen Sie Ihren Datenschutzbeauftragten bzw. (lassen Sie) prüfen Sie vor Unterschrift. Verantwortlich für eine gesetzeskonforme Verarbeitung der personenbezogenen Daten ist der Auftraggeber (aus Datenschutzsicht: Verantwortlicher) und nicht der Dienstleister (aus Datenschutzsicht: Auftragsverarbeiter).
Weiterführende Links und Informationen:
https://www.adorgasolutions.de/wp-content/uploads/WP_DatenschutzWerbung_v10_d-e.pdfhttps://www.adorgasolutions.de/soziale-netzwerke-in-unternehmen/ (zuletzt abgerufen am 05.01.2021)
https://datenschutz.hessen.de/pressemitteilungen/einbindung-von-drittanbieter-diensten-webseiten-und-apps
(zuletzt abgerufen am 05.01.2021)
* Von ein paar Ausnahmen von Datenschutzkollegen abgesehen. Wobei hier auch auf die einzelnen Verarbeitungen abzustellen ist und nicht darauf, was der Generator und/oder das Muster so alles zu bieten hat.
Datenschutz ist kein Produkt. Datenschutz ist ein Prozess.
Wenn Sie Fragen haben, kontaktieren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lösungen für professionellen und fachkundigen Datenschutz.