Eine Da­ten­schutz­er­klä­rung dient dazu, die be­trof­fe­ne Person, sprich den Be­su­cher der Web­sei­te, darüber zu in­for­mie­ren, welche seiner Daten, für welchen Zweck, durch wen und mit welchen Mittel ver­ar­bei­tet werden – kurzum: was mit seinen per­so­nen­be­zo­ge­nen Daten pas­siert. Des Wei­te­ren dient sie dazu, den Be­trof­fe­nen über seine Rechte auf­zu­klä­ren. Wobei, die Rechte – von Recht auf Aus­kunft bis hin zum Be­schwer­de­recht bei einer Auf­sichts­be­hör­de – immer die­sel­ben sind, un­ge­ach­tet dessen, in welchem Kontext die per­so­nen­be­zo­ge­nen Daten ver­ar­bei­tet werden. Diese gelten also immer, egal ob der Bürger und Ver­brau­cher in epi­scher Breite oder kurz und bündig darüber in­for­miert wird (oder auch nicht). Diese Rechte haben die Be­trof­fe­nen nicht erst seitdem Gül­tig­wer­den der Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung (DS-GVO) am 25.05.2018, diese Rechte konnte man auch schon nach dem „alten“ Bun­des­da­ten­schutz­ge­setz (BDSG a.F.) in An­spruch nehmen (Aus­nah­me: Da­ten­über­trag­bar­keit). Auf diese Rechte kann nicht ver­zich­tet werden. Es obliegt also dem Be­trof­fe­nen, ob er von seinen Rechten Ge­brauch macht oder nicht. 

In unserer Be­ra­tungs­pra­xis lesen wir immer wieder un­voll­stän­di­ge und feh­ler­haf­te Da­ten­schutz­er­klä­run­gen. Dies rührt vor allem daher, dass 

  • ver­ständ­li­cher­wei­se die meisten Web­sei­ten­be­trei­ber die An­for­de­run­gen der Da­ten­schutz­rech­te nicht kennen;
  • sie sich nicht von einem Da­ten­schutz­ex­per­ten un­ter­stüt­zen lassen bzw. nicht der ge­setz­li­chen Be­nen­nungs­pflicht eines Da­ten­schutz­be­auf­trag­ten nachkommen; 
  • der Web­sei­ten­be­trei­ber der Meinung ist, alle Da­ten­schutz­er­klä­run­gen sind gleich und diese einfach von einer anderen Web­sei­te (vor­zugs­wei­se der eines Mit­be­wer­bers) kopiert sowie 
  • der Irr­glau­be herrscht, dass das Thema auch ganz einfach mit den zuhauf im In­ter­net auf­find­ba­ren und kos­ten­lo­sen Da­ten­­­schutz-Ge­­ne­ra­­to­­ren „ab­ge­früh­stückt“ werden kann.*

Viele Web­sei­ten­be­trei­ber wissen zudem nicht, ob und welche Daten wie auf ihren Web­sei­ten ver­ar­bei­tet werden und für was diese genutzt werden. Zu allem Über­druss kommt hinzu, dass auch der Web­sei­ten­de­si­gner oder die Mar­ke­ting­agen­tur, es auch nicht wissen, obwohl diese z.B. die Cookies ein­bin­den. Ge­fähr­lich wird es hier i.S.v. abmahn- und buß­geld­fä­hig, wenn der besagte Dienst­leis­ter mit Halb­wis­sen, den noch weniger wis­sen­den Ver­ant­wort­li­chen, da­ten­schutz­recht­lich berät – was zudem einen Ge­set­zes­ver­stoß darstellt.
 
Welche In­for­ma­tio­nen muss eine Da­ten­schutz­er­klä­rung prin­zi­pi­ell enthalten?
Das, worüber im Rahmen der In­for­ma­ti­ons­pflich­ten in einer Da­ten­schutz­er­klä­rung zu in­for­mie­ren ist, findet sich im Ge­set­zes­text, Artt. 13 und 14 DS-GVO sowie §§ 32, 33 BDSG n.F. Dies sind u.a.

  • Name und Kon­takt­da­ten des Ver­ant­wort­li­chen (ähnlich wie im Impressum);
  • Kon­takt­da­ten des Da­ten­schutz­be­auf­trag­ten (sofern vorhanden); 
  • Zwecke, für die die per­so­nen­be­zo­ge­nen Daten ver­ar­bei­tet werden sollen; 
  • Rechts­grund­la­ge (z.B. Ein­wil­li­gung, Vertragserfüllung); 
  • Emp­fän­ger der per­so­nen­be­zo­ge­nen Daten (z.B. Newslettertool); 
  • Erfolgt eine Über­mitt­lung in ein Drittland; 
  • Spei­cher­dau­er der per­so­nen­be­zo­ge­nen Daten (z.B. Cookie); 
  • ggf. Vor­lie­gen einer au­to­ma­ti­sier­ten Ent­schei­dungs­fin­dung (inkl. Profiling).

des Wei­te­ren ist die be­trof­fe­ne Person über ihre Rechte zu in­for­mie­ren (Artt. 12 ff. DS-GVO):

 

 

 

 

 

 

 

 


Die Ver­schlüs­se­lung der Web­sei­te – HTTPS ist längst Stan­dard – ist eine Selbst­ver­ständ­lich­keit. Spä­tes­tens seit dem In­kraft­tre­ten der Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung ist eine ver­schlüs­sel­te Über­tra­gung ge­setz­lich ver­pflich­tend. Sollte dies bei Ihnen, lieber Leser, nicht der Fall sein, ist um­ge­hen­de Um­set­zung mehr als emp­feh­lens­wert. Wie funktioniert’s: Sie be­nö­ti­gen ein SSL-Zer­­ti­­fi­­kat (Secure-Sockets-Layer), welches online von di­ver­sen An­bie­tern an­ge­bo­ten wird. Der Nach­fol­ger von SSL ist die Tran­s­­port-Layer-Se­­cu­ri­­ty (TLS).
 
Website-For­­mu­la­­re sind doch nichts Besonderes…
…aus Da­ten­schutz­sicht schon. Denn es werden mehr per­so­nen­be­zo­ge­ne Daten erhoben, als dies für den Betrieb der Web­sei­te er­for­der­lich ist. Viele Web­sei­ten bieten ein An­mel­de­for­mu­lar für einen News­let­ter oder eine Re­gis­trie­rung für einen Online-Shop. Hierbei werden For­mu­la­re ein­ge­setzt, mit denen der Web­sei­ten­be­su­cher seine Daten an den Web­sei­ten­be­trei­ber über­mit­telt, um eben z.B. eine Be­stel­lung zu tätigen oder um einen News­let­ter zu abon­nie­ren. Im Rahmen der Da­ten­schutz­rech­te sind hier mehrere An­for­de­run­gen zu erfüllen.
Ein wich­ti­ger Punkt ist zudem die Da­ten­mi­ni­mie­rung (Da­ten­spar­sam­keit) im Sinne der Er­for­der­lich­keit für den Zweck der Ver­ar­bei­tung. So dürfen nur die Daten ab­ge­fragt werden, die für die Durch­füh­rung der Leis­tung er­for­der­lich sind. Für die Zu­stel­lung eines News­let­ters ist aus­schließ­lich die E-Mail-Adresse er­for­der­lich. Sollte der Ver­sen­der hier noch mehr Daten „wollen“, wie z.B. den Vor- und Nach­na­men, um den News­let­ter per­sön­li­cher zu ge­stal­ten, so sind diese Angaben des zu­künf­ti­gen Emp­fän­gers des News­let­ters bei der An­mel­dung op­tio­nal, also frei­wil­lig. Über die Ver­wen­dung dieser zu­sätz­li­chen Daten ist der Emp­fän­ger des News­let­ters zu in­for­mie­ren (siehe oben). 

Noch ein Hinweis:
Sollte für die Er­he­bung der Daten wie auch für den Versand des News­let­ters ein Dienst­leis­ter (aus Da­ten­schutz­sicht: Auf­trags­ver­ar­bei­ter) genutzt werden bzw. dessen Soft­ware, so ist mit diesem eine sog. Ver­ein­ba­rung zur Auf­trags­ver­ar­bei­tung gemäß Art. 28 DS-GVO (sog. AVV) ab­zu­schlie­ßen. Auch hierzu sind im In­ter­net zuhauf Vor­la­gen ab­ruf­bar.* Zum einen sind das aber nur Muster, zum anderen sind diese den in­di­vi­du­el­len Be­dürf­nis­sen der Ver­ar­bei­tung an­zu­pas­sen und/oder zu er­gän­zen. In der Regel ver­fü­gen die An­bie­ter über ent­spre­chen­de Ver­trags­do­ku­men­te. Aber auch hier gilt: Fragen Sie Ihren Da­ten­schutz­be­auf­trag­ten bzw. (lassen Sie) prüfen Sie vor Un­ter­schrift. Ver­ant­wort­lich für eine ge­set­zes­kon­for­me Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten ist der Auf­trag­ge­ber (aus Da­ten­schutz­sicht: Ver­ant­wort­li­cher) und nicht der Dienst­leis­ter (aus Da­ten­schutz­sicht: Auftragsverarbeiter). 

Wei­ter­füh­ren­de Links und Informationen:
https://www.adorgasolutions.de/wp-content/uploads/WP_DatenschutzWerbung_v10_d-e.pdfhttps://www.adorgasolutions.de/soziale-netzwerke-in-unternehmen/ (zuletzt ab­ge­ru­fen am 05.01.2021)
https://datenschutz.hessen.de/pressemitteilungen/einbindung-von-drittanbieter-diensten-webseiten-und-apps
(zuletzt ab­ge­ru­fen am 05.01.2021)

* Von ein paar Aus­nah­men von Da­ten­schutz­kol­le­gen ab­ge­se­hen. Wobei hier auch auf die ein­zel­nen Ver­ar­bei­tun­gen ab­zu­stel­len ist und nicht darauf, was der Ge­ne­ra­tor und/oder das Muster so alles zu bieten hat.

Daten­schutz ist kein Produkt. Daten­schutz ist ein Prozess.
Wenn Sie Fragen haben, kon­tak­tie­ren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lö­sun­gen für pro­fes­sio­nel­len und fach­kun­di­gen Daten­schutz.

 

Related Posts

Mit Da­ten­schut­zirr­tü­mern aufräumen

Mit Da­ten­schut­zirr­tü­mern aufräumen

2. April 2024
Pre­pa­ra­ti­on is ever­y­thing: How to prepare for a cyberattack

Pre­pa­ra­ti­on is ever­y­thing: How to prepare for a cyberattack

28. März 2024
Der Datenschutz­beauftragte – wich­ti­ger denn je!

Der Datenschutz­beauftragte – wich­ti­ger denn je!

17. März 2024

Wie können wir Ihnen weiterhelfen?

Kontaktieren Sie uns: Wir sind gerne für Sie da!