datenschutzerklärung werbung ds-gvo datenpanne automatisierte einzelfallentscheidung schadenersatz meldung des datenschutzbeauftragten auskunft verweigert verschlüsselung

Anforderungen an die Datenschutzerklärung einer Website

/von

Selbst diese Tatsache hat sich leider noch nicht überall herumgesprochen: Jede Website, die im geschäftlichen Umfeld genutzt wird, muss zwingend eine Datenschutzerklärung haben. Diese Datenschutzerklärung muss von jeder einzelnen Seite des Auftritts mit nur einem Klick erreichbar sein. Und der Link, über den sie erreichbar ist, muss eindeutig erkennbar sein. Es reicht also nicht aus, die Datenschutzerklärung ins Impressum zu integrieren, auch wenn diese nahezu identischen Anforderungen an das Impressum mittlerweile auf den meisten Websites umgesetzt sind.

Privat oder geschäftlich?

Mit geschäftlichem Umfeld ist übrigens jede Seite gemeint, die nicht eindeutig privat ist. Das kann auch die Homepage eines gemeinnützigen Vereins oder einfach nur aus Interesse und ohne Gewinnerzielungsabsicht betriebenes Forum für Kaninchenzüchter sein. Aus Sicht der Nutzer (also der Betroffenen) und vor allem der Aufsichtsbehörden handelt es sich bei solchen Seiten eben nicht um den privaten Bereich.

Als wirklich privat kann vermutlich nur noch die Familien-Homepage mit Urlaubs-Fotos etc. angesehen werden. Sobald hier Dritte eingeladen werden, an etwas teilzuhaben oder sich gar zu registrieren, kann davon ausgegangen werden, dass es sich nicht mehr um den privaten Bereich handelt. Im Zweifel sind hier Diskussionen mit Aufsichtsbehörden zu führen, die man sich vermutlich lieber ersparen möchte.

Wofür eigentlich eine Datenschutzerklärung?

Das Erfordernis einer Datenschutzerklärung leitet sich ab aud den Betroffenen-Rechten: Jeder Betroffene muss die Möglichkeit haben,

  • zu erfahren, wer seine (personenbezogenen) Daten verarbeitet;
  • zu erfahren, zu welchen Zwecken seine Daten verarbeitet werden;
  • sein Widerspruchsrecht auszuüben;
  • und letztlich auch zu entscheiden, ob er überhaupt „weiter machen will“, also ob er die Seite vielleicht doch besser verlassen sollte, weil er der Verarbeitung nicht zustimmt.

Anerkanntes Mittel, den Betroffenen beim Besuch einer Website vollumfänglich über die Art und dem Umfang der Verarbeitungen, die verarbeiteten Daten und die Möglichkeiten seine Rechte auszuüben, zu informieren, ist die Datenschutzerklärung.

Was muss alles rein?

Wichtig ist das Wort „vollumfänglich“. Hierzu gehört neben allgemeinen Standard-Angaben, wie Name und Anschrift der verantwortlichen Stelle, Kontaktmöglichkeiten, einer Aufklärung über seine Rechte (Widerspruch, Auskunft etc.) noch sehr vieles, was für jede Website hochindividuell zu ermitteln ist.

Der Betroffene muss nämlich wirklich über alle(!) erfassten und verarbeiteten Daten informiert werden, ebenso über den Verwendungszweck. Dazu gehört neben den schon längst üblichen und leider häufig unzureichend formulierten Erklärungen zu Facebook, Google +1, Twitter und sonstigen Sozialen Netzwerken auch die Information, was mit Daten geschieht, die in Kontaktformularen eingegeben wurden. Es muss aufgeklärt werden, wenn externe Daten aus anderen Quellen nachgeladen werden, bis hin zur Nutzung von Google Maps oder Google Fonts. Schließlich wird hier mind. die IP-Adresse des Nutzers übermittelt und ggf. mit seinem Nutzerprofil zusammengeführt.

Auch über die Sicherheitsmaßnahmen, bzw. evetnuelle Unzulänglichkeiten wie z. B. eine unverschlüsselte Übertragung aus Formularen ist aufzuklären. Und dann wären da noch die Logfiles des Webservers, in denen z. B. zur Fehleranalyse häufig auch Daten (meist die IP-Adresse des Nutzers) landen.

Kekse gefällig?

Kennen Sie diese nervige Einblendung, die auf immer mehr Websites auftaucht und über den Einsatz von Cookies informiert? Vermutlich müssten Sie soetwas auch auf Ihrer Website haben. Zumindest dann, wenn Sie Cookies einsetzen. Und das lässt sich heutzutage kaum noch vermeiden. Das sehen Sie auch an unserer Seite, auf der Sie entweder gerade eine entsprechende Meldung am unteren Rand eingeblendet bekommen oder in der Vergangenheit bereits einmal auf  „ausblenden“ geklickt haben.

Wer auf seiner Website Cookies einsetzt, muss auch darüber informieren. Und es muss auch darüber informiert werden, wie der Nutzer die Cookies wieder aus dem eigenen Browser los wird. Optimaler Weise wird auch gleich noch eine Opt-Out-Möglichkeit angeboten.

Was machen eigentlich unsere Plugins?

Für die technische Umsetzung von Websites sind zahlreiche unterschiedliche Content Management Systeme (CMS) erhältlich. Zwei Dinge haben fast alle gemeinsam: Die Darstellung der Seiten wird durch sog. Themes gesteuert und sie sind erweiterbar durch sog. Plugins. Beides kann selbst entwickelt oder von Drittanbietern (häufig sogar kostenfrei) erworben werden. Sowohl Themes als auch Plugins stellen für den Webseiten-Betreiber häufig eine Black-Box dar, d. h. man kennt zwar die nach außen bereitgestellte Funktion, weiß aber nichts über die innere Funktionsweise. Hier ist besondere Vorsicht geboten, denn es muss zwingend ausgeschlossen werden, dass sie „nach hause telefonieren“, also unzulässiger Weise Daten an den Hersteller des Theme oder Plugins senden. Ist das dennoch der Fall, ist – wenn diese Übermittlung den zulässig ist – darüber in der Datenschutzerklärung zu informieren.

Technische Analyse ist notwendig

Soetwas kann nur noch mithilfe einer technischen Analyse überprüftt werden. Diese muss an zwei Stellen ansetzen:

Im Browser des Nutzers: Hier ist zu prüfen, welche Datenflüsse es gibt, welche (externen) Dienste aufgerufen werden und welche Cookies gesetzt werden. Dabei ist stets auch darauf zu achten, ob Daten verschlüsselt (per https) oder unverschlüsselt übertragen werden.

Auf Serverseite: Hier ist zu prüfen, ob Theme oder Plugins ggf. unerwünschte Aufrufe nach außen tätigen und welche Daten dabei übermittelt werden.

Fragen Sie den Fachmann

Letztlich kann eine Datenschutzerklärung vollständig und sinnvoll nur durch einen Experten erstellt werden. Zwar gibt es zahlreiche Seiten, häufig z. B. von Rechtsanwälten, die per Anklick-Liste Textbausteine für viele Standard-Fälle produzieren. Ob damit aber eine vollständige und korrekte Datenschutzerklärung entsteht, darf bezweifelt werden. Zum einen hängt die Korrektheit stark davon ab, dass derjenige, der den Generator bedient auch vollumfänglich weiß, was auf der Website alles passiert und dann noch die korrekten Optionen auswählt. Zum anderen gibt es einfach für die meisten Plugins oder für spezielle Serverkonfigurationen keine vorgefertigten Textbausteine in den Generatoren.

Letztlich muss also ohnehin eine entsprechende Analyse her und es müssen zumindest in Teilen individuelle Texte erstellt werden. Damit kann auch gleich die gesamte Datenschutzerklärung vom Fachmann entworfen werden.

Möchten Sie Sicherheit bezüglich Ihrer Datenschutzerklärung? Gerne führen wir eine entsprechende Überprüfung durch.

Das könnte Sie auch interessieren
überprüfung tom ransomware trojaner NIS-2 BSIG NIS2UmsuCGÜberprüfung, Bewertung und Evaluierung der TOM – es wird ernst
telefax vertraulichkeitTelefonische Werbung
berechtigtes interesse 6 1 f dsgvo bundesgerichtshof bgh eugh europäischer gerichtshof privacyshield gericht bußgeld 1&1 risiko bgh auskunftsrecht lag sachsen olg münchen schadenersatz google fonts eugh löschbegehren sicherheit e-mail auskunft frist unverzüglichDSGVO-Bußgeld vorbeugend abwehren – geht das und wenn ja, wie?
berechtigtes interesse 6 1 f dsgvo bundesgerichtshof bgh eugh europäischer gerichtshof privacyshield gericht bußgeld 1&1 risiko bgh auskunftsrecht lag sachsen olg münchen schadenersatz google fonts eugh löschbegehren sicherheit e-mail auskunft frist unverzüglichWeitere Urteile zur Reichweite des Aufkunftsanspruchs
hacker pentest penetrationstest abmahnung abmahnfähigSchützen Sie Ihre Daten mit sicheren Passwörtern
clubhouseClubhouse auf geschäftlich genutzten Smartphones
Datenschutz-Folgenabschätzung und Standard-Datenschutzmodellstandard-datenschutzmodell datenschutz-folgenabschätzung datenübermittlung ausland prüfung dsms datenschutzmanagementsystem dsfa zertifizierung forschung zweckänderung prüfung fragebogeneu-dsgvo europa datenschutz-grundverordnung arbeitnehmerdatenschutz privacy shield safe harbor eprivacy verordnung dsgvo epvo brexit angemessenheitsbeschluss uk einwilligung newsletter werbung soft opt-inPrivacy Shield: Erste Unternehmen zertifiziert