Grundlagen/Rechtsfragen/Datenschutzerklärung

Neben dem Impressum sollte jede professionelle Webseite eine Datenschutzerklärung aufweisen, in der der Benutzer informiert wird, welche personenbezogenen Daten von ihm erhoben und wie diese verarbeitet, gespeichert und gegebenfalls weitergegeben werden. Auch wenn keine personenbezogenen Daten erhoben werden und eine Erklärung somit unnötig ist, ist es doch empfehlenswert, eine entsprechende Erklärung zu veröffentlichen.

Inhalte der Datenschutzerklärung

Folgende Themenbereiche müssen in der Datenschutz-Grundverordnung (DSGVO) behandelt werden. Dabei wird eine verständliche und transparente Sprache gefordert, die vom Benutzer selbst verstanden wird.

Eine Möglichkeit ist es, sich die Erklärung von Datenschutzerklärungs-Generatoren (Links am Ende der Seite) zusammenzustellen zu lassen. Alternativ wäre es möglich, dies kurz und kompakt, direkt auf den Punkt gebracht selbst aufzuschreiben. Bei Firmen müsste dies aber auf jeden Fall anwaltlich geprüft werden.

Verantwortlicher

Als Webseitenbetreiber sind Sie verantwortlich für die Einhaltung der datenschutzrechtlichen Vorgaben der Datenschutz-Grundverordnung und müssen die Rechtmäßigkeit der von Ihnen verantworteten Verarbeitungen personenbezogener Daten gewährleisten.^[1]

Datenschutzbeauftragter

In Firmen und Vereinen, in denen mehr als zehn Personen mit der Verarbeitung personenbezogener Daten betraut sind, muss ein Datenschutzbeauftragter benannt sein. Dies bedeutet, dass diese Vorschrift im Normalfall auf Privatpersonen, kleine Vereine und selbstständige Kleinunternehmer nicht zutrifft.^[2]

personenbezogene Daten

Der Diensteanbieter …[hat] den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten … in allgemein verständlicher Form zu unterrichten.^[3]

Unter personenbezogene Daten^[4] fallen natürlich Name, Geburtsdatum und Adresse, aber auch Hobbies, Einkäufe und selbst Suchergebnisse in Webshops, die eine Identifizierung der Person selbst oder mithilfe bestimmter Verhaltensmuster derselben ermöglichen. Neu in der DSGVO festgelegt ist, dass auch die IP-Adresse, auch wenn sie von Provider immer wieder neu vergeben wird, zu den personenebezogenen Daten gehört.

Auftragsverarbeitung

Wenn Sie personenbezogene Daten (dazu zählt auch die IP-Adresse) an externe Dienstleister zur weiteren Überarbeitung geben, ist es empfehlenswert mit diesen Firmen wie dem Hoster, der ja Einsicht in die IP-Adressen hat, einen Vertrag zur Auftragsverarbeitung abzuschließen, in dem der Umgang mit den Daten geregelt wird.

Verarbeitungstätigkeiten

In einem „Verzeichnis von Verarbeitungstätigkeiten“ müssen alle Prozesse, in denen personenbezogene Daten erfasst und verarbeitet werden, dokumentiert werden.

Hier sollte genau aufgelistet werden, welche Drittanbieter Zugriff auf Daten haben. Keine?

In den letzten Jahren hat es sich als (zu) bequem erwiesen, Frameworks wie jQuery oder Bootstrap, Fonts von Google oder andere Skripte von CDNs als Drittanbieter (3rd Party Content) hosten zu lassen und so aufwandsfrei immer die neueste Version zur Verfügung zu haben. Da die Server meist außerhalb der EU stehen, gelten die relativ scharfen Datenschutzbestimmungen der EU dort nicht. Ein Einbinden solcher Skripte ist nicht verboten, sollte aber überdacht und vor alllem in der Datenschutzerklärung dokumentiert werden.

Auch in Content Management Systemen gibt es viele Skripten und Plugins von Drittanbietern, die Emojis ermöglichen, Spam von ernstgemeinten Kommentaren trennen etc.

Datenminimierung oder Datensparsamkeit

Zusätzlich müssen Sie noch angeben, wie lange Sie die erhobenen Daten speichern.

Dies dient dem Grundsatz der Datenminimierung oder Datensparsamkeit. Es sollen nur solche Daten erhoben werden, die auch wirklich gebraucht werden. Diese dürfen auch nicht unendlich gespeichert, sondern nach Verwendung wieder gelöscht werden. Damit soll das unbegrenzte Sammeln von Daten und Erstellen von Benutzerprofilen (Big Data) vermieden werden.

• So benötigt man für einen News-Letter nur eine E-Mail-Adresse, aber keinen Benutzernamen
• Die Anmeldedaten für ein Konzert oder ein Wettrennen müssen nach der Veranstaltung gelöscht werden.

Verschlüsselung

Personenbezogene Daten, die z. B. in einem Shop oder einem Kontaktformular eingegeben wurden, müssen verschlüsselt versandt werden. Grund genug auch den normalen Traffic zu verschlüsseln, damit wichtige Informationen im Rauschen des Datenverkehrs untergehen.

Hauptartikel: HTTPS und TLS

Kontaktformulare und Webshops

Im Unterschied zu Datenschutzerklärungen, die den Nutzer nur informieren, müssen für einen weiterreichenden Umgang mit Daten, wie der Aufnahme in eine Mailing-Liste ausdrückliche Einwilligungen durch den Nutzer erteilt werden.^[5]. Im Opt-In-Verfahren können Nutzer ihre Einwilligung zur Aufnahme in Mail-Listen und Datenspeicherung geben, oder eben darauf verzichten. Aber auch beim Verzicht sollten Sie die Webseite zu sehen bekommen.^[6]

Quellen

1. ↑ Kap 4 Art 23-43
2. ↑ § 38 BDSG (neu) Datenschutzbeauftragte nichtöffentlicher Stellen
3. ↑ Gesetze-im-Internet:Telemediengesetz (TMG) § 13 Pflichten des Diensteanbieters
4. ↑ Wikipedia: Personenbezogene Daten
5. ↑ Wikipedia: Einwilligung (Datenschutzrecht)
6. ↑ Wikipedia: Opt-In

Weblinks

• Wikipedia: Datenschutz-Grundverordnung
• Eur-Lex: DSGVO
• Juraforum: Welche Daten Sie schützen müssen
• Bayerisches Landesamt für Datenschutzaufsicht: Info-Blätter
  • Info-Kompakt Datenschutzerklärungen im Web

Quellen

Generatoren

• Datenschutzerklärung nach DSGVO (Activemind.de)
• datenschutz-generator.de (Privatpersonen und Kleinunternehmer kostenlos)
• eRecht24 Datenschutz-Generator ( erstellt für „einfache“ Webseiten kostenfreie Datenschutzerklärungen (kostenpflichtige Passagen werden in der Auswahl markiert)
  • Muster Datenschutzerklärung
  • Impressum Generator
• hensche.de/impressumsgenerator (kostenlos nutzbarer Online-Generator für eine Impressumseite (inkl. Abschnitt zum Datenschutz))