Von der ersten Idee bis zum Launch einer neuen Website oder eines Onlineshops ist es ein weiter Weg. Gerade wenn es an die scheinbar unscheinbare Seite "Datenschutzerklärung" geht, kann der schon mal steinig werden. Vorlagen zur Orientierung gibt es zwar massenweise - aber Datenschutz ist eine sehr individuelle Angelegenheit und die Gesetzeslage ist momentan alles andere als eindeutig. Nichtsdestotrotz hat jeder Websitebetreiber die Pflicht, eine Erklärung über den Schutz von personenbezogenen Daten anzufertigen und jeder Person zugänglich zu machen, die die Website nutzt.
1. Gesetzliche Hintergründe zur neuen EU-Datenschutzgrundverordnung
Sie gilt seit dem Frühjahr 2016 und wird ab dem 25. Mai 2018 anwendbar. Und dann wird es ernst, denn die neue EU-Datenschutzgrundverordnung (EU-DSGVO) hat weitreichende Auswirkungen auf Unternehmen und ihre Mitarbeiter, auf die Nutzung von Kundendaten, auf Newsletter oder Werbemails und nicht zuletzt auf Rechtstexte im Internet. Dazu gehört auch die Datenschutzerklärung. Wie die auszusehen hat, regelte bisher das sogenannte Telemediengesetz (aus § 13 TMG) mit folgender Definition:
"Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG […] in allgemein verständlicher Form zu unterrichten."
Da die neue EU-Datenschutzgrundverordnung europaweit gilt, ist sie allerdings nationalen Definitionen und Regelungen, also auch dem TMG, überstellt. Nach Art. 12 EU-DSGVO soll die Datenschutzerklärung wie folgt beschaffen sein:
"Der für die Verarbeitung Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen […] die sich auf die Verarbeitung personenbezogener Daten beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln."
Klingt beides recht ähnlich, ist es auch. Aber Achtung: Die EU-DSGVO legt mehr Wert auf eine klare und transparente Formulierung, was einem Laien bei der Erstellung von Rechtstexten gar nicht so leicht fallen dürfte. Beim Thema Datenschutzerklärung kommen Sie also ohne intensive Recherche künftig kaum noch alleine weiter. Zumal bei Verstößen kein Auge mehr zugedrückt werden soll. Bei Fahrlässigkeiten im Datenschutz, so orakeln Datenexperten, drohen Bußgelder von bis zu 20 Millionen Euro.
Ein weiteres Problem: Weil die DSGVO nicht speziell für Telemedien konzipiert wurde (und damit nicht jede Frage zu Rechtstexten im Internet explizit und eindeutig beantwortet), wird es zukünftig wohl noch eine speziellere Verordnung für Betreiber von Onlineinhalten geben, die sogenannte e-Privacy Verordnung. Auf den Punkt gebracht heißt das für Website- oder Webshop-Betreiber: Wenn Sie eine Datenschutzerklärung für Ihre neue Website oder Ihren Onlineshop erstellen möchten, suchen Sie sich zum einen professionelle Unterstützung (einen Internetrechtler oder Datenschutzexperten) und halten Sie zum anderen immer Ausschau nach neuen Meldungen zum Thema Datenschutz.
2. Datenschutzerklärung auf der Website: Was bleibt, was ist neu?
Die gute Nachricht: Die aktuellen Vorgaben zur Datenschutzerklärung auf Webseiten bleiben weitestgehend bestehen. Wichtig ist nach wie vor, dass Sie deutlich machen, dass Sie sorgsam und verantwortungsvoll mit Nutzerdaten umgehen; denn das ist der Sinn hinter dem Datenschutzgesetz und so wird es auch bleiben. Sprich: Jeder, der Onlineinhalte anbietet, muss detailliert darüber informieren, wie er personenbezogene Daten behandelt, die beim Nutzen seiner Seite abgerufen werden.
Personenbezogene Daten sind zum Beispiel:
- Name/Adresse/E-Mail-Adresse/Telefonnummer
- Geburtsdatum
- Kontodaten
- Kfz-Kennzeichen
- Standortdaten
- IP-Adresse
- Cookies mit Personenbezug
Im Wesentlichen informiert die Datenschutzerklärung also auch in Zukunft über Art, Umfang und Zweck der Erhebung und Verwendung von personenbezogenen Daten. Auch über die Verarbeitung der Daten in Drittländern (ab Mai 2018 nur noch außerhalb der EU) müssen gegebenenfalls Aussagen gemacht werden. Widerspruchs- und Widerrufsmöglichkeiten bezüglich der Nutzung der Daten müssen ebenfalls gegeben sein und beschrieben werden.
Besondere Aufmerksamkeit sollten Sie in Zukunft Themen wie Analysetools, soziale Medien oder dem Umgang mit Formulardaten widmen. Achten Sie bei der Erstellung folgender Hinweise ganz besonders auf unmissverständliche und rechtssichere Begriffe und Formulierungen:
- Hinweise zum Umgang mit Social Plugins (z. B. Facebook "Like"-Buttons)
- Hinweise zum Umgang mit Webformularen (z. B. Kontaktformulare)
- Hinweise zur Nutzung von Cookies (Informationen zum Zweck und zum Empfänger der Daten)
- Hinweise zum Einsatz von Analyse-Tools (wie etracker oder Google Analytics)
- Hinweise zu Targeting- bzw. Audience Optimisation Tools (z. B. AddThis)
3. Reicht es aus, einen Datenschutzkonfigurator zu nutzen?
Nein, aber solche Generatoren verhelfen zumindest zu einem guten Grundgerüst. Meist durchlaufen Sie dabei einen recht umfangreichen Frage-Antwort-Katalog rund um Ihre Unternehmensdaten und Ihre Website. Hier ein Beispiel. Solche Tools sind durchaus hilfreich. Sie sollten sich aber zusätzlich einen Berater ins Boot holen, der das Ergebnis prüft, bewertet und gegebenenfalls ergänzt. Hinweis: Ein Muster oder eine Vorlage von einer anderen Website zu nehmen und umzuformulieren, reicht definitiv nicht aus!
Mein Tipp: Wenn Sie einen Konfigurator verwenden möchten, schauen Sie bitte genau, wie aktuell die Seite ist und werfen Sie einen Blick ins Impressum, um zu erfahren, wer hinter dem Angebot steckt. Zeichen für gute Angebote sind bekannte Qualitätssiegel auf der Seite oder die Mitgliedschaft des Anbieters in seriösen Verbänden (z. B. Gesellschaft für Datenschutz und Datensicherheit (GDD) e. V. oder Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e. V.). Investieren Sie Zeit in die Recherche und den Vergleich verschiedener Onlinetools. Auch wenn Sie die Formulare ausfüllen, nehmen Sie sich viel Zeit und halten Sie alle Unterlagen zu Ihrem Unternehmen bereit.
4. Neue und alte Fallstricke: Was viele nicht beachten …
Was bedeutet eigentlich "jederzeit abrufbar"? Die Datenschutzerklärung sollte laut Gesetz für jedermann verständlich abgefasst und jederzeit abrufbar sein. Das bedeutet: Setzen Sie den Link, hinter dem sich die Datenschutzerklärung befindet, an eine Stelle, an der er leicht zu finden ist, also zum Beispiel in den Footer Ihrer Seite. Geben Sie dem Link außerdem einen eindeutigen und unmissverständlichen Namen, zum Beispiel "Datenschutz" oder "Datenschutzerklärung". Achten Sie darauf, dass der Link von jeder Unterseite Ihrer Seite erreichbar und von unterschiedlichen Browsern oder Endgeräten aus zu sehen ist. Oft fehlt er zum Beispiel in Bestellprozessen bei Onlineshops oder wird von Cookie-Bannern verdeckt, wenn ein Nutzer die Website betritt. Ein solcher Fauxpas kann abgemahnt werden!
Wie sind Social Plugins einzubinden?
Social Plugins, das sind die kleinen Facebook-, YouTube oder Xing-Symbole, über die der Nutzer mit einem Klick Inhalte auf entsprechenden Social Media-Kanälen liken, markieren oder teilen kann. Viele Seitenbetreiber betten solche Social Plugins in ihre Seiten ein, aber kaum einer macht es rechtskonform. Denn in der Tat ist ihre Verwendung datenschutzrechtlich höchst umstritten. Warum? Social Plugins werden oft als iFrames in eine Webseite eingebunden. iFrames wiederum ermöglichen es, Webinhalte von einer anderen (externen) Webseite in die aufgerufene Webseite einzubinden. Sobald der Nutzer die Seite mit dem iFrame geladen hat, werden automatisch Daten an einen anderen Server/Betreiber gesendet (also an Facebook, Twitter o. ä.). Das passiert ohne Einwilligung des Nutzers und ist daher juristisch nicht einwandfrei. Experten raten daher zu programmiertechnisch anderen Umsetzungen wie Shariff. Mehr dazu lesen Sie in diesem Artikel.
Unser Profi der Woche: Eddy Weber, Systemadministrator und Datenschutzbeauftragter
Bildquelle: utah778/iStock.com