Anforderungen an die Datenschutzerklärung einer Webseite

Mittlerweise ist die Datenschutzerklärung auf den meisten Webseiten vorhanden - die Inhalte entsprechen aber häufig nicht den gesetzlichen Anforderungen

23.08.2016

Selbst diese Tatsache hat sich leider noch nicht überall herumgesprochen: Jede Website, die im geschäftlichen Umfeld genutzt wird, muss zwingend eine Datenschutzerklärung zum Abruf bereithalten. Diese Datenschutzerklärung muss von jeder einzelnen Seite des Auftritts mit nur einem Klick erreichbar sein. Und der Link, über den sie erreichbar ist, muss eindeutig erkennbar sein. Es reicht also nicht aus, die Datenschutzerklärung ins Impressum zu integrieren, da ein Besucher nicht unbedingt damit rechnen kann, diese Informationen dort zu finden.

Privat oder geschäftlich?

Mit geschäftlichem Umfeld ist übrigens jede Seite gemeint, die nicht eindeutig privat ist. Das kann auch die Homepage eines gemeinnützigen Vereins oder einfach nur ein privat und ohne Gewinnerzielungsabsicht betriebenes Forum für Kaninchenzüchter sein. Aus Sicht der Nutzer (also der Betroffenen) handelt es sich bei solchen Seiten eben nicht um den privaten Bereich.

Als wirklich privat kann vermutlich nur noch die Familien-Homepage mit Urlaubs-Fotos etc. angesehen werden. Sobald hier Dritte eingeladen werden, an etwas teilzuhaben oder sich gar zu registrieren, kann davon ausgegangen werden, dass es sich nicht mehr um den privaten Bereich handelt. Im Zweifel sind hier Diskussionen mit Aufsichtsbehörden zu führen, die man sich wohl lieber ersparen möchte.

Wofür eigentlich eine Datenschutzerklärung?

Das Erfordernis einer Datenschutzerklärung leitet sich ab aus den Rechten der Betroffenen: Jeder Betroffene muss die Möglichkeit haben,

  • zu erfahren, wer seine (personenbezogenen) Daten verarbeitet;
  • zu erfahren, zu welchen Zwecken seine Daten verarbeitet werden;
  • sein Widerspruchsrecht auszuüben;
  • und letztlich auch zu entscheiden, ob er überhaupt „weiter machen will“, also ob er die Seite vielleicht doch besser verlassen sollte, weil er der Verarbeitung nicht zustimmt.

Anerkanntes Mittel, den Betroffenen beim Besuch einer Website vollumfänglich über die Art und dem Umfang der Verarbeitungen, die verarbeiteten Daten und die Möglichkeiten seine Rechte auszuüben, zu informieren, ist die Datenschutzerklärung.

Was muss alles rein?

Wichtig ist das Wort „vollumfänglich“. Hierzu gehört neben allgemeinen Standard-Angaben, wie Name und Anschrift der verantwortlichen Stelle, Kontaktmöglichkeiten, einer Aufklärung über seine Rechte (Widerspruch, Auskunft etc.) noch sehr vieles, was für jede Website individuell zu ermitteln ist.

Der Betroffene muss nämlich wirklich über alle(!) erfassten und verarbeiteten Daten informiert werden, ebenso über den Verwendungszweck. Dazu gehört neben den schon längst üblichen und leider häufig unzureichend formulierten Erklärungen zu Facebook, Google +1, Twitter und sonstigen Sozialen Netzwerken auch die Information, was mit Daten geschieht, die in Kontaktformularen eingegeben wurden. Es muss aufgeklärt werden, wenn externe Daten aus anderen Quellen nachgeladen werden, bis hin zur Nutzung von Google Maps oder Google Fonts. Schließlich wird hier mind. die IP-Adresse des Nutzers übermittelt und ggf. mit seinem Nutzerprofil zusammengeführt.

Kekse gefällig?

Kennen Sie diese nervige Einblendung, die auf immer mehr Websites auftaucht und über den Einsatz von Cookies informiert? Vermutlich müssten Sie so etwas auch auf Ihrer Website haben. Zumindest dann, wenn Sie Cookies einsetzen. Und das lässt sich heutzutage kaum noch vermeiden.

Wenn Sie Cookies einsetzen, muss auch darüber informiert werden. Die Informationen müssen auch Angaben darüber enthalten, wie der Nutzer die Cookies wieder aus dem eigenen Browser loswird. Optimaler Weise bieten Sie auch gleich noch eine Opt-Out-Möglichkeit an.

Was machen eigentlich unsere Plugins?

Für die technische Umsetzung von Websites sind zahlreiche unterschiedliche Content Management Systeme (CMS) erhältlich. Zwei Dinge haben fast alle gemeinsam: Die Darstellung der Seiten wird durch sog. Themes gesteuert und sie sind erweiterbar durch sog. Plugins. Beides kann selbst entwickelt oder von Drittanbietern (häufig sogar kostenfrei) erworben werden. Sowohl Themes als auch Plugins stellen für den Webseiten-Betreiber häufig eine Black-Box dar, d. h. man kennt zwar die nach außen bereitgestellte Funktion, weiß aber nichts über die innere Funktionsweise. Hier ist besondere Vorsicht geboten, denn es muss zwingend ausgeschlossen werden, dass sie „nach Hause telefonieren“, also unzulässiger Weise Daten an den Hersteller des Theme oder Plugins senden.

Technische Analyse ist notwendig

S oetwas kann nur noch mithilfe einer technischen Analyse überprüft werden. Diese muss an zwei Stellen ansetzen:

Im Browser des Nutzers: Hier ist zu prüfen, welche Datenflüsse es gibt, welche (externen) Dienste aufgerufen werden und welche Cookies gesetzt werden. Dabei ist stets auch darauf zu prüfen, ob Daten verschlüsselt (per https) oder unverschlüsselt übertragen werden.

Auf Serverseite: Hier ist zu prüfen, ob Themes oder Plugins ggf. unerwünschte Aufrufe nach außen tätigen und welche Daten dabei übermittelt werden.

Fragen Sie den Fachmann

Letztlich kann eine Datenschutzerklärung nur sinnvoll durch einen Experten erstellt werden. Zwar gibt es zahlreiche Seiten von Rechtsanwälten, die per Anklick-Liste Textbausteine für viele Standard-Fälle produzieren. Ob damit aber eine vollständige und korrekte Datenschutzerklärung entsteht, darf bezweifelt werden. Zum einen hängt die Korrektheit stark davon ab, dass derjenige, der den Generator bedient auch vollumfänglich weiß, was auf seiner Website alles passiert. Zum anderen gibt es einfach für die meisten Plugins oder für spezielle Serverkonfigurationen keine vorgefertigten Textbausteine in den Generatoren.

Letztlich muss also ohnehin eine entsprechende Analyse her. Damit kann auch gleich die gesamte Datenschutzerklärung vom Fachmann entworfen werden.

Möchten Sie Sicherheit bezüglich Ihrer Datenschutzerklärung? Gerne führen wir eine entsprechende Überprüfung durch.