13.05.2018 (kfr)
4.5 von 5, (2 Bewertungen)

Datenschutzerklärung einer Webseite – First Line of Defence

  • Inhalt dieses Artikels
  • Inhalt einer Datenschutzerklärung
  • Muster und Generatoren zum Erstellen einer Datenschutzerklärung
  • Abmahnung wegen nichtkorrekter Datenschutzerklärung
  • Online-Abmahncheck für Jedermann
  • DSGVO: Datenschutzerklärung alleine genügt nicht

Mit der Datenschutz-Grundverordnung steigen die Anforderungen an die Datenschutzerklärung. Dem Schutz personenbezogener Daten müssen große wie kleine Unternehmer ab dem 25. Mai 2018 ein hohes Maß an Aufmerksamkeit widmen. Nur mit einer aktuellen Datenschutzerklärung entgehen Webseitenbetreiber der bevorstehenden Abmahnwelle. Sie ist quasi die First Line of Defence.

Inhalt einer DatenschutzerklärungTreffender hätte es Datenschutzprofi Frank Giebel von 3rd Mind Business Consulting nicht formulieren können: »Die Datenschutzerklärung ist die First Line of Defence.« Webseiten ohne Datenschutzerklärung sind auch heute schon abmahngefährdet. Deswegen ist sie gegenüber Abmahnanwälten und Wettbewerbern die erste Verteidigungslinie, denn die Datenschutzerklärung wie auch das Impressum, sind für jedermann von außen einsehbar. Machen Sie hier Fehler begehen sie unter Umständen einen Wettbewerbsverstoß und dies kann teuer werden. Gewerbetreibende benötigen auf jeden Fall eine Datenschutzerklärung.

Die Pflicht zur Datenschutzerklärung auf der Webseite ergibt sich aus dem Telemediengesetzt (TMG) § 13. In der DSGVO (Datenschutz-Grundverordnung) gehen die Art. 13 und Art. 14 noch einmal detailliert auf die Informationspflichten bei der Erhebung personenbezogener Daten ein. Der Link zur Datenschutzerklärung muss von jeder Seite der Webseite aus erreichbar sein und hat mittlerweile den gleichen Stellenwert, wie das Impressum. Auch vom »Verstecken« der Datenschutzerklärung im Impressum raten Experten explizit ab. Die Datenschutzerklärung sollte im Seitenkopf oder im Footer mit einem eigenen Navigations-Button aufgeführt sein.

Tipp: Unser Hoster, Fritz Managed IT, gab in einem Rundschreiben zur DSGVO den Rat, die Datenschutzerklärung aus der Google-Indizierung herauszunehmen. Man müsse es Abmahnanwälten und Konsorten nicht unnötig leicht machen. Gute Idee.

Wegen eines Bugs in unserem Redaktionssystem können wir die HTML-Anweisung nicht im Klartext im Text aufführen...Dazu modifiziert Ihr den HTML-Code Eurer Datenschutz-Webseite (siehe Bild). Wegen eines Bugs in unserem Redaktionssystem können wir die HTML-Anweisung nicht im Klartext hier im Text aufführen... Für Wordpress-Nutzer, über das Yoast-Plugin lässt sich der noindex für jede Seite ein- oder ausschalten.

Inhalt einer Datenschutzerklärung

Mit der DGSVO muss der Webseitenbesucher haarklein über alles aufgeklärt werden, was mit seinen Daten passiert bzw. nicht passiert. Selbst eine reine HTML-Webseiten, die nichts kann und macht, muss dies kundtun. Wobei eine solche in der Praxis nur noch selten anzutreffen sein wird.

Aufzulisten ist, wie mit personenbezogenen Daten umgegangen wird, an welchen Stellen auf der Webseite, wieso und zu welchem Zweck diese erhoben werden. Dies schließt auch die Erhebung von IP-Adressen und die Verwendung von Cookies mit ein. Hinzukommen unter anderem: jeder genutzte Social-Media-Dienst, Newsletter, Analyse-, Statistik- und Tracking-Tools (mit der Möglichkeit diese abzuschalten), Kontaktformulare.

Im Einzelnen ergeben sich in der Regel folgende Überpunkte, auf die ein DSGVO-konforme Datenschutzerklärung einzugehen hat:

  • Datenerfassung beim Besuch der Website
  • Kontaktdaten des Verantwortlichen
  • Cookies
  • Kontaktaufnahme
  • Datenverarbeitung bei Registrierung (z.B. Kundenkonto, Vertragsabwicklung)
  • Datenverarbeitung zur Bestellabwicklung
  • Webanalysedienste (Google Analytics, eTracker…)
  • Nutzung der Daten zur Direktwerbung
  • Online-Marketing
  • Kommentarfunktion
  • Verwendung von Sozialen Medien
  • Tools und Sonstiges
  • Rechte des Betroffenen
  • Dauer der Speicherung personenbezogener Daten

Ein Check querbeet durch Internetseiten diverser Branchen belegt, zwei Wochen vor der Umsetzung der DSGVO sind wirklich viele kleine nicht vorbereitet. Egal ob Einzelhändler, Hotels und Pensionen, Handwerker, Ärzte und Gaststätten, kaum eine Datenschutzerklärung erfüllt die Anforderungen der DSGVO. Einige besitzen sogar überhaupt keine.

Muster und Generatoren zum Erstellen einer Datenschutzerklärung

Blogger und kleine Unternehmen, auf deren Seiten sich vom Grundprinzip her nicht viel verändert, können sich in der Regel mit einem Online-Generator relativ gut behelfen. Eine Garantie auf Richtigkeit erhalten die Webseitenbetreiber allerdings nicht. Auch muss das erstellte Muster schon noch einmal auf Richtigkeit geprüft werden. Zudem sollten beispielsweise die Betreiber einer Wordpress-Webseite genau prüfen, welche verwendeten Plugins noch zusätzlich in die Datenschutzerklärung mit aufgenommen werden müssen. Die neuen Generatoren sind zwar mittlerweile sehr umfangreich, beinhalten aber trotzdem nicht alle, möglicherweise kritischen Plugins.

Experten raten übrigens davon ab, einfach alle Optionen mit »ja« anzuklicken, denn der Webseitenbetreiber übernimmt für die Richtigkeit seiner Angaben die Verantwortung. Dienste und Plugins, die auf der Webseite nicht genutzt werden, sollten auch nicht in der Datenschutzerklärung aufgeführt bzw. detailliert als nicht genutzt gelistet werden. Zum Beispiel: »Wir nutzen kein Facebook-Plugin. Es werden keine Daten übertragen.«

Generatoren für Datenschutzerklärungen

Abmahnung wegen nichtkorrekter Datenschutzerklärung

Im Interview hat der Thomas Kranig, Präsident, Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), zwar erklärt, es gebe keine Anhaltspunkte für eine bevorstehende Abmahnwelle, in der speicherguide.de-Redaktion gehen wir aber davon aus, dass genau diese bevorsteht. Wir haben uns mit mehreren Datenschutzprofis und Rechtsanwälten ausgetauscht, am Freitag, den 25. Mai werfen Abmahnanwälte um 00:00 Uhr die Suchmaschinen an. Spätestens am Montag, dem 28. Mai gehen die Abmahnungen raus.

Der Rat eines auf IT- und Datenschutz spezialisierten Anwalts (den wir nicht zitieren können): »Erstellen Sie bis zum 25. Mai 2018 zumindest eine Datenschutzerklärung mit einem entsprechenden Generator. Eine detaillierte Kontrolle einer umfassenden Datenschutzerklärung wird sicher keiner vornehmen. Die Abmahnanwälte stürzen sich zuerst auf die leichten Fälle.« Und davon wird es vermutlich mehr als genug geben.

Online-Abmahncheck für Jedermann

Einen kostenfreien und anonymen Abmahncheck bieten im Übrigen die Rechtsanwälte Wilde Beuge Solmecke an. Dieser ersetzt natürlich keine Rechtsberatung, ist aber ein erster Indikator. Zudem dürfen Sie davon ausgehen, dass Abmahnanwälte mit einem ähnlichen Tool das Internet abgrasen.

DSGVO: Datenschutzerklärung alleine genügt nicht

Was nicht oft genug betont werden kann: Die Datenschutzerklärung ist nur die erste Verteidigungslinie. Die DSGVO fordert noch ein Vielfaches an Maßnahmen. Mit einer aktuellen Datenschutzerklärung begehen Sie einen ersten und wichtigen Schritt, Sie müssen als Unternehmer, Gewerbetreibender, Freiberufler und Selbständiger aber auch eine umfassende Dokumentation (Verzeichnis der Verarbeitungstätigkeiten) erstellen. Das heißt, Sie müssen alle, mit Datenverarbeitung verbundenen, Prozesse dokumentieren und falls nötig optimieren. Sollten Sie mit sensiblen Daten arbeiten (Ärzte, Versicherungsmakler…) müssen Sie eine sogenannte Datenschutz-Folgeabschätzung erstellen. Kurzum, dokumentieren Sie alle Anstrengungen, die Sie bezüglich des Datenschutzes unternehmen.

Werden auf der Webseite personenbezogene Daten erfasst, ist die Datenverbindung zwischen Browser und Webserver zu verschlüsseln. Das heißt, Sie benötigen ein SSL-Zertifikat. Sprechen Sie hier mit Ihrem Hoster.

Mit Ihrem Hoster müssen Sie zudem einen Vertrag über Auftragsdatenverarbeitung (ADV) abschließen. Dies ist auch mit einem eventuellen Analysedienst wie Google (Analytics) oder eTracker erforderlich, wie aber auch mit Ihrem Steuerberater oder externem Buchhaltungsdienst.

Sollten Sie bisher noch nicht tätig geworden sein, informieren Sie sich beispielsweise auf der Webseite des BayLDA. Hier wurden einige Hilfen für kleine Firmen veröffentlicht. Oder wenden Sie sich an einen Datenschutzexperten. Ansonsten sparen Sie hier wirklich an der falschen Stelle.