DSGVO

Warum Datenschutzerklärungen per Automat nicht reichen

22.02.2019 - Auch wenn die Datenschutz-Grundverordnung, kurz DSGVO, bereits seit einigen Monaten gilt, existieren noch immer Unternehmenswebsites, die nicht den aktuellen Bestimmungen entsprechen. Um eine Website gesetzeskonform zu gestalten, reicht es nicht aus, eine allgemeine Datenschutzerklärung irgendwo zu kopieren oder automatisiert generieren zu lassen und dann auf der Website zu veröffentlichen.

von Christina Rose

Der Grund: Jede Homepage besitzt eine individuelle Struktur und verwendet unterschiedliche Plug-ins, Cookies oder Tracking-Tools. Dabei erfasst beziehungsweise verarbeitet sie unterschiedlichste Daten - und das nicht nur, wenn Nutzer irgendwo Kontaktdaten eingeben, sondern auch im Hintergrund. Hierbei handelt es sich um die sogenannten Metadaten. "Artikel 13 der DSGVO besagt, dass betreffende Personen bei Erhebung personenbezogener Daten zu informieren sind. Da der DSGVO zufolge bereits IP-Adressen als personenbezogene Daten gelten, benötigt jede Website, die diese speichert - also nahezu alle - eine Datenschutzerklärung", erklärt Haye Hösel, Geschäftsführer und Gründer der HUBIT Datenschutz GmbH & Co. KG, und ergänzt: "Für Unternehmen existieren im Internet in Bezug auf die Einhaltung der DSGVO verschiedene Fallstricke, denn es gelten viele Informationspflichten - abhängig davon, welche Daten sie erheben und verarbeiten."

Datenschutzerklärung ist nicht gleich Datenschutzerklärung


Mit der Veröffentlichung der Datenschutzerklärung auf der Website kommen Betreiber ihrer Informationspflicht nach - aber nur bei korrekter Formulierung. Nutzer müssen anhand dieser Erklärung nachvollziehen können, für welche ihrer personenbezogenen Daten eine Verarbeitung erfolgt. Die genauen Inhalte der Erklärung hängen also genau von diesen Fakten ab.

Vielfach unterschätzen Betreiber und teilweise auch Werbeagenturen, die Webseiten erstellen, den Umfang der erhobenen Informationen. Sie wissen nicht, was im Hintergrund einer Webseite alles passiert und demzufolge auch in der Datenschutzerklärung beschrieben werden muss. Doch nicht nur die Inhalte sind durch die Gesetzgebung vorgeschrieben, sondern auch die Form. Für die Datenschutzerklärung gilt, dass sie nicht nur in "klarer und einfacher Sprache" verfasst werden muss, sie muss darüber hinaus noch in "präziser, transparenter, verständlicher und leicht zugänglicher Form" zur Verfügung stehen.

Für die Umsetzung bedeutet dies, dass User sie von jeder Unterseite mit einem Klick erreichen müssen. Zudem darf die Datenschutzerklärung kein Bestandteil des Impressums darstellen, wenn hier keine eindeutige Kennzeichnung erfolgt. Generell empfiehlt es sich also, Impressum und Datenschutzerklärung über zwei unterschiedliche Menüpunkte zu verlinken. Eine korrekt verfasste Datenschutzerklärung enthält zunächst einmal Informationen darüber, welches Interesse daran besteht, die entsprechenden Daten zu verarbeiten. Darüber hinaus muss die Erklärung Details der Betroffenenrechte umfassen. Dazu zählen unter anderem das Beschwerderecht und das Recht auf Widerruf.

Besteht die Absicht, die Daten Drittstaaten zu übertragen, muss auch darüber eine Aufklärung erfolgen. Unternehmen, die einen Datenschutzbeauftragten haben - also in der Regel alle Unternehmen, die mehr als 10 Mitarbeiter beschäftigen - müssen die Kontaktdaten des Beauftragten angeben. Selbst Under-Construction-Websites oder Web-Visitenkarten speichern in der Regel IP-Adressen und benötigen deshalb eine Datenschutzerklärung.

Tracking bleibt möglich


Fast jedes Unternehmen nutzt Tracking-Tools, um nachvollziehen zu können, welche User für wie lange auf der Website verbleiben. Die Analyse des Userverhaltens verwenden Unternehmen dazu, Nutzerprofile zu erstellen, die wiederum das Ausspielen personalisierter Werbung ermöglichen. Es existieren zwei Möglichkeiten des DSGVO-konformen Webtrackings: zum einen das Erstellen anonymisierter und zum anderen das Erfassen von pseudonymisierten Nutzerprofilen. Während für ersteres nur die Erlaubnis gilt, Daten wie Datum und Uhrzeit des Besuchs zu tracken, weil diese Daten weder personenbezogen noch personenbeziehbar sind, erhalten Nutzer bei der zweiten Variante Pseudonyme. "Wollen Unternehmen weder anonymisiert noch pseudonymisiert tracken, müssen sie genaue Regeln befolgen. So gilt es auf der Website eine Opt-in-Option einzurichten. Das bedeutet, Nutzer müssen der Nutzung ihrer Daten aktiv zustimmen und diese Zustimmung muss sich auch widerrufen lassen", so Hösel.

Datenschutzfalle Social Media


Im Internet gibt es kaum noch Websites, auf denen keine Social Plug-ins zu finden sind, denn Buttons von Plattformen wie Facebook, Twitter, Xing oder LinkedIn erleichtern das Teilen von Inhalten. Datenschutzrechtlich stellt dies jedoch eine Herausforderung dar, denn die Einbettung erfolgt meist über Inlineframes, die personenbezogene Daten an die Betreiber weitergeben. Um diesem Problem aus dem Weg zu gehen, gibt es zwei Möglichkeiten: entweder der vollständige Verzicht oder aber der User muss über die Weitergabe seiner Daten eine Information erhalten, beispielsweise während der Aufforderung zur Aktivierung eines Plug-ins. In diesem Falle spricht man von einer Zwei-Klick-Lösung.

Um Nutzern das Auffinden des Unternehmens zu erleichtern, binden mittlerweile fast alle interaktive Karten, beispielsweise von Google Maps, ein. Betreiber realisieren dies meist über ein "Google Maps API". Auch in diesem Fall erfolgt eine Weitergabe von personenbezogenen Daten, so dass User, beispielsweise über ein Plug-in, darüber eine entsprechende Information erhalten müssen. "Zudem muss auch die Datenschutzerklärung einen eindeutigen und ausführlichen Hinweis darauf beinhalten", erklärt Hösel abschließend.

Ihr Guide im New Marketing Management - ab 6,23 im Monat!

Hat Ihnen diese Beitrag weiter geholfen? Dann holen Sie sich die ONEtoONE-Premium-Mitgliedschaft. Sie unterstützen damit die Arbeit der ONEtoONE-Redaktion. Sie erhalten Zugang zu allen Premium-Leistungen von ONEtoONE, zum Archiv und sechs mal im Jahr schicken wir Ihnen die aktuelle Ausgabe.

Diskussion:

Vorträge zum Thema:

  • Bild: Christian Bennefeld
    Christian Bennefeld (Initiative datenschutz-zwecklos.de)

    Klarheit in der KI-Kakophonie: Orientierung für die Zukunft

    In seiner Key Note gibt Christian einen Überblick über den aktuellen Stand der KI-Entwicklung und bietet Orientierung in der Kakophonie aus Algorithmen und Innovationen. Wo stehen wir heute tatsächlich? Was können wir in der Zukunft erwarten?
    Christian ordnet die zentralen Entwicklungen ein und zeigt, welche Trends 2025 wichtig werden. Sind es autonome Agenten, Open-source Modelle oder General Purpose AI-Systeme, die bald unsere Arbeit bestimmen? Was passiert mit der KI-Regulierung und dem Datenschutz? Und worauf müssen wir achten, um auch zukünftig auf der Gewinnerseite zu stehen?

    Der kurzweilige Vortrag gibt überraschende Antworten und lädt zum Nachdenken wie Mitdiskutieren ein.

    Vortrag im Rahmen der Zukunftskonferenz 25. am 03.12.24, 09:30 Uhr

www.hightext.de

HighText Verlag

Mischenrieder Weg 18
82234 Weßling

Tel.: +49 (0) 89-57 83 87-0
Fax: +49 (0) 89-57 83 87-99
E-Mail: info@onetoone.de
Web: www.hightext.de

Kooperationspartner des

Folgen Sie uns:



Besuchen Sie auch:

www.press1.de

www.ibusiness.de

www.neuhandeln.de