Unternehmenswebsites im DSGVO-Dschungel
Warum eine automatisiert erstellte Datenschutzerklärung allein meist nicht ausreicht
Auch wenn die Datenschutz-Grundverordnung, kurz DSGVO, bereits seit einigen Monaten gilt, existieren noch immer Unternehmenswebsites, die nicht den aktuellen Bestimmungen entsprechen. Um eine Website gesetzeskonform zu gestalten, reicht es nicht aus, eine allgemeine Datenschutzerklärung irgendwo zu kopieren oder automatisiert generieren zu lassen und dann auf der Website zu veröffentlichen. Der Grund: Jede Homepage besitzt eine individuelle Struktur und verwendet unterschiedliche Plug-ins, Cookies oder Tracking-Tools. Dabei erfasst beziehungsweise verarbeitet sie unterschiedlichste Daten – und das nicht nur, wenn Nutzer irgendwo Kontaktdaten eingeben, sondern auch im Hintergrund. Hierbei handelt es sich um die sogenannten Metadaten. „Artikel 13 der DSGVO besagt, dass betreffende Personen bei Erhebung personenbezogener Daten zu informieren sind. Da der DSGVO zufolge bereits IP-Adressen als personenbezogene Daten gelten, benötigt jede Website, die diese speichert – also nahezu alle – eine Datenschutzerklärung“, erklärt Haye Hösel, Geschäftsführer und Gründer der HUBIT Datenschutz GmbH & Co. KG, und ergänzt: „Für Unternehmen existieren im Internet in Bezug auf die Einhaltung der DSGVO verschiedene Fallstricke, denn es gelten viele Informationspflichten – abhängig davon, welche Daten sie erheben und verarbeiten. Hier gilt es nicht den Überblick zu verlieren.“
Datenschutzerklärung ist nicht gleich Datenschutzerklärung
Mit der Veröffentlichung der Datenschutzerklärung auf der Website kommen Betreiber ihrer Informationspflicht nach – aber nur bei korrekter Formulierung. Nutzer müssen anhand dieser Erklärung nachvollziehen können, für welche ihrer personenbezogenen Daten eine Verarbeitung erfolgt. Die genauen Inhalte der Erklärung hängen also genau von diesen Fakten ab. Vielfach unterschätzen Betreiber und teilweise auch Werbeagenturen, die Webseiten erstellen, den Umfang der erhobenen Informationen. Sie wissen nicht, was im Hintergrund einer Webseite alles passiert und demzufolge auch in der Datenschutzerklärung beschrieben werden muss. Doch nicht nur die Inhalte sind durch die Gesetzgebung vorgeschrieben, sondern auch die Form. Für die Datenschutzerklärung gilt, dass sie nicht nur in „klarer und einfacher Sprache“ verfasst werden muss, sie muss darüber hinaus noch in „präziser, transparenter, verständlicher und leicht zugänglicher Form“ zur Verfügung stehen. Für die Umsetzung bedeutet dies, dass User sie von jeder Unterseite mit einem Klick erreichen müssen. Zudem darf die Datenschutzerklärung kein Bestandteil des Impressums darstellen, wenn hier keine eindeutige Kennzeichnung erfolgt. Generell empfiehlt es sich also, Impressum und Datenschutzerklärung über zwei unterschiedliche Menüpunkte zu verlinken. Eine korrekt verfasste Datenschutzerklärung enthält zunächst einmal Informationen darüber, welches Interesse daran besteht, die entsprechenden Daten zu verarbeiten. Darüber hinaus muss die Erklärung Details der Betroffenenrechte umfassen. Dazu zählen unter anderem das Beschwerderecht und das Recht auf Widerruf. Besteht die Absicht, die Daten Drittstaaten zu übertragen, muss auch darüber eine Aufklärung erfolgen. Unternehmen, die einen Datenschutzbeauftragten haben – also in der Regel alle Unternehmen, die mehr als 10 Mitarbeiter beschäftigen – müssen die Kontaktdaten des Beauftragten angeben. „Was viele gar nicht wissen: Selbst Under-Construction-Websites oder Web-Visitenkarten speichern in der Regel IP-Adressen und benötigen deshalb eine Datenschutzerklärung“, erläutert der zertifizierte Datenschutzbeauftragte.
Tracking bleibt möglich
Fast jedes Unternehmen nutzt Tracking-Tools, um nachvollziehen zu können, welche User für wie lange auf der Website verbleiben. Die Analyse des Userverhaltens verwenden Unternehmen dazu, Nutzerprofile zu erstellen, die wiederum das Ausspielen personalisierter Werbung ermöglichen. Es existieren zwei Möglichkeiten des DSGVO-konformen Webtrackings: zum einen das Erstellen anonymisierter und zum anderen das Erfassen von pseudonymisierten Nutzerprofilen. Während für ersteres nur die Erlaubnis gilt, Daten wie Datum und Uhrzeit des Besuchs zu tracken, weil diese Daten weder personenbezogen noch personenbeziehbar sind, erhalten Nutzer bei der zweiten Variante Pseudonyme. „Wollen Unternehmen weder anonymisiert noch pseudonymisiert tracken, müssen sie genaue Regeln befolgen. So gilt es auf der Website eine Opt-in-Option einzurichten. Das bedeutet, Nutzer müssen der Nutzung ihrer Daten aktiv zustimmen und diese Zustimmung muss sich auch widerrufen lassen“, so Hösel.
Datenschutzfalle Social Media
Im Internet gibt es kaum noch Websites, auf denen keine Social Plug-ins zu finden sind, denn Buttons von Plattformen wie Facebook, Twitter, Xing, LinkedIn oder Google+ erleichtern das Teilen von Inhalten. Datenschutzrechtlich stellt dies jedoch eine Herausforderung dar, denn die Einbettung erfolgt meist über Inlineframes, die personenbezogene Daten an die Betreiber weitergeben. „Um diesem Problem aus dem Weg zu gehen, gibt es zwei Möglichkeiten: entweder der vollständige Verzicht oder aber der User muss über die Weitergabe seiner Daten eine Information erhalten, beispielsweise während der Aufforderung zur Aktivierung eines Plug-ins. In diesem Falle spricht man von einer Zwei-Klick-Lösung“, so Hösel.
Datenschutzkonform den Weg finden
Um Nutzern das Auffinden des Unternehmens zu erleichtern, binden mittlerweile fast alle interaktive Karten, beispielsweise von Google Maps, ein. Betreiber realisieren dies meist über ein „Google Maps API“. Auch in diesem Fall erfolgt eine Weitergabe von personenbezogenen Daten, sodass User, beispielsweise über ein Plug-in, darüber eine entsprechende Information erhalten müssen. „Zudem muss auch die Datenschutzerklärung einen eindeutigen und ausführlichen Hinweis darauf beinhalten“, erklärt Hösel abschließend.
Themenkanäle: Sicherheit, Datenschutz-Grundverordnung (DSGVO)
