Mit der Datenschutz-Grundverordnung steigen die Anforderungen an die Datenschutzerklärung. Dem Schutz personenbezogener Daten müssen große wie kleine Unternehmer ab dem 25. Mai 2018 ein hohes Maß an Aufmerksamkeit widmen. Nur mit einer aktuellen Datenschutzerklärung entgehen Webseitenbetreiber der bevorstehenden Abmahnwelle. Sie ist quasi die First Line of Defence.
Treffender hätte es Datenschutzprofi Frank Giebel von 3rd Mind Business Consulting nicht formulieren können: »Die Datenschutzerklärung ist die First Line of Defence.« Webseiten ohne Datenschutzerklärung sind auch heute schon abmahngefährdet. Deswegen ist sie gegenüber Abmahnanwälten und Wettbewerbern die erste Verteidigungslinie, denn die Datenschutzerklärung wie auch das Impressum, sind für jedermann von außen einsehbar. Machen Sie hier Fehler begehen sie unter Umständen einen Wettbewerbsverstoß und dies kann teuer werden. Gewerbetreibende benötigen auf jeden Fall eine Datenschutzerklärung.
Die Pflicht zur Datenschutzerklärung auf der Webseite ergibt sich aus dem Telemediengesetzt (TMG) § 13. In der DSGVO (Datenschutz-Grundverordnung) gehen die Art. 13 und Art. 14 noch einmal detailliert auf die Informationspflichten bei der Erhebung personenbezogener Daten ein. Der Link zur Datenschutzerklärung muss von jeder Seite der Webseite aus erreichbar sein und hat mittlerweile den gleichen Stellenwert, wie das Impressum. Auch vom »Verstecken« der Datenschutzerklärung im Impressum raten Experten explizit ab. Die Datenschutzerklärung sollte im Seitenkopf oder im Footer mit einem eigenen Navigations-Button aufgeführt sein.
Tipp: Unser Hoster, Fritz Managed IT, gab in einem Rundschreiben zur DSGVO den Rat, die Datenschutzerklärung aus der Google-Indizierung herauszunehmen. Man müsse es Abmahnanwälten und Konsorten nicht unnötig leicht machen. Gute Idee.
Dazu modifiziert Ihr den HTML-Code Eurer Datenschutz-Webseite (siehe Bild). Wegen eines Bugs in unserem Redaktionssystem können wir die HTML-Anweisung nicht im Klartext hier im Text aufführen… Für Wordpress-Nutzer, über das Yoast-Plugin lässt sich der noindex für jede Seite ein- oder ausschalten.
Inhalt einer Datenschutzerklärung
Mit der DGSVO muss der Webseitenbesucher haarklein über alles aufgeklärt werden, was mit seinen Daten passiert bzw. nicht passiert. Selbst eine reine HTML-Webseiten, die nichts kann und macht, muss dies kundtun. Wobei eine solche in der Praxis nur noch selten anzutreffen sein wird.
Aufzulisten ist, wie mit personenbezogenen Daten umgegangen wird, an welchen Stellen auf der Webseite, wieso und zu welchem Zweck diese erhoben werden. Dies schließt auch die Erhebung von IP-Adressen und die Verwendung von Cookies mit ein. Hinzukommen unter anderem: jeder genutzte Social-Media-Dienst, Newsletter, Analyse-, Statistik- und Tracking-Tools (mit der Möglichkeit diese abzuschalten), Kontaktformulare.
Im Einzelnen ergeben sich in der Regel folgende Überpunkte, auf die ein DSGVO-konforme Datenschutzerklärung einzugehen hat:
- Datenerfassung beim Besuch der Website
- Kontaktdaten des Verantwortlichen
- Cookies
- Kontaktaufnahme
- Datenverarbeitung bei Registrierung (z.B. Kundenkonto, Vertragsabwicklung)
- Datenverarbeitung zur Bestellabwicklung
- Webanalysedienste (Google Analytics, eTracker…)
- Nutzung der Daten zur Direktwerbung
- Online-Marketing
- Kommentarfunktion
- Verwendung von Sozialen Medien
- Tools und Sonstiges
- Rechte des Betroffenen
- Dauer der Speicherung personenbezogener Daten
Ein Check querbeet durch Internetseiten diverser Branchen belegt, zwei Wochen vor der Umsetzung der DSGVO sind wirklich viele kleine nicht vorbereitet. Egal ob Einzelhändler, Hotels und Pensionen, Handwerker, Ärzte und Gaststätten, kaum eine Datenschutzerklärung erfüllt die Anforderungen der DSGVO. Einige besitzen sogar überhaupt keine.
Muster und Generatoren zum Erstellen einer Datenschutzerklärung
Blogger und kleine Unternehmen, auf deren Seiten sich vom Grundprinzip her nicht viel verändert, können sich in der Regel mit einem Online-Generator relativ gut behelfen. Eine Garantie auf Richtigkeit erhalten die Webseitenbetreiber allerdings nicht. Auch muss das erstellte Muster schon noch einmal auf Richtigkeit geprüft werden. Zudem sollten beispielsweise die Betreiber einer Wordpress-Webseite genau prüfen, welche verwendeten Plugins noch zusätzlich in die Datenschutzerklärung mit aufgenommen werden müssen. Die neuen Generatoren sind zwar mittlerweile sehr umfangreich, beinhalten aber trotzdem nicht alle, möglicherweise kritischen Plugins.
Experten raten übrigens davon ab, einfach alle Optionen mit »ja« anzuklicken, denn der Webseitenbetreiber übernimmt für die Richtigkeit seiner Angaben die Verantwortung. Dienste und Plugins, die auf der Webseite nicht genutzt werden, sollten auch nicht in der Datenschutzerklärung aufgeführt bzw. detailliert als nicht genutzt gelistet werden. Zum Beispiel: »Wir nutzen kein Facebook-Plugin. Es werden keine Daten übertragen.«
Generatoren für Datenschutzerklärungen
- DGD: Datenschutzerklärung per Klick
- activeMind
- datenschutz-generator.de/ (kommerzielle Nutzung kostenpflichtig)
- eRecht24 Datenschutzgenerator
Abmahnung wegen nichtkorrekter Datenschutzerklärung
Im Interview hat der Thomas Kranig, Präsident, Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), erklärt, es gebe keine Anhaltspunkte für eine bevorstehende Abmahnwelle. Mehrere Datenschutzprofis und Rechtsanwälten gehen davon aus, dass am Freitag, den 25. Mai Abmahnanwälte um 00:00 Uhr die Suchmaschinen anwerfen. Spätestens am Montag, dem 28. Mai gehen die Abmahnungen raus.
Update: Dazu gekommen ist es nicht. Abmahnungen sind ein Business-Case und der Abmahner wird nur aktiv, wenn er sich relativ sicher ist, zu gewinnen. In diesem Sinne ist es gar nicht schlecht, dass die DSGVO so viel Raum für unterschiedliche Interpretationen lässt.
Trotzdem bleibt der Rat, mit seiner Datenschutzerklärung jederzeit auf dem Laufenden zu sein. Zumindest sollte eine Datenschutzerklärung mit einem entsprechenden Generator erstellt worden sein.
Online-Abmahncheck für Jedermann
Einen kostenfreien und anonymen Abmahncheck bieten im Übrigen die Rechtsanwälte Wilde Beuge Solmecke an. Dieser ersetzt natürlich keine Rechtsberatung, ist aber ein erster Indikator. Zudem dürfen Sie davon ausgehen, dass Abmahnanwälte mit einem ähnlichen Tool das Internet abgrasen.
DSGVO: Datenschutzerklärung alleine genügt nicht
Was nicht oft genug betont werden kann: Die Datenschutzerklärung ist nur die erste Verteidigungslinie. Die DSGVO fordert noch ein Vielfaches an Maßnahmen. Mit einer aktuellen Datenschutzerklärung begehen Sie einen ersten und wichtigen Schritt, Sie müssen als Unternehmer, Gewerbetreibender, Freiberufler und Selbständiger aber auch eine umfassende Dokumentation (Verzeichnis der Verarbeitungstätigkeiten) erstellen. Das heißt, Sie müssen alle, mit Datenverarbeitung verbundenen, Prozesse dokumentieren und falls nötig optimieren. Sollten Sie mit sensiblen Daten arbeiten (Ärzte, Versicherungsmakler…) müssen Sie eine sogenannte Datenschutz-Folgeabschätzung erstellen. Kurzum, dokumentieren Sie alle Anstrengungen, die Sie bezüglich des Datenschutzes unternehmen.
Werden auf der Webseite personenbezogene Daten erfasst, ist die Datenverbindung zwischen Browser und Webserver zu verschlüsseln. Das heißt, Sie benötigen ein SSL-Zertifikat. Sprechen Sie hier mit Ihrem Hoster.
Mit Ihrem Hoster müssen Sie zudem einen Vertrag über Auftragsdatenverarbeitung (ADV) abschließen. Dies ist auch mit einem eventuellen Analysedienst wie Google (Analytics) oder eTracker erforderlich, wie aber auch mit Ihrem Steuerberater oder externem Buchhaltungsdienst.
Sollten Sie bisher noch nicht tätig geworden sein, informieren Sie sich beispielsweise auf der Webseite des BayLDA. Hier wurden einige Hilfen für kleine Firmen veröffentlicht. Oder wenden Sie sich an einen Datenschutzexperten. Ansonsten sparen Sie hier wirklich an der falschen Stelle.
- Datenschutz.org: Datenschutzerklärung: Inhalt, Beispiel, Muster
- Neue Informationspflichten mit der Datenschutz-Grundverordnung
- Datenschutz-Tipp Nr. 5: Wie Sie eine Datenschutzerklärung schreiben – Anleitung und Muster
- BayLDA: Handreichungen für kleine Unternehmen und Vereine
- Datenschutz-Grundverordnung (DSGVO): Das gilt es zu beachten
- Interview: »Das Thema Datenschutz wird mit der DSGVO nicht neu erfunden«