Das muss in die Datenschutzerklärung Ihrer Webseite

Jede Website muss eine Datenschutzerklärung beinhalten. Dorthin gehören sowohl allgemeine Standardtexte als auch detaillierte Erklärungen zu den auf der Website verwendeten Komponenten wie Google Analytics. Aber wie finden Sie heraus, welche Komponenten auf Ihrer Internetpräsenz sichtbar oder verborgen aktiv sind?

 

Das Grundproblem

Irgendeine Datenschutzerklärung ist nicht ausreichend, vollständig muss sie sein. Nur wenn das zutrifft, ist sie nicht angreifbar. Sonst drohen Bußgelder, Abmahnungen oder – wenn es nicht so schlimm kommt – Überprüfungen durch Behörden. Doch ähnlich wie bei einer Steuerprüfung ist das behördliche Prüfen Ihrer Datenschutzaktivitäten eine aufwendige Angelegenheit, die man zu recht gern vermeidet.

 

 

Die Vollständigkeit Ihrer Datenschutzerklärung misst sich daran, ob Sie alle auf der Website verwendeten Komponenten Dritter dort aufgeführt haben. Typische Beispiele für diese Komponenten finden Sie hier:

  • Landkarten: Google Maps, Bing Maps, OpenStreetMap.
  • Videos: YouTube, Vimeo, Veeseo, Lemonwhale.
  • Social Media Widgets: Facebook Like Button, Twitter Share Button, XING Share Button, AddToAny.
  • Analyseprodukte: Google Analytics, eTracker, WebTrekk, Piwik, Quantcast, WebTrends, Outbrain, INFOnline, Wiredminds.
  • Chat-Widgets zur Kundeninteraktion: Tawn Live Chat, Zendesk.
  • Newsletter-Formulare: MailChimp, Cleverreach.
  • Werbeeinblendungen: Google AdSense, AdTech, Meetrics, Affilinet, Adition, Adsnapper, Storify, Doubleclick.
  • Alle über iFrame eingebundenen Inhalte wie Booking.com, Google Search API, Google Docs Formulare, Paypal Bezahlformulare.

Alle Analysewerkzeuge und viele andere Komponenten erheben Daten von den besuchern Ihrer Webseite. Dies ist nur dann erlaubt, wenn Sie Ihren Nutzern im Vorfeld eine Abwahlmöglichkeit zur Verfügung stellen (Opt-Out).

Ihre Datenschutzerklärung benötigt aber nicht nur solche spezifischen Angaben, sondern muss eine ganze Reihe von allgemeinen Informationen zur Verfügung stellen sein. Unter anderem sind dies:

  • Server Logs: Welche Daten werden beim Aufruf einer Seite protokolliert?
  • Hinweis auf das Auskunftsrecht über alle gespeicherten personenbezogenen Daten.
  • Hinweis auf das Widerrufsrecht zu diesen gespeicherten Daten.
  • Erklärung des Rechts auf Löschung der gespeicherten Daten.
  • Hinweis auf das mögliche Sperren gegen erneute Speicherung personenbezogener Daten.

Weitere Empfehlungen für die Datenschutzerklärung finden Sie am Ende dieses Artikels.

Datenschutzinhalte sind abhängig von der Website

Die Problemstellung macht deutlich, dass es keine Standard-Datenschutzerklärung geben kann. Der Inhalt Ihrer Datenschutzseite hängt nämlich völlig vom Aufbau Ihrer Website ab und von den dort verwendeten Komponenten. Das mag einleuchtend klingen, trotzdem setzen nur die wenigsten deutschen Webseiten diese Erkenntnis praktisch um. Der Grund für diesen Umsetzungsstau ist unter anderem im Umfang einer Internetpräsenz zu suchen: Sie besteht aus durchschnittlich 300 Seiten. So viele Seiten lassen sich manuell nicht erschöpfend untersuchen. Dazu kommt, dass es nicht beim Beachten der sichtbaren Komponenten bleibt, etliche verwendete Bibliotheken lassen sich nur identifizieren, wenn man ihren Quellcode betrachtet.

Verstöße und ihre Konsequenzen

Schon jetzt drohen Ihnen bei Verstößen gegen Datenschutzgrundsätze Bußgelder aus Ordnungswidrigkeiten (§ 16 TMG), die leicht bis zu 50.000 Euro betragen können. Mit Einführung der europaweiten Richtlinie DSGVO werden diese Bußgelder deutlich höher ausfallen – bis zu 20 Millionen Euro oder vier Prozent des gesamten weltweiten Umsatzes Ihres Unternehmens. Außerdem wird ab 25. Mai 2018 die Beweislast umgekehrt: Ab jetzt müssen Sie als Unternehmen nachweisen, dass Ihr Datenschutz rechtskonform ist. Darüber hinaus können wettbewerbsrechtliche Abmahnungen die Folge sein (§ 4 UWG).

Die Lösung

Haben Sie nur einen kleinen Internetauftritt mit wenigen Seiten (Pages)? Dann lassen sich die verwendeten sichtbaren Komponenten relativ schnell ermitteln. Doch schon bei etwas größeren Webpräsenzen ist dies manuell kaum noch möglich. Dazu kommt, dass dazu teils erhebliches technisches Grundverständnis notwendig ist.

Mit etwas Know-how können Sie unsichtbare Bibliotheken und Tools wie Google Analytics oder andere Tracker suchen und finden, besonders wenn Sie ein Content-Management-System (CMS) verwenden. WordPress bietet Ihnen etwa eine Plugin-Übersicht, die anzeigt, welche Komponenten auf der Webseite eingesetzt werden. Allerdings hat diese Übersicht deutliche Grenzen und ist daher nur mit Vorsicht zu genießen:

So verwenden manche Plugins Drittbibliotheken im Hintergrund, auch wenn dies nicht direkt erkennbar ist. Manche Komponenten können auch im Quellcode eines Beitrags über ein Script eingebunden sein. Diese erkennen Sie nur, wenn Sie jeden einzelnen Beitrag detailliert überprüfen. Erschwerend kommt dazu, dass manche Komponenten Bibliotheken dynamisch nachladen. Dies gilt zum Beispiel für den Google Tag Manager.

Für die meisten Unternehmen scheidet damit das manuelle Scannen der Webpräsenz als zu ungenau aus. Die einzige Möglichkeit, die verwendeten Tools auf einer Webseite halbwegs zuverlässig zu ermitteln, ist ein automatischer Scan. Dieser muss unbedingt durch eine manuelle Nachprüfung ergänzt werden, um seine Zuverlässigkeit zu erhöhen. Jetzt erst besteht eine hohe Sicherheit, dass Sie eine vollständige und somit rechtskonforme, abmahnsichere Datenschutzerklärung erhalten.

Unser Webseitenschutzpaket bietet genau das:

  1. Ein automatischer Scan durchleuchtet Ihre gesamte Webseite mit allen erreichbaren Unterseiten.
  2. Dazu kommt ein automatischer Scan von Spezialseiten, die normalerweise nicht zugänglich sind.
  3. Wichtige Kriterien wie die Erreichbarkeit des Impressums werden durch eine manuelle Prüfung sichergestellt.
  4. Als Abschluss des Scans werden alle verwendeten Komponenten überprüft und die Datenschutzerklärung daraufhin gegengeprüft.
  5. Sie erhalten konkrete Empfehlungen und Lösungen für unvollständige Datenschutzerklärungen.
  6. Außerdem erhalten Sie Konfigurationshinweise, um rechtswidrig eingesetzte Komponenten umstellen zu können.

Ein Beispiel soll den letzten Punkt verdeutlichen: Der Like-Button von Facebook darf in Form, wie ihn Facebook anbietet, auf Webseiten für den deutschen Markt nicht verwendet werden.

Bei all diesen Empfehlungen für den Datenschutz spielt juristische Expertise eine große Rolle. Deshalb arbeiten wir mit einer Anwaltskanzlei für IT-Recht zusammen. Nach unserer Erfahrung enthalten Websites, die ausschließlich von Anwälten betreut werden, praktisch immer gravierende Verstöße. Wenn wir die verantwortlichen Anwälte dann mit den Rechtsverstößen ihrer Seiten konfrontieren und anbieten, diese zu beheben, dann reagieren etliche damit, dass sie geltendes Recht abstreiten. Andere meinen, dass sie die beschriebenen Probleme selbst lösen können, auch wenn sie dies bis dahin nicht geschafft haben.

Entscheiden Sie selbst. Nehmen Sie unser risikoloses Angebot in Anspruch: Wenn wir auf Ihrer Website keine gravierenden Verstöße finden, dann erhalten Sie unsere Leistung kostenfrei – inklusive hilfreicher und konstruktiver Hinweise.

Weitere Empfehlungen

Prinzipiell besteht die Möglichkeit, die Datenschutzerklärung als eigenen Abschnitt des Impressums zu gestalten. Dies ist nicht verboten. Wir raten jedoch davon ab. Besser ist es, die Erklärung auf einer eigenen Seite unterzubringen. Mindestens sollte sie mit einem eigenen Link von jeder Seite aus aufrufbar sein.

Dieser Link zur Datenschutzerklärung muss mit maximal zwei Klicks erreichbar sein. Bei responsivem Design für Smartphones sollte er deshalb immer sichtbar in der Fußzeile angezeigt werden und nicht nur über ein sogenanntes „Hamburger-Menü“ (die bekannten drei Linien in der oberen Ecke). Beachten Sie das Beispiel dieser Webpräsenz: In der Desktop-Auflösung sehen Sie den Datenschutzlink sowohl oben als auch ganz unten. In der mobilen Ansicht auf dem Smartphone wird der obere Link in das Menü „eingeklappt“, der Link in der Fußzeile bleibt allerdings weiterhin permanent sichtbar.

Solch ein Link zur Datenschutzerklärung sollte übrigens eindeutig benannt sein, also mit Datenschutzerklärung, Datenschutz o.ä. Wie bereits beschrieben, sollte er zusätzlich zu dem Link für das Impressum dargestellt werden.

Teil der Datenschutzerklärung muss sein, dass die Art der Datenverwendung genannt wird. Werden personenbezogene Daten erhoben, dann muss gesagt werden, wofür das geschieht. Bei Newslettern oder Kontaktformularen reichen hier oft Standardformulierungen, doch auch diese sollten überprüft und gegebenenfalls angepasst werden.

Nennen Sie den Datenschutzbeauftragten auf Ihrer Webseite! Es gibt dazu zwar keine gesetzliche Verpflichtung, Sie zeigen allerdings Ihren Besuchern und Kunden, dass Sie den Datenschutz ernst nehmen und transparent agieren. Falls es zu einem Rechtsstreit kommt, ist dies auch die sicherste Variante. Jeder Betrieb, der mehr als neun Mitarbeiter regelmäßig mit der Verarbeitung personenbezogener Daten beauftragt, muss übrigens solch einen Datenschutzbeauftragten (DSB) stellen. Dies ist praktisch immer nötig, wenn in der Firma neun oder mehr Computerarbeitsplätze vorhanden sind. Unternehmen, die mehr als 250 Mitarbeiter haben, müssen auch immer einen DSB bestellen. Dasselbe gilt, wenn ein Betrieb regelmäßig personenbezogene Daten verarbeitet. Dazu gehören unserer Auffassung nach alle Firmen, die eine öffentliche Website haben, weil seit 2017 Internetadressen als personenbezogene Daten gelten.

2018-05-03T16:01:20+00:00