Datenschutzbeauftragte sind mit Webseiten überfordert

Je näher die Einführung der europäischen Datenschutzgrundverordnung (DSGVO) rückt, desto mehr Unternehmen stellen einen Datenschutzbeauftragten an. Dieser soll ihnen dabei helfen, Datenschutzrichtlinien einzuhalten. Der Ansatz ist gut, doch vieles, was von ihm erwartet wird, kann der Datenschutzbeauftragte gar nicht leisten.

 

Zuständigkeit eines Datenschutzbeauftragten

Laut Wikipedia wirkt der Beauftragte für den Datenschutz darauf hin, dass die einschlägigen Gesetze eingehalten werden. Aktuell sind dies u.a. das Bundesdatenschutzgesetz (BDSG) und das Telemediengesetz (TMG). Die DSGVO löst diese durch neue Gesetze und Verordnungen ab. Dabei entstehen durch die europäische DSGVO etliche neue Verpflichtungen, der größere Teil bleibt aber gleich oder sehr ähnlich bestehen.

Die Aufgaben eines Datenschutzbeauftragten (DSB) im Unternehmen sind sehr vielfältig. Er ist zuständig für alle Prozesse im Unternehmen, die mit personenbezogenen Daten zu tun haben. Dabei darf er sich nicht selbst kontrollieren. Wer also im Auftrag seines Unternehmens für das Programmieren oder die Inhalte der Firmenwebseite zuständig ist, darf nicht gleichzeitig als Datenschutzbeauftragter für diese Webseiten agieren.

In der Folge werden oft externe Mitarbeiter für diese verantwortungsvolle Aufgabe bestellt.

Leistung des Datenschutzbeauftragten

Was ein DSB leisten kann, hängt natürlich stark von seiner persönlichen Kompetenz und Erfahrung ab. Normalerweise handelt es sich nicht um einen IT-Spezialisten. Grundkenntnisse sind zwar nötig, doch der Datenschutzbeauftragte beschäftigt sich darüber hinaus tiefgehend mit Unternehmensprozessen aller Art. Es muss sachkundig genug sein, um formal das Thema Datenschutz für das Unternehmen zu untersuchen, Maßnahmen vorzuschlagen und sie zu überwachen.

Die besondere Aus- und Weiterbildung zum DSB ist nicht geregelt. Stattdessen gibt es zahlreiche Kurse, auch von IHKs, die ihn zu seinen Aufgaben befähigen sollen. Von fundierter Ausbildung kann hier zurzeit allerdings nicht gesprochen werden.

Manche Datenschutzbeauftragte sind Anwälte – diese haben in der Regel nur wenig Einblick in die technischen Abläufe, die für Webseiten relevant sind. Manche Datenschutzbeauftragte haben einen IT-Beruf – diese kennen sich sicher nicht mit einschlägigen juristischen Gegebenheiten aus.

Das Problem des Datenschutzbeauftragten

Wie oben dargelegt, ist es unwahrscheinlich, dass ein Datenschutzbeauftragter in gleichem Maße technische als auch juristische Expertise mitbringt. Allerdings sind Websites in erster Linie technische Konstrukte, die aus Programmzeilen und Quellcodes bestehen. Ihre Inhalte wiederum unterliegen Gesetzen wie dem BDSG und dem TMG.

Problematisch ist auch der schiere Umfang der meisten Webseiten. Wir haben eine Untersuchung von über 400 Websites angestellt, mit dem Ergebnis, dass die durchschnittliche Internetpräsenz 300 und mehr Seiten beinhaltet.

IP-Adressen als personenbezogene Daten

Ein weiteres Problem bei Webseiten ist der – natürlich erwünschte – Besuch durch Nutzer. Jeder Zugriff verursacht nämlich zwangsläufig den Austausch personenbezogener Daten, weil seit einem BGH-Urteil aus dem Jahr 2017 IP-Adressen als personenbezogen gelten.

Wenn Sie zum Beispiel auf Ihrer Webseite eine Google-Maps-Karte einbinden, um die Wegbeschreibung zur eigenen Firma zu vereinfachen, dann geschieht technisch folgendes:

  1. Wenn der Nutzer die Webseite aufruft, wird sie geladen.
  2. Dabei wird die IP-Adresse des Nutzers an Ihren Server geschickt, auf dem die Webseite betrieben wird. Sie als Betreiber erhalten also personenbezogene Daten Ihres Nutzers, ob Sie dies wollen oder nicht.
  3. Nun wird die Google-Maps-Komponente geladen.
  4. Dabei wird die IP-Adresse des Nutzers automatisch an die Firma Google mit Sitz in den USA geschickt. Dort gelten die strengen Datenschutzrichtlinien aus Deutschland und der EU nicht.
  5. Höchstwahrscheinlich speichert Google die IP-Adresse des Nutzers und wertet sie ebenso wahrscheinlich umfangreich aus (siehe Remarketing für Werbeanzeigen).
  6. Sie als Betreiber der Webseite haften dabei zunächst für das Verhalten von Google.

Die Datenschutzerklärung

Um Ihre Haftung als Verantwortlicher für eine Webseite zu beschränken und Ihre Nutzer gemäß BDSG und DSGVO korrekt über die Verwendung Ihrer Daten zu unterrichten, müssen Sie eine Erklärung für jeden Vorgang abgeben, bei dem solche personenbezogenen Daten Ihrer Nutzer weitergegeben werden. Bei der Einbindung einer Karte von Google Maps ist dies gegeben. Sie brauchen in Ihrer Datenschutzerklärung also einen Passus für Google Maps, der dessen Nutzung offenlegt und beschreibt, welche Daten transferiert werden. Ist das nicht der Fall, handeln Sie rechtswidrig und können dafür abgemahnt werden. Mit der Datenschutzgrundverordnung DSGVO drohen für vermeintlich nur geringe Verstöße dieser Art rigorose Strafen.

Das Dilemma des Datenschutzbeauftragten

Ihr Datenschutzbeauftragter kann höchstwahrscheinlich nicht alle 180 Seiten Ihrer Webpräsenz aufrufen, kontrollieren, den jeweiligen Quellcode analysieren und Ihnen dann eine genaue und rechtssichere Empfehlung geben, was Sie zu tun oder ändern sollten.

Er wird Ihnen auch kaum für jede einzelne der verwendeten Komponenten auf Ihrer Website mitteilen können, ob diese datenschutzrechtlich korrekt konfiguriert sind.

Ein krasses Beispiel mag unterstreichen, wie groß und gleichzeitig real das Problem ist: Wir haben mehrere IHK-Webseiten untersucht und dabei festgestellt, dass auch dort jeweils eine Anzahl gravierender Verstöße gegen Datenschutzgesetze vorliegen. Bei einem selbstständigen Handwerker oder einem mittelständischen Unternehmen wäre dies zu erwarten gewesen. Aber bei einer IHK? Dies ist umso erstaunlicher, weil die IHKs selbst Kurse zum Webseiten-Check anbieten. Hier lernen Teilnehmer, worauf sie achten müssen, um ihre Webseiten rechtssicher zu gestalten. Dies ist kein Vorwurf an die entsprechenden IHKs. Es unterstreicht aber eindrücklich, wie verbreitet das Problem ist: Nahezu jedes Unternehmen hat eine rechtswidrige Webseite.

Das Dilemma wird in der Praxis sehr deutlich. Die entsprechenden Gesetze sind kaum einzuhalten. Die Verantwortlichen in den Firmen sind überfordert und brauchen ein Gesamtpaket an technischer und juristischer Expertise. Ein Datenschutzbeauftragter kann dies unmöglich leisten. Und auch externe Hilfe bringt Firmen kaum weiter. Wir meinen, dass wir mit unserem Angebot genau diese Lücke schließen können. Natürlich können Sie auch einen Anwalt die 180 Seiten Ihrer Internetpräsenz prüfen lassen. Aber fragen Sie vorher nach seinem Tagessatz. Wir bieten eine wirtschaftliche Lösung an, mit der Sie das erhalten, was Sie als Webseitenbetreiber brauchen: effiziente, rechtssichere und bezahlbare Lösungen.

2018-05-03T15:44:29+00:00