Im Zuge der DSGVO ändert sich auch so einiges im Datenschutz. Während viele Themen noch unklar sind, gibt es bei der Datenschutzerklärung schon einige Empfehlungen und Vorgaben, an denen man sich orientieren kann.
Fakt ist:
JEDE Internetseite, benötigt eine NEUE Datenschutzerklärung. Die bisher verwendeten Datenschutzerklärungen dürften in allen Fällen hinfällig sein, außer sie wurden bereits DSGVO-konform erstellt, was allerdings nur bei Datenschutzerklärungen passen kann, die in den letzten Wochen neu erstellt wurden. Sicherheitshalber sind aber auch diese noch einmal auf Vollständigkeit und Konformität zu überprüfen.
Was ist eigentlich eine Datenschutzerklärung?
Als das Internet noch unpopulär war, fand der Datenschutz kaum Beachtung. Doch mittlerweile nutzen beinahe alle Unternehmen und auch viele Privatpersonen eine Internetseite, auf der Nutzerdaten gesammelt werden. Sei es die Newsletter-Anmeldung, das Kontaktformular, Kundendaten bei Onlineshops, Tracking, Cookies, Social-Media oder anderes. Eine funktionale Internetseite setzt in der Praxis die Verwendung von Cookies und Tracking voraus, es werden IP-Adressen gespeichert, den Weg, den der Besucher auf der Webseite geht und vieles mehr.
Bei all diesen Daten handelt es sich aber um sogenannte sensible, besonders schützenswerte (oder auch personenbezogene Daten nach der DSGVO) Daten. Das ist gut und vernünftig, denn nicht jeder möchte, dass seine (E-Mail-)Adresse für jeden öffentlich einsehbar ist. Es braucht also ein gewisses Maß an Datenschutz im Internet. Gehst du mit den Daten deiner Kunden (oder Newsletter-Abonnenten oder oder oder) pfleglich um, wird sich das auch positiv auf das Vertrauen der Nutzer in dich und dein Angebot auswirken.
Die Datenschutzerklärung gibt dem Nutzer Auskunft darüber, welche Daten mit welchen Mitteln, wann und wie lange und zu welchem Zweck über deine Homepage gespeichert werden. Eine Datenschutzerklärung ist auf der Homepage seit 24. Februar 2016 Pflicht, und zwar nicht nur für Unternehmen und Onlineshops, sondern für jeden – auch privaten – Webseitenbetreiber. Fehlt die Datenschutzerklärung oder ist diese unvollständig oder entspricht nicht den Regelungen, kann das zu Abmahnungen führen. Grundlage für die Datenschutzerklärungspflicht ist §13 des TMG (Telemediengesetz).
Was muss in der Datenschutzerklärung drin stehen?
Wie der Name schon sagt, informiert die Datenschutzerklärung den Nutzer darüber, welche Daten auf der Webseite erhoben werden, wofür diese Daten genutzt werden, und ob sie an Dritte weitergegeben werden (z.B. für Werbezwecke).
Auch die Nutzung externer Trackingtools wie z.B. Google Analytics muss in der Datenschutzerklärung angegeben werden. Die meisten Anbieter von Trackingtools stellen hierzu geeignete Textausschnitte für die Datenschutzerklärung zur Verfügung.
Auch, wenn du auf deiner Homepage eine Verbindung zu deinen sozialen Netzwerken (Facebook, Twitter, Instagram & Co.) nutzt, gehört ein diesbezüglicher Passus in die Datenschutzerklärung.
In die Datenschutzerklärung gehört auch die Möglichkeit für den Nutzer, Auskunft über die gespeicherten Daten zu erhalten, diese zu berichtigen, der Verwendung zu widersprechen und die Daten auch von dir löschen zu lassen. Auch die Dauer der Datenspeicherung gehört mit dazu.
Möchtest du die Nutzerdaten an Drittanbieter (z.B. zu Werbezwecken) weitergeben, ist hierfür IMMER eine Einwilligung des Nutzers notwendig.
Wichtig: Die Datenschutzerklärung ist inhaltlich also abhängig von den Inhalten der Homepage und der verwendeten Technologien. Es macht daher keinen Sinn, sich irgendeine Datenschutzerklärung im Internet herunterzuladen oder zu kopieren. Es gibt aber (z.B. bei E-Recht24.de) Generatoren, die dich Schritt für Schritt bei der Erstellung deiner individuellen Datenschutzerklärung begleiten. Dort wird abgefragt, welche Tools (z.B. Google Analytics) auf der Homepage genutzt werden (sollen) und das entsprechend der individuellen Datenschutzerklärung hinzugefügt.
Anmerkung: Momentan arbeitet E-Recht24 noch an dem neuen Generator für DSGVO-konforme Datenschutzerklärungen, der aber in den nächsten 1-2 Wochen kommen soll. Sobald dieser fertig gestellt ist, werde ich die Datenschutzerklärungen auf meinen eigenen Seiten und auf den Seiten meiner Kunden dort neu erstellen. Ob dieser Datenschutzgenerator frei zugänglich, oder (erst einmal) nur Premium-Nutzern vorbehalten bleibt, ist mir noch nicht bekannt. Da ich aber Premium-Nutzer bin und die Datenschutzerklärungen auch für meine Kunden erstellen und nutzen darf, kommen diese natürlich zu diesem Vorteilen, ohne selbst eine Premium-Mitgliedschaft abschließen zu müssen.
Warum benötigen alle Webseiten jetzt eine NEUE Datenschutzerklärung?
Bisherige Datenschutzerklärungen waren häufig unverständlich für den Laien. Das soll sich mit Inkrafttreten der DSGVO ändern. Die Datenschutzerklärung soll zukünftig über eine einfache, verständliche Sprache verfügen. Außerdem ist zukünftig auch in der Datenschutzerklärung (zusätzlich zum Impressum) der Seitenbetreiber mit Kontaktdaten sowie, falls vorhanden, der Datenschutzbeauftragte des Unternehmens zu benennen. Auch die Rechtsgrundlage der Datenschutzerklärung muss benannt werden.
Allein die Voraussetzung der einfachen, verständlichen Sprache dürfte bei den meisten bisherigen Datenschutzerklärungen nicht erfüllt sein, da diese inhaltlich oftmals an Anwaltliche Schreiben heranreichen. Auch war es bisher eben nicht notwendig, irgendwelche Kontaktdaten in die Datenschutzerklärung einzubauen oder eine Rechtsgrundlage zu benennen. In der Praxis ist es also in jedem Fall erforderlich, die Datenschutzerklärung auf deiner Seite zu überarbeiten.
Mit dem Näherkommen des DSGVO-Inkrafttretens gibt es nun aber auch nach und nach Generatoren zur Erstellung von DSGVO-konformen Datenschutzerklärungen.
Wo muss die Datenschutzerklärung auf deiner Seite platziert werden?
Im Telemediengesetz steht verankert, dass die Datenschutzerklärung auf deiner Webseite zu jedem Zeitpunkt und ohne Umwege für den Nutzer zur Verfügung stehen muss. In der Praxis bedeutet das, dass auf jeder Seite und Unterseite, bei jedem Blogartikel und jedem Kalender ein Link zur Datenschutzerklärung existieren muss.
Dieser Link muss für den Nutzer eindeutig als Link zur Datenschutzerklärung identifizierbar sein und darf nicht erst über das Suchen in einem Menü aufzufinden sein. Daher empfehle ich, den Link in den Footer- oder Sidebarbereich deiner Homepage zu packen und ihn eindeutig mit „Datenschutz“ oder „Datenschutzerklärung“ zu benennen.
Das besondere Problem bei der DSGVO
Das große Problem, was man als Seitenbetreiber oder Webseitenersteller mit der DSVGO hat, ist ziemlich tricky. Denn in der Realität werden bereits dann Daten von Nutzer gesammelt, wenn dieser nur die Webseite betritt (z.B. IP-Adresse, Tracking). Theoretisch müsste es also eine Vorschaltseite VOR der Webseite geben, die den Nutzer über die Datenschutzerklärung aufklärt, sich dessen Einwilligung holt (über eine Checkbox oder einen aktiven Klick auf einen Button, der zur Seite weiter leitet) und ihn dann erst auf die eigentliche Seite leitet. Hier wird in Fachkreisen derzeit noch die beste Möglichkeit diskutiert. Da bleib ich am Ball und bin auch gespannt, was man dazu bei der IT-Messe- und Kongress der IHK, den ich nächste Woche besuche, empfiehlt. Eine Bearbeitung dieses Artikels oder einen zweiten Teil, der dieses Thema noch einmal gesondert aufgreift, behalte ich mir also vor.
Update: Mittlerweile ist klar, dass eine Einwilligung nicht benötigt wird, wenn es sich um sogenannte funktionale Cookies handelt, die keinerlei Verbindung zu externen Diensten aufbauen.
Zusammenfassung
Zusammenfassend kann man also feststellen, dass du
- in jedem Fall eine Datenschutzerklärung auf deiner Homepage benötigst
- die Datenschutzerklärung von jeder Stelle deiner Webseite aus direkt und ohne Umwege erreichbar sein muss
- Inhalte deiner Datenschutzerklärung: welche Daten werden zu welchem Zweck mit welchen Mitteln gesammelt; ein Mini-Impressum mit den Kontaktdaten des Seitenbetreibers und ggf. dem Datenschutzbeauftragten; die verwendete Rechtsgrundlage
- die Datenschutzerklärung muss in einer einfachen, leicht verständlichen Sprache verfasst sein
Beachte aber unbedingt, dass die Datenschutzerklärung so individuell wie deine Homepage ist; von vorgefertigten, nicht individualisierten Mustern rate ich dir daher unbedingt ab.
Hier gelangst du direkt zu den anderen Artikeln meiner DSGVO-Blogreihe:
- Allgemeines zur DSGVO
- Die Datenschutzerklärung
- Newsletter, Freebies und Co.
- Auftragsdatenvereinbarung
- Verarbeitungsverzeichnis
- Kontaktformular
- „Kannst du nicht mal eine Schritt-für-Schritt-Anleitung für die DSGVO-Umsetzung schreiben?“
Ein sehr informativer Beitrag Susann, vielen Dank!
Schöne Grüße
Gertraud