Datenschutzkonforme Website

Datenschutz 0
Blogbeitrag Azurgelb zu Datenschutzerklärung

Was gehört in die Datenschutzerklärung?

Sicherlich wurden 2018 die Datenschutz-Erklärungen (DSE) vieler Unternehmen mindestens einmal überarbeitet – schließlich sollte dieses Dokument das erste sein, welches im Zuge der Geltung der DSGVO am 25. Mai 2018 erneuert werden sollte. Welche Informationspflichten bestehen und was zu beachten ist, lest ihr im folgenden Beitrag.


Der Anfang

Wer im Gesetz der DSGVO oder des BDSG nach einer Datenschutz-Erklärung sucht, wird erst einmal nicht fündig. Denn dort wird erstmal nur von der Informationspflicht (DSGVO Art. 13) im Kapitel der Betroffenen-Rechte gesprochen. Die Angaben des Datenschutz-Verantwortlichen (z. B. Geschäftsführung) und ggf. des Datenschutz-Beauftragten sind jedoch relativ klar. Dabei muss der Datenschutz-Beauftragte nicht mit Namen genannt werden. Eine datenschutz@xyz.de ist völlig ausreichend.

Die Details

Jetzt wird es etwas komplexer: Im Detail wird nun über den Zweck und die Rechtsgrundlage der Datenverarbeitung informiert. Auch ob die Daten an Drittländer übertragen werden und wie lange sie gespeichert werden, wird erklärt. Um hier nicht durcheinander zu kommen, ist es sinnvoll diese Angaben je Datenverarbeitung zu unterteilen. Außerdem ist die Datenschutz-Erklärung so auch für den Leser verständlich.

Beispiel: Das Kontaktformular

Verarbeitete Daten
Name, E-Mail, Nachricht und was sonst noch im Formular abfragt wird

Zweck
Beantwortung der Anfrage

Rechtsgrundlage
In den meisten Fällen handelt es sich hier um eine Vertragsanbahnung oder berechtigtes Interesse. Um sicher zu gehen, sollte man sich aber beim Absenden des Formulars die Einwilligung holen.

Speicherfristen
Wann werden die Daten gelöscht? (z. B. nach 2 Wochen, nach Abschluss der Anfrage, nach Ablauf der gesetzlichen Fristen, etc.)

Drittland-Übermittlung: 
Bestenfalls gibt es keine Drittland-Übermittlung. Wenn es sich aber nicht vermeiden lässt, unbedingt angeben wohin die Daten übermittelt werden und wie das Schutzniveau gewährleistet ist. (siehe Angemessenheitsbeschlüsse oder Privacy Shield bei USA)

Folgende Datenverarbeitungen finden häufig auf Websites statt:

  • Analytics (Google Analytics oder Ähnliches)
  • Tracking (Remarketing Codes, Google Tags, Facebook Pixel)
  • Webfonts (Google Webfonts)
  • Einbindung von Karten (Google Maps, Bing Karten)
  • Einbindung von Videos (Youtube, Vimeo)
  • Bebwerbungsprozesse
  • E-Commerce (Kaufverträge, Zahlungsvorgänge)
  • Kundenkonten (Login)
  • Kommentarfunktionen

Die Betroffenenrechte

Zum Abschluss werden die Nutzer der Website über ihre Rechte nach DSGVO Art. 15-21 informiert. Es scheint aktuell auszureichen, die Rechte aufzulisten:

Auskunftsrecht (Art. 15)
Wenn ihr von jemandem angefragt werdet, welche Daten ihr über diese Person habt, müsst ihr ihm/ihr immer antworten. Wichtig: Vorher muss sich der Betroffene identifizieren.

Recht auf Berichtigung (Art. 16)
Selbstverständlich hat jeder Nutzer das Recht, dass seine Daten berichtigt werden.

Recht auf Löschung / „Vergessen werden“ (Art. 17)
Ein besonderes Recht der Betroffenen: Es muss sichergestellt sein, dass wirklich alle Daten – auch bei Auftragsverarbeitern – gelöscht werden und diese Person regelrecht „vergessen“ wird.

Recht auf Einschränkung (Art. 18)
Dieses Recht besagt, dass die Verarbeitung gesperrt werden kann, bis deren Richtigkeit geklärt ist.

Nachberichts-Pflicht (Art. 19)
Über alle Änderungen, die im Rahmen von Artikel 16 – 18 vorgenommen werden, muss der Betroffene informiert werden.

Recht auf Datenübertragbarkeit (Art. 20)
Dieses Recht wird in der Umsetzung besonders interessant, denn der Betroffene hat das Recht, alle seine Daten mitzunehmen, wenn er den Anbieter wechselt.

Widerspruchsrecht (Art. 21)
Wenn Daten aus berechtigtem Interesse (Art. 6 Abs 1 f) verarbeitet werden, darf der Nutzer dieser Verarbeitung widersprechen.

Recht eine Aufsichtsbehörde anzurufen (Art. 57 Abs. 1 e)
Hier kann man die Kontaktdaten der zuständigen Aufsichtsbehörde (Landes-Datenschutz-Beauftragte) angeben.

Anika Iliev ist zertifizierte Datenschutzbeauftragte (TÜV Nord Zertifikat 08/2018). Alle Angaben zum Thema Datenschutz spiegeln ihre Lesart der Gesetze und Rechtssprechungen wider, verstehen sich aber weder als vollständig noch als rechtsverbindlich. Die Inhalte der Website und Vorträge sollen einen pragmatischen Einstieg in ein komplexes Thema bieten. Sie ersetzen jedoch keine Beratung von einem Anwalt. Gern berät sie Sie zu Ihren spezifischen Fragen hinsichtlich datenschutzkonformen Marketingmaßnahmen.


Add CommentYour email address will not be published