Seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung der Europäischen Union, kurz: DSGVO. Und immer wieder ist zu hören, dass die bestehenden Regelungen für viele Unternehmen große Hürden darstellen. Worauf Sie bei der Datenschutzerklärung für Ihre Website achten sollten und wie Sie rechtssicher mit persönlichen Informationen über Kunden und Mitarbeiter umgehen: Darüber spreche ich mit der Datenschutz-Spezialistin Angela Clemenz.
Mit der DSGVO wurden Neuerungen hinsichtlich des Datenschutzes und der Transparenz verabschiedet. Was heißt das für Websitebetreiber?
Beim Betreiben einer Website werden personenbezogene Daten verarbeitet: in jedem Fall die IP-Adresse. Weitere personenbezogene Daten sind von den jeweiligen Verarbeitungsprozessen abhängig. Somit gelten die Grundprinzipien des Datenschutzrechts laut DSGVO auch für Websitebetreiber. Diese Grundprinzipien sind
- Rechtmäßigkeit,
- Verarbeitung nach Treu und Glauben,
- Transparenz,
- Zweckbindung,
- Datenminimierung,
- Richtigkeit,
- Speicherbegrenzung,
- Integrität und Vertraulichkeit sowie
- eine Rechenschaftspflicht.
Konkret heißt das, dass genau zu analysieren ist, welche personenbezogenen Daten wo und wie verarbeitet werden: insbesondere, welche Technologien auf der Website dafür eingesetzt werden.
Im nächsten Schritt ist zu prüfen, auf welcher Rechtsgrundlage die jeweilige Datenverarbeitung erfolgt und welcher Zweck damit erfüllt wird. Wird von einem berechtigten Interesse als Rechtsgrundlage ausgegangen, ist eine Interessensabwägung im Einzelfall durchzuführen.
Ist dabei – je nach Situation – besondere Sorgfalt geboten?
Ein besonderes Augenmerk ist auf personenbezogene Daten von Kindern unter 16 Jahren sowie auf sensible Daten – wie beispielsweise auf Gesundheitsdaten und Daten zu religiösen und politischen Einstellungen – zu legen, da diese laut DSGVO als besonders schutzwürdig zu betrachten sind.
Unternehmen erfassen mitunter viele persönliche Daten ihrer Kunden. Doch Kriterien wie die Adresse und das Geburtsdatum sind im Rahmen der DSGVO sicherlich nicht alles …
Datenschutz umfasst alle Informationen, die sich direkt oder indirekt auf einen Menschen beziehen. Dazu gehören beispielsweise
- Name und Identifikationsmerkmale (Geburtsdatum, Namenszusätze oder Ausweisnummer),
- Kontaktdaten (Postanschrift, E-Mail-Adresse oder Telefonnummer),
- körperliche Merkmale (Größe, Gewicht, Haarfarbe oder genetischer Fingerabdruck),
- geistige Zustände wie Einstellungen, Überzeugungen und Geschäftsfähigkeit,
- Verbindungen und Beziehungen: Verwandtschafts- und Freundschaftsbeziehungen oder der Arbeitgeber,
- Fotos, Videoaufnahmen, Röntgenbilder oder Tonbandaufnahmen, die einer bestimmten Person zugeordnet werden können,
- Standortdaten, Nutzungsdaten, Informationen zu Handlungen, Äußerungen, Werturteilen oder dem beruflichen Werdegang und
- Bankverbindungen.
Zusammenfassend geht es also um alle Informationen, die sich irgendwie auf eine natürliche Person zurückführen lassen. Hierzu zählen nicht nur äußerliche Merkmale und Charaktereigenschaften, sondern eben auch digitale Daten und Metadaten, welche beispielsweise auch durch die Nutzung von Online-Diensten generiert werden.
So ist die IP-Adresse, die bei jedem Website-Aufruf übermittelt wird, personenbezogen, und wir reden hier von einer Datenverarbeitung, für die der Website-Betreiber verantwortlich ist. In diesem Zusammenhang ist eine Rechtsgrundlage für diese Datenverarbeitung erforderlich und es bestehen Informationspflichten gegenüber den Nutzern.
Was gehört neben diesen Informationspflichten noch in eine DSGVO-konforme Datenschutzerklärung hinein?
Zu Beginn der Datenschutzerklärung sind der Name und die Kontaktdaten des Verantwortlichen zu nennen und – wenn ein Datenschutzbeauftragter eingesetzt ist – dessen Kontaktdaten.
Im mittleren Teil der Datenschutzerklärung folgen für jede durchgeführte Datenverarbeitung, die im Zusammenhang mit dem Betreiben und Nutzen der Website steht, die Rechtsgrundlage und der Zweck. Zu beachten ist, dass jede einzelne Datenverarbeitung näher zu betrachten ist. Wird sich bei der Rechtsgrundlage auf ein berechtigtes Interesse bezogen, ist dieses genau zu beschreiben. Auch ist in jeder Datenschutzerklärung die Dauer der Speicherung der personenbezogenen Daten, die verarbeitet wurden, aufzuzeigen.
Werden Daten an Dritte weitergegeben und/oder bestehen automatisierte Entscheidungsfindungen einschließlich Profiling, sind weitere Informationen in der Datenschutzerklärung erforderlich.
Am Ende der Datenschutzerklärung sind die Rechte der betroffenen Personen möglichst so ausführlich anzugeben, dass die Leser diese verstehen können. Abschließend ist auf das Recht auf Widerruf von Einwilligungen und auf das Recht auf Beschwerde bei der zuständigen Aufsichtsbehörde hinzuweisen.
Sie haben gerade von Datenschutzbeauftragten gesprochen. Welche Unternehmen brauchen einen Datenschutzbeauftragten?
Laut der DSGVO und dem Bundesdatenschutzgesetz (BDSG) ist ein Datenschutzbeauftragter einzusetzen, wenn im Unternehmen regelmäßig mindestens 20 Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt sind.
Unabhängig von dieser Mitarbeiteranzahl ist ein Datenschutzbeauftragter erforderlich, wenn die Verarbeitung einer Datenschutz-Folgenabschätzung unterliegt oder Daten zur Übermittlung oder zur Markt- und Meinungsforschung verarbeitet werden.
Auch, wenn die Kerntätigkeit eines Unternehmens in Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, besteht die Pflicht zur Ernennung eines Datenschutzbeauftragten.
Des Weiteren ist ein Datenschutzbeauftragter erforderlich, wenn die Kerntätigkeit des Unternehmens in der Verarbeitung besonderer Kategorien von Daten, beispielsweise zu Gesundheit, Religion und politischen Meinungen, besteht oder es sich dabei um personenbezogene Daten zu strafrechtlichen Verurteilungen und Straftaten handelt.
Reicht es aus, für die Datenschutzerklärung Formulierungen aus dem Internet zu kopieren? Oder (zumindest fürs Erste) einen Datenschutz-Generator zu nutzen?
Grundsätzlich ist zu bedenken, dass die Datenschutzerklärung auf einer Website öffentlich verfügbar ist, leicht von Wettbewerbern oder Aufsichtsbehörden eingesehen werden kann und daher eine große Angriffsfläche bietet.
Da sich der Inhalt einer Datenschutzerklärung je nach Art der angebotenen Dienste und den auf der Website aktiven Tools stark unterscheiden kann, reichen pauschale Platzhaltertexte in den meisten Fällen nicht aus.
Datenschutzerklärungen sollten einzelfallgerecht und umfassend formuliert werden. Dafür sind Erfahrung und ein gutes Verständnis für die vielen Dienste, die auf einer Website im Hintergrund Daten sammeln, erforderlich. Pauschale Formulierungen sollten demnach nur den groben Rahmen geben. Meine Empfehlung ist, sich Rat bei einem Experten für Datenschutz zu holen. Ich stehe hierfür natürlich gern zur Verfügung!
Oft wird betont, dass die Datenschutzerklärung auf der firmeneigenen Website leicht zu finden sein sollte. Wo platziert man den Link am besten?
Für die Datenschutzerklärung ist ein eigener Link auf der Website erforderlich, das heißt: Bitte die Datenschutzerklärung nicht ins Impressum einbinden. Der Linktext sollte gut lesbar und eindeutig sein, beispielsweise „Datenschutz“, „Datenschutzerklärung“ oder „Hinweise zum Datenschutz“.
Wie das Impressum sollte auch die Datenschutzerklärung von jeder einzelnen Unterseite und auch von mobilen Endgeräten aus schnell erreichbar sein. Eine Regel dafür ist: Mehr als zweimal sollte der Nutzer nicht klicken müssen, um zur Datenschutzerklärung zu gelangen.
Noch einmal zurück zu Online-Diensten. Was ist bei Tools (beispielsweise von Google) und bei Netzwerken wie Facebook zu beachten?
Bei der Einbindung von Tools und weiteren Diensten in die eigene Website ist darauf zu achten, dass dafür oft eine Einwilligung der Betroffenen erforderlich ist: beispielsweise beim Einsatz von nicht technisch bedingten Cookies und von Google Analytics – aber unter anderem auch von
- Google AdWords Remarketing,
- Google DoubleClick,
- Google Maps,
- Facebook Remarketing und Facebook Connect,
- Twitter Analytics und
- YouTube.
Bei der Nutzung diverser Tools und Dienste sollte darauf geachtet werden, einen schriftlichen Vertrag über die Auftragsdatenvereinbarung abzuschließen. Auch sollte das Analyse-Tool nur mit gekürzten IP-Adressen verwendet werden und gegebenenfalls noch bestehende Alt-Daten sollten gelöscht werden. Ich empfehle daher, das Tracking-Tool Google Analytics nur mit der Erweiterung „anonymizeIP“ zu nutzen, um eine nicht anonymisierte Datenübertragung und damit ein Abmahnungsrisiko zu verhindern.
Um sicherzugehen, dass kein Tool vergessen wird: Sollten Unternehmen ihre Website regelmäßig überprüfen und ihre Datenschutzerklärung aktualisieren?
Ja, natürlich. Sobald es Änderungen in der Verarbeitung von personenbezogenen Daten gibt, die den Umgang mit der Website betreffen, ist die Datenschutzerklärung entsprechend anzupassen. Auch sind datenschutzrechtliche Änderungen in den betrieblichen Prozessabläufen zu berücksichtigen.
Als prägnantes Beispiel ist hier die Entscheidung des Europäischen Gerichtshofs vom 1. 10. 2019 zu nennen, nach der jeder, der eine eigene Website betreibt, für den Einsatz nicht technischer Cookies die aktive Einwilligung des Seitenbesuchers einholen muss.
Bei Datenschutzerklärungen auf Firmenwebsites scheint es vor allem um die Daten der Seitenbesucher und der Kunden zu gehen. Was gilt für Unternehmer, die Angestellte haben?
In der Datenschutzerklärung, die auf der Website des Unternehmens veröffentlicht wird, sind keine Informationen zum Beschäftigtendatenschutz erforderlich. Im Beschäftigtendatenschutz ist es wichtig, Mitarbeiter darüber zu informieren, zu welchen Zwecken ihre personenbezogenen Daten erhoben werden, an welche Empfänger die Daten gehen, welche Betroffenenrechte die Arbeitnehmer laut DSGVO haben und wer der Datenschutzbeauftragte ist.
Des Weiteren sind Arbeitnehmer nach den Vorschriften der DSGVO auf den Datenschutz (früher: auf das Datengeheimnis) zu verpflichten und gegebenenfalls bestehende Betriebsvereinbarungen sind auf DSGVO-Konformität zu überprüfen.
Bei Einwilligungserklärungen ist darauf zu achten, dass der Arbeitgeber den Arbeitnehmer in klarer und einfacher Sprache, getrennt von anderen Sachverhalten – insbesondere dem Arbeitsvertrag –, über den Zweck der Datenerhebung, die Löschfristen der Daten und die jederzeitige Widerrufbarkeit aufklärt. Die zu verarbeitenden Daten sind konkret zu benennen und der jeweilige Verwendungszweck ist anzugeben. Die Einwilligungserklärung ist vom Arbeitnehmer freiwillig zu erteilen und von ihm eigenhändig zu unterschreiben.
Noch ein Hinweis dazu: Homeoffice ist aktuell für viele Firmen verstärkt ein Thema. Wichtig ist, dass Mitarbeiter über die Risiken bei der Verarbeitung personenbezogener Daten im Homeoffice und über die daraus entstehenden Pflichten informiert und sensibilisiert werden. Auch ist der Abschluss entsprechender Vereinbarungen für das Arbeiten im Homeoffice und zum Umgang mit den dafür eingesetzten technischen Geräten unverzichtbar.
Datenschutz betrifft also weit mehr als die eigene Website …
Grundsätzlich geht es im Datenschutz um die Schutzwürdigkeit sämtlicher personenbezogenen Daten, die verarbeitet werden oder mit deren Verarbeitung andere Unternehmen beauftragt werden. Zu berücksichtigen ist hierbei, dass der Begriff „Verarbeitung“ laut DSGVO sehr weit gefächert ist und darunter unter anderem „das Erheben“, „das Erfassen“, „das Ordnen“, „das Speichern“ und „das Löschen“ fallen.
Was gilt für Formulare: beispielsweise für den Firmennewsletter, für den man sich ganz klassisch mit Stift auf Papier anmeldet?
Papierbelege sind DSGVO-relevant, wenn eine Struktur in deren Ablage zu erkennen ist: beispielsweise bei einer Karteikartenablage oder Dokumenten, die systematisch in Ordnern abgeheftet sind.
Handelt es sich bei der Anmeldung zum Newsletter-Versand um ein Papierdokument, welches man unterschreibt und somit sein Einverständnis zum Versand des Newsletters erteilt, sollte dieses entsprechend abgelegt werden und ist durchaus datenschutzrelevant.
Und Einzelhändler, die ihr Geschäft videoüberwachen? Reicht es in diesem Fall aus, ein Hinweisschild mit der Aufschrift „Dieses Geschäft wird videoüberwacht“ anzubringen?
Wie bereits richtig erwähnt, ist bei einer Videoüberwachung vor dem Betreten des überwachten Bereichs ein Hinweisschild anzubringen. Die Informationen auf dem Hinweisschild sollen leicht wahrnehmbar sein, eine verständliche und nachvollziehbare Form haben sowie einen aussagefähigen Überblick über die beabsichtigte Verarbeitung übermitteln.
So ist – neben der Tatsache der Videoüberwachung – auch auf die verantwortliche Stelle, die Rechtsgrundlage, den verfolgten Zweck, die Speicherdauer und auf den Zugang zu weiteren Pflichtinformationen hinzuweisen. Weitere Pflichtinformationen sind die Nennung der Betroffenenrechte, auf die beispielsweise per Internetadresse oder durch deren Aushang hingewiesen wird.
Und noch ein Hinweis: Aufgezeichnete und gespeicherte Daten aus einer Videoüberwachung sind unverzüglich zu löschen, wenn sie für den verfolgten Zweck nicht mehr notwendig sind oder wenn schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen.
Nicht zuletzt: Was sagen Sie Unternehmern, die angesichts der vielen DSGVO-Regeln (ver-)zweifeln?
Bitte denken Sie daran, dass die Einhaltung dieser Regeln nicht nur einen erhöhten Aufwand in Ihrem Unternehmen bedeutet, sondern zugleich auch die Chance besteht, das Vertrauen der Verbraucher zu stärken und Kaufentscheidungen positiv zu beeinflussen.
Angela Clemenz ist Geschäftsführerin der DACO Leipzig GmbH. Sie berät Unternehmen und Institutionen zu Datenschutz und Compliance: vom Website-Check über die Überprüfung der Datenschutzerklärung bis hin zu Bestandsaufnahmen von vorhandenen Strukturen, Prozessen und Arbeitsabläufen. Dazu gehören auch Risikoanalysen und die Entwicklung und Umsetzung notwendiger Maßnahmen. Angela Clemenz unterstützt Unternehmen mit Workshops, Schulungen und der Einrichtung von Datenschutz-Managementsystemen. Außerdem übernimmt sie die Aufgaben eines externen Datenschutzbeauftragten und Compliance-Officers.
Danke für die Infos und die Checkliste für alles rund um Datenschutz. In den letzten Jahren haben die rechtlichen Grundsätze sich viel verändert. Es gibt so viel, was man beachten muss. Ich bin der Meinung, dass professionelle Datenschutzberatung sehr hilfreich für Unternehmen ist. Man kann dann leichter Probleme mit Datenschutz vermeiden.
Guten Tag, Herr Bachmann,
ja, gerade angesichts der vielen Hintergrund-Probleme und des notwendigen Fachwissens finde ich es hilfreich, einen Experten oder eine Expertin im Hintergrund zu haben: den oder die man fragen kann, wie man im Zweifelsfall mit bestimmten Dingen umgehen sollte. Dann kann man sich sicher(er) fühlen.
Viele Grüße
Sandra Meinzenbach