Website-Betreiber müssen schon lange ein Impressum und eine Datenschutzerklärung einbinden. Durch die DS-GVO wurden die Informationspflichten auf Websites aber deutlich erweitert.

Deshalb gehe ich im heutigen dritten Teil meiner Artikelserie auf Informationspflichten genauer ein und stelle Tools vor, mit deren Hilfe man relativ einfach die eigene DS-GVO gerechte Datenschutzerklärung generieren kann.

Zudem geht es noch um ein paar weitere Informationspflichten.

Artikel der DS-GVO-Serie:

1. Die Analyse personenbezogener Daten

Praxis-Beispiel Schritt 1: Analyse

2. Verzeichnis der Verarbeitungstätigkeiten

Praxis-Beispiel Schritt 2: Verzeichnis





Hinweis:

Da ich kein Anwalt bin, handelt es sich bei den folgenden Ausführungen um meine persönliche Meinung und meine eigenen Erfahrungen. Es handelt sich nicht um eine Rechtsberatung. Falls konkrete Fragen oder Probleme auftauchen, sollte man sich an einen Anwalt wenden*.

Informationspflichten nach der DS-GVO



Werbung

Bereits in der Vergangenheit war eine Datenschutzerklärung auf der eigenen Website notwendig, doch in Zukunft werden hier noch mehr Informationen gefordert. Deshalb ist es wichtig die Datenschutzerklärung zu überarbeiten.

Darüber hinaus gibt es aber auch noch weitere Informationspflichten, auf die ich im Folgenden ebenfalls eingehe.

DS-GVO gerechte Datenschutzerklärung

Wie bisher ist auch in Zukunft eine Datenschutzerklärung notwendig. Doch die bisherige reicht nicht mehr, da weitere Informationen notwendig sind. Diese betreffen vor allem Informationen zur Speicherung und Verarbeitung der personenbezogenen Daten, aber auch zu Löschfristen und den Rechten der Betroffenen.

Die Datenschutzerklärung könnte man von Hand erstellen, aber für die meisten Selbstständigen ist das nicht sinnvoll, da der juristische Hintergrund fehlt. Deshalb kann man Online-Generatoren nutzen, wie bisher auch.

Leider sind die von mir bisher empfohlenen Datenschutz-Generatoren entweder noch nicht an die DS-GVO angepasst worden oder sind nur eingeschränkt kostenlos verfügbar.

WERBUNG

Deshalb im Folgenden ein neuer kostenloser Generator und eine kostenpflichtige Alternative.

Generator von dg-datenschutz.de

Die deutsche Gesellschaft für Datenschutz hört sich wahrscheinlich etwas offizieller an, als sie tatsächlich ist. Im Grunde werden von diesem Unternehmen Dienstleistungen rund um den Datenschutz ergeboten. Unter anderem die Stellung eines externen Datenschutzbeauftragten, Datenschutz-Audits und mehr.

Für Website-Betreiber ist vor allem der kostenlose Datenschutzerklärungs-Generator interessant, der dort bereitgestellt wird.

Hier gibt man zum einen ein paar Daten zum eigenen Unternehmen ein und kreuzt dann diverse Dinge in Kategorien wie Allgemeines, Soziale Medien, Analyse Tools, Internetwerbung, Online Marketing und so weiter an.

Hier muss ich sagen, dass doch einige externe Dienstleister vorhanden sind. So z.B. Google AdSense, Amazon Partnerprogramm, Affilinet, Google Analytics und einige mehr. Es werden die häufigsten Online-Services und Einnahmequellen deutscher Website-Betreiber und Blogger abgedeckt.

Herausgekommen ist bei mir eine 28-seitige Datenschutzerklärung, die in großen Teil schon das enthält, was bisher auch drin war, aber noch einiges mehr. So z.B. die durch die DS-GVO geforderten Informationen zur Löschung von personenbezogenen Daten, Rechte von Betroffenen und einiges mehr. Vor allem aber gibt es zu jedem eingebauten Dritt-Tool und jeder Einnahmequelle einen eigenen Abschnitt.

Die geforderte Opt-Out Möglichkeit ist jeweils durch den Hinweis auf die Browsereinstellungen intergriert. Will man wie bisher einen Link zu einem Opt-Out Cookie für Google Analytics anbieten, so muss man das selber ergänzen.

Was ich hier leider nicht finden konnte, ist z.B. ein Passus zu Google Webfonts. Diese stehen ja, wie alles was über externe URLs eingebunden wird, ebenfalls im Fokus der DS-GVO.

Generator von e-recht24.de

Der Generator von e-recht24.de* wurde vor kurzem auf die DS-GVO umgestellt und steht in seinem kompletten Umfang nur zahlenden Mitgliedern zur Verfügung.

Hier geht man ebenfalls Schritt für Schritt einzelne thematische Bereiche durch und setzt Häkchen, wenn diese Dinge auf die eigene Website zutreffen. So gibt es hier z.B. die Bereiche Analyse-Tools und Werbung, Soziale Medien, Newsletter-Daten und mehr.

Auch solche Sachen wie Google Web-Fonts und SoundCloud-Einbindung sind integriert. Dagegen fehlen leider deutsche und europäische Partnerprogramme bzw. Affiliate-Netzwerke. Hier ist lediglich das Amazon Partnerprogramm eingebunden.

Sehr gut ist, dass hier auch der Code für das Google Analytics Opt-Out Cookie angezeigt wird und wo man diesen einbinden muss.

Die generierte Datenschutzerklärung fällt mit 10 Seiten deutlich kürzer aus, was vor allem daran liegt, dass es außer für AdSense und für das Amazon PartnerNet keine Hinweise zu Einnahmequellen in der Datenschutzerklärung gibt. Und auch die Hinweise zu den Rechten der Betroffenen sind kompakter gehalten.

Individuelle Anpassung

Diese beiden Generatoren unterscheiden sich schon recht deutlich und zeigen aktuell das Problem. Es gibt keine eindeutige und glasklare Definition, wie die Datenschutzerklärung auszusehen hat.

Deshalb sollte man sich am Ende nicht nur auf ein Tool zur Generierung der Datenschutzerklärung verlassen, sondern ggf. mehrere kombinieren. Wichtig ist einfach, dass alle personenbezogenen Daten, die auf der eigenen Website in irgendeiner Form erhoben und gespeichert werden, in der Datenschutzerklärung auftauchen und ein Opt-Opt angeboten wird. Und wenn es nur der Hinweis auf die Browser-Einstellungen für Cookies sind.

Deshalb solltet ihr eure Website genau analysieren und herausfinden, was ihr dort alles eingebaut habt.

Klar ist aber auch, dass es damit nicht getan ist. Langfristig wird es sicher noch Gerichtsentscheidungen geben, die eine Anpassung der Datenschutzerklärung erfordern. So findet man aktuell z.B. in der DS-GVO FAQ von e-recht24.de bei einigen Fragen die Antwort, dass das gerade evaluiert wird. So ist z.B. noch nicht klar, wie Google Maps zu kennzeichnen ist.

Man sollte hier also dran bleiben und sich über notwendige Änderungen informieren.

Sinn und Unsinn so einer Datenschutzerklärung

Manche Datenschutz-Erklärung nimmt schon die Ausmaße von AGBs an. Ob das so sinnvoll ist, bleibt die Frage. Wer liest sich das durch?

Aber im Ernstfall sind diese für den Nutzer natürlich dennoch hilfreich und ziemlich transparent, was z.B. seine Rechte angeht. Wer wusste schon vor 10 Jahren, was alles von einem gespeichert wird und welche Rechte man diesbezüglich hat.

Deshalb sehe ich die neue Datenschutzerklärung schon ganz positiv, hoffe aber auch darauf, dass es eine einheitlichere Form gibt. Zudem ist sie einfach Pflicht. Wer keine aktualisierte Datenschutzerklärung hat, riskiert eine Abmahnung.

Allerdings könnte es sein, dass die neue Datenschutzerklärung keine lange Haltbarkeit hat. Wenn die ePrivacy-Verordnung 2019 in der aktuellen Form kommt, ist vieles davon hinfällig, da dann ein Opt-In notwendig ist. Aber da müssen wir erstmal abwarten, wie die ePrivacy Verordnung dann wirklich aussieht.

Kontaktformulare

Doch mit der Datenschutzerklärung sind die Informationspflichten nicht erledigt. Die DS-GVO verlangt in Zukunft z.B. auch die Information und Einwilligung bei der Nutzung von Formularen auf der eigenen Website.

Das betrifft unter anderem normale Kontaktformulare, aber auch z.B. Kommentar-Formulare in Blogs. Natürlich muss dazu ein Passus in den Datenschutzerklärung stehen, der von den beiden oben genannten Tools auch eingebunden wird.

Zudem sind viele Juristen der Meinung, dass man direkt in jedem Formular einen Hinweistext oder sogar ein Checkbox einfügen sollte, die auf die Datenschutzerklärung hinweist und dass der Besucher der Erhebung und Speicherung der Daten zustimmt. Zudem gibt es den Hinweis, dass man seine Einwilligung per Mail widerrufen kann.

So etwas halte ich nun schon wieder für völlig übertrieben und eine Folge des Datenschutzwahns, der teilweise ausgebrochen ist. Hier wird Menschen abgesprochen zu verstehen, dass ihre Daten mit Hilfe des Formulars an den Betreiber der Website gesendet werden.

Sorry, aber wohin soll das noch führen. Muss man in Zukunft auch bei der Nennung der eigene eMail-Adresse jedes mal darauf hinweisen, dass die dorthin gesendeten Daten gespeichert werden? Muss man sogar erst das Einverständnis einholen, bevor man die eMail-Adresse anzeigt?

Aber wer sicher gehen will, sollte so eine Einwilligung einbauen. Ob das am Ende dann aber auch rechtlich sicher ist, steht nicht fest. Schließlich erfolgt keine Protokollierung der Zustimmung. Ich wüsste aktuell zumindest nicht, wie man das bei Blog-Kommentaren umsetzen sollte. Bei guten Kontakt-Formular Plugins ist das mit einem Pflichtfeld für die Zustimmung schon eher machbar.

Im Übrigen muss in Zukunft bei der Übertragung personenbezogener Daten, z.B. durch ein Kontaktformular, eine Verschlüsselung genutzt werden. Deshalb ist es generell sinnvoll jetzt die eigene Website auf SSL umzustellen.

Impressum

Auch wenn sich an den Inhalten des Impressums nach meinem Stand der Dinge durch die DS-GVO nichts gravierendes ändert, sollte man vor dem 25.5.2018 auch das Impressum einmal neu erstellen.

Zudem sollte man die gängigen Generatoren für das Impressum im Auge behalten und ggf. bei Änderungen auch das eigene Impressum anpassen. Das sollte man aber sowieso hin und wieder tun.

Cookie-Hinweis Banner

Dazu habe ich bisher auch nicht wirklich konkrete Dinge gelesen, aber es ist davon auszugehen, dass man auch in Zukunft ein Cookie-Banner nutzen sollte.

Darin wird auf die Nutzung von Cookies kurz hingewiesen und dass der Besucher weitere Informationen und Opt-Out-Möglichkeiten in der Datenschutzerklärung findet.

Fazit

Im Grunde ist die Erstellung der neuen Datenschutzerklärung wohl der einfachste Teil der DS-GVO Maßnahmen. Nachdem man seine Website analysiert und das Verarbeitungsverzeichnis erstellt hat, kann man mit Hilfe eines Generators die Datenschutzerklärung relativ einfach und schnell erstellen.

Man sollte aber dennoch individuell prüfen, ob alles wirklich erfasst ist, was man auf der eigenen Website macht. Zudem sollte man sich überlegen, ob und wie man die Informationen bei Kontakt- bzw. Kommentar-Formularen einbaut.

Die eigene Website und deren Datenschutzerklärung ist der „Hauptangriffspunkt“ für Anwälte, die Abmahnungen bzgl. des Datenschutzes vornehmen. Wer hier Sorgfalt walten lässt, senkt das Abmahnrisiko deutlich.

Am kommenden Freitag werde ich wieder an Hand eines Praxisbeispiels zeigen, wie ich die neuen Informationspflichten seitens der DS-GVO bei einer meiner Nischenwebsites umsetze.