Um eine Website gesetzeskonform zu gestalten, genügt es nicht, eine allgemeine Datenschutzerklärung zu kopieren oder automatisiert generieren zu lassen und anschließend auf der Website zu veröffentlichen. Der Grund: Jede Homepage besitzt eine individuelle Struktur und verwendet unterschiedliche Plug-ins, Cookies oder Tracking-Tools. Dabei erfasst beziehungsweise verarbeitet die Website unterschiedlichste Daten – sowohl während Nutzer Kontaktdaten eingeben als auch im Hintergrund. Hierbei handelt es sich um die sogenannten Metadaten.
IP-Adressen = personenbezogene Daten
Artikel 13 der DSGVO besagt, dass betreffende Personen bei Erhebung personenbezogener Daten zu informieren sind. Da der DSGVO zufolge bereits IP-Adressen als personenbezogene Daten gelten, benötigt jede Website, die diese speichert, eine Datenschutzerklärung. Für Unternehmen existieren im Internet in Bezug auf die Einhaltung der DSGVO verschiedene Fallstricke, da diverse Informationspflichten gelten – abhängig davon, welche Daten sie erheben und verarbeiten.
Formulierung der Datenschutzerklärung entscheidend
Mit der Publikation der Datenschutzerklärung auf der Website kommen Betreiber ihrer Informationspflicht nach – jedoch nur bei korrekter Formulierung. Nutzer müssen anhand dieser Erklärung nachvollziehen können, für welche ihrer personenbezogenen Daten eine Verarbeitung erfolgt. Die genauen Inhalte der Erklärung hängen also genau von diesen Fakten ab.
Vielfach unterschätzen Betreiber und Werbeagenturen, die Webseiten erstellen, den Umfang der erhobenen Informationen. Sie wissen nicht, was im Hintergrund einer Webseite passiert und demzufolge auch in der Datenschutzerklärung beschrieben werden muss.
Der Inhalt, aber auch dessen Form ist durch die Gesetzgebung vorgeschrieben. Für die Datenschutzerklärung gilt, dass sie in „klarer und einfacher Sprache“ verfasst werden und darüber hinaus in „präziser, transparenter, verständlicher und leicht zugänglicher Form“ zur Verfügung stehen muss.
Für die Umsetzung bedeutet dies, dass User die Datenschutzerklärung von jeder Unterseite mit einem Klick erreichen müssen. Zudem darf die Datenschutzerklärung kein Bestandteil des Impressums darstellen, wenn hier keine eindeutige Kennzeichnung erfolgt. Generell empfiehlt es sich, Impressum und Datenschutzerklärung über zwei unterschiedliche Menüpunkte zu verlinken.
Was enthält eine korrekt verfasste Datenschutzerklärung?
Eine korrekt verfasste Datenschutzerklärung enthält Informationen darüber, welches Interesse daran besteht, die entsprechenden Daten zu verarbeiten und umfasst Details der Betroffenenrechte. Dazu zählen u. a. das Beschwerderecht und das Recht auf Widerruf. Besteht die Absicht, die Daten Drittstaaten zu übertragen, muss auch darüber eine Aufklärung erfolgen.
Unternehmen, die einen Datenschutzbeauftragten haben – also in der Regel alle Unternehmen, die mehr als 10 Mitarbeiter beschäftigen – müssen die Kontaktdaten des Beauftragten angeben. Selbst „Under-Construction-Websites“ oder Web-Visitenkarten speichern in der Regel IP-Adressen und benötigen deshalb eine Datenschutzerklärung.
Tracking bleibt möglich
Fast jedes Unternehmen nutzt Tracking-Tools, um nachvollziehen zu können, welche Nutzer sich wie lange auf einer Website aufhalten. Die Analyse des Nutzerverhaltens verwenden Unternehmen dazu, Nutzerprofile zu erstellen, die wiederum das Ausspielen personalisierter Werbung ermöglichen.
Es existieren zwei Möglichkeiten des DSGVO-konformen Webtrackings: zum einen das Erstellen anonymisierter und zum anderen das Erfassen von pseudonymisierten Nutzerprofilen.
Während für das Erstellen der Nutzerprofile nur die Erlaubnis gilt, Daten wie Datum und Uhrzeit des Besuchs zu tracken, weil diese Daten weder personenbezogen noch personenbeziehbar sind, erhalten Nutzer beim Erfassen Pseudonyme. Wollen Unternehmen weder anonymisiert noch pseudonymisiert tracken, müssen sie genaue Regeln befolgen. Es gilt, auf der Website eine Opt-in-Option einzurichten, d. h. Nutzer müssen der Nutzung ihrer Daten aktiv zustimmen und diese Zustimmung muss sich auch widerrufen lassen.
Datenschutzfalle Social Media
Die meisten Websites im Internet enthalten Social Plug-ins. Buttons von Plattformen wie Facebook, Twitter, Xing, LinkedIn oder Google+ erleichtern das Teilen von Inhalten. Datenschutzrechtlich stellt dies jedoch eine Herausforderung dar, denn die Einbettung erfolgt meist über Inlineframes, die personenbezogene Daten an die Betreiber weitergeben.
Um das Problem zu vermeiden, gibt es zwei Möglichkeiten: a) der vollständige Verzicht oder b) der Nutzer muss über die Weitergabe seiner Daten eine Information erhalten, beispielsweise während der Aufforderung zur Aktivierung eines Plug-ins (Zwei-Klick-Lösung).
Datenschutzkonform agieren
Um Nutzern das Auffinden des Unternehmens zu erleichtern, binden mittlerweile fast alle interaktive Karten, beispielsweise von Google Maps, ein. Betreiber realisieren dies meist über ein „Google Maps API“. Auch dabei erfolgt eine Weitergabe von personenbezogenen Daten, sodass Nutzer, beispielsweise über ein Plug-in, darüber eine entsprechende Information erhalten müssen. Auch die Datenschutzerklärung muss einen eindeutigen und ausführlichen Hinweis darauf beinhalten.
Haye Hösel ist Geschäftsführer und Gründer der Hubit Datenschutz GmbH & Co. KG.
Die DSGVO kommt: Per Checkliste zur Umsetzung
Der Endspurt läuft: Ab dem 25. Mai 2018 sind alle Unternehmen dazu verpflichtet, die Vorgaben der Datenschutz-Grundverordnung (DSGVO) zu erfüllen. Coresystems, Anbieter von Field Service und Workforce Management, über zentrale Aspekte rund um die Umsetzung der neuen EU-Direktive.
Instore-Analytics: Eine Frage von Kosten und Nutzen
Zum Thema Instore-Analytics durch Positionsbestimmung der Kunden gibt es Test- und Pilotanwendungen, doch halten sich die Händler mit Informationen oftmals bedeckt. Hier ein Überblick über Business Cases sowie die technischen Voraussetzungen und Möglichkeiten.