Die Datenschutzerklärung

Ein Buch mit sieben Siegeln?

Vom 22.10.2024, aktualisiert am 23.10.2024, Kategorie: Webdesign

Die Datenschutzerklärung, — Bild von Gerd Altmann auf Pixabay

Wenn sich potenzielle Neukundinnen oder -kunden bei mir melden, haben sie in der Regel bereits eine Website und sind sich unsicher, ob diese den heutigen Anforderungen noch genügt. Der erste Schritt besteht darin, einen Blick auf die bestehende Website zu werfen. Dabei fällt regelmäßig ein Punkt ins Auge, der nicht nur fehlerhaft ist, sondern eine erschreckende Ansammlung an Falschinformationen enthält: die Datenschutzinformationen. Ich möchte daher ein wenig Licht ins Dunkel bringen und aufzeigen, was in eine Datenschutzerklärung gehört und was nicht.

Mein Blogbeitrag bezieht sich nicht auf registierungspflichtige Online-Shops, werbefinanzierte Plattformen, Reise-Unternehmen, Lieferdienste oder ähnliches, sondern auf kleinere Unternehmenswebsites durchschnittlichen Umfangs, wie ich sie überwiegend realisiere .

Fehlerhafte Datenschutzhinweise – wie kommt das überhaupt?

Als im Jahr 2018 die neue Datenschutzgrundverordnung (DSGVO) für Websites verbindlich wurde, gerieten viele Websitebetreiber zunächst in Panik – insbesondere jene, die ihre Website mit einem Baukastensystem oder einem freien CMS-Theme in Eigenregie erstellt hatten, oft ohne Kenntnisse darüber, was auf der Website eigentlich vor sich geht. Was also tun? Eine vermeintliche Lösung bieten Online-Datenschutzgeneratoren oder kopierbare Vorlagen auf Websites zum Thema E-Recht. Der Wermutstropfen: Um solche Generatoren oder Vorlagen einigermaßen datenschutzkonform nutzen zu können, müsste man genauso viel über die Website wissen, als hätte man sie selbst programmiert. Kommt ein Content Delivery Network (CDN) zum Einsatz? In welchen Ländern liegen die Server des CDN? Woher stammt eigentlich die Schriftart, die ich für meine Texte ausgewählt habe?

Derartige Fragen – und viele mehr – können Laien in den meisten Fällen nicht beantworten. Bleibt also als Alternative noch der Gang in eine Anwaltskanzlei. Doch Anwälte und Anwältinnen haben ebenso wenig Kenntnisse darüber, was auf einer Website passiert. Was tun sie also? Sie verwenden ebenfalls einen Online-Datenschutzgenerator oder eine Vorlage, schreiben ihren Namen drunter und kassieren ein Honorar.

Wer automatisierte Online-Datenschutzgeneratoren verwendet, wird vorab unter anderem dazu aufgefordert, in einem Formular anzukreuzen, welche Anwendungen auf der Website zum Einsatz kommen. Zum Beispiel Tracking-Tools wie Google Analytics, den Kartendienst Google Maps oder das Newslettersystem eines externen Anbieters. NutzerInnen (oder JuristInnen), die das nicht wissen oder sich nicht sicher sind, wählen dann einfach alles aus, getreu dem Motto: Besser zu viel als zu wenig. Die Folgen sind jede Menge Hinweise auf Arten der Datenverarbeitung, die auf der Website gar nicht stattfinden.

Klar – es ist weniger riskant, auf etwas hinzuweisen, was gar nicht passiert, als etwas Relevantes zu verschweigen. Aber es ist auch eine vertane Chance: Wer in der Datenschutzerklärung für die Website darüber informieren darf, möglichst wenige Daten zu verarbeiten, genießt einen Vertrauensbonus. Zudem wird die Datenschutzerklärung durch überflüssige Informationen unnötig aufgeblasen – womit wir zum nächsten Mangel kommen.

Ein weit verbreitetes Manko in vielen Datenschutzinformationen ist die schwere Zugänglichkeit. Werfen wir dazu einen Blick in Kapitel 12, Abs. 1 der DSGVO:

Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen […], die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln;

Verständlich. Klar. Einfach. Wer sich schon mal stichprobenartig durch diverse Datenschutzinformationen auf Websites gekämpft hat, wird mir bestätigen, dass diese gesetzliche Vorgabe in der Realität leider weitestgehend ignoriert wird. Ich gebe ja zu, dass Einfachheit und Klarheit durchaus dehnbare Attribute sind, aber sind wir ehrlich: Für so manche Datenschutzinformationen benötigt man ein abgeschlossenes Jurastudium, um nur ansatzweise durchsteigen zu können.

Fazit: Der Grund für mangelhafte Datenschutzhinweise ist, dass Vorlagen verwendet werden ohne Kenntnis über die Website, für die diese Datenschutzhinweise gelten sollen. Das klingt nicht nach einem guten Konzept.

Was gehört denn nun aber in die Datenschutzinformationen?

Disclaimer: Der folgende Absatz enspricht nicht einer juristischen Beratung und erhebt nicht den Anspruch auf Vollstständigkeit oder Richtigkeit. Verwendung auf eigenes Risiko. Kein Anspruch auf Schadenersatz.

Standardinformationen

Ein kurze Einleitung über Sinn und Zweck der Datenschutzinformation macht Sinn
Der Hinweis auf Art. 6 Abs. 1 der DSGVO ("berechtigtes Interesse") sollte nicht fehlen
Die Info, In welcher Form, zu welchem Zweck und für welchen Zeitraum Server-Log-Files gespeichert werden. Tipp: Hosting-Provider bieten die Möglichkeit, Server-Log-Files datenschutzkonform zu konfigurieren und zu anonymisieren
Der Hinweis, dass ein Vertrag über Auftragsverarbeitung mit dem Hosting-Provider abgeschlossen wurde
Auch, wenn die "gesicherte Verbindung" (SSL/https) heutzutage ohnehin Pflicht ist, macht es einen guten Eindruck, sie zu erwähnen
Information, in welcher Form übermittelte E-Mail-Daten verarbeitet werden
Rechte der Nutzerinnen / des Nutzers (Anspruch auf Auskunft, Berichtigung und Löschung der personenbezogenen Daten)
Der Hinweis, dass die Datenschutzinformationen nicht auf externe Link zu anderen Websites anwendbar sind
Kontaktdaten der verantwortlichen Person

Individuelle Informationen
Hier geht es vor allem um externe Dienste. Grundsätzlich empfiehlt es sich, über jeden Dienst zu informieren, der auf der Website Verwendung findet, vor allem, wenn sich diese Dienste auf Servern in Drittländern befinden. Das Tückische an vielen dieser Dienste ist, dass sie persönliche Daten der WebsitebesucherInnen an den Anbieter übertragen, ohne dass jene es mitkriegen. Zu den meistgenutzten externen Diensten gehören:

Google Maps und andere Karten-Dienste
YouTube, Soundcloud und andere Video/Audiodienste
Google Analytics und andere Tracking-Tools zur Nutzeranalyse
Google Web Fonts
Content Delivery Networks
Social Media Plugins (facebook, X und Co)
Buchungs-Tools
Newsletter-Formulare

Wobei die Verwendung dieser Dienste nur dann datenschutzrelevant sind, wenn sie über einen Embed-Code in die eigene Website eingebaut wurden. Links zu diesen Diensten sind unproblematisch und müssen nicht erklärt werden.

Ebenfalls über den Einsatz von Cookies muss informiert werden. Aber auch wer keine externen Dienste benötigt und keine eigenen meldepflichtigen Cookies versendet, tut gut daran, dies zu erwähnen: Es hinterlässt einfach einen guten Eindruck.

Ist man mit einem Cookie-Banner auf der sicheren Seite?

Dem Thema Cookie-Banner möchte ich ein eigenes Kapitel widmen, da auch diesbezüglich einige Missverständnisse kursieren. Viele WebsitebetreiberInnen glauben, mit einem Cookie-Banner oder Cookie-Alert auf der sicheren Seite zu sein, schließlich haben Nutzerinnen und Nutzer dann selbst die Wahl, ob sie Datenverarbeitung zulassen und oder nicht. Andere sind sogar der Meinung, ein Cookie-Banner sei sowieso Vorschrift für jede Website. Sonst würde man die nervigen Dinger ja nicht überall sehen. Irrtum.

Jedes zehnte Cookie-Banner ist rechtswidrig

Viele Cookie-Consent-Tools sind manipulativ und bieten keine eindeutige Wahl. Stattdessen wird auf komplizierte Einstellungen weitergeleitet, für die niemand Zeit und Muße hat – also gibt man sich geschlagen und klickt auf "akzeptieren" oder "speichern", ohne genau zu wissen, was man da gerade alles akzeptiert hat. Bei minderwertigen Cookie-Bannern lädt die Website, bevor eine Einwilligung erteilt oder verweigert wurde. Die Cookies sind also schon im Sack, obwohl noch gar keine Entscheidung getroffen wurde. Noch immer sieht man zahlreiche Cookie-Banner unauffällig am unteren Bildschirmrand kleben, wo sie niemanden beim Surfen stören und schlimmstenfalls die Links zum Impressum und zu den Datenschutzhinweisen überdecken, was voll verboten ist.

Um es kurz zu machen: Ein Großteil der Cookie-Banner ist das Gegenteil von datenschutzkonform. Im Jahr 2021 hatte die Verbraucherzentrale Bundesverband (vzbv) nach einer Überprüfung von 949 Websites jedes zehnte Cookie-Banner als klar rechtswidrig eingestuft, viele andere bewegten sich in einer rechtlichen Grauzone. Drei Jahre später hat sich daran noch immer nicht viel geändert.

Damit ein Cookie-Banner wasserdicht ist und seinen Zweck erfüllt, sollte es schon beim ersten Aufpoppen die Option "Alle Ablehnen" anbieten und das Laden der Website blockieren, bis eine Auswahl getroffen wurde. Noch besser ist natürlich, auf datenschutzrelevante Anwendungen zu verzichten, wie ich es meinen Kundinnen und Kunden stets nahelege. Aus diesem Grund benötigen die meisten der von mir erstellten Websites kein Cookie-Banner und die Datenschutzinformationen sind dementsprechend schlank.

Ablussnotiz: Eine Reform, welche die Bannerflut reduzieren soll, wurde beschlossen. Kennern zufolge ist diese Reform allerdings schon jetzt zum Scheitern veruteilt und nicht realisierbar. Vielleicht ein gutes Thema für einen anderen Blogartikel.

Quellen:
Verbraucherzentrale Bundesverband
Netzpolitik.org
Bundesministerium für Digitales und Verkehr

Alle Blogbeiträge