Informationspflichten im Datenschutz Die Datenschutzerklärung braucht ein Update

Anbieter zum Thema

Datenschutz erfordert Transparenz. Im Fall von Webseiten zum Beispiel darf die Datenschutzerklärung nicht fehlen. Alleine das Vorhandensein reicht aber nicht, die Privacy Policy muss auch vollständig und aktuell sein. Hieran mangelt es bei vielen Unternehmen.

Es reicht nicht, einmal eine Datenschutzerklärung zu erstellen. Man muss sie dauerhaft aktuell halten.
Es reicht nicht, einmal eine Datenschutzerklärung zu erstellen. Man muss sie dauerhaft aktuell halten.
(Bild: peterschreiber.media - stock.adobe.com)

Was macht viel Arbeit, obwohl den Text kaum einer lesen wird? Für viele Unternehmen liegt die Antwort auf der Hand, es ist die Datenschutzerklärung, die bei der Website der Firma nicht fehlen darf.

Man findet zwar immer noch Websites, die gar keine Privacy Policy vorweisen können, aber im Prinzip ist die Datenschutzerklärung bei Webseiten inzwischen nahezu Standard, im Gegensatz zu mobilen Apps, die ebenfalls eine Datenschutzerklärung benötigen, aber noch deutlich häufiger darauf „verzichten“.

Tatsächlich sind Datenschutzerklärungen bei vielen Webseiten wirklich Standard, es sind nämlich Standarddatenschutzerklärungen. Man nimmt also ein Muster aus dem Internet und glaubt dann, diese Privacy Policy genüge den Anforderungen. Selbst wenn das Gefühl aufkommt, eine solche Standarderklärung könne zu wenig sein, ändert man nichts daran. Immerhin macht dies viel Aufwand, und es liest ja keiner.

Da kann man sich aber irren. Datenschutzerklärungen lassen sich automatisiert einer Vorkontrolle unterziehen, die dann auf übliche Musterformulierungen hinweist. Wenn eine Aufsichtsbehörde für den Datenschutz eine solche Prüfung startet, kann dies schnell zu Ärger führen und auch Sanktionen nach sich ziehen.

Vorsicht vor Standarderklärungen, die nicht angepasst werden

Das Bayerische Landesamt für Datenschutzaufsicht sagt ganz klar: Es gibt kein allgemein gültiges Muster für eine Datenschutzerklärung, weil jede Website unterschiedliche Funktionen hat. Wer jetzt daran denkt, bisher ein Muster genutzt und keine Anpassungen vorgenommen zu haben, sollte sich umgehend an seine Datenschutzerklärung machen.

Aber auch individuell erstellte Datenschutzerklärungen sind nicht „in Stein gemeißelt“. Es gibt viele Gründe, warum man seine Privacy Policy regelmäßig prüfen und aktualisieren muss. Hier empfiehlt sich ein Prozess im Unternehmen, der zum Beispiel bei Implementierung neuer Web-Funktionen immer auch die Datenschutzerklärung ins Blickfeld rückt.

Ein Beispiel für eine neue Funktion, die schnell vergessen wird: Die Webseite ist dank Internet überall erreichbar. Wenn man nun Kunden in einen Land ansprechen will, in dem man bisher nicht aktiv war, erstellt man passende Webinhalte in der jeweiligen Sprache. Dann sollte man aber auch nicht vergessen zu prüfen, ob es auch eine Übersetzung der Datenschutzerklärung gibt.

Andernfalls kann dies hohe Bußgelder nach sich ziehen, insbesondere wenn man einen Online-Dienst auch für Kinder anbietet und dann nur eine Datenschutzerklärung in Englisch anbietet, nicht aber in der Landessprache. Das durfte TikTok erleben, als die zuständige Aufsicht in den Niederlanden aktiv wurde, weil es keine Datenschutzerklärung in der Landessprache gab.

Neue Tracking-Verfahren? Privacy Policy nicht vergessen

Werden neue Dienste von Dritten eingebunden, andere Cookies genutzt oder neue Verfahren für ein Online-Tracking eingeführt, dann fordert die Datenschutz-Grundverordnung, dass sich dies auch in einer entsprechend angepassten Datenschutzerklärung wiederfindet.

Die Datenschutzaufsichtsbehörden berichten allerdings: In der Praxis fallen regelmäßig Webseiten und Apps auf, in deren Bannern zur Einwilligungsabfrage andere Informationen enthalten sind als in der Datenschutzerklärung, insbesondere andere Rechtsgrundlagen, andere Drittanbieter, andere Zwecke.

Was bei den sogenannten Cookie-Bannern ebenfalls falsch gemacht wird: Der Zugriff auf Impressum und Datenschutzerklärung darf durch das Einwilligungsbanner nicht behindert werden. Es geht also nicht, dass man zwar eine Datenschutzerklärung auf der Website hat, dann diese aber gut versteckt, entweder durch falsche Platzierung des Links zur Datenschutzerklärung oder durch ein Cookie-Banner, das sich über den Link zur Datenschutzerklärung legt.

Hinweise auf Newsletter, Videos & Co dürfen nicht fehlen

Wenn man als Unternehmen einen Newsletter anbieten möchte und entsprechend das Abonnieren des neuen Newsletters über die Website anbieten will, dann muss auch der Newsletter in der Datenschutzerklärung genannt sein.

Zu beschreiben ist, zu welchem Zweck die Daten bei der Newsletter-Bestellung verarbeitet werden, welche Daten wo gespeichert werden sollen, welche Rechtsgrundlage für die Datenverarbeitung besteht, ob die Newsletter-Anmeldedaten an Dritte weitergegeben werden sollen, an wen und zu welchem Zweck, wie lange die Daten gespeichert, wann sie also gelöscht werden sollen. Zudem muss geklärt sein, wie man zum Beispiel seine Zustimmung widerrufen kann.

Wissen, was läuft

Täglich die wichtigsten Infos aus dem ITK-Markt

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Wenn man nun denkt, man hat doch nur eine Website, ohne Zusatzfunktionen wie eine Anmeldung zum Newsletter oder ein Kontaktformular, sollte man aber nicht glauben, man kann auf eine Datenschutzerklärung verzichten.

Die Aufsichtsbehörden begründen dies so, dass die Nutzerinnen und Nutzer wenigstens über den Verantwortlichen und über die Betroffenenrechte informiert werden müssen. Der Datenschutz ist eben auch dann zu beachten, denn bei dem Besuch der Website fallen Informationen an, wie z. B. IP-Adressen, MAC-Adressen, Werbe-IDs oder sonstige Geräte-Identifikationsnummern. Diese gelten als personenbezogene Daten, weil sie Rückschluss auf einen konkreten Nutzer ermöglichen. Aus diesem Grund sind die Pflichten der DSGVO zu beachten, so der Hinweis der Aufsicht.

Es zeigt sich: Es reicht nicht, einmal eine Datenschutzerklärung zu erstellen, sondern man muss sie aktuell halten. Neue Sprachversionen, neue Webfunktionen, neue Dienste von Dritten, neue Tracking-Verfahren, das sind Beispiele, warum ein Update der Privacy Policy zur Pflege und Weiterentwicklung der Website immer dazu gehört. Selbst die beste Mustererklärung reicht zudem nicht, sie ist weder angepasst an das Unternehmen, noch kann sie auf Dauer aktuell sein.

(ID:48775392)