Aufgrund der Datenschutzgrundverordnung (DSGVO), die im Mai vergangenen Jahres in Kraft getreten ist, mussten nahezu alle Website-Betreiber ihre Datenschutzerklärungen anpassen. Denn die Anforderungen, welche die DSGVO an diese stellt, sind enorm.
So muss eine Datenschutzerklärung zunächst darüber informieren, welche personenbezogenen Daten erhoben werden, was mit diesen Daten im weiteren Verlauf geschieht und warum sie erhoben werden. Wenn die Informationen an Dritte weitergegeben werden, möglicherweise auch grenzüberschreitend, müssen die Maßnahmen zur Gewährleistung der Sicherheit aufgezeigt werden. Dies ist nur ein kleiner Ausschnitt an Fragen, die unbedingt in der Datenschutzerklärung auftauchen sollten.
Im Zuge dessen geht es in der Debatte um die DSGVO oftmals um die Einwilligung, den Consent, der Nutzer. Dies ist ein Kernthema der Verordnung. Der Consent kann auch als der “verlängerte Arm” der Datenschutzerklärung betrachtet werden. Wenn man nun beide Punkte zusammenführt, ergibt sich ein Katalog aus Fehlern, die Website-Betreiber regelmäßig begehen und einer Datenschutzerklärung laut aktueller Fassung die DSGVO-Konformität absprechen. Einige häufige Fehltritte möchten wir im Folgenden aufzeigen.
1. Die Datenschutzerklärung fehlt vollständig
Das ist der größte und offensichtlichste Fehler. Ohne Datenschutzerklärung handelt ein Website-Betreiber klar der DSGVO zuwider. Auch wenn es selbstverständlich sein sollte, existieren Seiten im Netz, die bislang auf eine Erklärung verzichten.
2. Der Consent wird nicht vor der Verarbeitung der Daten eingeholt
Das unter “Cookie-Banner” bekannt gewordene Feld am Rande des Browser-Fensters ist nicht ohne Grund bereits beim Betreten der Website sichtbar. Freiwillige Einwilligungen vor dem Benutzen der Website, also bevor überhaupt Daten erhoben werden können, ist einer der Hauptpunkte der DSGVO.
Die damit verbundenen Rechtstexte müssen beim erstmaligen Aufruf der Website verfügbar sein, mitsamt der Informationen zur Datenerhebung und -verarbeitung durch Cookies und Plugins. Ohne diese Einwilligung vorweg darf nicht mit den Daten des Users gearbeitet werden. Ein Fehler, der eng damit verbunden ist: die mangelnde Deckungsgleichheit der Texte, die im Rahmen des “Cookie-Banners” auftauchen, mit denen der Datenschutzerklärung.
3. Die Unterscheidung der Cookie-Typen ist fehlerhaft
Notwendige Cookies und solche für Marketing- bzw. Tracking- oder Analyse-Zwecke müssen korrekt unterschieden werden, damit der User auf die nicht zur Funktion erforderlichen Cookies verzichten kann. Dies ist laut der DSGVO sein gutes Recht. Der Einteilung in die Kategorien bedarf es natürlich einer sorgfältigen Prüfung, sonst ist die DSGVO-Konformität nicht gewahrt.
4. Nicht alle Dienste tauchen in der Datenschutzerklärung auf
Manchmal fehlt es Website-Betreibern schlicht an der Übersicht, welche Cookies und Plugins beim Besuch ihrer Seite zum Einsatz kommen. Eine andere Fehlerquelle ist die Aktualität der Dienste. Wurden vielleicht seit dem Verfassen der Datenschutzerklärung weitere Plugins installiert? Auch die Auftragsdatenverarbeitungsverträge mit diesen Dienstleistern und deren Nutzungsbedingungen dürfen nicht fehlen.
Darüber hinaus muss sichergestellt sein, dass die Dienste DSGVO-konform arbeiten. Dieser Zustand kann sich mitunter auch ändern, wenn die aktuelle Rechtsprechung Präzedenzfälle schaft oder der Anbieter seine Prozesse anpasst.
5. Keine Möglichkeit des Opt-outs vorhanden
In der Datenschutzerklärung muss hervorgehen, wie der User das Setzen von nicht notwendigen Cookies verhindert. Darüber hinaus muss der Consent auch im Nachhinein widerrufen werden können. Ein Nutzer sollte also theoretisch seine Zustimmung zu jedem einzelnen Marketing- bzw. Analyse-Cookie wieder revidieren können.
Ein aktueller Fall einer spanischen Fluggesellschaft hat in dem Zusammenhang ein Zeichen gesetzt. Dadurch, dass die Website nicht die Bearbeitung jedes Cookies zuließ, wurde eine Strafe von 30.000 Euro verhängt. Abhilfe kann hier eine CMP mit eigener Textdatenbank für den versionierten Dokumentationsnachweis der Einwilligung schaffen.
6. Datenschutz-Generatoren als Fehlerquelle
Es kann zum Problem werden, sich seine Datenschutzerklärung mithilfe eines Tools generieren zu lassen. Insbesondere durch frei verfügbare, also kostenlose Werkzeuge treten mitunter Lücken auf, die nicht die Anforderungen der DSGVO erfüllen. Dies muss nicht an den Tools selbst liegen, sondern kann auch durch die falsche Bedienung hervorgerufen werden. Es gilt also im Zweifel immer einen Fachmann draufschauen zu lassen oder ein geprüftes Tool zu verwenden – wie bei jedem Punkt auf dieser Liste.
An dieser Stelle sei der Hinweis erlaubt, dass noch nichts in Stein gemeißelt ist, da erstens die ePrivacy-Verordnung noch immer nicht verabschiedet wurde, zweitens die gerichtlichen Urteile zur rechtlichen Auslegung der meisten Punkte ebenfalls ausstehen und drittens eine eventuelle Abmahn-Maschinerie auf sich warten lässt. Es geht also bei der Einhaltung der Richtlinien derzeit stets um Risikominimierung.