Vertragsabschluss Symbolbild

Was ist eine Datenschutzerklärung und wieso reicht sie nicht mehr aus?

Lesedauer: 6 Minuten

Jetzt lesen

Sobald eine Website (personenbezogene) Daten erhebt, speichert oder verarbeitet, müssen die Besucher*innen der Seite darüber informiert werden. Diese Informationen findet man oft unter dem Schlagwort "Datenschutzerklärung". Dabei spielt es aber keine Rolle, ob exakt dieser Begriff verwendet wird oder andere Begriffe wie z.B. "Datenschutzrichtlinie". Wichtig ist, dass diese Seite von jeder anderen Seite einer Website zugänglich ist. Sie muss zusätzlich klar und verständlich formuliert sein, damit Nutzerinnen sich auch wirklich informieren können, ohne von komplexen Formulierungen verwirrt zu werden.

Kurz zusammengefasst müssen folgende Komponenten enthalten sein:

  • Möglichkeiten zur Kontaktaufnahme mit den Anbieter*innen der Website

  • Rechtsgrundlage und Zweck der Datenverarbeitung

  • Empfänger*innen und in welche Drittländer übermittelt wird

  • Speicherdauer

  • Rechte der betroffenen Nutzer*innen

Unter den Kontaktmöglichkeiten müssen sowohl die Betreibenden der Seite als auch die für den Datenschutz verantwortliche Person gelistet werden. Als Rechtsgrundlage, beziehungsweise relevante Regelungen werden meist Artikel 13 & 14 der DSGVO sowie Bestimmungen aus dem TKG angegeben. Dabei ist wichtig zu beachten, dass die Informationen zum Zweck der Verarbeitung verständlich dargelegt werden müssen, denn bei einem Verstoß gegen die Informationspflicht nach der DSGVO drohen Geldstrafen von bis zu 20 Millionen Euro oder 4% des letzten weltweiten Jahresumsatzes. Hierbei handelt es sich um einen Punkt, der leider sehr häufig missachtet und in der Praxis noch vernachlässigt wird. Wer sich in seiner Datenschutzerklärung klar ausdrückt, kann sich hingegen einen langfristigen Wettbewerbsvorteil verschaffen.

Die Speicherdauer der Daten kann variieren, als Grundsatz gilt jedoch , die Daten nicht länger als nötig oder gesetzlich vorgeschrieben zu speichern. Sofern der Zeitraum nicht genau angegeben werden kann, empfiehlt es sich, zumindest die Kriterien für die Bestimmung der Speicherdauer anzugeben.

Abschließend müssen die Nutzer*innen auch über ihre Rechte aufgeklärt werden, diese umfassen:

  • Recht auf Auskunft

  • Recht auf Widerruf

  • Recht auf Berichtigung

  • Recht auf Löschung

  • Recht auf Beschwerde

Eine Datenschutzerklärung muss also eine Menge Kriterien erfüllen, da kann schon mal etwas vergessen werden. Damit genau das nicht passiert, gibt es mittlerweile Baukästen und Services, mit denen man die eigen Erklärung Schritt für Schritt generieren kann, ohne etwas auszulassen.
Einige Beispiele finden wir hier, hier und hier.

Diese und noch weitere Generatoren, Checklisten und Musterformulare findet man mittlerweile relativ schnell in Verbindung mit dem Suchbegriff Datenschutzerklärung. Blind vertrauen sollte man ihnen jedoch nicht, bei vielen Anbietern wird ein Hinweis gegeben, dass sie keine Rechtssicherheit garantieren und lediglich als Leitlinie zu sehen sind. Manche Anbieter dieser Generatoren verpflichten die Nutzenden auch zur Angabe des verwendeten Generators sobald die erstellte Datenschutzerklärung auf der eigenen Website einbindet. Kommt man dieser Pflicht nicht nach, können Strafzahlungen verlangt werden. Um hier abgesichert zu sein, lohnt es sich, die Datenschutzerklärung gemeinsam mit einer Rechtsberatung zu erstellen bzw. zu überprüfen. Der wichtigste Punkt ist jedoch, sich selbst darüber im Klaren zu sein, welche Dienste auf der eigenen Website angeboten werden und welche Daten diese sammeln.

Nicht sicher welche Dienste hinterlegt sind? Mit dem Google Tag Assistant oder dem Ghostery Plugin lässt sich herausfinden, welche Daten eine Website sammeln möchte und welche und wie viele externe Dienste darauf platziert sind. Wer in Firefox die Developer Tools öffnet, kann auch in der Konsole unter dem Reiter "Web-Speicher" einsehen, welche Cookies auf und von welchen Website gesetzt werden.

Wie diese Suche bei anderen Browsern und Geräten funktioniert finden Sie u.a. hier und hier.

Web-Speicher in der Konsole

Eine Datenschutzerklärung, -bestimmung oder wie sie sonst noch bezeichnet werden kann, ist alleine nicht mehr ausreichend, um mit den geltenden Bestimmungen mitzuhalten. Zwar müssen die in der Datenschutzerklärung notwendigen Informationen auf der jeweiligen Website angegeben werden, jedoch muss noch bevor Daten gesammelt werden können, die Einwilligung der nutzenden Person explizit eingeholt werden. Dieses Vorgehen kennen wir mittlerweile von diversen Cookie Banner am Rand einer Seite oder Cookie Walls, die den Inhalte einer Seite verdecken, sobald sie fertig geladen ist. Erst, wenn hier eine Einwilligung für einen oder mehrere Zwecke erteilt wird, dürfen Daten, die nicht die grundlegende Funktionsweise der Seite betreffen, gesammelt und den gegebenen Informationen gemäß verarbeitet werden. Unter grundlegende Funktionen fallen beispielsweise die Spracheinstellung oder die Speicherung der Inhalte und Produkte im Warenkorb. Sofern Cookies verwendet werden, müssen diese natürlich auch in der Datenschutzerklärung ergänzt werden. In diesem Fall muss eine Auskunft darüber gegeben werden, welche Cookies gesetzt und zu welchem Zweck sie eingesetzt werden. Regelungen bezüglich dieser Praktiken waren früher in Deutschland im TMG und TKG zu finden, seit dem Inkrafttreten des TTDSG am 1.12.2021 sind Regelungen diesbezüglich erstmals an einem Ort gebündelt und geben klar vor, dass ein Cookie-Hinweis ausgespielt werden muss, sobald sie auf einer Website verwendet sind.

Der Rundumblick von APOCRAT

Die Datenschutzerklärung bietet somit einen Überblick über alle Aspekte rund um die datenschutzrechtlichen Themen einer Website. Die Datenschutzerklärung alleine reicht jedoch aufgrund der aktuell geltenden Bestimmungen nicht mehr aus:

Jede*r Nutzer*in muss eine explizite Einwilligung für die jeweiligen Zwecke der Datenerhebung und -verarbeitung abgeben, bevor Daten über die jeweilige Person gesammelt werden. Das trifft nun jedoch nicht mehr nur auf Websites zu, sondern seit dem Inkrafttreten des TTDSG auch vernetzte Geräte wie Staubsauger und internetfähige Lichtquellen. In unseren bisherigen Blogbeiträgen finden Sie zu genau diesen Regulierungen wie beispielsweise DSGVO und TTDSG weitere Informationen.

Wie passt APOCRAT nun ins Bild? Wir schreiben Ihnen keine Datenschutzerklärung, aber sind für Sie da in Sachen Datenschutz bei vernetzten Geräten. Von der smarten Glühbirne, über die vernetzte Kaffeemaschine, die internetfähigen Spielzeuge Ihrer Kinder bis zum Futterautomat für Ihre Vierbeiner sorgen wir für Datensicherheit in ein eigenen vier Wänden.
Dank der Zusammenarbeit mit Rechtskanzleien und Fachverbänden sind Sie bei uns bestens beraten und immer am neusten Stand der aktuellen Gesetzgebung.
Sie wollen mehr über unsere Lösung erfahren? Vereinbaren Sie über die nachfolgenden Kontaktdaten gleich Ihren persönlichen Beratungstermin und testen Sie unsere Demo!

Kontakt
Partner & Sales Manager: Alexander Jürgens
E-Mail-Adresse: office@apocrat.at
Mobil: +43 676 4025255