Die EU-DSGVO regelt die komplette oder auch teilweise automatisierte sowie nichtautomatisierte Verarbeitung von personenbezogenen Daten, die in einem Computer, Tablet o.ä. gespeichert werden (sollen). Was die wenigsten wissen: Diese „Verarbeitung“ findet bereits während des kurzen Besuchs einer Webseite statt. Auch Kleinunternehmen und Freiberufler, die nicht mehr als eine einfache Webseite betreiben oder einen Social Media Account haben, müssen daher wissen, welche Vorkehrungen sie im Sinne der EU-DSGVO treffen müssen.
In jedem Fall notwendig: die Datenschutzerklärung
Als Betreiber einer eigenen Webseite, benötigen Kleinunternehmen und Freiberufler in jedem Fall eine Datenschutzerklärung. Sie informiert die Besucher der Webseite unter anderem über Art, Umfang und Zweck der Datenverarbeitung: Was passiert zum Beispiel während des Besuchs einer Webseite mit der IP-Adresse des Nutzers? Was geschieht mit Name, E-Mailadresse und weiteren personenbezogenen Daten des Nutzers bei einer Kontaktaufnahme? Auf welcher Rechtsgrundlage und zu welchen Zwecken werden die Daten gespeichert? Zum Beispiel zur Anbahnung eines Vertragsverhältnisses (Art. 6 Abs. 1 lit. b) DSGVO)? Oder einfach nur, um auf Anfragen reagieren zu können? Von wem werden die Daten verarbeitet und über welche Dauer werden sie gespeichert? Wie werden diese Daten verarbeitet? Usw.
Die Datenschutzerklärung muss in präziser, transparenter, verständlicher und leicht zugänglicher Form – ähnlich wie das Impressum – für jeden Besucher der Webseite, ohne langes Scrollen und mit maximal zwei Klicks erreichbar sein. Empfehlenswert ist es daher, den Link auf die Datenschutzerklärung in der Kopfzeile der Webseite zu platzieren.
Wer seine Datenschutzerklärung auf der Seite des Impressums unterbringen möchte, muss dies u.a. in der Bezeichnung des Links deutlich machen. Beispiel: „Impressum/Datenschutzerklärung“. Auf der Impressumsseite selbst ist dann wiederum auf die leichte Zugänglichkeit der Datenschutzerklärung zu achten. Der Nutzer muss sie ohne langes Scrollen erreichen.
Bei der Abfassung einer rechtssicheren Datenschutzerklärung können beispielsweise Rechtsanwälte helfen. Eine erste Orientierung, die allerdings rechtlich nicht verbindlich ist, bieten Mustervorlagen, die online beispielsweise über sog. Datenschutz- oder Datenschutzerklärungs-Generatoren erzeugt und heruntergeladen werden können. Nicht zu empfehlen ist jedoch eine ungeprüfte Übernahme der Mustervorlagen.
Hilfestellung bietet auch die Checkliste zur Datenschutzerklärung des Mittelstand 4.0-Kompetenzzentrums Chemnitz.
Persönliche Daten über Kontaktaufnahme per E-Mail erheben
Über die Kontaktaufnahme per E-Mail sendet der Nutzer personenbezogene Daten (E-Mailadresse, Name usw.) an das Unternehmen, das diese Daten wiederum in irgendeiner Art verarbeitet (z.B. (temporär) speichert oder weiterleitet). Wer auf seiner Webseite daher nur seine E-Mailadresse als Kontaktmöglichkeit anbietet, sollte die daraus folgende Verarbeitung der Daten in seiner Datenschutzerklärung beschreiben.
Persönliche Daten über Kontaktformular erheben
Unternehmer und Freiberufler, die auf ihrer Webseite ein Kontaktformular anbieten, müssen den Datenverarbeitungsvorgang, der sich daraus ergibt, ebenfalls in ihrer Datenschutzerklärung erläutern. Sie sollten den Nutzer auf die Datenschutzerklärung hinweisen bzw. eine Bestätigung einholen, bevor er das Kontaktformular „abschickt“.
Eine gesonderte Einwilligungserklärung ist dagegen in der Regel nicht nötig, wenn zum Beispiel ein berechtigtes Interesse des Webseitenbetreibers an der Datenverarbeitung vorliegt (vgl. Art. 6 Abs. 1 lit. f) EU-DSGVO). In diesem Fall muss der Nutzer aber bereits bei der ersten Kontaktaufnahme ausdrücklich darauf hingewiesen werden, dass er gegen die Datenverarbeitung Widerspruch einlegen kann (Art. 21 EU-DSGVO). Dieser Hinweis muss verständlich formuliert und von anderen Informationen getrennt sein.
In jedem Fall gilt: Wer auf seiner Webseite ein Kontaktformular anbietet, muss die darüber eingehenden Daten mittels verschlüsselter Verbindung an seinen Server übertragen: Entweder mit dem „alten“ Standard Secure Sockets Layer (SSL) oder per Transport Layer Security (TLS).
Und: Welche Daten über ein Kontaktformular überhaupt erhoben werden dürfen, regelt ebenfalls die EU-DSGVO (Datenminimierungsgrundsatz). Demnach dürfte wohl die E-Mailadresse des Nutzers oder eine Telefonverbindung ausreichen, um eine Anfrage zu bearbeiten.
Nutzerprofile über Cookies und Log-Files erheben
Besucht ein Nutzer eine Webseite, die mit Cookies arbeitet, wird auf seinem eigenen Computer eine kleine Textdatei automatisch hinterlegt. Beim erneuten Besuch der Webseite wird diese Datei vom Betreiber der Webseite ausgelesen und gibt damit Auskunft über das Nutzerverhalten des Besuchers.
Auch wenn die meisten Webseiten heutzutage mit Cookies arbeiten, sind sie für den Betrieb einer einfachen Webseite nicht notwendig. Webseitenbetreiber, die Cookies einbinden, sollten daher genau wissen, was sie im Einzelnen damit bezwecken: Soll zum Beispiel ein Nutzerprofil mittels der Cookies erstellt werden („Webtracking“)? Oder handelt es sich nur um technisch erforderliche Cookies, die beispielsweise die Navigation auf der Webseite erleichtern.
Je nachdem, welche Cookies auf der Webseite eingesetzt werden, muss der Webseitenbetreiber die Nutzer darüber nicht nur durch ein „Cookie-Banner“ sowie Details in der Datenschutzerklärung informieren. Darüber hinaus benötigt er auch das Einverständnis der Nutzer, bevor der Cookie auf deren Computer platziert werden darf. Diese Aufforderung zur Einverständniserklärung kann in das „Cookie-Banner“ integriert werden.
Die erforderlichen Informationen über die Cookie-Nutzung sollten insbesondere darüber aufklären, warum die Cookies eingesetzt werden und welchen Zweck sie erfüllen (z.B. Webtracking, technische Erforderlichkeit), um welchen Cookie-Typ es sich handelt und wie die Nutzung unterbunden werden kann (z.B. Widerspruch oder Widerruf der Einwilligung).
Ob die eigene Webseite Cookies benutzt und wenn ja, welche Art von Cookies, sollte in jedem Fall der IT-Dienstleister wissen, der die Webseite „gebaut“ hat. Unternehmer und Freiberufler, die ihre Webseite mit Hilfe von vorgefertigten Modulen im Internet selbst erstellt haben, sollten sich bei dem jeweiligen Anbieter erkundigen, ob in den „Bausätzen“ auch Cookies und Analysetools eingebunden sind und um welche es sich genau handelt. Diese Informationen müssen in der Datenschutzerklärung berücksichtigt werden.
Je nachdem, welcher Cookie-Typ verwendet wird, ergeben sich womöglich weitere rechtliche Rahmenbedingungen. Lassen Sie sich hierzu von spezialisierten Fachanwälten beraten.
Log-Files werden im Unterschied zu Cookies auf jeder Webseite und bei jedem Aufruf erzeugt. Das Betriebssystem erfasst dabei automatisch Informationen des aufrufenden Rechners (Nutzers). Dazu gehören zum Beispiel die IP-Adresse sowie Datum und Uhrzeit des Zugriffs. Diese Informationen werden auf dem Server des Webseitenbetreibers kurzzeitig gespeichert. Die für die Dauer der Sitzung erfolgte Speicherung ist notwendig, um die Webseite auf dem Rechner des Nutzers darzustellen. Die Speicherung der Informationen in Log-Files stellt also u.a. die Funktionsfähigkeit der Webseite sicher.
Auch wenn der Nutzer der Verwendung von Log-Files nicht ausdrücklich zustimmen muss, muss der Webseitenbetreiber in seiner Datenschutzerklärung darüber informieren.
EuGH-Urteil zum „Gefällt mir“-Button von Facebook
In seinem Urteil vom 29. Juli 2019 stellt der Europäische Gerichtshof (EuGH) fest: „Der Betreiber einer Website, in der der ‚Gefällt mir‘-Button von Facebook enthalten ist, kann für das Erheben und die Übermittlung der personenbezogenen Daten der Besucher seiner Website gemeinsam mit Facebook verantwortlich sein. Eine Verantwortung hinsichtlich der Verarbeitung der Daten durch Facebook besteht aber nicht.“
Nach dem Urteil des EuGH ist auch der Webseiten-Betreiber für das rechtskonforme Erheben und Weiterleiten der Benutzerdaten an Facebook verantwortlich. Das bedeutet, dass der Website-Betreiber die Besucher seiner Website schon in seiner Datenschutzerklärung darüber informieren muss, dass entweder schon der Besuch seiner Website oder das Anklicken des "Gefällt mir"-Buttons dazu führt, dass personenbezogene Daten (jedenfalls die IP-Adresse) eingesammelt und an Facebook Irland weitergeleitet werden. Welche technischen Abläufe der Weiterleitung zugrundeliegen, muss der Betreiber der Website zuvor ermitteln, um die Abläufe in der Datenschutzerklärung exakt beschreiben zu können. Ferner muss er sich die Einwilligung der Nutzer zur Weiterleitung der Daten einholen. Dies kann der Website-Betreiber z.B. im Wege eines Einwilligungs-Banners (ähnlich des Cookie-Banners) realisieren. Nähere Informationen zu datenschutzrechtlichen Aspekten im Unternehmensalltag finden sich in der Wissensbox des Kompetenzzentrums Chemnitz.
Persönliche Daten über Social Media erheben
Am 5. Juni 2018 entschied der Europäische Gerichtshof, dass Betreiber von Facebook-Fanpages genauso wie Facebook selbst dafür verantwortlich sind, dass die persönlichen Daten der Nutzer entsprechend der EU-DSGVO verarbeitet werden.
So lange beispielsweise Facebook seine Datenschutzerklärung nicht entsprechend der EU-DSGVO formuliert, kann der Betreiber der Fanpage für diesen Verstoß in Anspruch genommen werden. Die Datenschutzbehörden des Bundes und der Länder haben deshalb am 6. Juni 2018 ausdrücklich darauf hingewiesen, „dass nach dem Urteil des EuGH dringender Handlungsbedarf für die Betreiber von Fanpages besteht.“
In welcher Form dies geschehen soll, bleibt jedoch offen. Die derzeitige Situation sorgt gerade deshalb bei vielen Unternehmen für Unsicherheit. Unternehmen, die kein Risiko eingehen möchten, schalten ihre Facebook-Fanpage (übergangsweise) ab. Alternativ müssten sie abwägen, wie groß der Nutzen ihrer Kommunikation über die Facebook-Fanpage im Vergleich zum Risiko eines möglichen Datenschutzverstoßes ist.
Eine ähnliche Abwägung betrifft auch die Kommunikation über WhatsApp. Auch dort werden zum Großteil ungefragt personenbezogene Daten übertragen, ohne dass hierfür eine Rechtsgrundlage existiert. Dies betrifft insbesondere die Übertragung des Kontaktverzeichnisses.
Weitere Informationen finden Sie auch in dem Artikel „Datenschutz (EU-DSGVO) allgemein“ (s.o.).
Verzeichnis über alle Verarbeitungstätigkeiten
Das Verarbeitungsverzeichnis dokumentiert u.a. Namen und Kontaktdaten des Webseitenbetreibers und ggf. IT-Dienstleisters, die Zwecke der Datenverarbeitung, die Kategorien der Nutzer und ggf. weiterer betroffener Personen/-gruppen sowie eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (Art. 32 Abs. 1 EU-DSGVO (Sicherheit der Verarbeitung) etc.
Die Pflicht zur Erstellung eines sog. „Verzeichnisses über alle Verarbeitungstätigkeiten“ gilt laut EU-DSGVO eigentlich nur für Unternehmen ab 250 Mitarbeitern. Allerdings gibt es Ausnahmen: Unabhängig von der Unternehmensgröße muss ein solches Verzeichnis auch dann geführt werden, wenn die Verarbeitung der Daten
- ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt,
- nicht nur gelegentlich erfolgt, also vorhersehbar und in regelmäßigen Abständen wiederkehrend oder auch fortlaufend ist. Beispiel: Die Datenverarbeitung im Rahmen der meisten CRM-Systeme (Customer-Relationship-Management-Systeme), bei der Lohnabrechnung und Internet-/E-Mail-Protokollierung. Oder
- besondere Datenkategorien betrifft, zum Beispiel Gesundheitsdaten, genetische oder biometrische Daten (Art. 9 Abs. 1 EU-DSGVO) oder strafrechtliche Verurteilungen und Straftaten (Art. 10 EU-DSGVO)
Die Datenschutzbehörden des Bundes und der Länder gehen jedoch davon aus, dass die Privilegierung für Unternehmen mit weniger als 250 Mitarbeitern, kein Verzeichnis führen zu müssen, in der Praxis nur sehr selten greifen dürfte.
Trotzdem: Auch wenn das Anlegen eines solchen Verzeichnisses für Unternehmen mit weniger als 250 Mitarbeitern sowie für Freiberufler nicht erforderlich ist, lohnt es sich, darüber nachzudenken, ob es nicht doch der Mühe wert ist. Denn letztlich hilft es, die eigenen Datenverarbeitungsvorgänge im Unternehmen besser und auch strukturierter nachzuvollziehen und gegebenenfalls nachzubessern. Dabei ist es zudem eine gute Basis für die Erstellung der Datenschutzerklärung, in der viele der Inhalte aus dem Verzeichnis übertragen werden können.
Als Orientierung kann die Vorlage der Datenschutzbehörden des Bundes und der Länder dienen. Sie besteht aus einem Deckblatt, in dem die Stammdaten des Verantwortlichen eingetragen werden sowie zwei weiteren A4-Seiten, die für jede Verarbeitungstätigkeit ausgefüllt werden.
Weitere Hinweise zur Führung eines Verzeichnisses stellen die Datenschutzbehörden des Bundes und der Länder zur Verfügung.