DIESER TEXT WIRD GERADE NEU ZUSAMMENGESTELLT UND ÜBERARBEITET. Bis zur Linie ist er halbwegs fertig, der Rest sind Fragemente früherer (anders strukturierter) Dokumente.
In unseren anderen Arbeitshilfen zu Informationspflichten erläutern wir, dass es sinnvoll ist, diese Hinweise nicht nur für die Webseite, sondern für alle Geschäftsprozesse zu erstellen. In dieser Anleitung geht es jedoch nur um die –zuweilen komplexe- Datenverarbeitung durch eine Webseite.
Eine Webseite ist zunächst die Visitenkarte einer Organisation. Unternehmen stellen ihre Produkte und Leistungen dar, Gemeinden ihre Dienstleistungen, Vereine ihr Anliegen. Um dies ansprechend zu gestalten werden Agenturen eingeschaltet, die oft auf vorgefertigte Komponenten zurückgreifen.
Da werden Youtube-Videos, Instagram-Posts und Google-Karten eingebunden. Die Interaktion aus cross-medialen Kampagnen auf LinkedIn und facebook wird analysiert, wie auch das Verhalten der Nutzer auf der Webseiten selbst. Und natürlich wird über den eingebundenen Shop auch verkauft, Kontakt hergestellt, Reklamationen abgewickelt, Termine vereinbart - alles idealerweise so dass der Besucher gar nichts merkt, dass Teile des Inhalts oder der Funktionalität von Dritten stammt.
Egal ob die Webseite schon besteht oder ganz neu erstellt wird: Wenn auch nur ein Teil dessen auf Ihre Webseite zutrifft, sind Sie bei dieser Anleitung richtig. Damit erfassen Sie Schritt für Schritt alle nötigen Informationen, inkl. Tipps und Links zu Tools.
Als Datenschutzbeauftragte werden wir oft gebeten, Hinweise für eine Webseite zu schreiben. Das Problem: Es geht nicht um einen Mustertext, sondern um echte Informationen für die Besucher der Webseite. Diese liegen uns nicht vor und müssten uns mitgeteilt werden.
Es geht um die Beantwortung von Fragen wie: Was genau ist "die Webseite"? Welche Daten werden "erhoben" und durch sie "verarbeitet"? Welche Dienstleister sind beteiligt? Welche Daten gehen an welche Geschäftsprozesse? Warum sind sie erforderlich und wozu werden sie genutzt?
Oft gibt es in einer Organisation nicht eine Person, die all diese Fragen beantworten kann. Zuweilen weiß das Marketing nicht einmal welches CMS die Agentur einsetzt, welche WordPress-PlugIns installiert sind, dass der Chat Inhalte bei einem CDN nachlädt oder ein Drittanbieter die SocialWall zusammenstellt.
Wie soll da ein:e Datenschutzbeauftragte:r aussagekräftige Informationen aus dem Hut zaubern?
Für aussagekräftige Datenschutz-Hinweise braucht es alle Beteiligten
Am besten funktioniert es, wenn –möglichst frühzeitig- Kontakt zwischen allen Beteiligten hergestellt wird. In einem KickOff sollte der Auftraggeber die zu erreichenden Business-Ziele umreißen, das Datenschutz-Team typische technische und rechtliche Herausforderungen erläutern. Während der Umsetzung sollten alle Beteiligten direkt miteinander kommunizieren.
Aus Datenschutz-Sicht ideal wäre eine datenschutzfreundlich programmierte Webseite. Oft kann oder möchte man dieses Ideal jedoch nicht vollumfänglich umsetzen. Gerade dann braucht die Agentur auch Datenschutz-Know-How und einen entsprechenden Auftrag an die Agentur.
Um Aussagen über die Datenverarbeitung durch eine Webseite machen zu können, muss zunächst eine Bestandsaufnahme gemacht werden. Hierbei ist es günstig, die Funktionen der Webseite zunächst zu beschreiben und Geschäftsprozessen und damit deren Prozessverantwortlichen zuzuordnen.
Stellen Sie dazu Fragen wie diese:
Damit kommen Sie beispielsweise zu solchen Antworten:
Auf diese Weise können Sie schnell und einfach ermitteln, welche Personen Sie hinzuziehen müssen, wenn Sie bestimmte Seiten oder Inhalte analysieren. Im Beispiel gehen wir davon aus, dass die in Anführungszeichen genannten Prozesse im Verzeichnis der Verarbeitungstätigkeiten beschrieben sind.
Falls Ihre Webseite schon besteht, suchen Sie dort nach Informationen, wo Daten erhoben werden. Steht über dem Absende-Button des Kontakt- oder Bestellformulars etwas zum Datenschutz? Geben die Webinarbedingungen Auskunft zur weiteren Verwendung der Daten?
Extrahieren Sie aus einer vorhandenen Datenschutzerklärung konkrete sachliche Aussagen, sofern diese darin enthalten sind. Interessant sind z.B. Zwecke der Datenverarbeitung, Speicherfristen, externe Dienstleister, etc. Ordnen Sie diese Informationen den obigen Seiten bzw. Elementen zu.
Auch Ihr Consent-Banner kann –je nach Ausprägung– gute Hinweise enthalten. Je nach Anbieter werden hier z.B. Cookies aufgelistet. Ob diese tatsächlich gesetzt werden oder ob es sich um Altlasten handelt oder gar tatsächlich gesetzte Cookies fehlen, zeigt anschließend die technische Analyse.
Danach ist es sinnvoll, einfach mal die Motorhaube aufzumachen und zu schauen was man sieht. Je nach (nicht) vorhandener Expertise und Erfahrung kann man unterschiedliche Mittel nutzen:
Unsere Empfehlung: Lassen Sie es uns gemeinsam machen! Sie binden die Stakeholdern ein, Ihre Agentur liefert Technikwissen und wir Datenschutz-Experten zeigen, wie eine verständliche Information entsteht. Denn dabei lernen alle viel, das spart anschließend Zeit!
Wie bei jeder Prüfung muss man zunächst wissen, nach was man sucht. Hier beschreiben wir die Suche nach Datenverarbeitungen, die datenschutzrechtlich problematisch sein könnten. Dazu muss man etwas ausholen. Wir suchen nach:
Die Analyse bezieht sich vor alle vor allem systematisch erfolgen und dokumentiert werden. erforderlich und mit erfolgen sollte vor allem die Funktion der Webseite inkl. der Schnittstellen geprüft werden. Dies kann durch "Ausprobieren", aber auch systematisch durch ein Testkonzept erfolgen. Da bei viele und z.T. komplexe Komponenten verwendet werden, ist auch eine Überprüfung der IT-Sicherheit "Pflicht" – beauftragen Sie einen professionellen Penetrationstest!Im Idealfall noch vor dem "live" schalten der Webseite wird der zuvor erstellte oder aktualisierte Text der Datenschutz-Hinweise überprüft. Er sollte folgende Fragen beantworten:
Die erste Frage meint interne Daten wie Session-Cookies von WordPress und Protokolle beim Hoster.
Ihre Agentur sollte die zweite Frage beantworten. Gemeint ist jegliches Nachladen von weiteren Servern.
Die dritte Frage richtet sich an Fachabteilungen: Bewerbungen → HR, Kontaktformular → Vertrieb.
Für alle Datenarten sollte es eine Aussage zur Löschung geben. Es reicht, die Betroffenenrechte kurz zu benennen. Interne Sicherheitmechanismen müssen nicht öffentlich dargelegt werden.
Zusätzlich zur Textprüfung ist eine technische Prüfung sinnvoll. Nicht selten findet man weitere Tools, an die niemand gedacht hatte:
Es gibt keine Vorgaben zur Form: Seien Sie mutig und nutzen Sie auch für die Hinweise den Stil Ihrer Webseite. Wenn es zur Ihrer Zielgruppe passt können duzen oder die Hinweise als Video bereitstellen. Alles ist besser als ein langweiliger Rechtstext. Ideal ist, wenn das Lesen der Hinweise Spaß macht!
Es ist zu prüfen, ob die zuvor gefundenen Verabeitungen dem entsprechen, was vereinbart war und dokumentiert ist. Werden Daten verarbeitet, die nicht gewünscht oder erforderlich sind, ist dies wieder abzustellen. Im einfachsten Fall können alle Abweichungen von der Agentur behoben werden.
Falls die Abweichungen gewollt sind, müssen sie dokumentiert werden. Oft sind weitere Verträge zu schließen und Hinweise an Nutzer:innen zu ergänzen. Wenn Zwecke hinzugekommen sind, sind auch die Verfahrensbeschreibungen anzupassen. Für die Änderungen sind alle Schritte erneut zu durchlaufen.
Berücksichtigen Sie, dass jede Änderung zu erheblichem Folgeaufwand führen kann: Eine neue Verarbeitung kann eine Einwilligung erforderlich machen, was wiederum das aktuelle Konzept des Consent-Banners zunichte macht. Daher muss der Webseiten-Betreiber entscheiden.
Typischerweise nimmt Ihre Agentur immer wieder Änderungen (z.B. an Templates) vor. Diese haben oft Auswirkungen auf die Datenverarbeitung im Zusammenhang mit Ihrem Internetauftritt. Möglicherweise bekommen Sie das gar nicht mit. Im schlechtesten Fall werden danach Inhalte von Drittanbietern (aus einem unsicheren Drittland) auf Ihrer Webseite nachgeladen, für die Sie die Einwilligung der Nutzer:innen einholen müssen. Zumindest müssen die Nutzer:innen aber über die neue Verarbeitung in den Datenschutz-Hinweisen informiert werden.
Auch wenn Sie selbst Änderungen an Ihrem Internetauftritt vornehmen, kann es – je nach Tool, das Sie dafür nutzen – passieren, dass unbeabsichtigt Inhalte von Drittanbietern nachgeladen werden.
Eine Möglichkeit, dem ersten Fall vorzubeugen, ist, die Agentur (bereits bei Vertragsabschluss) anzuweisen, jegliche Änderungen mitzuteilen. Des Weiteren können unangenehme Überraschungen vermieden werden, den Internetauftritt regelmäßig z.B. mithilfe der in Schritt 3 aufgeführten Analyse-Tools zu prüfen und dem Zyklus entsprechend weiter vorzugehen.
Die Geschäftsführung formuliert wirtschaftliche Ziele, die (in Bezug auf die Webseite) erreicht werden sollen. Die Marketing-Abteilung leitet hieraus eine Marketing-Strategie und konkrete Maßnahmen ab, die z.T. über die Webseite abgebildet werden.
Die Marketing-Abteilung plant (ggf. zusammen mit der Agentur) Design, Text (hierzu gehören auch die Datenschutz-Hinweise), technische Umsetzung und welche Drittanbieter eingebunden werden sollen. Die Agentur macht auf dieser Grundlage Vorschläge und zeigt Umsetzbarkeit und Kosten auf.
Lassen Sie sich von Ihrer/Ihrem Datenschutzbeauftragten unterstützen. Evtl. wissen wir wie Andere Ihr Problem gelöst haben, kennen geeignete Dienstleister oder Tools. Idealerweise bewerten wir Ihre Ideen in einem frühen Stadium.
Die Agentur erstellt zusammen mit der Marketing-Abteilung den Internetauftritt. Hierbei werden Fakten zu allen an der Webseite beteiligten internen Systemen und extern eingebundenen Tools von den zuständigen Personen erfasst bzw. ergänzt: Im Verzeichnis der Verarbeitungstätigkeiten bzw. Serviceverzeichnis. Notwendige Verträge (Auftragsverarbeitung inkl. TOM, ggf. Verträge zur gemeinsamen Verantwortung und Standardvertragsklauseln) werden geprüft und ggf. nachverhandelt, abgeschlossen und im Vertragsmanagement abgelegt.
Die Übergabe von Daten an Prozesse wird eingerichtet ("Schnittstellen", z.B. Kontaktformular → Vertriebsinnendienst) und ebenso (nach)dokumentiert.
Parallel dazu werden die Datenschutz-Hinweise angelegt. Wer diese pflegt kann individuell entschieden werden. Das Marketing legt fest, in welchem Stil die Datenschutz-Hinweise geschrieben werden, z.B. aktive persönliche Ansprache mit "wir" und "Sie", jugendlich frech mit "du" oder ganz förmlich und eher passiv. Der Stil sollte zum restlichen Internetauftritt passen.
Wir empfehlen die unseren Muster-Rahmen für Datenschutz-Hinweise als Struktur zu verwenden. Unser Datenschutz-Hinweise-Beispiel) wurde nach diesem Schema erstellt. Für einfache/typische Fälle können Sie sich von Generatoren wie datenschutz-generator.de oder DS-GVO.clever inspirieren lassen.
Die in den Verfahren erfassten Informationen werden aus Betroffenensicht zusammengefasst. Falls Datenschutz-Hinweise nachträglich zu einem bereits bestehenden Internetauftritt erfasst werden sollen, können die Hilfsmittel zur technischen Prüfung aus Schritt 3 genutzt werden.
Parallel dazu wird ermittelt, ob Einwilligungen erforderlich sind – für Verarbeitungen gemäß DSGVO und für Cookies gemäß TTDSG. Optimal wäre es ohne Einwilligungen auszukommen. Lesen Sie hierzu unseren Leitfaden zur Erstellung oder Vermeidung von Consent-Bannern.
Es gibt viel Anleitungen zur Erstellung von Datenschutz-Hinweise für Webseiten. Viele davon bewerben allerdings Datenschutz-Erklärungs-Generatoren, wie z.B. der der Datenschutzkanzlei.
Lizenz: CC BY-SA 4.0 DE = darf kommerziell verwendet werden, wenn Sie auf diese Seite verlinken.
Stand: 16.08.2023. Wir freuen uns aber über fachliche Anmerkungen und Verbesserungsvorschläge.