Sieben häufige Irrtümer beim Thema Datenschutz
Neu ist die DSGVO schon lange nicht mehr, aber noch immer ein sehr ungeliebtes Thema, das nicht nur zu vielen Irrtümern führt, sondern auch zu völlig unnötigem Stress für Websitebetreiber … und Nutzer!
Ich hatte das Glück, dass ich kurz vor Inkrafttreten der DSGVO (Datenschutzgrundverordnung) an einer großartigen Infoveranstaltung der IHK Flensburg teilnehmen durfte. Dabei führte uns Henry Krasemann, Jurist am ULD, dem Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein, in die Thematik der DSGVO ein und beantwortete die vielen Fragen, die zu diesem Thema aufkamen. Die wichtigsten Punkte beim Thema Webdesign – und vor allem die Irrtümer, mit denen ich mich auch nach Jahren noch auf diversen kleineren und größeren Websites konfrontiert sehe – möchte ich hier kurz zusammenstellen, allerdings aus meiner Sicht als Webdesignerin und ohne juristische Gewähr.
Doch zunächst das Grundsätzliche kurz auf einen Blick:
Inhalt der DSGVO:
Einfach ausgedrückt: Die DSGVO schreibt vor, dass jegliche personenbezogenen und personenbeziehbaren Daten nur noch
- unmittelbar zweckgebunden
- nach vorheriger Einwilligung sowie
- zeitlich begrenzt
erfasst, gespeichert und genutzt werden dürfen. Dies betrifft neben Kontaktdaten auch Kundenprofile, Auftragsdaten sowie z.B. IP-Adressen der Besucher einer Website. Missachtung kann mit hohen Bußgeldern geahndet werden.
Aufgaben von Website-Betreibern auf einen Blick
- Schutz von Nutzerdaten beim Laden der Seite gegen unberechtigte Zugriffe, z.B. durch Google. Das heißt: keine Seitenbestandteile verwenden, welche schon beim Aufbau der Seite – ohne vorherige Zustimmung des Nutzers – Nutzerdaten abgreifen und versenden, das betrifft bei Google gehostete Schriften, Google Maps oder Youtube-Videos ebenso wie Social-Media-Dienste wie Facebook.
- Schutz von Nutzerdaten beim Übermitteln von Daten: SSL-Zertifikat für die Website, wenn auf der Website Formulare eingesetzt werden, damit die in das Formular eingegebenen Daten verschlüsselt übertragen werden
- Schutz von Nutzerdaten bei der eigenen Verwendung für Marketingzwecke (nicht anonymisierte Seitenstatistiken, Besuchsverläufe etc.)
- Den Nutzer verständlich (!) über den Umgang mit seinen Daten aufklären.
Beliebte Irrtümer zum Thema DSGVO
Irrtum No 1: Die DSGVO ist schwer zu verstehen und eine Abmahnfalle für Seitenbetreiber.
Falsch. Einfach ausgedrückt, hat die europäische Datenschutzverordnung DSGVO zum Ziel,
- Nutzer darüber zu informieren, wer ihre Daten nutzt und wofür und
- diese Nutzung auf das notwendige und vom Nutzer gewünschte/akzeptable Maß zu reduzieren.
Ich bin keine Juristin, aber als Webentwicklerin lange genug im Thema, das ich davon ausgehe, dass es bei einem eventuellen Verfahren nicht um eventuelle kleine Formfehler gehen wird, sondern erkennbar sein muss, dass sich die Verantwortlichen damit auseinander gesetzt haben, den Sinn der DSGVO zu verstehen und verantwortungsbewusst im Sinne der Nutzer umzusetzen.
Irrtum No. 2: Seitenlange Datenschutzerklärungen schützen vor Abmahnung.
Falsch. Nach dem Grundsatz der Transparenz müssen „alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst“ sein. Seitenlange Texte in juristisch ausgefeilter Sprache sind für den Nutzer einer Website nicht in einem akzeptablen Zeitaufwand zu erfassen und erfüllen daher nicht die Vorgaben der DSGVO.
Richtig: Nur die wirklich unverzichtbaren Kundendaten sammeln (am besten gar keine) – und darüber dann in der Datenschutzerklärung kurz und bündig, übersichtlich und gut verständlich informieren.
Irrtum No. 3: Ein Cookie-Banner ist unverzichtbar.
Falsch. Gerade bei Jimdo-Seiten häufig gesehen: Ein Cookie-Banner, das bei näherem Hinsehen nur gebraucht wird, um das Cookie-Banner anzuzeigen und die vom Nutzer darauf gesetzten Einstellungen zu speichern. Nutzer-Nerv als Selbstzweck.
Richtig: Wer keine nutzerbezogenen Daten erfasst bzw. speichert, braucht auch keine Cookies, um sich das genehmigen zu lassen.
Irrtum No. 4: Cookie-Banner dürfen von einer Einwilligung des Nutzers ausgehen.
Falsch. Der Schutz der Kundendaten in der DSGVO wird zwar eingeschränkt durch das sogenannte „berechtigte Interesse“ des Unternehmens, das die Website betreibt. Das heißt, Unternehmen dürfen z.B. den „Zustimmen“-Button farblich stärker hervorheben als den „nur notwendige Cookies“-Button, um mit der Zustimmung des Nutzers z.B. Anwendungsdaten für ihre Marktforschung zu erheben.
Das ist jedoch, wenn man die DSGVO konsequent auslegt, nur soweit zulässig – und das wird leider sehr oft noch anders gehandhabt – wie der Nutzer tatsächlich frei ist in seiner Entscheidung. Wenn nur die Wahl bleibt zwischen „alle annehmen“ und „zu den Einstellungen“, ist die von der DSGVO geforderte „leichte Zugänglichkeit“ nicht mehr gegeben. Der Nutzer wird genötigt. Das ist vorsätzliche Einschränkung des Wahlrechts der Nutzer und somit vermutlich früher oder später abmahnfähig.
Richtig: Die beiden Buttons müssen als Wahlmöglichkeiten erkennbar und gleichermaßen zugänglich sein.
Irrtum No. 5: Google Fonts, Google Maps und Youtube-Videos sind erlaubt, weil es „alle machen“.
Falsch. Das Thema Google-Fonts hab ich anfangs mit anderen Webentwicklern heiß diskutiert. Deren Überlegung war, dass es auch im Nutzerinteresse sein müsste, dass die Seiten schneller laden und die Schriften besser lesbar sind. Auch die Standortanzeige per Google-Map scheint unverzichtbar. Aber die DSGVO ist da sehr deutlich: Der Nutzer muss entscheiden können, was mit seinen Daten passiert, bevor sie weitergegeben werden.
Und wie es „die anderen“ es machen, selbst wenn es „die Großen“ sind, ist auch kein Argument: Die Gesetze sind für jedermann frei zugänglich, und jeder Websitebetreiber ist selbst in der Verantwortung, sich technisch und juristisch korrekt beraten zu lassen. Dass es andere falsch machen, rechtfertigt keine illegale Handlung.
Was ist das Problem?
Google-Maps und Youtube-Videos sind, wenn sie auf einer Seite eingebunden werden, interaktive Bereiche, die schon beim Aufbau der Seite Informationen an Google senden, welcher Nutzer die Seite aufruft und wann. Beim Zusammenführen von großen Mengen dieser scheinbar unwichtigen Informationen werden aus Nutzerdaten Persönlichkeitsprofile generiert, die nicht nur für die Werbeindustrie, sondern auch schon für meinungsbildende Kampagnen eingesetzt werden…
Irrtum No. 6: Für Formulare braucht es die Nutzer-Einwilligung per Häkchen.
Falsch. Jeder Nutzer, der ein Formular ausfüllt, ist sich darüber im Klaren, dass diese Daten versendet und verarbeitet werden. Ein so offensichtlicher Vorgang braucht nicht per Häkchen bestätigt werden. Aber: Ein Link auf die Datenschutzerklärung vor dem „Daten senden“-Button ist unverzichtbar, weil nur dort der Nutzer nachlesen kann, was genau mit den Daten passiert und wo er der Verwendung widersprechen kann.
Irrtum No. 7: Eine Website darf bei Ablehnung der Cookies den Nutzer „rauswerfen“.
Falsch. Wahlfreiheit hat der Nutzer nur, wenn die Zugänglichkeit trotzdem gegeben ist. Eine Website darf gemäß der DSGVO auch bei Ablehnung der Cookies „ihre grundsätzliche Funktionalität nicht erheblich einschränken“.
Haftungsausschluss: Ich habe mich umfassend informiert, bin jedoch keine Juristin und kann demzufolge keine Haftung für die Rechtssicherheit übernehmen.
Wer rechtlich auf der sicheren Seite sein möchte, sollte sich juristisch beraten lassen.