Die typischen Fehler in der Datenschutzerklärung

Was muss in eine Datenschutzerklärung rein und wo muss diese platziert werden?

Es gibt diese Zeit, in der man glaubt immer das Gleiche zu tun. Deshalb habe ich mich entschlossen die wichtigen Dinge zur Datenschutzerklärung auf Webseiten deutscher Betreiber einmal zusammenzufassen.

Wo muss sie hin?

Die Datenschutzbestimmungen sollten im Idealfall eine gesonderte Subseite der Webseite sein und mit einer URL direkt aufgerufen werden können (Bsp. : http://www.ihredomain.tld/datenschutzbestimmung/). Es ist jedoch erlaubt, sie als Teil des Impressums aufzuführen. In diesem Fall muss sie aber klar erkennbar als Abschnitt gegliedert sein.

Außerdem muss die Datenschutzbestimmung per Link von jeder Haupt- und Subseite mit max. zwei Klicks erreichbar sein. Dies bedeutet, dass sie am besten als eigener Link in den Menüs der Seite aufgeführt werden sollte. Eine elegante Lösung ist es, sie in einem Link in der Fußzeile unterzubringen und so mit nur einem Klick aufrufbar zu halten.

!WICHTIG!

Bei Webseiten mit responsive Design ist es üblich, dass bestimmte Elemente ab einer bestimmten Bildschirmgröße ausgeblendet werden. Hier ist zu beachten, dass der Link nicht verschwinden darf. Ebenso gibt es häufig Menüs, die Submenüpunkte im Zuge verbesserter Navigation ausblenden. Auch hier bitte darauf achten, dass der Link zur Datenschutzbestimmung erhalten bleibt.

Ein Beispiel für diese Effekte ist unsere Webseite. Das Menü wird bei kleinen Bildschirmgrößen zu einem Knopf zusammengefasst. Die Submenüs werden jedoch im Menü selber alle direkt sichtbar aufgeführt. Weiter ist die Datenschutzerklärung ständig über einen Link in der Fußzeile erreichbar.

Knackpunkt Kontaktformular

Die Erhebung von personenbezogenen Daten ist die wohl heikelste Angelegenheit bei der Benutzung von Webseiten. Nicht so sehr im Bezug auf technische Systeme zur Erhebung der Daten, sondern vielmehr weil hier besondere Regeln greifen. Jedes Mal wenn Sie einen Namen und eine anders geartete Kontaktinformation erheben, entsteht Personenbezug. In einem solchen Fall muss der Besucher darüber informiert sein, auf welche Weise diese Daten genutzt werden. So muss jedes Formular mit einer Checkbox ausgestattet sein, welche erst nach der Aktivierung durch den Benutzer die Versendung der Eingaben ermöglicht. Elegant ist es im Label der Checkbox direkt einen Link zur Datenschutzbestimmung zu hinterlegen. So kann der Besucher die Datenschutzbestimmung kurz vor dem Absenden aufrufen und lesen.

Es ist natürlich selbstverständlich, dass ca. 90% Ihrer Webseitenbesucher überhaupt kein Interesse an Ihren Datenschutzbestimmungen haben. Dennoch, Gesetz bleibt Gesetz.

Was muss rein?

In die Datenschutzbestimmung müssen alle relevanten Informationen, welche mit der Erhebung von Daten zu tun haben. Diese umfassen Cookies, Logs, Traces, Trackings, Formulare, usw. Bevor Sie Ihre Datenschutzbestimmung erstellen, sollten Sie Dataproofing Tools verwenden, welche die Verbindungen und Datentransfers Ihrer Webseite beim Aufruf protokollieren. Diese gesammelten Informationen müssen dann erwähnt werden. Falls Sie über Formulare Daten erheben, müssen Sie ebenfalls einen gesonderte Aussage darüber treffen, zu welchen Zwecken Sie dies tun. Außerdem sollten Sie den Benutzer auf sein Auskunftsrecht hinweisen, damit er informiert ist, dass er jederzeit von Ihnen verlangen darf, die erhobenen Daten einzusehen. (Beispiel ansehen)

Die Facebook-Klausel

Unbedingt wichtig ist die Erwähnung von Facebook Plug-Ins, wie dem Gefällt mir (Like-) Button. Falls Sie das originale Codesnippet von Facebook selber verwenden, sollten Sie dies einfach jetzt entfernen. Dieses handelt Ihnen bei jedweder Aussage in der Datenschutzbestimmung nur Ärger ein. Facebook ist eine Datenkrake mit nur einem Ziel: „Ein transparentes Profil eines jeden Menschen zu erstellen und gewinnbringend zu verkaufen„. Mit Plug-Ins dieser Plattform verstoßen Sie also immer in irgendeiner Weise gegen die Privatsphäre eines Benutzers.

Hier gibt es aber nicht nur sehr praktische sondern auch viel elegantere Lösungen, welche ebenfalls mehrere soziale Netzwerke einschließen und gleichzeitig keine Verstöße darstellen. Vorsicht bei der Nutzung von Multi-Share Tools wie Share-This oder Add-This. Zwar übertragen diese Tools keine Daten an Facebook und Twitter, aber Sie übertragen Daten an die eigenen Server, bevor der Nutzer es will. Somit sind dies keine Lösungen. In unserem Fall verwenden wir den Simple Share Buttons Adder. Schlicht elegant und vollkommen lokal.

Die Facebook-Klausel ist trotzdem nicht verkehrt, da Sie dem Benutzer mehr Transparenz über Ihre Auseinandersetzung mit dem Thema Datenschutz zeigt.

Die Google-Klausel

Wenn Sie professionell Daten über Ihre Webseite erheben möchten, führt fast kein Weg an den Tools von Google vorbei. Der Webdominator bietet Ihnen die de facto beste Suite von Tracking-Tools im WWW. Um Sie zu nutzen, müssen ebenfalls Datenschutzvorkehrungen getroffen werden und so sollte ein Abschnitt in Ihrer Datenschutzbestimmung aufgeführt werden, welcher diese Nutzung ausweist. Weiter sollten Sie das Tracking um die Anonymisierung der IP-Adresse erweitern. Dies ist zur Zeit noch gültig. Jedoch stellt sich hier die Frage wie lange noch, da die IP Adresse in diesem Fall ebenfalls erst auf Googles Servern anonymisiert wird, somit hat Google die Daten bereits bevor Sie eine abgespeckte Version erhalten. Ebenso bleiben die lokalen Webserver Logs davon unberührt, auch hier sind die vollständigen IP-Adressen sichtbar.

Checken Sie Ihre Webseite wie folgt

  • Datenschutzerklärung auf eigener Subseite
  • Korrekte und permanente Links in den Menüs (Top und Bottom ideal)
  • Abschnitt über Cookies und Serverlogs
  • Auskunftsrecht der Benutzers
  • Facebook und Google Klausel

Wenn Sie diese einfachen Regeln befolgen, sind Sie zur Zeit sehr gut aufgestellt, wenn es um den Datenschutz und Ihre Webseite geht. Trotzdem sollten Sie sich weiterbilden, da das Thema immer aktuell ist und auch hier ständig Neuerungen aufkommen. Mit unserem Newsletter, halten wir Sie gerne auf dem Laufenden.

Stephan Plesnik ist freiberuflicher Multimediaproduzent und in den Bereichen Webdesign, Marketing und Cloud Services für die Ing.-Büro Dr. Plesnik GmbH tätig. Er ist für die visuelle Konzeption und Gestaltung unseres Unternehmensauftritts verantwortlich und hält regelmäßig Vorträge zum Online-Datenschutz und Internetsicherheit.