Aufbau einer einfachen Datenschutzerklärung

Wie sollte die Datenschutzerklärung einer Website aufgebaut sein, welche Angaben gehören mindestens hinein? Wie lässt sie sich formulieren, wenn sich das Angebot an Kinder richtet?

Update, 8.6.2018: Ergänzungen zu diesem Beitrag im Rahmen der Datenschutz-Grundverordnung (DSGVO) finden Sie am Ende des Textes.

Eine Datenschutzerklärung bündelt im Idealfall alle relevanten Angaben zum Datenschutz und stellt sie dennoch in übersichtlicher Form dar. Bei längeren Erklärungen sollte eine Kurzfassung vorangestellt werden, Details können dann bei Bedarf und Interesse nachgelesen werden.

Auch hier kann es sich empfehlen, sich an den "sieben goldenen Regeln" zu orientieren. Aus dem Grundsatz der Zweckbindung etwa folgt, dass dem Nutzer die Zwecke der Datenverarbeitung verständlich werden sollten. Es sollte auch erkennbar sein, wer die Daten verarbeitet und somit die "verantwortliche Stelle" ist. Hierbei kann in aller Regel auf ein Impressum verwiesen werden.

Ratsam ist es, für jede Funktion, die auf einer Website angeboten wird, einen eigenen Absatz vorzusehen. Zumeist entspricht das auch einem Verarbeitungszweck in rechtlicher Hinsicht. Hier sollten auch Angaben dazu gemacht werden,

• welche Arten von Daten erhoben werden,
• wann die Daten gelöscht und
• an wen sie gegebenenfalls weitergegeben werden.

Zusätzliche Speicherungszwecke sollten zur besseren Verständlichkeit mit einem eigenen Absatz abgetrennt werden. Wenn für die Nutzung weiterer Funktionen Einwilligungserklärungen verwendet werden, sollten diese in der Erklärung noch einmal aufgeführt werden.

Nutzt man technische Dienstleister, kann es sich rechtlich betrachtet auch um eine "Auftragsdatenverarbeitung" handelt. In vielen Fällen kann es dann erforderlich sein, eine "Vereinbarung zur Auftragsdatenverarbeitung" abzuschließen, mehr Informationen dazu folgen im weiteren Verlauf dieser Service-Reihe.

Schließlich ist es ratsam, am Ende des Textes zeitliche Angaben zu machen, von wann die Datenschutz- und Einwilligungserklärungen sind. Es ist sinnvoll und bei Einwilligungserklärungen sogar erforderlich, auch die alten Versionen der Texte anzubieten. Dabei sollte dargestellt werden, welche Version zu welchem Zeitraum gültig war.

Beispiel

Vorlage für eine einfache Datenschutzerklärung

Stellt eine Webseite nur statische Inhalte zum Abruf vom eigenen Server zur Verfügung, reicht eine minimale Datenschutzerklärung aus. In der Praxis wird das nur selten ausreichen, da Webseiten zum Beispiel üblicherweise Besuche messen, häufig interaktive Funktionen anbieten oder mit sozialen Netzwerken verzahnt sind (dazu bald mehr in dieser Reihe).

Umgekehrt kommt aber keine Website ohne Übermittlung von Inhalten aus. Hierzu muss eine Datenschutzerklärung lediglich darstellen, welche Daten bei einer solchen Anfrage übermittelt werden.

Dabei sollte auch angegeben werden, ob die Daten zu Sicherheitszwecken gespeichert werden. Der Betreiber muss dabei gewährleisten, dass das nicht länger als zulässig geschieht. Orientiert man sich an einem Urteil des Bundesgerichtshofs, sollte die Speicherdauer sieben Tage im Normalfall nicht überschreiten. Danach müssen die Daten gelöscht werden.

Eine Datenverarbeitung zur Übermittlung der Onlineinhalte lässt sich zum Beispiel wie folgt beschreiben. Der Text wird in der Regel nicht alle Funktionen eines Webangebots beschreiben, eignet sich aber als Ausgangspunkt:

Datenverarbeitung zur Übermittlung der Onlineinhalte

Zum Zweck der Übermittlung der von Ihnen aufgerufenen Webseite werden von Ihrem Browser typischerweise unter anderem folgende Informationen (im Rahmen von sogenannten HTTP-Requests) übersandt:

• Ihre IP-Adresse, eine Ziffernfolge, die Ihren derzeitigen Computeranschluss im Internet identifiziert.
• Die von Ihnen aufgerufene URL (die Webseite und ggf. weitere Parameter),
• Informationen zu dem von Ihnen verwendeten Browser und Betriebssystem, wie deren Name und Version
• sowie – unter Umständen – die Seite, von der aus Sie zu uns gelangt sind (Referrer-Information).
• Der Zeitpunkt der Anfrage.

Werden die Zugriffe auf die Webseite zu Sicherheitszwecken für sieben Tage protokolliert, bietet sich folgende Formulierung an:

Protokollierung zu Sicherheitszwecken

Die oben dargestellten Angaben können zudem für weitere sieben Tage in Protokolldateien gespeichert werden, um mögliche Störungen der Seite analysieren zu können. Sofern solche Störungen auftauchen, kann die Speicherung im Einzelfall auch länger andauern. Sie werden spätestens dann gelöscht, wenn sie zur Ermittlung der Ursachen der Störung nicht mehr erkennbar beitragen können.

Version in kindgerechter Sprache

Für Betreiber von Kinderseiten bietet es sich an, die Informationen auch noch einmal in kindgerechter Sprache darzustellen. Dies ist keine gesetzliche Pflicht, entspricht aber den pädagogischen Zielsetzungen vieler Seiten. Denkbar wäre es auch, die Informationen noch einmal in anderer Form aufzubereiten, zum Beispiel als Comic oder Video.

Formulierungsvorschlag

Damit du die Webseite sehen kannst, bekommen wir Informationen von deinem Computer. Wenn du eine unserer Webseiten aufrufst, fragt dein Computer einen unserer Computer nach einer bestimmten Internetadresse, der URL. Gleichzeitig schickt uns auch dein Computer folgende Informationen:

• eine Nummer (IP-Adresse), unter der er derzeit erreichbar ist und
• eine Reihe von anderen Daten. Beispielsweise welches Programm und welches Betriebssystem du verwendest.
• Manchmal teilt uns der Computer auch mit, von welcher Webseite aus du auf unsere Seite gekommen bist.

Damit sich unsere Webseite in deinem Computer öffnet, müssen wir deine IP-Adresse und die anderen Daten kurz speichern und verarbeiten.

Für den Fall, dass unser Computer Probleme hat, speichern wir alle Zugriffe vorsichtshalber für eine Woche. So können wir nachschauen, was genau passiert ist. Falls es solche Probleme gibt, kann es sein, dass wir die Daten auch länger speichern, damit wir Zeit haben, das Problem gründlich zu untersuchen. Danach werden die Daten gelöscht.

Checkliste zur Erstellung einer Datenschutzerklärung

• Welche Funktionen werden angeboten, zu welchen Zwecken?
• Welche Daten werden dabei erhoben?
• Ist angeben, wer die Daten verarbeitet und worauf sich die Erklärung erstreckt?
• Werden Daten zu Sicherheitszwecken gespeichert? Wenn ja, Speicherung aufführen und Begrenzung beachten
• Bei Änderungen: Sind die alten Versionen verfügbar? Sind die Zeiträume angegeben, in denen eine bestimmte Erklärung galt?

8.6.2018

DSGVO-Update: Datenschutzerklärungen

Die Datenschutz-Grundverordnung (DSGVO) hat die Transparenzpflichten deutlich verstärkt. Seitenbetreiber müssen also umfassender darüber informieren, wie sie personenbezogene Daten verarbeiten. Klargestellt wurde, dass der "Verantwortliche" für die Datenverarbeitung und dessen Kontaktdaten genannt werden müssen. Verantwortlich kann eine natürliche oder juristische Person sein, in der Regel ist es der im Impressum genannte Betreiber.

Wer seine Impressumspflichten erfüllt hat, hat diese Angaben in der Regel bereits gemacht. Wenn ein Datenschutzbeauftragter bestellt wurde, muss eine Kontaktmöglichkeit wie die E-Mail-Adresse angegeben werden.

Wenn die Datenschutzerklärung keinen Hinweis darauf enthält, auf welcher oder welchen Rechtsgrundlagen die Daten verarbeitet werden, muss die Angabe ergänzt werden, etwa mit einem Hinweis auf eine "Einwilligung" oder ein "berechtigtes Interesse". Im letzteren Fall muss zudem genauer angegeben werden, welches spezifische berechtigte Interesse an der Verarbeitung besteht. Das könnte wie folgt aussehen:

Wir verfolgen als gemeinnütziger Verein der Jugendhilfe nach unserer Satzung das Ziel, Kindern altersgerechte Informationsangebote zur Verfügung zu stellen. Die Übermittlung der Inhalte verfolgt dieses berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO).

Oder in kindgerechter Sprache:

Wir sind ein Verein, der für dich und andere Kinder Informationen anbietet. Damit wir das tun können, müssen wir Deine Daten verarbeiten. Denn ohne die Adresse deines Computers im Internet (deine IP-Adresse) wissen wir nicht, wohin wir die Inhalte schicken sollen.

Ebenfalls muss angegeben werden, wann die Daten zu löschen sind. In dem Beispiel zur Protokollierung zu Sicherheitszwecken im Beitrag unten ist eine solche Angabe bereits enthalten.

Zudem muss auf die Betroffenenrechte hingewiesen werden. Je nach Kontext kann es sich um Rechte auf Auskunft, Korrektur, Löschung, Sperrung und Beschwerden handeln. Das kann zum Beispiel wie folgt aussehen:

Sie haben bezüglich Ihrer Daten grundsätzlich folgende Rechte:

• Das Recht auf Auskunft zu Ihren Daten,
• das Recht auf Übertragung Ihrer Daten an Sie oder an einen anderen Dienstleister,
• das Recht auf Berichtigung von unrichtigen Daten,
• das Recht auf Löschung Ihrer Daten oder das Recht auf Einschränkung der Verarbeitung Ihrer Daten,
• das Recht der Verarbeitung zu widersprechen und
• das Recht, eine Einwilligung, die Sie abgegeben haben, zu widerrufen.

Darüber hinaus haben Sie ein Beschwerderecht bei der zuständigen Datenschutzaufsichtsbehörde.

Allerdings bestehen diese Rechte natürlich nicht in jedem Fall. Wer beispielsweise gesetzlich verpflichtet ist, bestimmte Daten aufzubewahren, etwa für die Steuererklärung, der kann auch nicht mit einem Löschungsanspruch zur Vernichtung der Daten verpflichtet werden.

Aufbau einer Datenschutzerklärung nach der DSGVO

Eine Datenschutzerklärung nach der DSGVO muss also zumindest folgende Fragen beantworten:

Wenn man über verschiedene Verarbeitungen einer Webseite in einer umfassenden Übersicht informieren will, kann es sich anbieten, einen allgemeinen Teil voranzuschicken, der die Angaben zu 1.) und 6.) enthält. In einem speziellen Teil lassen sich dann die Punkte 2.) bis 5.) für unterschiedliche Verarbeitungszwecke behandeln.

Die allgemeine Datenschutzerklärung sammelt dann die verschiedenen Arten, mit denen Daten im Kontext des jeweiligen Angebotes erhoben werden. Je nach Webseite kann dies recht umfangreich werden. Daher ist zu empfehlen, zur besseren Orientierung eine Übersicht über die verschiedenen Zwecke an den Anfang der Datenschutzerklärung zu stellen. Damit entsteht für eine typische Webseite mit einem Gästebuch und Nutzungsanalyse folgende Struktur:

Seitenbetreiber sind allerdings in der Gestaltung frei. Die hier vorgeschlagene schematische Herangehensweise erleichtert es den Lesern meist, die gesuchte Information zu finden. Manchmal – insbesondere bei komplexeren Diensten – kann sich aber sicher auch ein anderer Aufbau anbieten.

Es bleibt zu hoffen, dass sich in naher Zukunft ein einheitlicher Standard der Darstellung herausbildet. Im Idealfall könnten dann die Hinweise so ähnlich aussehen wie die Packungsbeilagen von Medikamenten. Zudem steht bereits in der DSGVO, dass es wünschenswert wäre, wenn wichtige Aspekte auch mit Bildsymbolen dargestellt werden könnten. Hier ist zu erwarten, dass die EU-Kommission einen Vorschlag unterbreitet.

Der Artikel steht unter der Creative-Commons-Lizenz Namensnennung 4.0 (CC BY).

The post Aufbau einer einfachen Datenschutzerklärung appeared first on iRights.info.