Schützen Sie Ihr Unternehmen im Datenschutz-Dschungel

Hand aufs Herz – bei kleinen oder mittelständischen Betrieben wird es wohl kaum einen Mitarbeiter geben, der den vollen Durchblick im undurchschaubaren Dickicht der datenschutzrechtlichen Bestimmungen hat. Kein Wunder, denn eine Website kann über 1.900 datenschutzrelevante Dienste und Services aufweisen, die durch zahlreiche Richtlinien, Bestimmungen und Gesetze geregelt sind.

Seit dem 25. Mai 2018 gilt EU-weit die Datenschutz-Grundverordnung (DSGVO). Für Firmenwebsites sind spätestens ab diesem Zeitpunkt ein rechtssicheres Impressum und eine individuelle Datenschutzerklärung unerlässlich. Die Aufgabe der Datenschutzerklärung ist es, den Nutzer der Seite darüber aufzuklären, auf welche Weise seine persönlichen Daten, die er beim Besuch der Website fast immer zwangsläufig hinterlässt, verarbeitet oder gespeichert werden und was dabei zum Schutz seiner Persönlichkeitssphäre unternommen wird. Tut man dies nicht, drohen Abmahnungen mit teils kostspieligen Bußgeldern. (Anwaltsgebühren, Gerichtskosten usw. kommen hinzu.) Je nach Schwere des Verstoßes sind dabei 5.000,- EUR keine Seltenheit und auch weitaus höhere Summen lassen sich im Netz recherchieren.

Die Konkurrenz beispielsweise kann abmahnen, wenn sie einen Wettbewerbsnachteil darin sieht, dass datenschutzrechtliche Bestimmungen unterlaufen werden, Verbraucherorganisationen können dies tun oder auch auf datenschutzrechtliche Abmahnungen spezialisierte Anwaltskanzleien. Es lauern in diesem Zusammenhang zahllose Fallstricke im Rahmen der DSGVO-relevanten Inhalte und Services einer Website: Social Media-Plugins, Analytics-, Maps oder Video-Programme, Cookies, um nur ein paar Beispiele zu nennen – die Liste ist lang. All diese Dienste erfordern eine entsprechende Ausweisung in der Datenschutzerklärung der Website.

Zudem gilt es, auch das nationale Recht beim Datenschutz zu beachten: Zum 1. Dezember 2021 ist das neue Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Kraft getreten. Dieses Gesetz regelt unter anderem, dass eine echte Einwilligung des Website-Besuchers für Cookies und Tracking erforderlich ist. Das Cookie Consent-Banner wurde mit diesem neuen Gesetz für alle Websites – und übrigens auch für Apps – verpflichtend.

Hinzu kommt, dass in Brüssel und anderswo derzeit mit Hochdruck an einem Nachfolge-Abkommen für den im Juli 2020 vom Europäischen Gerichtshof für ungültig erklärten sog. „Privacy Shield“ gearbeitet wird. Dieses Abkommen hat die Übertragung von personenbezogenen Daten von der EU in die USA geregelt. Ursprünglich sollte damit die Frage beantwortet werden, welche Standards die USA zum Schutz persönlicher Daten von EU-Bürgern gewährleisten, wenn diese Cloud-Speicher großer US-Unternehmen nutzen. Doch mit dem Wegfall des Privacy Shields sind auch die Einbindung von US-amerikanischen Diensten wie etwa Google Maps oder Google Analytics in Websites kritisch zu sehen, da es keine Regelung mehr für den Schutz der personenbezogenen Daten gibt, welche zwangsläufig bei der Nutzung in die USA übertragen werden. Dies trifft ebenso für das Teilen von Inhalten auf Facebook zu sowie für die Nutzung der sog. Google Fonts auf der eigenen Website. (Letztere ist eine Sammlung von über 1.400 Schriftarten, die Google mit dem Ziel schnellerer Ladezeiten von Websites zur Verfügung stellt – auch hier werden personenbezogene Daten rechtlich nicht gesichert in die USA übertragen.)

Spätestens jetzt wird deutlich, warum häufig vom „Datenschutz-Dschungel“ die Rede ist. Richtig ist aber auch: Der Schutz der persönlichen Daten ist ein hohes Gut, das mit dem Recht auf informelle Selbstbestimmung übrigens auch im Grundgesetz klar geregelt ist. Gerade jetzt zu Beginn der Zwanzigerjahre, in denen die ganze Welt zunehmend digitaler wird, wird der Datenschutz immer wichtiger und sinnvoller.

Die Frage bleibt jedoch: Wie schütze ich meine Website und damit mein Unternehmen vor dem Hintergrund der unzähligen und nur schwer zu überblickenden rechtlichen Bestimmungen vor etwaigen Abmahnungen oder kostspieligen Bußgeldern? Wie schaffe ich es, dass sämtliche Speicher- und Abrufautomatismen meiner Website in der Datenschutzerklärung detailliert und aufgeschlüsselt Erwähnung finden? Wie berücksichtige ich Server-Logfiles, Social-Media-Plugins, Analysetools usw. in der Datenschutzerklärung? Oder auch: Wie muss ein rechtssicheres Impressum gestaltet sein? Für einen Laien ist dies schlichtweg unmöglich. Um Rechtssicherheit für die eigene Website zu haben und sich nicht angreifbar zu machen, sollten Seiteninhaber daher unbedingt auf eine externe Dienstleistung zurückgreifen.

Dienste wie „Datenschutz-Inspektor“ oder „janolaw“ sichern die Datenschutzerklärung und das Impressum einer Webseite dauerhaft ab. Durch die Beantwortung eines Frage-Antwort-Kataloges erhält man eine auf die Website zugeschnittene Datenschutzerklärung und ein individuelles Impressum. Beide Rechtstexte werden entweder über eine Schnittstelle fortlaufend aktualisiert und der jeweils geltenden Rechtslage angepasst oder diese Texte werden alternativ per Mail zum Austausch gesendet. Und das Beste: Wird eine Datenschutzerklärung oder ein Impressum– wider Erwarten – dennoch abgemahnt, haftet der jeweilige Dienstleister dafür. Die Texte sind also rechtssicher und der Webseitenbetreiber spart Zeit, Nerven und Geld.

Wichtig ist zudem, dass unbedingt ein rechtsgültiger Cookie Consent-Banner zum Einsatz kommt. Diese lassen sich in der Regel über das Content Management System (CMS) einer Website steuern. Außerdem muss dafür Sorge getragen werden, dass eine Website SSL-verschlüsselt ist. Eine nicht verschlüsselte Seite ist einer der häufigsten Abmahngründe. Auch dies lässt sich durch das CMS-System einstellen. Ein fehlendes oder unzureichendes Cookie Consent-Banner oder eine nicht vorhandene SSL-Verschlüsselung lässt sich mit der Datenschutzerklärung nicht kompensieren, beides muss korrekt und vollständig vorhanden sein.

Fazit: Mithilfe eines Dienstleisters geht man in Sachen Rechtssicherheit der eigenen Website in jedem Fall auf Nummer sicher. Man hat praktisch eine „Versicherung“ für die Richtigkeit seiner individuellen Rechtstexte, der Datenschutzerklärung und des Impressums.