Datenschutz und Internet – ein kurzer Handlungsleitfaden

„Datenschutz? Hören Sie bloß auf! Wenn es nach denen geht, geht ja überhaupt gar nichts mehr!“ So oder ähnlich klingt es oft, wenn man auf Datenschutz zu sprechen kommt. Es ist immer wieder erstaunlich, wie viel Unbehagen dieses Thema hervorruft. Zum einen, weil es als lästig empfunden wird, zum anderen aber auch, weil vermutlich doch insgeheim viele das dumpfe Gefühl haben, nicht wirklich zu wissen, was mit persönlichen Daten geschieht. Und genau um dieses dumpfe Gefühl geht es, das durch die Datenschutzverordnung (DSGVO) aufgehoben werden soll.

Eines vorweg: Die DSGVO ist ein gutes und durchaus leicht anwendbares Gesetz. Die Grundidee ist denkbar einfach. Jede Person soll vor der Erhebung ihrer persönlichen Daten wissen, wer die Daten zu welchem Zweck und wie lange nutzt, ob die Daten weitergegeben werden und, wenn ja, an wen. Darüber hinaus hat eine betroffene Person zu jeder Zeit ein Auskunftsrecht über die verarbeiteten Daten.

Grundsatz der Transparenz
Wenn Sie diesen Grundsatz in den Mittelpunkt Ihrer Überlegungen stellen, können Sie jegliche datenschutzrechtlichen Anforderungen an Ihr Handeln ableiten und eben auch die Anforderungen an Ihren Internetauftritt. Besuchende Ihrer Seite müssen in der Lage sein, die Datenschutzhinweise zu jedem Zeitpunkt leicht zu finden. Packen Sie sie zum Beispiel in eine stets erreichbare Fußzeile. Die Inhalte der Hinweise sind gesetzlich klar definiert. Das räumt Unsicherheiten aus. Der Text selbst sollte so for­muliert sein, dass er auch ohne juristischen Studienabschluss ver­ständlich ist. 

So weit, so gut. Klingt simpel, ist es auch. Nicht ganz so simpel ist die Forderung, dass eine betroffene Person eben schon vor der Datenerhebung über diese informiert werden muss, also bevor die Analyse-Cookies Daten erheben. Das ist in der Umsetzung nicht immer trivial, insbesondere, wenn Sie Social Media-Plugins einbinden.
 

Was muss bei der Cookie-Abfrage beachtet werden?
Zulässig sind nur technisch notwendige Cookies, alle anderen beruhen auf Freiwilligkeit. Und diese anderen müssen genauso leicht abgelehnt wie bestätigt werden können. Eine mittelgroße Odyssee durch diverse Links, Schiebehäkchen und externe Internetseiten, die im schlechtesten Fall in einer allgemeinen Information zu Browsereinstellungen enden, ist unzulässig. Anders ausgedrückt: einem Allen-Zustimmen-Button muss ein Alle-Ablehnen-Pendant gegenüberstehen.

Warum ist das so? Ganz einfach: Die DSGVO sagt aus, dass grundsätzlich überhaupt gar keine personenbezogenen Daten erhoben werden dürfen, es sei denn, es ziehen die gesetzlich definierten Ausnahmen. Verbot mit Erlaubnisvorbehalt nennt sich das. Und einer dieser Erlaubnisvorbehalte ist die freiwillige Einwilligung zur Datenerhebung durch die betroffene Person.

Datenabfrage auf der Internetseite
Prüfen Sie unbedingt, welche Daten Sie gegebenenfalls auf Ihrer Seite abfragen. Haben Sie ein Kontaktformular? Wenn ja, ist der Übertragungsweg verschlüsselt? Ihre Internetseite sollte ohnehin technisch sicher aufgestellt sein. Das ist aber mittlerweile in der Regel über entsprechende Zertifikate Standard.

Kann man Ihnen vielleicht ein Mietinteresse mitteilen? Welche Daten fragen Sie dort ab? Der Zweck heiligt zwar die Mittel, schränkt diese aber auch gleichermaßen ein. Die Frage ist also, welche Daten Sie zum Zweck der Vermietung erheben dürfen. Wie so oft im Rechtsgeschehen sind die Antworten darauf nicht eindeutig. Tatsächlich gibt es eine einzelbehördliche Haltung, dass es zur Vereinbarung eines Wohnungsbesichtigungstermins nichts weiter bedarf als die Kontaktdaten der Interessierten, also Name und Telefonnummer. Fragen Sie mehr ab? Vielleicht gar so etwas wie ein Haushaltseinkommen? Keine Sorge, auch unter den Bedingungen der DSGVO gibt es legale Wege, um eben doch mehr als nur Telefonnummer und Namen zu erfragen. Rechtlich basiert diese Erweiterung auf dem sogenannten berechtigten Interesse, das Sie allerdings nachweislich geprüft und dokumentiert haben sollten.

Wenn die Daten Ihr Unternehmen erreichen, muss die Verarbeitung mit den Datenschutzhinweisen auf Ihrer Internetseite übereinstimmen. Heißt: Nur zu dem dort veröffentlichen Zweck dürfen die Daten verarbeitet wer- den. Gleiches gilt auch für die Verarbeitungs- bzw. Speicherdauer. Auch die Aufbewahrungsfristen müssen dem Zweck angemessen sein. Bei Daten von Mietinteressierten ist derzeit ein halbes Jahr ein guter Wert, da dieser Zeitraum etwaige Klagefristen berücksichtigt. Länger ist jedoch nicht notwendig und damit auch nicht zulässig.

Auskunftsrecht beachten
Hier noch einige Gedanken zum oben bereits benannten Auskunftsrecht. Dieses beinhaltet, dass betroffene Personen bei Ihrem Unternehmen jederzeit anfragen dürfen, ob und welche personenbezogenen Daten gespeichert sind. Wenn berechtigt, so können die Betroffenen die Korrektur oder sogar die Löschung fordern. In diesem Zusammenhang sei das sogenannte Recht auf Vergessenwerden genannt. Haben Sie die erhobenen Daten weitergegeben, so müssen Sie dafür sorgen, dass die Daten auch bei den Empfangenden entsprechend behandelt, also korrigiert oder gelöscht werden. Stellen Sie in Ihrem Unternehmen sicher, dass Ihre internen Prozesse dieser Verpflichtung entsprechen.

Eine Datenschutzschulung Ihrer Mitarbeitenden ist schon ein guter Anfang, da mit ihr die Wahrnehmung für das Thema Datenschutz und damit auch für den Umgang mit Auskunftsersuchen geschärft wird. Beachten Sie in diesem Zusammenhang auch das Verzeichnis der Verarbeitungstätigkeiten, das alle Prozesse auflisten soll, in denen personenbezogene Daten verarbeitet werden. Dazu gehören dann auch die Prozesse, die sich aus Ihrem Kontaktformular auf der Internetseite ergeben.

Denken Sie jetzt gerade: Sag ich doch, wenn es nach denen geht, geht ja überhaupt gar nichts mehr? Keine Angst. Wie eingangs erwähnt, bietet die DSGVO einen rechtlichen Rahmen, innerhalb dessen tatsächlich eine Menge möglich ist. Dazu gehört auch der Betrieb einer sicheren Internetseite, mittels derer Sie über Datenschutzhinweise, Cookie-Abfrage und rechtskonformem Kontaktformular Ihre Datenschutzkompetenz unter Beweis stellen können, sodass im Kontakt mit Ihrem Unternehmen eben gerade kein dumpfes Gefühl bezüglich der Datenverarbeitung entsteht. Sehen Sie es als Chance.

Eines noch zum Schluss: Eine Verknüpfung der Zustimmung zu Ihren Angeboten mit der erzwungenen Einwilligung, Werbung zu erhalten, ist nicht zulässig. Aber wer will das schon.