Wer eine Webseite oder eine App betreibt der muss seine Nutzer über die Verarbeitung von personenbezogen Daten informieren. Lesen Sie in diesem Artikel welche Besonderheiten bei den Datenschutzhinweisen in Bezug auf die Informationspflichten für Webseiten und Apps bestehen.
Der Inhalt im Überblick
Informationspflicht nach Art. 12 ff. DSGVO
Die Informationspflicht aus Art. 13 und 14 DSGVO schreibt eine weite Bandbreite an Informationen vor. Diese Pflicht ist ein entscheidender Grundstein des Datenschutzes. Nur wer weiß wie seine Daten verarbeitet werden, kann eine informierte Entscheidung treffen und so über seine Rechte als Betroffener entscheiden. Die Grundlagen zu der Informationspflicht finden Sie in diesem Artikel.
Zu der Informationspflicht gehören die folgenden Punkte:
- Name und Kontaktdaten des Verantwortlichen
- Kontaktdaten des Datenschutzbeauftragten
- Zweck und Rechtsgrundlage der Datenverarbeitung
- Berechtigtes Interesse im Falle von Art. 6 Abs. 1 S. 1 lit. f DSGVO
- Empfänger bzw. Kategorien von Empfängern der personenbezogenen Daten
- Datenübermittlung in ein Drittland bzw. an eine internationale Organisation und Verweis auf eventuelle Angemessenheitsbeschlüsse oder sonstige Garantien
- Speicherdauer der Daten
- Betroffenenrechte
- ob eine Bereitstellungspflicht besteht
- ob eine automatisierte Entscheidungsfindung/Profiling stattfindet.
- Kategorien der Daten (nur bei Erhebung über einen Dritten)
- Quellen, aus der die Daten stammen (nur bei Erhebung über einen Dritten)
Welche Informationenpflichten gelten für Webseiten?
Die Grundlage für die Informationspflicht auf Webseiten bildet die Datenschutzerklärung. Nach Art. 12 ff. DSGVO sind die Informationen bereitzustellen bei der Erhebung von personenbezogenen Daten. Dies geschieht bereits beim Aufruf einer Webseite bereits mit einer sog. Logdatei. Weitere Daten werden bei vielen Seiten über diverse Tracker gesammelt. Diese Verarbeitungen müssen in der Datenschutzerklärung beschrieben werden, damit der Besucher der Webseite die Gelegenheit bekommt sich über alle Verarbeitungsvorgänge zu informieren. Ein wichtiger Punkt, der gerne von Aufsichtsbehörden bemängelt wird, ist, dass auf die Datenschutzerklärung zunächst ohne Tracker zugegriffen werden können muss. Erst nachdem sich der Nutzer informiert hat über die Verarbeitungen, ist eine informierte Einwilligung möglich.
Die Beschreibung ist unter anderem für die folgenden Punkte erforderlich:
- Hosting der Website und Logfiles
- Newsletter-Versand
- Kontakt, z.B. per Kontaktformular und E-Mail
- Registrierung eines Nutzerkontos
- Bewerbungen
- Nutzung von Cookies
- Nutzung von Social-Plug-ins
Die wesentlichen Punkte bei der Beschreibung der einzelnen Verarbeitungen sind:
- Name des Anbieters, Art, Umfang und Zweck der Datenverarbeitung – welche Daten werden für welchen Zweck verarbeitet?
- Rechtsgrundlage der Datenverarbeitung (ergibt sich aus Art. 6 DSGVO, ggf. mit Angabe des berechtigten Interesses)
- Speicherdauer
- Bei Übermittlung der Daten in Drittländer (Länder außerhalb der EU/EWR) die Angabe des Landes und das Vorliegen einer Rechtsgrundlage für die Drittlandübermittlung (Art. 44ff DSGVO)
- Widerspruchs- und Widerrufsmöglichkeiten der Datennutzung
Welche Informationenpflichten gelten für Apps?
Die oben genannten Grundsätze gelten grundsätzlich auch für Apps. Eine Verlinkung auf die Datenschutzerklärung der Webseite genügt jedoch nicht. Es sind einige Besonderheiten zu beachten. Eine App kann beispielsweise auf bestimmte Funktionen des Smartphones zugreifen, wie z.B. auf Kamera, Kontakte oder Standort. Es müssen nicht nur die Datenverarbeitungen dargestellt werden, die bei App-Nutzung erfolgen, sondern ebenfalls welche Daten beim Download verarbeitet werden.
Zeitpunkt der Bereitstellung
Die Datenschutzerklärung muss gemäß Art. 13 DSGVO schon „bei Erhebung“ der Daten zur Verfügung stehen. Da bereits beim Download in den meisten Fällen personenbezogene Daten verarbeitet werden, muss auch schon zu diesem Zeitpunkt der Zugriff auf die Datenschutzerklärung der App möglich sein. Dies wird durch die meisten App-Stores mittlerweile auch so in den Entwicklerrichtlinien vorgegeben.
Erreichbarkeit der Datenschutzerklärung
Die Datenschutzerklärung sollte an einer zu erwartenden Stelle platziert sein und keine unnötige Hürden enthalten. Weiter sollte auch auf kleinen Displays die Lesbarkeit gewährleistet sein. Gleiches gilt auch für datenschutzrechtliche Einstellungsoptionen. Die Datenschutzerklärung sollte z.B. über einen Menüpunkt „Datenschutz“ sowie dort, wo sie zum Download angeboten wird (z.B. eigene Webseite od. App-Store) erreichbar sein.
App-spezifische Angaben
Wie bereits oben beschrieben, haben Apps auf verschiedene Funktionen des Smartphones Zugriff. Hier sollte konkret dargestellt werden welche Zugriffsrechte bestehen und zu welchem Zweck diese genutzt werden.
Weiter sollte auf die Verarbeitung von sog. Identifiern eingegangen werden. Hier ist zwischen dynamischen (z.B. von Werbenetzwerken) und statischen Identifiern (z.B. MAC-Adresse, SIM-Kartennummer, etc.) zu unterscheiden. Die Verarbeitung statischer Identifiern sollte nur stattfinden, wenn dies konkret erforderlich ist und in der Datenschutzerklärung transparent dargestellt wird.
Webinar zum Thema
Sie fühlen sich jetzt daran erinnert, dass Sie ja schon seit Monaten nochmal über die Datenschutzerklärung oder das Informationsblatt für Mitarbeiter schauen wollten aber das Vorgaben und ihre Umsetzung ist Ihnen immer noch unklar? Dann besuchen Sie doch unser Webinar zum Thema Informationspflichten. Das Kleingruppenformat ist sehr praxisbezogen gestaltet und bietet Best Practices für die Umsetzung.
Auch wenn es nur um die „Informationspflichten“ geht, fehlt ein in der Praxis entscheidender Punkt, wenn US-amerikanische Dienste, wie z.B. Google Analytics, Maps & Co verwendet werden: Die rechtskonforme Einwilligung und die *damit* verbundenen „Informationspflichten“.
Denn anders als beim internen Einsatz von US-Tools, wo zusätzliche Garantien, Verschlüsselung und Co möglicherweise eine Einwilligungspflicht vermeiden können, gibt es diese Garantien bei Tracking, Maps und Co eben genau nicht.
Die Folge: Website Betreiber verstoßen regelmäßig (siehe auch nyob Beschwerden) gegen die Informationspflichten bei Einwilligungen. Daher aufgepasst und diese wichtigen Informationspflichten, die insbesondere die Risiken der Datenverarbeitung im unsicheren Drittland erklären, nicht vergessen!
Alternativ kann man sonst ausschließlich EU-Tools einsetzen und beim Einsatz Datenschutz-geprüfter Tools wie z.B. etracker beim Tracking ganz auf das berechtige Interesse abstellen. So spart sich den Ärger mit den Behörden und schreckt Nutzer nicht mit Einwilligungen und überbordenden Informationen ab.