Was muss eigentlich in eine Datenschutzerklärung?

Im finsteren Mittelalter konnte man mit dem Aberglauben der Menschen als böser Mensch tolle Dinge tun: Amulette verkaufen, Ablassbriefe schreiben und hin und wieder mal einen Dämon austreiben. Dämonen haben es bis in die heutige Serverwelt geschafft und wenn man sich die Datenschutzerklärungen mancher Websites anschaut, ist der Aberglaube der Menschheit maximal digital aber mitnichten weniger geworden… Aber was muss denn nun wirklich in eine Datenschutzerklärung?

EU-Rechtsetzung schafft es ja wirklich selten bis in den Horizont des einzelnen Bürgers, aber mit der DSGVO hat man geschafft, was vielen Gesetzen verwehrt blieb: Eine tägliche Begleitung bis in die letzte Minute. Aber examinieren wir unseren täglichen Begleiter mal etwas genauer:

Grundprinzipien der DSGVO

Zunächst gibt es da ein paar Prinzipien zu beachten (wenn man die DSGVO übrigens einfach „Framework“ genannt und auf GitHub publiziert hätte – die Entwickler dieser Welt hätten sie gehyped wie Clubhouse. Denn tatsächlich ist die DSGVO mehr Framework als Gesetz).

1. Information & Transparenz

Das 1. Prinzip ist ziemlich simpel: Daten gehören dem Nutzer, also informiert man ihn einfach über alles, was damit passiert. Das betrifft die Datenerhebung, die Verwendung und die Weitergabe: „Hey lieber Nutzer, ich erhebe jetzt die folgenden Daten von dir: […] – Hey lieber Nutzer, ich mache damit folgendes: […] – Hey lieber Nutzer, ich gebe deine Daten an folgende Personen weiter: […]“

2. Rechtmäßigkeit der Erhebung

Eigentlich geht es genauso simpel weiter: Daten dürfen nur gesammelt werden, wenn es erlaubt ist. Erlaubnisse können sein:

  • Der Benutzer hat dem Sammeln, Verwenden und Weitergeben explizit zugestimmt – einfachster Fall!
  • Es gibt einen Vertrag mit dem Nutzer, der kein Sinn ergibt, wenn diese Daten nicht erhoben werden – „du willst, dass ich dir was schicke, dann brauche ich leider auch deine Adresse…“
  • Es gibt ein Gesetz, das das Sammeln, Verwenden und Weitergeben erlaubt
  • Das Sammeln, Verwenden und Weitergeben ist überlebensnotwendig – ja, die DSGVO ist tatsächlich so clever, beim Anruf der 110 nicht erst eine Bandansage zu fordern!
  • Auch die Ausübung einer öffentlichen Gewalt lässt das Sammeln von Daten zu – wenig überraschend, dass man sich einer Polizeikontrolle nicht (zumindest nicht per Datenschutz) entziehen kann!
  • Das Sammeln, Verwenden und Weitergeben basiert auf einem „berechtigten Interesse“ – was auch immer das genau ist. Etwas sehr schwammig formuliert, bedeutet aber grob, dass das Sammeln und Verwenden erlaubt sein kann, wenn es die Grundrechte der betroffenen Person nicht beeinträchtigt und mein Grund wirklich legitim ist (ah ja…)

3. Weitergabe in Drittländer

Eine Weitergabe personenbezogener Daten in Drittländer ist nur dann einfach und auf Basis der eben genannten Erlaubnistatbestände möglich, wenn der Empfänger im Drittland ein Datenschutzniveau garantieren kann, das der DSGVO entspricht – maßgeblich dafür ist meistens weniger der individuelle Wille des Empfängers, sondern die Gesetzeslage im Zielland. Die mit Abstand interessanteste Übertragung ist natürlich die in die USA, da die meisten Anbieter interessanter IT-Dienstleistungen im Silicon Valley ansässig sein dürften. Eigens dafür regelte bislang das sog. „Privacy Shield“ dafür, dass personenbezogene Daten europäischer Herkunft in den USA denselben Schutz genießen durften wie zuhause. Ein findiger Mensch namens Max Schrems erwirkte vor dem EuGH jedoch im Juli 2020 ein Aufheben des Schutzschildes. Insb. der US Cloud Act, der seinerseits besagt, dass US-Gemeindienste stets Zugriff auf alle personenbezogener Daten aller in den USA ansässigen Unternehmen haben darf, selbst wenn die Daten im Ausland gespeichert sind, steht eben dieser Idee des gleichen Schutzniveaus diametral gegenüber. Als einzige Rechtsgrundlage für eine Übertragung in die USA bleibt damit die persönliche Zustimmung!

Neben diesen drei Prinzipien bietet die DSGVO freilich noch einen bunten Blumenstrauß weiterer Ideen – dem geneigten Leser sei die DSGVO an dieser Stelle als Bettlektüre empfohlen. Wir wollen ja nun schließlich ans Eingemachte:

Was muss denn nun in die Datenschutzerklärung?

Die Autoren der DSGVO erachteten einige Dinge als so erwähnenswert, als dass ein Besucher einer Website sie erfahren sollte:

  • Wer erhebt hier eigentlich die Daten? Die sog. „verantwortliche Stelle“ ist meistens das erste, was dem Nutzer in einer Datenschutzerklärung berichtet werden sollte und deckt sich vmtl. meistens mit dem Impressum. Gemeint ist hier die rechtliche Entität, die direkt für die Datenerhebung zuständig ist. Wer einen Datenschutzbeauftragten hat, muss ihn hier direkt mit erwähnen – Name & E-Mail-Adresse sollten aber reichen.
  • Welche Daten werden eigentlich erhoben? Um den Nutzer mündig werden zu lassen, muss er oder sie natürlich zuallererst aufgeklärt werden, was hier an Daten erhoben wird. Nach Vorgaben der DSGVO reichen jedoch Bezeichnungen der Kategorien – es muss nicht jedes einzelne Datum separat aufgeführt werden, auch wenn das natürlich Vertrauen schaffen würde.
    Noch gibt es keine Rechtssprechung darüber, was passiert, wenn hier zu viel angegeben wird – das wird aber ziemlich sicher eines Tages passieren. Ein bisschen Präzision bei der Angabe kann also nicht schaden!
  • Warum werden diese Daten erhoben? Auch diese Frage nach dem Zweck der Erhebung muss dem Nutzer mitgeteilt werden.
  • Das ist eng verknüpft mit der Frage nach der Rechtsgrundlage: Werden diese Daten tatsächlich gebraucht? Oder dienen sie rein statistischen Zwecken?
  • An wen werden die Daten weitergegeben? Nächste Frage der DSGVO an die verantwortliche Stelle ist, ob die Daten bei ihr bleiben oder ob beabsichtigt ist, diese an Dritte weiterzugeben. Falls ja, muss hier darüber informiert werden.
  • Nächste Frage ist die der Löschung. Wie lange werden die erhobenen Daten denn aufbewahrt? Klingt erstmal harmlos, ist aber gar nicht so einfach: Die Fristen sollten sinnvoll gewählt werden (Prinzip der Datensparsamkeit!) und idealerweise hält man sich als Betreiber auch daran. Falls auffällt, dass die Serverlogs doch nicht wie versprochen nach zwei Wochen gelöscht werden, kann das auf strukturelle Probleme im Datenschutz hindeuten und entsprechend empfindlich geahndet werden!
  • Zuletzt wünscht sich der Gesetzgeber noch, dass der Nutzer über seine Rechte aufgeklärt werden. Per Gesetz steht hier ein kleiner Katalog zur Verfügung (Löschung, Auskunft, Berichtigung, Übertragbarkeit, Einschränkung der Verarbeitung, Beschwerde), der entsprechend kurz formuliert sein sollte. Idealerweise steht dem Nutzer hier auch irgendeine Kontaktmöglichkeit zur Verfügung! Die Rechte müssen dem Nutzer übrigens kostenlos zur Verfügung stehen!
  • Falls ein automatisches Profiling auf Basis der erhobenen Daten stattfindet (was hoffentlich nie passiert!), muss der Nutzer auch darüber informiert werden.

Über die Ausführlichkeit der Erklärung macht der Gesetzgeber übrigens keine Angaben – insbesondere nicht darüber, wie viele Legaldefinitionen der Erklärung innewohnen müssen. Manche Datenschutzerklärungen lesen sich eher wie ein IT-Lehrbuch für Juristen, vermutlich in der Hoffnung formuliert, dass 20 A4-Seiten Text jeden noch so gewitzten Abmahnanwalt in die Flucht schlagen werden. Aber ähnlich wie Amulette im Mittelalter: Viel hilft nicht unbedingt viel.

Soweit eigentlich ganz einfach, wir sind aber leider noch nicht fertig:

Und was sollen diese Pop-Ups?

Eine kleine Herausforderung ergibt sich noch aus der Kombination der oben genannten Prinzipien: Falls sich für die Erhebung mancher personenbezogener Daten keine sinnvolle Rechtsgrundlage finden lässt, bleibt nur das persönliche Einverständnis. Und das muss vor der Erhebung eingeholt werden!

Zu der Erkenntnis ist auch der EuGH gekommen und legte kurzerhand fest, dass Nutzer über das Setzen von Cookies für statistische Datenerhebung (also kein rein legitimes Interesse!) selbst entscheiden müssen – die Geburtsstunde vieler toller Cookie-Banner.

Gleichzeitig ist auch die Datenübertragung an US-Dienste betroffen (dank US Cloud Act ist es ja unerheblich, ob der Dienst die personenbezogenen Daten dann in der EU oder in den USA lagert, die Geheimdienste haben so oder so Zugriff darauf): Wird ein US-Dienst (Google Analytics, Google Fonts, Google Tag Manager, Google Maps, Youtube, Vimeo, …) genutzt, muss der Nutzer vorher um Einwilligung gebeten werden! Mir ist dazu – Stand heute – bislang keine Rechtssprechung bekannt, das ist m.E. aber nur noch eine Frage der Zeit.

Was bedeutet das?

Für den Betrieb einer Website ergeben sich damit die folgenden Entscheidungsbäume:


Schreibe einen Kommentar