Leitfaden für die Erstellung einer Datenschutzerklärung und den
Transcription
Leitfaden für die Erstellung einer Datenschutzerklärung und den
Datenschutzbüro Monika Pobiruchin Thomas Willert Leitfaden für die Erstellung einer Datenschutzerklärung und den Gebrauch von Webtrackern (Stand: Dezember 2011) Eine Homepage für einen Studiengang, ein Blog für einen interessanten studentischen Verein, die neue Webseite für eine Veranstaltung. Webseiten sind heutzutage schnell erstellt und ein beliebtes Marketing- und Informationsinstrument. Doch es gibt auch einiges zu beachten, um rechtlich im grünen Bereich zu bleiben, gerade in Hinblick auf den Datenschutz. Der Webauftritt der Hochschule und dazu gehören auch Studiengänge, Institute etc. muss neben einem Impressum auch eine Datenschutzerklärung enthalten. Warum eine Datenschutzerklärung? Bereits beim Aufrufen der Webseite durch einen Nutzer wird in der Regel die IP-Adresse protokolliert. Die gängige Rechtsmeinung betrachtet die IP-Adresse als personenbezogenes Datum und stellt sie damit auf die gleiche Stufe wie beispielsweise Telefonnummern oder Matrikelnummern. Werden personenbezogene Daten erhoben, ist eine Datenschutzerklärung erforderlich. Diese Erklärung muss den Benutzer vor Beginn des Nutzungsvorgangs über Art, Umfang und Zweck der Erhebung und Verwendung der personenbezogenen Daten unterrichten. Inhalt der Datenschutzerklärung Die Erklärung muss darauf hinweisen, welche Daten wann und zu welchem Zweck protokolliert und ausgewertet werden. Ferner sollte darauf hingewiesen werden, ob Cookies oder andere Techniken eingesetzt werden, um das Zugriffsverhalten der Nutzer nachzuvollziehen. Werden permanente Cookies eingesetzt, darf ein Hinweis auf Verwendung, Zweck, Inhalt und Verfallsdatum nicht fehlen. Auch bei einer Verwendung von JavaScript oder ActiveX sollte der Nutzer darüber informiert werden, da diese Techniken möglicherweise Sicherheitsrisiken für den Nutzer darstellen können. Webseitentracking Wer besucht meine Webseite? Wie lange halten sich die Nutzer auf meiner Seite auf? Seite 1/3 Alles Fragen, die heute technisch schnell und einfach beantwortet werden können. Tools wie Google Analytics oder eTracker lassen sich ohne großen Aufwand in die Webseite integrieren. Aber wie sieht es hier mit dem Datenschutz aus? Auch hier muss der Nutzer im Rahmen der Datenschutzerklärung informiert werden, welche Daten über ihn erhoben werden. Doch dies allein reicht nicht aus, denn eine personenbezogene Sammlung und Auswertung ist unzulässig. Daher sind bei der Einbindung von Trackingsoftware folgende Punkte zu beachten: Die Speicherung der IP-Adressen darf nur pseudonymisiert erfolgen. Dies erreicht man durch das „Abschneiden“ der hinteren Blöcke der Adressen. Der eingesetzte Webtracker sollte über diese Konfigurationseinstellung verfügen, manche Tracker benötigen hierfür ein Plugin, das zusätzlich installiert werden muss. Der Nutzer kann dem Tracking widersprechen. Das ist sein gutes Recht und der Webseitenbetreiber muss ihm dieses Recht – am besten direkt in der Datenschutzerklärung – begreiflich machen und eine sogenannte OptOut-Funktion (z.B. realisiert mit einer Checkbox) anbieten. Der Nutzer hat ebenso das Recht alle Arten von Daten, die über ihn gesammelt wurden, löschen zu lassen. Google Analytics Der Einsatz von Google Analytics wurde von den Aufsichtsbehörden lange Zeit kritisch gesehen bzw. sogar als datenschutzrechtlich nicht zulässig bewertet. Ab September ist nun auch ein beanstandungsfreier Betrieb von Google Analytics möglich. Auf der Homepage des Hamburger Datenschutzbeauftragen sind die einzelnen Punkte, die es zu berücksichtigen gilt, aufgelistet. Siehe http://www.datenschutzhamburg.de/uploads/media/GoogleAnalytics_Hinweise_Webseitenbetreiber_in_Hamburg.pdf Neben der Einstellungen der Webseite ist ein Vertrag mit Google erforderlich. Eine sogenannte Auftragsdatenverarbeitung. Ein Vordruck findet sich unter http://static.googleusercontent.com/external_content/untrusted_dlcp/www.google.de/de/de/in tl/de/analytics/tos.pdf Bitte beachten Sie, dass Sie im Falle der Auftragsdatenverarbeitung dies im Vorfeld mit dem Datenschutzbüro abklären sollten. Alternativen zu Google Analytics Eine Alternative zu Google Analytics bietet das kostenlose Open Source-Tool Piwik. Auch beim Einsatz von Piwik müssen Einstellungen vorgenommen werden, um einen datenschutzkonformen Betrieb zu gewährleisten. Allerdings ist kein Abschluss einer Auftragsdatenverarbeitung nötig, denn alle Daten verbleiben „im Hause“, d.h. auf den Servern des Rechenzentrums der Hochschule Heilbronn. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein hat sich mit dem Einsatz von Piwik befasst und stellt die Ergebnisse ihrer Prüfung unter https://www.datenschutzzentrum.de/tracking/piwik/20110315-webanalyse-piwik.pdf zur Verfügung. Seite 2/3 Checkliste für die Datenschutzerklärung (nach http://www.zendas.de/themen/internetrecht/checkliste.html) Erfordernis Bezeichnung Pflichtangaben Zwingend erforderlich, wenn personenbezogene Daten erhoben, verarbeitet und genutzt werden. Auch wenn Cookies eingesetzt werden, oder die Webseite Werbung Dritter enthält, die Cookies setzen. Grundsätzlich sollte stets eine Datenschutzerklärung erstellt werden. Sie bietet dem Nutzer Transparenz und schafft Klarheit. Die Datenschutzerklärung sollte mit den Bezeichnern „Datenschutzerklärung“, „Datenschutzinformationen“ oder „Datenschutz“ auf der Webseite erkenntlich sein. Umfassende Aufklärung über die Verfahrensweise beim Umgang mit personenbezogenen Daten (Zur Erinnerung: die IPAdresse zählt hier auch dazu!). Zweck der Erhebung der Daten. Hinweis auf Auskunftsrecht des Nutzers. Bei der Verwendung von Cookies, Hinweise zur Verwendung, Zweck und Verfallsdatum Bei der Einbindung von Werbebannern oder Ähnlichem, Hinweise auf mögliche Cookies Dritter und Verweis auf die Privacy Policy des werbenden Unternehmens. Optionale Angaben Darstellung Positionierung Bei der Erstellung von pseudonymen Profilen zur Werbung, Markforschung oder bedarfsgerechten Gestaltung ist ein Hinweis auf das Widerrufsrecht des Nutzers erforderlich. Hinweis auf die Verwendung von aktiven Inhalten (ActiveX, JavaScript, Flash etc.) Die Darstellung der Datenschutzerklärung soll übersichtlich sein. Die Datenschutzerklärung muss in deutscher Sprache abgefasst sein. Natürlich kann für fremdsprachige Nutzer eine Übersetzung angeboten werden. Jederzeit abrufbar. Daher bietet sich eine Positionierung im Menü oder Footer der Webseite an. Die Datenschutzerklärung muss jederzeit leicht auffindbar sein. Das heißt von jeder Seite aus erreichbar mit maximal zwei Klicks, kein Scrollen über mehrere Seiten. Seite 3/3