Leitfaden für die Erstellung einer Datenschutzerklärung und den

Datenschutzbüro
Monika Pobiruchin
Thomas Willert
Leitfaden für die Erstellung einer Datenschutzerklärung und den
Gebrauch von Webtrackern (Stand: Dezember 2011)
Eine Homepage für einen Studiengang, ein Blog für einen interessanten studentischen
Verein, die neue Webseite für eine Veranstaltung. Webseiten sind heutzutage schnell erstellt
und ein beliebtes Marketing- und Informationsinstrument.
Doch es gibt auch einiges zu beachten, um rechtlich im grünen Bereich zu bleiben, gerade in
Hinblick auf den Datenschutz.
Der Webauftritt der Hochschule und dazu gehören auch Studiengänge, Institute etc. muss
neben einem Impressum auch eine Datenschutzerklärung enthalten.
Warum eine Datenschutzerklärung?
Bereits beim Aufrufen der Webseite durch einen Nutzer wird in der Regel die IP-Adresse
protokolliert.
Die
gängige
Rechtsmeinung
betrachtet
die
IP-Adresse
als
personenbezogenes Datum und stellt sie damit auf die gleiche Stufe wie beispielsweise
Telefonnummern oder Matrikelnummern.
Werden personenbezogene Daten erhoben, ist eine Datenschutzerklärung erforderlich.
Diese Erklärung muss den Benutzer vor Beginn des Nutzungsvorgangs über Art, Umfang
und Zweck der Erhebung und Verwendung der personenbezogenen Daten unterrichten.
Inhalt der Datenschutzerklärung
Die Erklärung muss darauf hinweisen, welche Daten wann und zu welchem Zweck
protokolliert und ausgewertet werden. Ferner sollte darauf hingewiesen werden, ob Cookies
oder andere Techniken eingesetzt werden, um das Zugriffsverhalten der Nutzer
nachzuvollziehen. Werden permanente Cookies eingesetzt, darf ein Hinweis auf
Verwendung, Zweck, Inhalt und Verfallsdatum nicht fehlen.
Auch bei einer Verwendung von JavaScript oder ActiveX sollte der Nutzer darüber informiert
werden, da diese Techniken möglicherweise Sicherheitsrisiken für den Nutzer darstellen
können.
Webseitentracking
Wer besucht meine Webseite? Wie lange halten sich die Nutzer auf meiner Seite auf?
Seite 1/3
Alles Fragen, die heute technisch schnell und einfach beantwortet werden können. Tools wie
Google Analytics oder eTracker lassen sich ohne großen Aufwand in die Webseite
integrieren. Aber wie sieht es hier mit dem Datenschutz aus?
Auch hier muss der Nutzer im Rahmen der Datenschutzerklärung informiert werden, welche
Daten über ihn erhoben werden. Doch dies allein reicht nicht aus, denn eine
personenbezogene Sammlung und Auswertung ist unzulässig.
Daher sind bei der Einbindung von Trackingsoftware folgende Punkte zu beachten:



Die Speicherung der IP-Adressen darf nur pseudonymisiert erfolgen. Dies erreicht
man durch das „Abschneiden“ der hinteren Blöcke der Adressen. Der eingesetzte
Webtracker sollte über diese Konfigurationseinstellung verfügen, manche Tracker
benötigen hierfür ein Plugin, das zusätzlich installiert werden muss.
Der Nutzer kann dem Tracking widersprechen. Das ist sein gutes Recht und der
Webseitenbetreiber muss ihm dieses Recht – am besten direkt in der
Datenschutzerklärung – begreiflich machen und eine sogenannte OptOut-Funktion
(z.B. realisiert mit einer Checkbox) anbieten.
Der Nutzer hat ebenso das Recht alle Arten von Daten, die über ihn gesammelt
wurden, löschen zu lassen.
Google Analytics
Der Einsatz von Google Analytics wurde von den Aufsichtsbehörden lange Zeit kritisch
gesehen bzw. sogar als datenschutzrechtlich nicht zulässig bewertet.
Ab September ist nun auch ein beanstandungsfreier Betrieb von Google Analytics möglich.
Auf der Homepage des Hamburger Datenschutzbeauftragen sind die einzelnen Punkte, die
es
zu
berücksichtigen
gilt,
aufgelistet.
Siehe
http://www.datenschutzhamburg.de/uploads/media/GoogleAnalytics_Hinweise_Webseitenbetreiber_in_Hamburg.pdf
Neben der Einstellungen der Webseite ist ein Vertrag mit Google erforderlich. Eine
sogenannte
Auftragsdatenverarbeitung.
Ein
Vordruck
findet
sich
unter
http://static.googleusercontent.com/external_content/untrusted_dlcp/www.google.de/de/de/in
tl/de/analytics/tos.pdf
Bitte beachten Sie, dass Sie im Falle der Auftragsdatenverarbeitung dies im Vorfeld mit dem
Datenschutzbüro abklären sollten.
Alternativen zu Google Analytics
Eine Alternative zu Google Analytics bietet das kostenlose Open Source-Tool Piwik. Auch
beim Einsatz von Piwik müssen Einstellungen vorgenommen werden, um einen
datenschutzkonformen Betrieb zu gewährleisten. Allerdings ist kein Abschluss einer
Auftragsdatenverarbeitung nötig, denn alle Daten verbleiben „im Hause“, d.h. auf den
Servern des Rechenzentrums der Hochschule Heilbronn.
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein hat sich mit dem
Einsatz von Piwik befasst und stellt die Ergebnisse ihrer Prüfung unter
https://www.datenschutzzentrum.de/tracking/piwik/20110315-webanalyse-piwik.pdf
zur Verfügung.
Seite 2/3
Checkliste für die Datenschutzerklärung
(nach http://www.zendas.de/themen/internetrecht/checkliste.html)
Erfordernis
Bezeichnung
Pflichtangaben
Zwingend erforderlich, wenn personenbezogene Daten
erhoben, verarbeitet und genutzt werden. Auch wenn
Cookies eingesetzt werden, oder die Webseite Werbung
Dritter enthält, die Cookies setzen.
Grundsätzlich sollte stets eine Datenschutzerklärung
erstellt werden. Sie bietet dem Nutzer Transparenz und
schafft Klarheit.
Die Datenschutzerklärung sollte mit den Bezeichnern
„Datenschutzerklärung“,
„Datenschutzinformationen“
oder
„Datenschutz“ auf der Webseite erkenntlich sein.
Umfassende Aufklärung über die Verfahrensweise beim
Umgang mit personenbezogenen Daten (Zur Erinnerung: die IPAdresse zählt hier auch dazu!).
Zweck der Erhebung der Daten.
Hinweis auf Auskunftsrecht des Nutzers.
Bei der Verwendung von Cookies, Hinweise zur Verwendung,
Zweck und Verfallsdatum
Bei der Einbindung von Werbebannern oder Ähnlichem,
Hinweise auf mögliche Cookies Dritter und Verweis auf die
Privacy Policy des werbenden Unternehmens.
Optionale
Angaben
Darstellung
Positionierung
Bei der Erstellung von pseudonymen Profilen zur Werbung,
Markforschung oder bedarfsgerechten Gestaltung ist ein Hinweis
auf das Widerrufsrecht des Nutzers erforderlich.
Hinweis auf die Verwendung von aktiven Inhalten (ActiveX,
JavaScript, Flash etc.)
Die Darstellung der Datenschutzerklärung soll übersichtlich sein.
Die Datenschutzerklärung muss in deutscher Sprache abgefasst
sein. Natürlich kann für fremdsprachige Nutzer eine Übersetzung
angeboten werden.
Jederzeit abrufbar. Daher bietet sich eine Positionierung im
Menü oder Footer der Webseite an.
Die Datenschutzerklärung muss jederzeit leicht auffindbar sein.
Das heißt von jeder Seite aus erreichbar mit maximal zwei
Klicks, kein Scrollen über mehrere Seiten.
Seite 3/3