DSGVO: Was umfasst Datenschutz im Internet?
Neue Risiken verstellen Blick für grundsätzliche Herausforderungen
Beim Thema „Datenschutz im Internet“ denken viele zuerst an Cyber-Attacken, an soziale Netzwerke wie Facebook oder Lauschangriffe auf unverschlüsselte Online-Verbindungen.
Kein Zweifel, als Datenschutzbeauftragte oder Datenschutzbeauftragter müssen Sie diese aktuellen Ereignisse im Blick haben. Doch vergessen Sie nicht die klassischen Datenschutz-Themen im Internet.
Die Datenschutz-Grundverordnung (DSGVO / GDPR) wartet mit zahlreichen Vorgaben auf. Und auch die ePrivacy-Verordnung wird in Zukunft weitere Konkretisierungen dazu enthalten.
Google Analytics & Co. nicht vergessen
Ein gutes Beispiel ist die Webanalyse. Sie scheint ein alter Bekannter zu sein, gehört aber unter Datenschutz-Aspekten erneut auf den Prüfstand.
Die datenschutzrechtlichen Vorschriften des Telemediengesetzes sind seit dem 25. Mai 2018 nicht mehr anwendbar, so die Datenschutzkonferenz. Inzwischen unmittelbar geltend, verdrängt die europäische Datenschutz-Grundverordnung nationales Recht der Mitgliedstaaten.
Davon ausgehend, haben die Datenschutz-Aufsichtsbehörden, die in der Datenschutzkonferenz organisiert sind, auch ihr Vollzugs-Verständnis im Zusammenhang mit Reichweiten-Messungen und dem Einsatz von Tracking-Mechanismen im Internet dargelegt.
Die Datenschutz-Grundverordnung greift das Thema der Webanalyse ausdrücklich auf. Der Erwägungsgrund 24 sagt dazu sinngemäß:
Verarbeitet ein Unternehmen, das nicht in der EU niedergelassen ist, die personenbezogenen Daten von Betroffenen, die sich in der EU befinden, ist die DSGVO für diese Verarbeitung anwendbar. Das gilt auch, wenn die Verarbeitung dazu dient, das Verhalten dieser betroffenen Personen zu beobachten, soweit ihr Verhalten in der EU erfolgt.
Um eine „Beobachtung des Verhaltens“ geht es etwa, wenn Unternehmen Internet-Aktivitäten nachvollziehen oder Nutzerprofile bilden. Diese Profile sind dann oft Grundlage dafür, persönliche Vorlieben, Verhaltensweisen oder Gepflogenheiten zu analysieren oder vorauszusagen.
Überblick: Die Klassiker im Online-Datenschutz
- Datenschutzerklärung (Privacy Policy) und weitere gesetzliche Forderungen des Datenschutzes umgesetzt?
- Anbieterkennzeichnung vorhanden (Gestaltung und Platzierung)?
- Nutzer über die geplante Verarbeitung von Daten unterrichtet?
- Kann der Nutzer seine Einwilligung zur Datennutzung widerrufen?
- Hinweis auf Auskunftsrechte vorhanden?
- Nutzung der verschiedenen Cookie-Arten nachvollziehbar für den Nutzer?
- Erklärung zum möglichen Datentransfer in Drittländer vorhanden?
- Werden Nutzerdaten protokolliert und anonymisiert?
- Auf den Einsatz von Werkzeugen für Website-Statistiken in der Datenschutzerklärung, auf den Zweck des Einsatzes und auf die Widerspruchsmöglichkeit hingewiesen?
- Anonymisierung der IP-Adressen der Besucher der Website umgesetzt?
Auch Cookies sind DSGVO-Thema
Ein anderer Klassiker im Online-Datenschutz sind die Cookies. Sie erwähnt die DSGVO in Erwägungsgrund 30:
„Natürlichen Personen werden unter Umständen Online-Kennungen wie IP-Adressen und Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, oder sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren.“
Datenschutzerklärungen für Internetauftritte
Nicht zuletzt ist die Datenschutzerklärung für Webseiten ein Thema der DSGVO.
Um den Grundsatz der Transparenz zu erfüllen, müssen Verantwortliche präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache darüber informieren, wie sie personenbezogene Daten verarbeiten. Das kann in elektronischer Form, also etwa als Datenschutzerklärung auf der Webseite, passieren.
Welche Punkte eine Datenschutzerklärung für Internetauftritte enthalten muss, lesen Sie im Beitrag Datenschutzerklärung im Internet: Was muss drinstehen?
Online-Datenschutz hat zahlreiche Facetten
Geht es also um den Online-Datenschutz und damit den Schutz personenbezogener Daten im Internet, reichen weder die Social Media Policy, um den Facebook-Risiken zu begegnen, noch die zahlreichen Sicherheitstools, um die Hacker abzuwehren.
Der Datenschutz im Internet beginnt mit einem datenschutzgerechten Internetauftritt, im stationären wie im mobilen Internet, und reicht bis zu den neusten Bedrohungen aus dem Netz der Netze. Weder dürfen Sie die Klassiker im Online-Datenschutz vergessen, noch die topaktuellen Gefahren.
Die aktuellen Vorgaben zum Datenschutz im Internet leiten sich aus der DSGVO ab. Die ePrivacy-Verordnung wird sie weiter ausführen.
Nutzen Sie die Gratis-Checkliste zum Datenschutz im Internet, um auch die Datenschutz-Klassiker im Online-Datenschutz wieder in den Fokus zu rücken.