AssCompact suche
Home
Steuern & Recht
5. Juni 2018
DSGVO: Was leistet eine Standard-Datenschutzerklärung?

DSGVO: Was leistet eine Standard-Datenschutzerklärung?

Zur Anpassung an die neue DSGVO nutzen viele Unternehmen Standard-Vorlagen für Datenschutzerklärungen oder Generatoren, unter anderem für die Publikation auf den eigenen Internetseiten. Doch diese Vorlagen stoßen gerade hier schnell an ihre Grenzen.

Seit etwas mehr als einer Woche ist die neue Datenschutzgrundverordnung (DSGVO) nun in Kraft. Ihre Einführung forderte unter anderem bei einem Großteil der Unternehmen in Deutschland eine Anpassung und Erweiterung der Datenschutzerklärung. Viele von ihnen griffen dazu auf Standard-Vorlagen oder Generatoren zurück, die seit einiger Zeit zahlreich im Internet angeboten werden. Doch genügen diese standardisierten Vorlagen auch tatsächlich den rechtlichen Anforderungen? Experten raten, hier mit Bedacht zu agieren und nicht „am falschen Ende zu sparen“.

„Mustervorlage für die Datenschutzerklärung ist nur eine Basis“

4,34 Millionen Treffer: Genau so viele Suchergebnisse wirft die Google-Suche für die Suchphrase „Datenschutzerklärung DSGVO Muster“ aus. Unzählige Anbieter wie e-recht24, Law-Blog oder der Haufe-Verlag bieten Download-Vorlagen oder Generatoren für die DSGVO-konforme Datenschutzerklärung an. Auch speziell für Vermittler und Vertriebe sind einige Anbieter wie etwa der Branchenverband AfW, die Kanzlei Michaelis oder die verschiedenen Maklerpools tätig geworden.

Dabei ist gerade für Branchenkollegen, egal ob Makler, Mehrfachagenten, Vertriebe oder Ausschließlichkeit, die Umsetzung der DSGVO für den eigenen Webauftritt alles andere als ein „Spaziergang“. „Die zahlreichen unterschiedlichen Systeme und Integrationen, mit denen die Branche ihre Webseiten betreibt, erfordert unbedingt eine individuelle Begutachtung. Standardvorlagen können hier nur eine Basis bilden“, erklärt Bartlomiej Zornik, spezialisiert auf das Versicherungsrecht und langjähriger Experte im Bereich Datenschutz.

Viele Systeme können rechtswidrig „nach Hause telefonieren“

In der Tat: Systeme, mit denen Unternehmen im Versicherungsvertrieb und der Finanzwirtschaft ihre Websites betreiben, sind so vielfältig und heterogen wie die Branche selbst. Neben diversen Hostern, Content Management-Systemen und Frameworks sind auch unzählige Drittsysteme in den Websites der kleinen bis großen Anbieter im Einsatz. Hierzu zählen verschiedene Plugins und Erweiterungen ebenso wie Statistik- und Analysemodule bis hin zu branchenspezifischen Tools wie Finanz- und Vergleichsrechner oder Affiliate-Integrationen.

„In vielen Fällen sind die Webseiten von Vermittlern und Vertriebseinheiten über Jahre gewachsen, und die Betreiber wissen oft gar nicht so genau, was alles in ihren Seiten läuft und personenbezogene Daten erfassen könnte“, so Zornik. Diese Systemvielfalt könnte durch Standardvorlagen für eine Datenschutzerklärung gar nicht berücksichtigt werden. Sehr viele dieser Systeme und Module würden dabei auch nicht von deutschen oder europäischen Anbietern bereitgestellt, was zur Folge habe, dass die Nutzung dieser Dienste der DSGVO schon grundsätzlich zuwiderlaufen könne. „Google, Facebook & Co. sind da oft nur die Spitze des Eisbergs“, betont Zornik.

„Vorlagen werden unkritisch übernommen“

„Häufig weisen die Anbieter von Datenschutz-Vorlagen und Generatoren auch auf diesen Sachverhalt hin und haben entsprechende Haftungsausschlüsse in ihren Vertragsbedingungen inkludiert. Leider wird das aber oft nicht berücksichtigt, wie unsere Stichproben im Markt gezeigt haben. Die Vorlagen werden einfach unkritisch und ohne Anpassung in die Webseiten übernommen“, erläutert Zornik. Der Website-Betreiber schaue dabei eher auf den Preis des Angebots und wähne sich mit der Übernahme der Vorlage in vermeintlicher Sicherheit.

Techniker und Juristen sollten gemeinsam agieren

Betreibern, die diesem Risiko aus dem Weg gehen wollen, empfiehlt Zornik eine genaue Prüfung der Website mit anschließender Erstellung und Anpassung der Datenschutzerklärung. „Hier sollten Techniker und Juristen sich eng austauschen, denn der Jurist kann in der Datenschutzerklärung ja nur das berücksichtigen, was auch tatsächlich in der Website des Betreibers läuft“, betont er. Fachgerecht erstellte oder online generierte Vorlagen könnten hier allenfalls eine juristische Basis bilden. Zur Erstellung einer optimalen Datenschutzerklärung empfiehlt Zornik die folgenden Arbeitsschritte:

1. Briefing der Techniker/Webentwickler durch den Betreiber und den Juristen oder Datenschutzbeauftragten

2. technische Analyse der Website und aller dort integrierten Systeme und Module (insbesondere in Bezug auf jene, die personenbezogene Daten erfassen oder erfassen könnten)

3. Weitergabe dieser Information an den Fachjuristen oder Datenschutzbeauftragten

4. gegebenenfalls Anpassung der Technologie und Ersatz nicht DSGVO-konformer Funktionen

5. Anpassung oder Erstellung der Datenschutzerklärung und rechtskonforme Integration in die Website

Auch für die Zukunft heißt es: am Ball bleiben

Neben diesen initialen Maßnahmen empfiehlt sich zudem eine regelmäßige Überprüfung der Websites nach gleichem Muster. „Webseiten sind lebendige Systeme: Durch Updates oder neu integrierte Module können sich die Rahmenbedingungen laufend ändern. Es genügt bereits die Implementierung einzelner Dienste wie Google-Maps oder eines Kontaktformulars für besondere Aktionen, und die Datenschutzerklärung der Website benötigt eine Ergänzung.“, mahnt Zornik.

Hier gelte es, auch im weiteren Betrieb aktuell zu bleiben. Durch eine kontinuierliche und sensible Zusammenarbeit zwischen Betreibern, technischen Betreuern des Webauftritts und Juristen könne man Risiken auch dauerhaft erfolgreich vorbeugen. „In gar nicht so ferner Zukunft kommt die E-Privacy-Richtlinie der EU, welche wieder Änderungen nach sich zieht. Gerade Verordnungen und Richtlinien wie diese zeigen deutlich den Bedarf an kontinuierlicher Überwachung des eigenen Webauftrittes,“ so Zornik.

Text: Dr. Rainer Demski, Redaktion NewFinance Mediengesellschaft