Diese 8 DSGVO-Fehler sind immer noch Alltag
Diese 8 DSGVO-Fehler sind immer noch Alltag
Die Datenschutz-Grundverordnung (DSGVO) ist seit Jahren in Kraft, doch trotz aller Bemühungen scheinen einige Fehler im Umgang mit personenbezogenen Daten hartnäckig zu bleiben. Viele Unternehmen, Start-ups und sogar erfahrene Webentwickler stolpern immer wieder über dieselben Stolpersteine, wenn es um die Einhaltung der strengen Regeln geht. Die Konsequenzen können dabei von empfindlichen Bußgeldern bis hin zu einem erheblichen Reputationsschaden reichen, was die Relevanz einer genauen und fortlaufenden Auseinandersetzung mit dem Thema unterstreicht. Dieser Artikel beleuchtet acht besonders häufige DSGVO-Fehler, die im digitalen Alltag noch immer an der Tagesordnung sind, und bietet praktische Lösungsansätze, um diese zu vermeiden und die eigene Online-Präsenz rechtskonform zu gestalten. Von der Cookies-Nutzung über die Informationspflichten bis hin zur unzureichenden Datensicherheit – wir decken auf, wo die Fallen lauern und wie man sie umgeht, damit die digitale Welt für Nutzer und Anbieter gleichermaßen sicherer und transparenter wird.
1. Mangelnde Transparenz bei der Cookie-Nutzung
Einer der offensichtlichsten und am häufigsten beobachteten DSGVO-Fehler betrifft die Nutzung von Cookies. Viele Websites präsentieren ihren Besuchern Cookie-Banner, die eher als störende Hürde denn als informative Einwilligungsmöglichkeit wahrgenommen werden. Oft sind die Optionen zur Ablehnung von Cookies genauso gut versteckt wie die Möglichkeit, nur bestimmte Kategorien zuzulassen. Dies widerspricht dem Grundsatz der informierten Einwilligung, die freiwillig, spezifisch, informiert und unmissverständlich sein muss. Nutzer müssen die Wahl haben, welche Cookies sie zulassen und welche nicht, und diese Wahl muss einfach und klar nachvollziehbar sein.
Ungenügende Cookie-Banner-Gestaltung
Das typische Cookie-Banner, das mit einem großen „Alle akzeptieren“-Button lockt und die Optionen zur Ablehnung oder zur individuellen Einstellung versteckt, ist ein Paradebeispiel für einen DSGVO-Fehler. Die DSGVO verlangt, dass die Ablehnung von Cookies genauso einfach sein muss wie die Annahme. Viele Unternehmen scheinen diese Anforderung zu ignorieren oder bewusst zu umgehen, um eine höhere Zustimmungsrate zu erzielen. Dies führt jedoch zu einer unwirksamen Einwilligung, die jederzeit widerrufen werden kann und im Ernstfall von Aufsichtsbehörden beanstandet wird.
Fehlende Differenzierung zwischen technisch notwendigen und anderen Cookies
Ein weiterer verbreiteter Fehler ist die mangelnde Differenzierung zwischen technisch notwendigen Cookies, die für die grundlegende Funktionalität einer Website unerlässlich sind, und Cookies, die für Marketingzwecke, Analyse oder Personalisierung eingesetzt werden. Technisch notwendige Cookies dürfen in der Regel ohne explizite Einwilligung gesetzt werden, sofern sie ausschließlich für den Betrieb der Website benötigt werden. Alle anderen Cookies erfordern jedoch eine aktive, informierte Zustimmung des Nutzers. Viele Websites behandeln jedoch alle Cookies gleich und fordern für jeden Cookie eine Einwilligung, was zu Verwirrung führen kann, oder aber sie setzen nicht notwendige Cookies ohne jede Einwilligung.
Unklare Informationen über eingesetzte Cookies und deren Zweck
Selbst wenn ein Cookie-Banner vorhanden ist und eine gewisse Auswahl ermöglicht, fehlt es oft an klaren und verständlichen Informationen darüber, welche Cookies tatsächlich eingesetzt werden, wofür sie dienen und wie lange sie gespeichert werden. Die DSGVO schreibt eine detaillierte Information vor, die über allgemeine Formulierungen hinausgeht. Nutzer müssen verstehen, welche Daten gesammelt werden und wie diese verwendet werden, bevor sie ihre Einwilligung erteilen. Eine detaillierte Cookie-Richtlinie, die leicht zugänglich ist und alle relevanten Informationen enthält, ist unerlässlich.
Für detailliertere Informationen zur korrekten Umsetzung von Cookie-Bannern und den Anforderungen der DSGVO kann die offizielle Website des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) eine wertvolle Ressource sein. Dort finden sich oft Auslegungen und Leitlinien zu aktuellen Themen: https://www.bfdi.bund.de/. Auch das European Data Protection Board (EDPB) stellt regelmäßig Leitlinien zur Verfügung, die über die nationale Ebene hinausgehen: https://edpb.europa.eu/our-work-pieces/guidelines_en.
2. Unzureichende Informationspflichten
Die Informationspflichten nach Art. 13 und 14 der DSGVO sind ein Kernstück des Datenschutzes. Sie besagen, dass Betroffene darüber informiert werden müssen, welche personenbezogenen Daten von ihnen erhoben, wie diese verarbeitet und für welche Zwecke dies geschieht. Dennoch wird diese Pflicht in der Praxis oft nur unzureichend erfüllt. Viele Unternehmen begnügen sich mit sehr allgemeinen Datenschutzerklärungen, die für den durchschnittlichen Nutzer kaum verständlich sind oder wesentliche Informationen weglassen.
Vage und unverständliche Datenschutzerklärungen
Eine typische Datenschutzerklärung liest sich oft wie ein juristisches Fachbuch und ist für Laien kaum verständlich. Begriffe wie „berechtigtes Interesse“, „Profiling“ oder „Datenübermittlung in Drittländer“ werden oft nicht hinreichend erklärt. Die DSGVO fordert jedoch, dass die Informationen in einer präzisen, transparenten, verständlichen und leicht zugänglichen Form und in einer klaren und einfachen Sprache übermittelt werden. Eine unverständliche Datenschutzerklärung erfüllt diese Anforderung nicht. Es ist wichtig, die Sprache so einfach wie möglich zu halten und komplexe Sachverhalte zu erläutern.
Fehlende Angabe von Speicherdauer und Löschfristen
Ein häufiger Mangel in Datenschutzerklärungen ist das Fehlen von konkreten Angaben zur Speicherdauer personenbezogener Daten. Die DSGVO verlangt, dass Daten nicht länger gespeichert werden, als es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Dies bedeutet, dass Unternehmen angeben müssen, wie lange sie bestimmte Datenkategorien speichern und wann diese gelöscht werden. Allgemeine Formulierungen wie „solange wie nötig“ sind nicht ausreichend. Konkrete Zeiträume oder nachvollziehbare Kriterien für die Löschung sind gefragt.
Unzureichende Informationen über Rechte der Betroffenen
Die DSGVO gewährt betroffenen Personen eine Reihe von Rechten, darunter das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch und Datenübertragbarkeit. Viele Datenschutzerklärungen informieren zwar über diese Rechte, aber die Modalitäten zur Ausübung dieser Rechte sind oft unklar oder fehlen ganz. Nutzer müssen wissen, wie sie ihre Rechte geltend machen können, welche Informationen sie dafür bereitstellen müssen und an wen sie sich wenden sollen. Klare Anleitungen zur Kontaktaufnahme mit dem Datenschutzbeauftragten oder der zuständigen Stelle sind hierbei essenziell.
Für Unternehmen, die ihre Datenschutzerklärung erstellen oder überprüfen lassen möchten, bieten spezialisierte Online-Tools und Beratungsunternehmen Unterstützung. Eine gute Ressource zur Orientierung für die Erstellung von Datenschutzerklärungen, die die wichtigsten Aspekte abdeckt, findet sich beispielsweise bei vielen Rechtsanwaltskanzleien, die sich auf IT-Recht spezialisieren. Suchen Sie nach Anbietern, die Ihnen helfen, Ihre individuellen Verarbeitungstätigkeiten korrekt darzustellen.
3. Unzureichende Datensicherheit
Datensicherheit ist ein Grundpfeiler der DSGVO. Unternehmen sind verpflichtet, geeignete technische und organisatorische Maßnahmen (TOMs) zu ergreifen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dennoch wird dieser Aspekt in der Praxis oft vernachlässigt, was zu Datenlecks und Cyberangriffen führen kann. Die Vorstellung, dass Sicherheit nur etwas für große Konzerne ist, ist ein gefährlicher Irrtum.
Mangelnde Verschlüsselung von Daten
Ein grundlegender Fehler ist die unzureichende Verschlüsselung von personenbezogenen Daten, sowohl bei der Übertragung (z. B. über Websites) als auch bei der Speicherung. Die Nutzung von HTTPS ist heute quasi Standard, aber auch Daten, die auf Servern gespeichert werden, sollten verschlüsselt sein, insbesondere wenn es sich um sensible Informationen handelt. Ohne Verschlüsselung sind Daten bei einem Einbruch in das System leicht lesbar und missbrauchbar, was schwerwiegende Folgen haben kann.
Schwache Passwortrichtlinien und unzureichende Zugriffskontrollen
Schwache Passwörter, die leicht zu erraten sind, oder das Teilen von Zugangsdaten sind immer noch weit verbreitet. Ebenso mangelt es oft an klaren Zugriffskontrollen, die sicherstellen, dass nur autorisierte Personen Zugriff auf bestimmte Daten haben. Die DSGVO verlangt, dass der Zugriff auf personenbezogene Daten auf das Notwendige beschränkt ist. Implementierungen wie Zwei-Faktor-Authentifizierung und regelmäßige Überprüfungen von Zugriffsrechten sind wichtige Maßnahmen, die oft fehlen.
Fehlende regelmäßige Sicherheitsaudits und Updates
Die digitale Welt verändert sich ständig, und mit ihr die Bedrohungen. Regelmäßige Sicherheitsaudits und das zeitnahe Einspielen von Software-Updates sind unerlässlich, um Sicherheitslücken zu schließen. Viele Unternehmen versäumen es, ihre Systeme proaktiv zu überprüfen und auf dem neuesten Stand zu halten. Veraltete Software ist ein leichtes Ziel für Hacker. Ein proaktiver Ansatz zur IT-Sicherheit ist deutlich effektiver als reaktive Maßnahmen nach einem Vorfall.
Für Entwickler und Administratoren bietet die OWASP (Open Web Application Security Project) eine Fülle von Ressourcen und Leitfäden zur Verbesserung der Webanwendungssicherheit. finden sich Best Practices und Tools zur Identifizierung und Behebung von Sicherheitslücken: https://owasp.org/. Auch die Bundesnetzagentur bietet Informationen und Hilfestellungen zur IT-Sicherheit, die für Unternehmen relevant sind: https://www.bundesnetzagentur.de/DE/Sachgebiete/Telekommunikation/Sicherheit/sicherheit_node.html.
4. Unrechtmäßige Datenerhebung und -verarbeitung
Die DSGVO legt strenge Regeln für die Erhebung und Verarbeitung personenbezogener Daten fest. Ein häufiger Fehler ist die Erhebung von Daten, die für den eigentlichen Zweck der Dienstleistung nicht notwendig sind, oder die Verarbeitung von Daten ohne eine gültige Rechtsgrundlage.
Prinzip der Datenminimierung wird ignoriert
Das Prinzip der Datenminimierung besagt, dass nur die Daten erhoben und verarbeitet werden dürfen, die für den jeweils bestimmten Zweck unbedingt erforderlich sind. Viele Unternehmen sammeln jedoch „vorsorglich“ mehr Daten als nötig, aus Angst, später etwas zu benötigen. Dies ist ein klarer Verstoß gegen die DSGVO. Jedes zusätzliche Datenfeld erhöht das Risiko und den Aufwand bei der Datensicherheit und -verwaltung.
Fehlende oder unzureichende Rechtsgrundlage für die Datenverarbeitung
Jede Verarbeitung personenbezogener Daten benötigt eine gültige Rechtsgrundlage gemäß Art. 6 der DSGVO. Dies kann beispielsweise eine Einwilligung, die Erfüllung eines Vertrags, eine rechtliche Verpflichtung oder ein berechtigtes Interesse sein. Viele Unternehmen versäumen es, diese Rechtsgrundlagen klar zu definieren und zu dokumentieren. Insbesondere die Berufung auf „berechtigtes Interesse“ wird oft vage und ohne ausreichende Abwägung der Interessen der Betroffenen vorgenommen.
Weitergabe von Daten ohne klare Rechtsgrundlage oder Zustimmung
Die Weitergabe von personenbezogenen Daten an Dritte ist nur unter bestimmten Voraussetzungen zulässig. Wenn keine vertragliche oder rechtliche Verpflichtung besteht, ist oft die ausdrückliche Zustimmung des Betroffenen erforderlich. Viele Unternehmen geben Daten an Partner oder Dienstleister weiter, ohne dies transparent zu machen oder die notwendigen Einwilligungen einzuholen. Dies betrifft oft Marketingzwecke oder die Nutzung von Analyse-Tools von Drittanbietern.
Um mehr über die verschiedenen Rechtsgrundlagen der DSGVO zu erfahren, bietet sich die Lektüre des vollständigen Gesetzestextes an. Der Artikel 6 der DSGVO ist hierbei besonders relevant: https://dsgvo-gesetz.de/art-6-dsgvo/. Eine gute Übersicht über die Prinzipien der DSGVO, einschließlich der Datenminimierung, findet sich auch auf den Seiten des Bundesamtes für Sicherheit in der Informationstechnik (BSI): https://www.bsi.bund.de/DE/Themen/Datenschutz/Datenschutz_node.html.
5. Unzureichende Umsetzung von Betroffenenrechten
Die DSGVO stärkt die Rechte der Einzelpersonen erheblich. Dazu gehören das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch und Datenübertragbarkeit. Die mangelhafte Umsetzung dieser Rechte ist ein fortlaufendes Problem.
Langsame oder fehlende Beantwortung von Anfragen
Betroffene haben das Recht, Auskunft über die sie betreffenden Daten zu erhalten. Die DSGVO sieht hierfür eine Frist von einem Monat vor. Viele Unternehmen reagieren jedoch sehr langsam auf solche Anfragen oder beantworten sie gar nicht. Dies kann dazu führen, dass Betroffene frustriert sind und sich an Aufsichtsbehörden wenden. Eine strukturierte Bearbeitung von Anfragen ist entscheidend.
Probleme bei der Identifizierung des Anfragenden
Um sicherzustellen, dass Anfragen tatsächlich von der betroffenen Person stammen, müssen Unternehmen geeignete Maßnahmen zur Identifizierung ergreifen. Gleichzeitig dürfen sie nicht mehr Informationen anfordern, als zur eindeutigen Identifizierung notwendig sind. Ein zu hoher Aufwand für die Identifizierung kann Nutzer abschrecken, während ein zu geringer Aufwand ein Sicherheitsrisiko darstellt. Die Balance ist wichtig.
Fehlende Prozesse für Löschungs- und Berichtigungsanforderungen
Die Umsetzung von Löschungs- oder Berichtigungsanforderungen erfordert oft eine genaue Kenntnis der eigenen Datenhaltungssysteme. Wenn diese Prozesse nicht gut dokumentiert oder automatisiert sind, kann es schwierig sein, sicherzustellen, dass alle relevanten Daten tatsächlich gelöscht oder korrigiert werden. Dies gilt insbesondere für Unternehmen mit komplexen IT-Infrastrukturen und vielen Schnittstellen.
Die genauen Anforderungen zur Umsetzung der Betroffenenrechte sind in den Artikeln 15 bis 22 der DSGVO detailliert beschrieben. Eine gute Übersicht über die Rechte und Pflichten bietet beispielsweise die Website des Bayerischen Landesamtes für Datenschutzaufsicht: https://www.lda.bayern.de/de/themen.html. Dort gibt es auch praktische Hinweise für Unternehmen.
6. Unzureichende Dokumentation von Verarbeitungstätigkeiten
Artikel 30 der DSGVO verlangt von Unternehmen die Führung eines Verzeichnisses von Verarbeitungstätigkeiten. Dieses Verzeichnis dient als Nachweis dafür, wie personenbezogene Daten im Unternehmen verarbeitet werden. Viele Unternehmen unterschätzen die Bedeutung dieses Verzeichnisses oder führen es nur oberflächlich.
Fehlende vollständige Erfassung aller Verarbeitungsvorgänge
Das Verzeichnis muss alle Verarbeitungsvorgänge abbilden, die im Unternehmen stattfinden. Dies umfasst nicht nur die Datenverarbeitung durch die IT-Abteilung, sondern auch Vorgänge in anderen Abteilungen wie Marketing, Vertrieb oder Personalwesen. Oft werden kleine oder scheinbar unbedeutende Verarbeitungsvorgänge übersehen, was das Verzeichnis unvollständig macht.
Unklare oder fehlende Angaben zu Datenkategorien, Zwecken und Empfängern
Für jeden Verarbeitungsvorgang müssen im Verzeichnis Angaben zu den verarbeiteten Datenkategorien, den Zwecken der Verarbeitung, den Empfängern und den Fristen für die Löschung gemacht werden. Wenn diese Angaben vage formuliert sind oder fehlen, ist das Verzeichnis wenig aussagekräftig und erfüllt seinen Zweck nicht. Eine präzise und detaillierte Beschreibung ist essenziell.
Mangelnde Aktualisierung des Verzeichnisses
Verarbeitungstätigkeiten ändern sich im Laufe der Zeit. Neue Software wird eingeführt, Prozesse werden angepasst oder neue Dienstleistungen werden angeboten. Das Verzeichnis von Verarbeitungstätigkeiten muss daher regelmäßig aktualisiert werden, um den aktuellen Gegebenheiten Rechnung zu tragen. Ein veraltetes Verzeichnis ist nutzlos und kann bei einer Prüfung zu Problemen führen.
Für eine detaillierte Anleitung zur Erstellung und Führung eines Verzeichnisses von Verarbeitungstätigkeiten können die Leitlinien des European Data Protection Board (EDPB) herangezogen werden. Diese bieten eine umfassende Übersicht über die Anforderungen und Best Practices: https://edpb.europa.eu/sites/default/files/files/file/edpb_guidelines_201801_recordofprocessingactivities_de.pdf (Beispielhafter , suchen Sie nach der aktuellen deutschen Version).
7. Unzureichende Berücksichtigung von Auftragsverarbeitungsverträgen (AVVs)
Wenn ein Unternehmen personenbezogene Daten durch einen externen Dienstleister verarbeiten lässt (z. B. einen Cloud-Speicher-Anbieter, einen Newsletter-Dienst oder eine Marketing-Agentur), muss ein Auftragsverarbeitungsvertrag
Autorin
