Diese 8 DSGVO-Fehler sind immer noch Alltag
Diese 8 DSGVO-Fehler sind immer noch Alltag
Die Datenschutz-Grundverordnung (DSGVO) ist seit Jahren in Kraft, und doch stolpern immer noch unzählige Unternehmen und Website-Betreiber über dieselben grundlegenden Fehler. Die gute Nachricht ist: Mit ein wenig Bewusstsein und den richtigen Maßnahmen lassen sich diese Stolpersteine leicht vermeiden. Die schlechte Nachricht: Wer die Regeln ignoriert, riskiert empfindliche Strafen, die das Geschäftsergebnis nachhaltig schädigen können. Von der Cookie-Einwilligung bis zur Transparenz bei der Datenverarbeitung – die DSGVO stellt klare Anforderungen, die für viele eine Herausforderung darstellen. Dieser Artikel beleuchtet die acht häufigsten Fehler und gibt praktische Tipps, wie Sie diese vermeiden und Ihr Unternehmen datenschutzkonform aufstellen. Egal ob Sie eine kleine Website betreiben, eine komplexe Webanwendung entwickeln oder eine mobile App anbieten, die Prinzipien sind universell und die Konsequenzen bei Nichteinhaltung sind es ebenfalls.
1. Die unterschätzte Cookie-Einwilligung: Mehr als nur ein Banner
Einer der offensichtlichsten und doch am häufigsten falsch umgesetzten Bereiche ist die Cookie-Einwilligung. Viele Websites zeigen lediglich ein Banner an, das zur Akzeptanz aller Cookies auffordert, ohne dem Nutzer eine echte Wahl zu lassen. Laut DSGVO muss die Einwilligung freiwillig, spezifisch, informiert und unmissverständlich sein. Das bedeutet, dass Nutzer nicht gezwungen werden dürfen, alle Cookies zu akzeptieren, um die Website nutzen zu können. Vorab angekreuzte Checkboxen oder implizite Zustimmungen sind unzulässig. Es muss eine klare Unterscheidung zwischen technisch notwendigen Cookies und solchen geben, die für Marketing oder Analysezwecke verwendet werden. Nutzer müssen die Möglichkeit haben, einzelne Kategorien von Cookies abzulehnen.
Die Tücken des „Alle akzeptieren“-Buttons
Der klassische „Alle akzeptieren“-Button ist ein Paradebeispiel für eine nicht rechtskonforme Einwilligung. Er suggeriert, dass die einzige Option die vollständige Akzeptanz ist, was dem Grundsatz der Freiwilligkeit widerspricht. Eine korrekte Umsetzung erfordert eine detaillierte Aufschlüsselung der eingesetzten Cookies, deren Zweck und die Dauer der Speicherung. Nutzer müssen die Möglichkeit erhalten, ihre Präferenzen individuell anzupassen und ihre Einwilligung jederzeit widerrufen zu können. Dies erfordert eine klare und leicht zugängliche Schaltfläche zum Widerruf der Einwilligung, die genauso einfach zu bedienen ist wie die Erteilung.
Die EU-Kommission hat Leitlinien zur Auslegung der e-Privacy-Richtlinie veröffentlicht, die eng mit der DSGVO zusammenarbeitet und die Regeln für Cookies und ähnliche Technologien konkretisiert. Die Einhaltung dieser Leitlinien ist entscheidend für die rechtskonforme Nutzung von Cookies. Weiterführende Informationen finden Sie auf der offiziellen Website der Europäischen Kommission.
Differenzierte Zustimmung ist Trumpf
Eine differenzierte Zustimmung bedeutet, dass Nutzer nicht über einen Kamm geschoren werden, sondern selbst entscheiden können, welchen Datenverarbeitungen sie zustimmen. Dies schließt die Möglichkeit ein, technisch notwendige Cookies zu akzeptieren, während Tracking-Cookies oder Cookies für personalisierte Werbung abgelehnt werden können. Eine solche differenzierte Zustimmung kann durch eine schaltflächenbasierte Auswahl für jede Cookie-Kategorie oder durch ein detailliertes Menü umgesetzt werden, in dem Nutzer ihre Präferenzen für jede einzelne Cookie-Art festlegen können. Wichtig ist, dass die Ablehnung von nicht notwendigen Cookies keine negativen Auswirkungen auf die Nutzbarkeit der Website haben darf.
Für Entwickler gibt es zahlreiche Frameworks und Bibliotheken, die bei der Implementierung eines DSGVO-konformen Cookie-Consent-Managements helfen. Diese Tools bieten oft vordefinierte Lösungen für die Erstellung von Einwilligungsbannern, die Verwaltung von Nutzerpräferenzen und die Protokollierung der erteilten Einwilligungen. Eine gute Wahl ist ein Tool, das regelmäßige Updates erhält und auf dem neuesten Stand der Rechtsprechung ist.
2. Mangelnde Transparenz bei der Datenverarbeitung: Was passiert mit meinen Daten?
Die DSGVO verpflichtet Unternehmen dazu, Nutzer umfassend darüber zu informieren, welche personenbezogenen Daten gesammelt werden, zu welchem Zweck dies geschieht, wie lange sie gespeichert werden und wer Zugriff darauf hat. Viele Websites und Apps versäumen es, diese Informationen klar und verständlich darzustellen. Eine lange, juristisch verfasste Datenschutzerklärung, die kaum ein normaler Nutzer versteht, ist kein Ersatz für gelebte Transparenz. Nutzer müssen auf den ersten Blick erkennen können, welche Daten von ihnen erhoben werden und was damit geschieht.
Die Datenschutzerklärung als Textwüste
Eine typische Datenschutzerklärung ist oft so gestaltet, dass sie eher abschreckend als informativ wirkt. Sie enthält lange Listen von Verarbeitungsvorgängen, rechtlichen Grundlagen und technischen Details, die für den durchschnittlichen Nutzer schwer verständlich sind. Die DSGVO verlangt jedoch, dass Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache übermittelt werden. Das bedeutet, dass komplexe Sachverhalte vereinfacht dargestellt werden müssen, beispielsweise durch Grafiken, FAQs oder kurze Zusammenfassungen.
Die Aufsichtsbehörden betonen immer wieder die Bedeutung der „verständlichen Sprache“. Dies kann durch die Verwendung von Metaphern, Beispielen und einer klaren Struktur erreicht werden. Stellen Sie sich vor, Sie erklären einem Freund, welche Daten Sie sammeln – das ist die Art von Sprache, die auch in der Datenschutzerklärung verwendet werden sollte. Viele Unternehmen nutzen hierfür spezielle Tools, die auf die Bedürfnisse der DSGVO zugeschnitten sind und die Erstellung von verständlichen Datenschutztexten erleichtern.
Informationen on Demand: Der richtige Zeitpunkt zählt
Informationen zur Datenverarbeitung sollten nicht nur in der Datenschutzerklärung versteckt sein, sondern auch dort präsentiert werden, wo sie für den Nutzer relevant sind. Wenn beispielsweise ein Formular zur Kontaktaufnahme ausgefüllt wird, sollte direkt daneben eine kurze Information darüber stehen, wofür die angegebenen Daten verwendet werden. Bei der Registrierung für einen Dienst sollten die Nutzungsbedingungen und die damit verbundenen Datenschutzpraktiken leicht zugänglich und verständlich sein. Dies schafft Vertrauen und gibt dem Nutzer die Kontrolle.
Die „Privacy by Design“ und „Privacy by Default“ Prinzipien der DSGVO fordern, dass Datenschutzaspekte bereits in der Planungsphase von Produkten und Dienstleistungen berücksichtigt werden. Das bedeutet, dass Transparenz nicht nachträglich hinzugefügt, sondern von Anfang an in das Design integriert wird. Dies kann durch interaktive Elemente geschehen, die den Nutzer durch den Prozess führen und ihn über die Datennutzung informieren.
3. Unklare oder fehlende Auftragsverarbeitungsverträge (AVV)
Sobald personenbezogene Daten an Dritte weitergegeben werden, sei es an einen Hosting-Provider, einen Newsletter-Dienst oder eine Analyseplattform, ist ein Auftragsverarbeitungsvertrag (AVV) zwingend erforderlich. Viele Unternehmen agieren fahrlässig und gehen davon aus, dass eine einfache Geschäftsbeziehung ausreicht. Ein AVV ist jedoch ein juristisches Dokument, das die Rechte und Pflichten beider Parteien im Hinblick auf die Verarbeitung personenbezogener Daten klar regelt. Ohne einen solchen Vertrag haften Sie als Verantwortlicher für die Handlungen des Dienstleisters.
Die Gefahr der „Ghost“-Dienstleister
Oftmals wissen Unternehmen nicht einmal genau, welche Drittanbieter im Hintergrund personenbezogene Daten verarbeiten. Dies kann der Fall sein, wenn externe Plugins integriert werden, Analysetools von Drittanbietern genutzt werden oder Cloud-Dienste zum Einsatz kommen. In solchen Fällen ist es unerlässlich, eine genaue Übersicht über alle Dienstleister zu führen und sicherzustellen, dass für jeden einzelnen eine rechtskonforme Auftragsverarbeitung vereinbart wurde. Eine sorgfältige Prüfung der Verträge und die Einholung von Bestätigungen der Dienstleister sind hierbei unerlässlich.
Die zentrale Anforderung an einen AVV ist, dass er die Verarbeitung von personenbezogenen Daten im Auftrag des Verantwortlichen regelt und sicherstellt, dass der Auftragsverarbeiter angemessene technische und organisatorische Maßnahmen zum Schutz der Daten ergreift. Die DSGVO listet in Artikel 28 konkrete Mindestanforderungen auf, die in einem AVV enthalten sein müssen, wie die Weisungsgebundenheit des Auftragsverarbeiters, die Vertraulichkeit und die Unterstützung des Verantwortlichen bei der Erfüllung seiner Pflichten.
Auftragsverarbeitung nach der DSGVO
Die Sorgfaltspflicht bei der Auswahl des Dienstleisters
Neben dem Abschluss eines AVV sind Sie als Verantwortlicher auch verpflichtet, den Auftragsverarbeiter sorgfältig auszuwählen. Das bedeutet, dass Sie sicherstellen müssen, dass der Dienstleister die erforderlichen Garantien für die Einhaltung der DSGVO bietet. Dazu gehört die Prüfung seiner Sicherheitsmaßnahmen, seiner Datenschutzrichtlinien und seiner Fähigkeit, die eigenen datenschutzrechtlichen Verpflichtungen zu erfüllen. Die Wahl eines Dienstleisters, der keine oder nur unzureichende Datenschutzmaßnahmen implementiert hat, kann Sie als Verantwortlichen haftbar machen, selbst wenn ein AVV vorliegt.
Eine gängige Praxis ist die Nutzung von Standardvertragsklauseln, die von den Aufsichtsbehörden bereitgestellt werden. Diese Klauseln bieten eine gute Grundlage für AVVs, müssen aber oft an die spezifischen Gegebenheiten des jeweiligen Vertragsverhältnisses angepasst werden. Es ist ratsam, sich hierbei von einem Datenschutzexperten unterstützen zu lassen, um sicherzustellen, dass alle relevanten Aspekte abgedeckt sind.
4. Unzureichende Datensicherheit: Ein offenes Tor für Hacker
Datensicherheit ist ein zentraler Pfeiler der DSGVO. Doch viele Unternehmen investieren nicht ausreichend in technische und organisatorische Maßnahmen, um personenbezogene Daten vor unbefugtem Zugriff, Verlust oder Zerstörung zu schützen. Das reicht von unzureichenden Passwörtern über fehlende Verschlüsselung bis hin zu mangelhaften Zugriffskontrollen. Die Folgen können verheerend sein, von Datenlecks bis hin zu Cyberangriffen, die den Geschäftsbetrieb lahmlegen.
Passwörter als Schwachstelle Nummer Eins
Einfache oder leicht zu erratende Passwörter sind eine der häufigsten Ursache für Sicherheitsvorfälle. Viele Nutzer verwenden immer noch Standardpasswörter oder leicht abgewandelte Varianten, die von Angreifern leicht geknackt werden können. Eine sichere Passwortrichtlinie, die die Verwendung von starken, einzigartigen Passwörtern vorschreibt und regelmäßige Passwortwechsel erzwingt, ist unerlässlich. Die Implementierung von Multi-Faktor-Authentifizierung (MFA) ist eine weitere entscheidende Maßnahme, um den Zugriff auf Konten zusätzlich abzusichern.
Es gibt zahlreiche Tools und Anleitungen, die Unternehmen dabei unterstützen, sichere Passwortrichtlinien zu entwickeln und umzusetzen. Die Schulung der Mitarbeiter im sicheren Umgang mit Passwörtern und anderen sensiblen Informationen ist ebenfalls ein wichtiger Bestandteil der Datensicherheitsstrategie. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet hierzu umfassende Materialien.
Verschlüsselung: Ein Muss für sensible Daten
Die Verschlüsselung von Daten, sowohl während der Übertragung (in transit) als auch bei der Speicherung (at rest), ist eine der effektivsten Maßnahmen zum Schutz vor unbefugtem Zugriff. Wenn sensible Daten unverschlüsselt gespeichert oder übertragen werden, können sie bei einem Datenleck leicht von Dritten eingesehen werden. Ob es sich um Kundendaten, Finanzinformationen oder interne Dokumente handelt, eine starke Verschlüsselung sollte Standard sein. Dies gilt für Datenbanken, E-Mails, Cloud-Speicher und jegliche Form der Datenspeicherung.
Die Wahl der richtigen Verschlüsselungsmethode hängt von der Art der Daten und dem Verwendungszweck ab. Moderne Verschlüsselungsalgorithmen bieten ein hohes Maß an Sicherheit und sollten regelmäßig aktualisiert werden, um den aktuellen Sicherheitsstandards zu entsprechen. Viele Betriebssysteme und Anwendungen bieten integrierte Verschlüsselungsfunktionen, die einfach aktiviert werden können. Die Implementierung von Transport Layer Security (TLS) für die Datenübertragung im Internet ist beispielsweise eine grundlegende Anforderung.
5. Fehlende oder unzureichende Informationspflichten bei der Datenerhebung (Art. 13 & 14 DSGVO)
Die DSGVO legt in Artikel 13 und 14 klare Informationspflichten fest, wenn personenbezogene Daten direkt bei der betroffenen Person oder indirekt erhoben werden. Viele Unternehmen versäumen es, diese Informationen zur Verfügung zu stellen oder tun dies in einer Form, die nicht den Anforderungen entspricht. Nutzer müssen über den Verantwortlichen, die Zwecke der Verarbeitung, die Rechtsgrundlage, die Speicherdauer, ihre Rechte und mögliche Empfänger der Daten informiert werden.
Die „Datenschutz-Erklärung“ als Ausrede
Nur auf die Datenschutzerklärung zu verweisen, reicht oft nicht aus. Die Informationen müssen proaktiv und zum Zeitpunkt der Datenerhebung bereitgestellt werden. Wenn beispielsweise ein Nutzer ein Kontaktformular ausfüllt, muss er unmittelbar vor dem Absenden des Formulars über die Verarbeitung seiner Daten informiert werden. Das bedeutet, dass ein zur Datenschutzerklärung oder eine kurze Zusammenfassung der wichtigsten Punkte direkt neben dem Formular platziert werden sollte.
Die Transparenz bei der Datenerhebung ist entscheidend, um das Vertrauen der Nutzer zu gewinnen und ihnen die Kontrolle über ihre Daten zu geben. Wenn Nutzer nicht wissen, was mit ihren Daten geschieht, werden sie zögerlicher sein, diese preiszugeben. Eine klare und verständliche Aufklärung schafft Vertrauen und vermeidet spätere Missverständnisse. Tools zur Erstellung von Datenschutzhinweisen können hierbei unterstützen, indem sie die notwendigen Informationen übersichtlich aufbereiten.
Kontextbezogene Informationen für maximale Klarheit
Je nach Kontext der Datenerhebung sollten die Informationen angepasst werden. Bei der Erhebung von Daten über eine mobile App sollten die Berechtigungen, die die App anfordert, klar erklärt werden und warum diese für die Funktionalität der App notwendig sind. Bei der Anmeldung zu einem Newsletter sollte deutlich gemacht werden, welche Art von Inhalten versendet wird und wie der Nutzer sich abmelden kann. Kontextbezogene Informationen sind entscheidend, um dem Nutzer die Relevanz der Datenverarbeitung zu vermitteln.
Die „Privacy by Design“ und „Privacy by Default“ Prinzipien der DSGVO spielen auch eine wichtige Rolle. Das bedeutet, dass die Informationspflichten von Anfang an in die Gestaltung von Produkten und Dienstleistungen integriert werden sollten. Dies kann durch visuelle Hinweise, Tooltips oder interaktive Anleitungen geschehen, die den Nutzer Schritt für Schritt durch den Prozess führen und ihn über die Datennutzung aufklären.
6. Mangelnde Umsetzung von Betroffenenrechten: Das Recht auf Vergessenwerden & Co.
Die DSGVO gewährt den betroffenen Personen eine Reihe von Rechten, darunter das Recht auf Auskunft, Berichtigung, Löschung („Recht auf Vergessenwerden“), Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Viele Unternehmen haben keine Prozesse implementiert, um diese Rechte effektiv umzusetzen. Anfragen von Nutzern werden ignoriert, verzögert oder nur unzureichend bearbeitet, was zu empfindlichen Bußgeldern führen kann.
Das Recht auf Vergessenwerden – keine leere Phrase
Das Recht auf Löschung, oft als „Recht auf Vergessenwerden“ bezeichnet, ist eines der wichtigsten Rechte, das Betroffenen eingeräumt wird. Wenn personenbezogene Daten nicht mehr für den Zweck benötigt werden, für den sie erhoben wurden, oder wenn die Einwilligung widerrufen wird, müssen diese Daten gelöscht werden. Viele Unternehmen löschen Daten nicht konsequent, sondern archivieren sie nur. Dies ist nicht ausreichend und kann rechtliche Konsequenzen haben. Eine klare Löschrichtlinie und die Implementierung automatisierter Löschprozesse sind unerlässlich.
Die Herausforderung besteht oft darin, alle relevanten Datenspeicher zu identifizieren und sicherzustellen, dass die Daten vollständig gelöscht werden. Dies erfordert eine genaue Dokumentation aller Datenflüsse und Speicherorte. Tools zur Datenverwaltung und zur Erfüllung von Betroffenenanfragen können hierbei eine große Hilfe sein. Die Aufsichtsbehörden betonen die Notwendigkeit, klare Verfahren für die Bearbeitung solcher Anfragen zu etablieren.
Der Auskunftsanspruch – mehr als nur eine Kopie der Daten
Das Auskunftsrecht gibt Betroffenen das Recht zu erfahren, welche personenbezogenen Daten über sie gespeichert sind, zu welchem Zweck sie verarbeitet werden und wer Zugriff darauf hat. Unternehmen müssen in der Lage sein, diese Informationen schnell und präzise bereitzustellen. Dies erfordert eine gute Organisation der eigenen Datenbestände und klare Prozesse für die Beantwortung von Auskunftsersuchen. Die Bereitstellung einer einfachen Möglichkeit zur Kontaktaufnahme für solche Anfragen ist ebenfalls wichtig.
Die Antwort auf eine Auskunftsanfrage muss nicht nur die reine Datensammlung sein, sondern auch alle relevanten Informationen zur Verarbeitung, wie die Rechtsgrundlage und die Speicherdauer. Es ist ratsam, eine Vorlage für die Beantwortung von Auskunftsersuchen zu erstellen, die alle erforderlichen Elemente enthält und an den spezifischen Fall angepasst werden kann. Die Schulung der Mitarbeiter im Umgang mit solchen Anfragen ist ebenfalls von großer Bedeutung.
7. Unzureichende Dokumentation und Nachweisbarkeit
Die DSGVO ist ein Rechenschaft
Autorin
