Diese 8 DSGVO-Fehler sind immer noch Alltag
Diese 8 DSGVO-Fehler sind immer noch Alltag – und sie kosten dich teuer!
Die Datenschutz-Grundverordnung (DSGVO) ist seit Jahren in Kraft, und doch scheinen viele Unternehmen und Webseitenbetreiber immer noch regelrecht darin zu stolpern. Die gute Nachricht ist: Die rechtlichen Hürden sind machbar, wenn man sie ernst nimmt. Die schlechte Nachricht: Viele der klassischen Fehler sind nach wie vor an der Tagesordnung und können zu empfindlichen Bußgeldern, Imageschäden und einem Vertrauensverlust bei den Nutzern führen. Von mangelnden Einwilligungen bis hin zu unzureichenden Sicherheitsmaßnahmen – die Liste der Stolpersteine ist lang. Dieser Artikel nimmt die acht häufigsten DSGVO-Fallen ins Visier, beleuchtet die Hintergründe und gibt ganz konkrete Tipps, wie Sie diese alltäglichen Fehler vermeiden und Ihre digitale Welt datenschutzkonform gestalten. Denn seien wir ehrlich, wer will schon wegen eines vergessenen Cookie-Banners oder einer unklaren Datenschutzerklärung mit den Aufsichtsbehörden auf Kriegsfuß stehen?
1. Das mysteriöse Verschwinden der Einwilligung: Cookies und Tracker ohne klare Zustimmung
Einer der offensichtlichsten, aber auch am häufigsten übersehenen Punkte ist die rechtskonforme Einholung von Einwilligungen für die Nutzung von Cookies und Tracking-Technologien. Viele Webseiten präsentieren ihren Besuchern einen Cookie-Banner, der aber oft mehr Schein als Sein ist. Ein einfacher Hinweis wie „Wir verwenden Cookies, um Ihr Erlebnis zu verbessern“ reicht bei weitem nicht aus. Die DSGVO verlangt eine aktive, informierte und freiwillige Einwilligung. Das bedeutet, dass Nutzer die Möglichkeit haben müssen, die Nutzung von nicht essenziellen Cookies abzulehnen, bevor diese überhaupt gesetzt werden. Auch das bloße Fortsetzen der Navigation auf einer Webseite darf nicht als stillschweigende Zustimmung gewertet werden.
Der Cookie-Banner-Dschungel: Was wirklich zählt
Ein „Alles akzeptieren“-Button, der prominent platziert ist, während die Ablehnungsoption versteckt oder umständlich zu erreichen ist, ist ein klassisches DSGVO-Problem. Die Einwilligung muss genauso einfach erteilt wie verweigert werden können. Dies schließt auch die Unterscheidung zwischen technisch notwendigen Cookies (die oft ohne explizite Einwilligung gesetzt werden dürfen, da sie für die Grundfunktion der Webseite unerlässlich sind) und optionalen Cookies wie Analyse-Cookies, Marketing-Cookies oder Social-Media-Plugins ein. Die Nutzer müssen detailliert darüber informiert werden, welche Art von Cookies gesetzt werden, zu welchem Zweck und wie lange sie gespeichert werden. Eine gute Ressource für die technischen Aspekte und die Anforderungen an Cookie-Banner bietet die Arbeitsgruppe „Artikel 29“ (jetzt Europäischer Datenschutzausschuss) in ihren Leitlinien, auch wenn diese nicht direkt rechtlich bindend sind, geben sie doch die Richtung vor: Leitlinien der Art. 29 Datenschutzgruppe zur Einwilligung.
Tracking-Tools: Wo die Gefahr lauert
Der Einsatz von Tracking-Tools wie Webanalyse-Software, Werbenetzwerken oder Social-Media-Widgets birgt ein erhöhtes Risiko. Diese Dienste sammeln oft umfangreiche Daten über das Surfverhalten der Nutzer, die weit über das hinausgehen, was für den Betrieb der Webseite notwendig ist. Ohne explizite Einwilligung der Nutzer für diese spezifischen Zwecke ist der Einsatz solcher Tools in der Regel rechtswidrig. Das bedeutet, dass das Einbetten von YouTube-Videos oder Facebook-Plugins, die standardmäßig Tracking-Cookies setzen, ohne vorherige Zustimmung des Nutzers problematisch ist. ist oft eine sogenannte „Privacy-first“-Lösung gefragt, bei der die Inhalte erst nach Zustimmung des Nutzers geladen werden. Tutorials und Best Practices für die datenschutzkonforme Einbindung von externen Inhalten finden sich oft auf Seiten von Datenschutzexperten und auf den Webseiten der Aufsichtsbehörden, wie zum der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit.
2. Das verschwommene Impressum: Unvollständige oder versteckte Anbieterinformationen
Das Impressum ist nicht nur eine nette Geste, sondern eine gesetzliche Verpflichtung, die jedem Besucher klare Informationen über den Betreiber einer Webseite liefert. Viele Impressen sind jedoch entweder unvollständig, enthalten veraltete Informationen oder sind so gut versteckt, dass sie kaum zu finden sind. Die DSGVO verstärkt die Anforderungen an die Transparenz, und dazu gehört zweifelsfrei eine klare und leicht zugängliche Angabe, wer für die Datenverarbeitung auf der Webseite verantwortlich ist.
Wer steckt dahinter? Die Pflicht zur klaren Kennzeichnung
Ein fehlender oder unvollständiger des Betreibers, die fehlende Angabe einer ladungsfähigen Anschrift oder die Nichtnennung einer gültigen E-Mail-Adresse sind häufige Fehlerquellen. Bei juristischen Personen müssen auch die Vertretungsberechtigten genannt werden. Bei Vereinen sind es die Vorstandsmitglieder. Auch eine Telefonnummer kann, je nach Konstellation, erforderlich sein. Das Ziel ist, dass jeder Nutzer sofort weiß, an wen er sich bei Fragen oder Problemen wenden kann. Die Anforderungen sind in verschiedenen Gesetzen geregelt, aber die DSGVO unterstreicht die Notwendigkeit dieser Transparenz als Teil des Grundrechts auf informationelle Selbstbestimmung. Informationen zu den Pflichtinhalten eines Impressums finden sich beispielsweise auf den Seiten von IHKs oder Branchenverbänden, wie die IHK-Informationen zum Impressum.
Die Reise zum Impressum: Leichtigkeit der Auffindbarkeit
Ein Impressum, das nur über eine kryptische Suche oder nach mehreren Klicks zu erreichen ist, erfüllt nicht die Anforderungen der leichten Auffindbarkeit. Es sollte in der Regel über einen gut sichtbaren in der Hauptnavigation, im Footer der Webseite oder in der Menüleiste einer App verlinkt sein. Nutzer sollten nicht erst aufwendig suchen müssen, um die Betreiberinformationen zu finden. Dies gilt sowohl für Webseiten als auch für mobile Anwendungen. Die Benutzerfreundlichkeit steht an erster Stelle, denn ein gut auffindbares Impressum signalisiert auch Seriosität und Transparenz. Auf den Webseiten der Datenschutzbehörden finden sich oft Checklisten und Hilfestellungen, die die wichtigsten Punkte abdecken, wie zum die Checkliste für ein DSGVO-konformes Impressum.
3. Die Datenschutzerklärung als bürokratisches Monster: Unklar, unvollständig oder gar nicht vorhanden
Die Datenschutzerklärung ist das Herzstück der Informationspflichten nach der DSGVO. Doch leider ist sie oft ein schwer verdauliches Dokument, das mehr Fragen aufwirft, als es beantwortet. Häufig sind sie entweder gar nicht vorhanden, viel zu allgemein formuliert oder enthalten juristische Fachbegriffe, die für den durchschnittlichen Nutzer unverständlich sind. Die DSGVO verlangt jedoch eine verständliche, klare und umfassende Aufklärung über die Verarbeitung personenbezogener Daten.
Was wird gesammelt und warum? Transparenz bei der Datenverarbeitung
Eine gute Datenschutzerklärung listet detailliert auf, welche personenbezogenen Daten überhaupt erhoben werden, zu welchem Zweck diese Daten verarbeitet werden (z.B. für die Bereitstellung von Diensten, zur Verbesserung des Nutzererlebnisses, für Marketingzwecke), auf welcher Rechtsgrundlage diese Verarbeitung beruht und wie lange die Daten gespeichert werden. Auch Informationen über die Weitergabe von Daten an Dritte (z.B. Dienstleister, Werbepartner) und die Rechte der Nutzer (Auskunft, Berichtigung, Löschung, Widerspruch etc.) müssen klar und verständlich aufgeführt sein. Die Europäische Kommission bietet im Rahmen ihrer Initiativen zur Stärkung der Verbraucherrechte und des Datenschutzes auch Informationen und Leitfäden zur Erstellung von Datenschutzerklärungen, die man auf deren Webseite zur Datenschutz-Grundverordnung finden kann.
Verständlichkeit ist Trumpf: Die Sprache macht den Unterschied
Juristische Texte sind oft trocken und kompliziert. Eine DSGVO-konforme Datenschutzerklärung muss jedoch in klarer, einfacher und verständlicher Sprache verfasst sein. Vermeiden Sie Fachjargon, wo immer es geht. Wenn technische Begriffe unverzichtbar sind, erklären Sie diese kurz und prägnant. Eine gute Praxis ist es, die wichtigsten Informationen (z.B. welche Daten werden gesammelt, zu welchem Zweck) in einer kurzen Zusammenfassung am Anfang der Erklärung hervorzuheben. Dies erleichtert den Nutzern den schnellen Überblick und erfüllt die Transparenzanforderungen. Es gibt auch spezialisierte Anbieter, die Werkzeuge zur Erstellung und Überprüfung von Datenschutzerklärungen anbieten und dabei helfen, die Balance zwischen rechtlicher Korrektheit und verständlicher Sprache zu finden. Hilfreiche Ressourcen und Muster finden sich oft auf den Webseiten von Datenschutzexperten oder Kanzleien, die sich auf Datenschutzrecht spezialisiert haben.
4. Die fehlende Dokumentation: Keine Nachweise über die Einhaltung der DSGVO
Ein weit verbreitetes Missverständnis ist, dass die DSGVO nur die Umsetzung von Maßnahmen vorschreibt, aber nicht deren Nachweis verlangt. Das Gegenteil ist der Fall. Die Rechenschaftspflicht ist ein zentrales Prinzip der DSGVO. Das bedeutet, dass Unternehmen und Organisationen nachweisen müssen, dass sie die Vorgaben der Verordnung einhalten. Fehlen diese Nachweise, kann dies im Falle einer Prüfung durch die Aufsichtsbehörden zu erheblichen Problemen führen.
Das Verzeichnis von Verarbeitungstätigkeiten: Mehr als nur eine lästige Pflicht
Das Verzeichnis von Verarbeitungstätigkeiten ist ein zentrales Dokument, das detailliert aufschlüsselt, welche personenbezogenen Daten wie, wo und zu welchem Zweck verarbeitet werden. Es ist die Grundlage für viele weitere datenschutzrechtliche Maßnahmen. Es muss regelmäßig aktualisiert werden und alle relevanten Informationen enthalten, wie z.B. die Kategorien der betroffenen Personen, die Kategorien der personenbezogenen Daten, die Empfänger, die Datenübermittlung in Drittländer, die Fristen für die Löschung der verschiedenen Daten und eine Beschreibung der technischen und organisatorischen Maßnahmen (TOMs). Die Erstellung eines solchen Verzeichnisses kann komplex sein, aber es gibt gute Leitfäden und Vorlagen, die von Datenschutzbehörden oder spezialisierten Dienstleistern zur Verfügung gestellt werden. Die Seite des Datenschutz.de bietet beispielsweise hilfreiche Informationen und Muster.
Technische und Organisatorische Maßnahmen (TOMs): Sicherheit geht vor
Die DSGVO fordert angemessene technische und organisatorische Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dazu gehören beispielsweise Verschlüsselung, Pseudonymisierung, Zugriffskontrollen, regelmäßige Datensicherungen und die Schulung von Mitarbeitern im Umgang mit sensiblen Daten. Diese Maßnahmen müssen nicht nur vorhanden sein, sondern auch dokumentiert werden. Ein Unternehmen muss darlegen können, welche Sicherheitsvorkehrungen getroffen wurden, um unbefugten Zugriff, Verlust oder Beschädigung von Daten zu verhindern. Die Beschreibung dieser TOMs sollte im Verzeichnis von Verarbeitungstätigkeiten enthalten sein oder als eigenständiges Dokument geführt werden. Viele IT-Sicherheitsstandards und Zertifizierungen können als Orientierung dienen und als Nachweis für die Angemessenheit der Maßnahmen herangezogen werden.
5. Die Datenpanne: Unzureichende Reaktion auf Sicherheitsvorfälle
Datenpannen passieren. Egal wie gut die Sicherheitsvorkehrungen sind, ein Restrisiko bleibt immer. Entscheidend ist jedoch, wie ein Unternehmen auf eine solche Panne reagiert. Viele Organisationen unterschätzen die Dringlichkeit und die Meldepflichten, die mit einer Datenschutzverletzung einhergehen. Ein schnelles und professionelles Handeln ist unerlässlich, um weitere Schäden zu minimieren und die Aufsichtsbehörden sowie die betroffenen Personen zu informieren.
Schnelle Meldung an die Aufsichtsbehörde: Die 72-Stunden-Regel
Wenn eine Datenschutzverletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, muss die zuständige Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden der Verletzung informiert werden. Diese Meldung muss mindestens die Art der Verletzung, die Kategorien und die ungefähre Zahl der betroffenen Personen sowie die wahrscheinlichen Folgen und die getroffenen oder vorgeschlagenen Maßnahmen umfassen. Das Versäumnis, diese Frist einzuhalten, kann zu empfindlichen Strafen führen. Es ist daher essenziell, klare interne Prozesse für den Umgang mit Datenpannen zu etablieren und die zuständigen Mitarbeiter zu schulen. Die zuständigen Aufsichtsbehörden stellen auf ihren Webseiten oft Formulare und Anleitungen für die Meldung von Datenschutzverletzungen zur Verfügung.
Betroffene informieren: Transparenz schafft Vertrauen
Neben der Meldung an die Aufsichtsbehörde muss in der Regel auch die betroffene Person informiert werden, wenn die Datenschutzverletzung voraussichtlich ein hohes Risiko für ihre persönlichen Rechte und Freiheiten zur Folge hat. Dies dient dazu, den Betroffenen die Möglichkeit zu geben, sich vor möglichen negativen Folgen zu schützen. Die Information muss klar und verständlich sein und die Art der Verletzung, die wahrscheinlichen Folgen und die getroffenen Maßnahmen erläutern. Dies stärkt das Vertrauen der Kunden und zeigt, dass das Unternehmen Verantwortung übernimmt. Leitfäden zur Bewertung des Risikos einer Datenpanne und zur Kommunikation mit den Betroffenen finden sich oft in den Merkblättern und Veröffentlichungen der Datenschutzaufsichtsbehörden.
6. Die mangelnde Löschpflicht: Daten werden länger gespeichert als nötig
Die DSGVO legt großen Wert auf die Datensparsamkeit und die Zweckbindung. Das bedeutet, dass Daten nur so lange gespeichert werden dürfen, wie es für den ursprünglichen Zweck ihrer Erhebung notwendig ist. Viele Unternehmen und Webseitenbetreiber scheitern jedoch daran, diese Löschpflichten konsequent umzusetzen. Dies führt dazu, dass unnötig viele personenbezogene Daten gespeichert werden, was wiederum das Risiko im Falle einer Datenpanne erhöht und die Anforderungen an die Datenhaltung unnötig verkompliziert.
Löschkonzepte: Klare Regeln für die Datenvernichtung
Ein effektives Löschkonzept ist unerlässlich. Dieses Konzept sollte definieren, welche Datenkategorien wann und wie gelöscht werden müssen. Dies kann beispielsweise bedeuten, dass Kundenkonten, die seit einer bestimmten Zeit inaktiv sind, automatisch gelöscht werden, oder dass Bestellhistorien nach Ablauf bestimmter Fristen anonymisiert oder vollständig entfernt werden. Die Löschung kann technisch automatisiert erfolgen oder manuell durch entsprechende Prozesse sichergestellt werden. Wichtig ist, dass die Löschfristen plausibel sind und dem jeweiligen Zweck der Datenspeicherung entsprechen. Die Erstellung eines solchen Konzepts erfordert eine genaue Analyse der eigenen Datenverarbeitungsprozesse.
Die Archivierungspflichten im Blick behalten: Rechtliche Ausnahmen
Es ist wichtig zu betonen, dass es auch rechtliche Archivierungspflichten geben kann, die eine längere Speicherung bestimmter Daten vorschreiben. Beispielsweise müssen Unternehmen oft steuerrechtliche Aufbewahrungsfristen einhalten. Diese Ausnahmen müssen jedoch klar dokumentiert und von den regulären Löschfristen getrennt werden. Daten, die ausschließlich aus rechtlichen Gründen archiviert werden, dürfen nicht für andere Zwecke genutzt oder verarbeitet werden. Die Unterscheidung zwischen rechtmäßig gespeicherten Daten und überflüssigen Daten ist entscheidend für die Einhaltung der DSGVO. Informationen zu den gesetzlichen Aufbewahrungsfristen finden sich in den entsprechenden Steuer- und Handelsgesetzen sowie in spezialisierten Ratgebern.
7. Die fehlende Schulung von Mitarbeitern: Daten-Safeguards nur auf dem Papier
Die besten technischen und organisatorischen Maßnahmen sind nutzlos, wenn die Mitarbeiter, die täglich mit personenbezogenen Daten arbeiten, nicht entsprechend geschult sind. Viele Unternehmen vernachlässigen die regelmäßige Schulung ihrer Belegschaft im Bereich Datenschutz, was zu unbeabsichtigten Verstößen und Sicherheitslücken führen kann. Die DSGVO verpflichtet Verantwortliche, sicherzustellen, dass alle Personen, die unter ihrer Aufsicht tätig sind und Zugang zu personenbezogenen Daten haben, entsprechend geschult sind.
Sensibilisierung für den Datenschutz: Warum jeder mitdenken muss
Mitarbeiter müssen für die Bedeutung des Datenschutzes sensibilisiert werden und verstehen, welche Risiken bei unsachgemäßem Umgang mit Daten entstehen können. Dies umfasst die Aufklärung über die Grundprinzipien der DSGVO, die Identifizierung von sensiblen Daten, das korrekte Vorgehen bei der Erhebung, Verarbeitung und Speicherung von Daten sowie die Meldung von potenziellen Datenpannen. Regelmäßige Schulungen, Workshops und Informationskampagnen sind entscheidend, um das Bewusstsein zu schärfen und eine datenschutzfreundliche Unternehmenskultur zu etablieren. Es gibt zahlreiche Anbieter, die Schulungsmaterialien und -programme für Unternehmen anbieten, um diesen Anforderungen gerecht zu werden.
Schulung spezifischer Rollen: Vom Azubi bis zum Geschäftsführer
Die Schulungsinhalte sollten auf die jeweiligen Rollen und Verantwortlichkeiten der Mitarbeiter zugeschnitten sein. Ein Mitarbeiter im Kundenservice hat andere Anforderungen als ein Entwickler, der mit Datenbanken arbeitet, oder ein Marketingverantwortlicher, der E-Mail-Listen verwaltet. Es ist wichtig, dass jeder Mitarbeiter genau weiß, welche Daten er verarbeiten darf, wie er damit umgehen muss und an wen er sich bei Fragen wenden kann. Die Schulung sollte nicht nur einmalig erfolgen, sondern regelmäßig wiederholt und an neue Entwicklungen und gesetzliche Änderungen angepasst werden. Die
Autorin
