Diese 8 DSGVO-Fehler sind immer noch Alltag
Die DSGVO – Immer noch ein Rätsel? Diese 8 Fehler passieren immer noch täglich
Die Datenschutz-Grundverordnung (DSGVO) ist seit Jahren in Kraft, und doch scheint sie für viele Unternehmen und Website-Betreiber immer noch ein komplexes Labyrinth zu sein. Die Angst vor hohen Bußgeldern und dem Verlust des Vertrauens von Nutzern ist groß, doch die Umsetzung der strengen Regeln gestaltet sich oft schwieriger als gedacht. Die gute Nachricht ist: Viele der häufigsten Fehler sind vermeidbar und lassen sich mit dem richtigen Wissen und gezielten Maßnahmen beheben. In diesem Artikel beleuchten wir die acht häufigsten DSGVO-Fehler, die im digitalen Alltag immer noch traurige Realität sind, und geben praktische Tipps, wie Sie diese Fehler vermeiden und Ihre Prozesse datenschutzkonform gestalten können. Egal, ob Sie gerade erst mit Ihrer Website starten oder bereits ein etabliertes Online-Unternehmen führen – diese Einblicke sind Gold wert und helfen Ihnen dabei, auf der sicheren Seite zu bleiben.
1. Fehlende oder unzureichende Datenschutzerklärung
Die Datenschutzerklärung ist das Aushängeschild Ihres Datenschutzes. Doch allzu oft ist sie entweder gar nicht vorhanden, versteckt an einer obskuren Stelle oder schlichtweg unvollständig. Eine rechtlich korrekte Datenschutzerklärung ist jedoch kein optionales Extra, sondern eine absolute Notwendigkeit, um transparent über die Verarbeitung personenbezogener Daten zu informieren. Sie muss klar und verständlich die Zwecke der Datenverarbeitung, die Kategorien der betroffenen Daten, die Rechtsgrundlagen sowie die Rechte der Nutzer offenlegen. Die bloße Existenz einer Datenschutzerklärung reicht nicht aus; sie muss auch aktuell und umfassend sein, um den Anforderungen der DSGVO gerecht zu werden.
Umfassende Informationspflichten werden ignoriert
Viele Betreiber glauben, es reiche aus, pauschal zu erwähnen, dass Daten verarbeitet werden. Das ist ein Trugschluss. Die DSGVO schreibt eine detaillierte Informationspflicht vor, die jede einzelne Datenverarbeitung erfasst. Das bedeutet, dass Sie genau angeben müssen, welche Daten Sie wann und warum sammeln. Betrifft dies Nutzerdaten, die über Formulare, Cookies oder Analyse-Tools erhoben werden? Jede Verarbeitung muss einzeln aufgeführt werden, inklusive der Rechtsgrundlage, auf der diese Verarbeitung basiert. Dies schließt auch die Information über die Speicherdauer der Daten und die Empfänger, an die die Daten weitergegeben werden, ein. Fehlen diese Details, ist die Datenschutzerklärung mangelhaft.
Mangelnde Transparenz bei Drittanbietern
Besonders tückisch wird es, wenn externe Dienste auf der Website eingebunden sind. Denken Sie an Social-Media-Plugins, eingebettete Videos von Videoplattformen oder Analyse-Tools von Drittanbietern. Oft wird vergessen, dass auch die Datenverarbeitung durch diese Dienstleister in der Datenschutzerklärung aufgeführt werden muss. Es genügt nicht, nur zu sagen, dass Sie ein Analyse-Tool verwenden. Sie müssen konkret benennen, welches Tool dies ist, welche Daten es sammelt und wie die Nutzer sich dagegen wehren können. Informieren Sie auch darüber, ob und wie Daten in Länder außerhalb der Europäischen Union übermittelt werden und welche Garantien für den Datenschutz dabei gelten.
Rechtsgrundlagen werden falsch oder gar nicht genannt
Ein weiterer Stolperstein ist das korrekte Benennen der Rechtsgrundlagen für die Datenverarbeitung. Die DSGVO nennt hierfür sechs mögliche Rechtsgrundlagen, wie z.B. die Einwilligung des Nutzers, die Erfüllung eines Vertrags, eine rechtliche Verpflichtung oder das berechtigte Interesse. Viele Betreiber nennen diese Rechtsgrundlagen entweder gar nicht oder falsch. Wenn Sie beispielsweise Cookies , die für den Betrieb der Website nicht zwingend erforderlich sind, benötigen Sie in der Regel die ausdrückliche Einwilligung des Nutzers. Die bloße Berufung auf ein „berechtigtes Interesse“ reicht oft nicht aus. Eine genaue Kenntnis und korrekte Anwendung der Rechtsgrundlagen ist unerlässlich für eine gesetzeskonforme Datenschutzerklärung.
2. Ungenügendes Cookie-Management und fehlende Einwilligung
Cookies sind aus dem modernen Web kaum wegzudenken, doch ihre Nutzung unterliegt strengen Regeln. Der häufigste Fehler hierbei ist das Setzen von Cookies, die nicht technisch notwendig sind, ohne vorher die ausdrückliche und informierte Einwilligung des Nutzers eingeholt zu haben. Ein einfaches Cookie-Banner, das nur über die Nutzung informiert, aber keine aktive Zustimmung ermöglicht, reicht bei weitem nicht aus. Die DSGVO verlangt eine aktive Handlung des Nutzers, um Cookies zuzustimmen, und die Möglichkeit, diese Einwilligung jederzeit zu widerrufen.
Das Cookie-Banner: Mehr als nur ein Hinweis
Viele Websites präsentieren ein Cookie-Banner, das nur zum Scrollen oder Weiterklicken auffordert. Dies ist ein klarer Verstoß gegen die DSGVO. Die Einwilligung muss freiwillig, spezifisch, informiert und unmissverständlich sein. Das bedeutet, der Nutzer muss die Möglichkeit haben, die verschiedenen Arten von Cookies (z.B. Marketing-Cookies, Analyse-Cookies) einzeln anzunehmen oder abzulehnen. Nur technisch notwendige Cookies, die für das Funktionieren der Website unerlässlich sind, dürfen ohne explizite Einwilligung gesetzt werden. Ein Cookie-Banner, das dies nicht korrekt umsetzt, ist ein häufiger und kritischer Fehler.
Technische Notwendigkeit versus Marketing und Analyse
Die Unterscheidung zwischen technisch notwendigen Cookies und solchen für Marketing- oder Analysezwecke ist entscheidend. Cookies, die zum für die Warenkorbfunktion eines Online-Shops oder für die Anmeldung eines Nutzers notwendig sind, fallen unter die technisch notwendigen. Cookies, die zur Verfolgung des Nutzerverhaltens für Werbezwecke oder zur Analyse der Website-Performance dienen, benötigen hingegen eine Einwilligung. Viele Seiten setzen standardmäßig Analyse-Cookies, obwohl der Nutzer dies nie explizit erlaubt hat, was einen Verstoß darstellt. Eine klare Trennung und ein differenziertes Einwilligungsmanagement sind Pflicht.
Widerrufsrecht wird erschwert oder ignoriert
Selbst wenn eine Einwilligung erteilt wurde, müssen Nutzer jederzeit die Möglichkeit haben, diese wieder zu widerrufen. Dies muss genauso einfach sein, wie die Einwilligung zu erteilen. Viele Websites machen es dem Nutzer schwer, ihre Cookie-Einstellungen zu ändern oder ihre Einwilligung zu widerrufen. Oft ist ein erneuter Klick auf ein verstecktes Banner nötig oder die Option zum Widerruf ist nicht offensichtlich platziert. Dies kann dazu führen, dass Nutzer weiterhin getrackt werden, obwohl sie dies nicht mehr wünschen. Ein klares und zugängliches Widerrufsmanagement ist daher ein essenzieller Bestandteil eines datenschutzkonformen Cookie-Managements.
3. Unzureichende Absicherung von Formulardaten
Formulare sind ein zentrales Element jeder interaktiven Website, sei es für Kontaktanfragen, Newsletter-Anmeldungen oder Bestellungen. Doch gerade bei der Übertragung und Speicherung der darin eingegebenen Daten lauern viele Gefahren. Werden diese Daten unverschlüsselt übertragen oder unsicher gespeichert, ist das ein direkter Angriffspunkt für Datendiebe und ein klarer Verstoß gegen die DSGVO.
Fehlende Verschlüsselung bei der Datenübertragung (SSL/TLS)
Ein absolutes Muss für jede Website, die Formulare nutzt, ist die Verschlüsselung der Datenübertragung mittels SSL/TLS-Zertifikat. Dies erkennen Nutzer am „https://“ in der Adressleiste des Browsers und dem grünen Schloss-Symbol. Ohne diese Verschlüsselung werden die Daten, die ein Nutzer in ein Formular eingibt, ungeschützt über das Internet gesendet und könnten von Dritten leicht abgefangen werden. Viele ältere oder schlecht konfigurierte Websites nutzen immer noch kein SSL/TLS, was ein erhebliches Sicherheitsrisiko darstellt und ein massiver DSGVO-Verstoß ist.
Unsichere Speicherung von Formulardaten
Selbst wenn die Daten sicher übertragen wurden, ist die Art der Speicherung entscheidend. Werden die Daten auf dem Server unverschlüsselt in einer Datenbank abgelegt oder ungeschützt in E-Mails versendet, sind sie auch gefährdet. Sensible Daten sollten stets verschlüsselt gespeichert werden, und der Zugriff darauf muss streng reglementiert sein. Wenn Sie beispielsweise personenbezogene Daten aus einem Kontaktformular per E-Mail erhalten, stellen Sie sicher, dass diese E-Mails sicher versendet und empfangen werden und nicht ungeschützt auf diversen Servern liegen bleiben. Die Speicherung sollte zudem nur so lange erfolgen, wie es für den Zweck unbedingt notwendig ist.
Fehlende Double-Opt-In-Verfahren für sensible Anmeldungen
Besonders bei der Anmeldung für Newsletter oder andere Dienste, die die Erhebung von mehr als nur einer E-Mail-Adresse erfordern, ist ein Double-Opt-In-Verfahren unerlässlich. Dabei sendet man nach der ersten Anmeldung eine Bestätigungs-E-Mail an die angegebene Adresse, die der Nutzer anklicken muss, um die Anmeldung abzuschließen. Dies stellt sicher, dass die eingegebene E-Mail-Adresse tatsächlich dem Nutzer gehört und er der Anmeldung zugestimmt hat. Viele Unternehmen verzichten auf dieses Verfahren, um den Anmeldeprozess zu vereinfachen, riskieren damit aber erhebliche Datenschutzverstöße.
4. Unzureichende Transparenz bei der Nutzung von Analyse-Tools
Webanalyse-Tools sind mächtige Werkzeuge, um das Nutzerverhalten zu verstehen und die Website zu optimieren. Doch ihre Nutzung wirft erhebliche datenschutzrechtliche Fragen auf, insbesondere im Hinblick auf die Sammlung und Verarbeitung von Nutzerdaten. Viele Websites setzen diese Tools ein, ohne ihre Nutzer ausreichend darüber zu informieren oder ihnen die Möglichkeit zu geben, die Datenerfassung zu kontrollieren.
Keine oder unzureichende Information über die eingesetzten Tools
Die DSGVO verlangt Transparenz. Das bedeutet, dass Nutzer klar und verständlich darüber informiert werden müssen, welche Analyse-Tools auf der Website eingesetzt werden und welche Daten dabei gesammelt werden. Es reicht nicht aus, allgemein von „statistischen Zwecken“ zu sprechen. Sie müssen die Namen der Tools nennen und erklären, welche Daten sie erfassen (z.B. IP-Adressen, besuchte Seiten, Verweildauer). Diese Informationen müssen leicht zugänglich sein, idealerweise in der Datenschutzerklärung oder an anderer prominenter Stelle auf der Website.
Fehlende Möglichkeit zur Deaktivierung oder Opt-Out
Nutzer haben das Recht, der Erfassung ihrer Daten durch Analyse-Tools zu widersprechen. Dies muss durch eine einfache und zugängliche Opt-Out-Möglichkeit gewährleistet sein. Viele Websites bieten diese Möglichkeit nicht oder verstecken sie so gut, dass sie kaum zu finden ist. Eine funktionierende Opt-Out-Funktion sollte es Nutzern ermöglichen, die Datenerfassung durch einen Klick zu stoppen, idealerweise über ein Cookie, das diese Präferenz speichert. Ohne diese Möglichkeit wird das Recht auf Widerspruch der Nutzer missachtet.
Rechtliche Grauzone bei anonymisierten Daten
Manche Unternehmen argumentieren, dass die von ihnen gesammelten Daten anonymisiert seien und somit nicht unter die DSGVO fallen. Doch Vorsicht: Die Definition von „anonymisiert“ ist streng. Wenn es theoretisch noch möglich ist, Rückschlüsse auf eine Person zu ziehen, handelt es sich nicht um echte Anonymisierung. IP-Adressen beispielsweise gelten in vielen Fällen als personenbezogene Daten, es sei denn, sie werden sofort nach der Erhebung gekürzt oder auf andere Weise so verarbeitet, dass keine Identifizierung mehr möglich ist. Die Annahme, dass alle gesammelten Analyse-Daten automatisch anonym sind, ist ein gefährlicher Irrtum.
5. Unklare Rechtsgrundlagen für Marketing-Maßnahmen
E-Mail-Marketing, gezielte Werbung und personalisierte Angebote sind wichtige Bestandteile vieler Geschäftsmodelle. Doch auch sind die datenschutzrechtlichen Hürden hoch. Die DSGVO schreibt für solche Maßnahmen klare Rechtsgrundlagen vor, die oft ignoriert oder falsch angewendet werden.
Fehlende Einwilligung für Newsletter und Werbe-E-Mails
Der Versand von Newslettern und Werbe-E-Mails an private E-Mail-Adressen erfordert in der Regel die ausdrückliche Einwilligung des Empfängers. Das bedeutet, der Nutzer muss aktiv zustimmen, solche Nachrichten erhalten zu wollen, und diese Zustimmung muss dokumentiert werden. Die sogenannte „Opt-Out“-Praxis, bei der man E-Mails erhält, bis man aktiv widerspricht, ist nach der DSGVO in den meisten Fällen unzulässig. Das Double-Opt-In-Verfahren ist die sicherste Methode, um die Einwilligung rechtskonform zu gestalten.
Missbrauch des „berechtigten Interesses“ für Direktwerbung
Manche Unternehmen versuchen, Direktwerbung unter Berufung auf ein „berechtigtes Interesse“ zu rechtfertigen. Dieses Interesse des Unternehmens darf jedoch nicht die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Für Direktwerbung, insbesondere per E-Mail, ist dies nur in sehr engen Grenzen möglich und meist nur bei bestehenden Geschäftskunden unter bestimmten Voraussetzungen. Die pauschale Berufung auf ein berechtigtes Interesse für den Versand von Werbe-E-Mails an unbekannte Empfänger ist ein häufiger Fehler, der zu Abmahnungen führen kann.
Personalisierte Werbung ohne klare Zustimmung
Wenn Sie Nutzerdaten nutzen, um personalisierte Werbung auszuspielen, müssen Sie auch hierfür eine klare Rechtsgrundlage haben. Dies kann eine explizite Einwilligung sein oder eine sorgfältig abgewogene Interessenabwägung, die in der Datenschutzerklärung transparent gemacht wird. Das Sammeln von Verhaltensdaten über Cookies oder andere Tracker für Werbezwecke ohne entsprechende Information und Zustimmung ist ein klarer Verstoß gegen die DSGVO. Die Nutzer müssen verstehen, wie ihre Daten für personalisierte Werbung verwendet werden und die Möglichkeit haben, dem zu widersprechen.
6. Mangelnde Dokumentation von Verarbeitungstätigkeiten
Die DSGVO fordert von Unternehmen, dass sie ein Verzeichnis der Verarbeitungstätigkeiten führen. Dies ist ein zentrales Element der Rechenschaftspflicht und dient dazu, einen Überblick über alle Aktivitäten zu behalten, bei denen personenbezogene Daten verarbeitet werden. Viele Unternehmen unterschätzen die Bedeutung dieses Verzeichnisses oder führen es gar nicht erst.
Das Verzeichnis der Verarbeitungstätigkeiten: Eine lästige Pflicht?
Dieses Verzeichnis ist kein lästiges bürokratisches Werk, sondern ein essenzielles Instrument zur Einhaltung der DSGVO. Es muss detailliert aufführen, welche personenbezogenen Daten verarbeitet werden, zu welchem Zweck, auf welcher Rechtsgrundlage, an wen sie weitergegeben werden und wie lange sie gespeichert werden. Ein solches Verzeichnis hilft nicht nur den Aufsichtsbehörden, sondern auch dem Unternehmen selbst, potenzielle Risiken zu erkennen und seine Prozesse datenschutzkonform zu gestalten. Wer dieses Verzeichnis nicht führt oder es unvollständig hält, riskiert empfindliche Strafen.
Unvollständige oder veraltete Informationen
Selbst wenn ein Verzeichnis der Verarbeitungstätigkeiten existiert, ist es oft unvollständig oder wird nicht regelmäßig aktualisiert. Neue Prozesse, neue Tools oder Änderungen bei bestehenden Abläufen müssen umgehend in das Verzeichnis eingepflegt werden. Wenn das Verzeichnis nicht den tatsächlichen Verarbeitungsvorgängen entspricht, verfehlt es seinen Zweck. Dies kann bei einer Prüfung zu Problemen führen, da die Aufsichtsbehörden ein aktuelles und korrektes Verzeichnis verlangen.
Keine Dokumentation der technischen und organisatorischen Maßnahmen
Neben der reinen Auflistung der Verarbeitungstätigkeiten verlangt die DSGVO auch die Dokumentation der technischen und organisatorischen Maßnahmen (TOMs), die zum Schutz der personenbezogenen Daten ergriffen werden. Dies umfasst beispielsweise Verschlüsselung, Zugriffsbeschränkungen, Schulungen für Mitarbeiter und Prozesse zur Datensicherheit. Viele Unternehmen vernachlässigen diesen Aspekt, obwohl er entscheidend für die Sicherheit der Daten ist und bei einer Überprüfung nachgewiesen werden muss.
7. Ungenügende Schulung und Sensibilisierung der Mitarbeiter
Datenschutz ist keine reine IT-Aufgabe, sondern betrifft jeden Mitarbeiter eines Unternehmens. Fehlende Schulungen und mangelnde Sensibilisierung für das Thema sind leider noch an der Tagesordnung und öffnen Tür und Tor für Verstöße gegen die DSGVO.
Mitarbeiter sind oft unwissend über Datenschutzpflichten
Viele Mitarbeiter, die täglich mit personenbezogenen Daten arbeiten, sind sich der Tragweite ihrer Handlungen nicht bewusst. Sie wissen nicht, welche Daten sie wie verarbeiten dürfen, wie sie diese schützen müssen oder welche Meldepflichten im Falle eines Datenlecks bestehen. Dies kann zu unbeabsichtigten Fehlern führen, die gravierende Konsequenzen für das Unternehmen haben können. Regelmäßige und gezielte Schulungen sind daher unerlässlich, um das Bewusstsein für Datenschutz zu schärfen und das richtige Verhalten zu vermitteln.
Fehlende klare Anweisungen und Richtlinien
Selbst wenn Mitarbeiter prinzipiell wissen, dass Datenschutz wichtig ist, fehlt es oft an klaren internen Anweisungen und Richtlinien. Wie sollen sie mit sensiblen Kundendaten umgehen? Welche Passwörter müssen sie verwenden? Wie melden sie verdächtige E-Mails oder Vorfälle? Ohne konkrete und verständliche Anleitungen bleibt die Umsetzung des Datenschutzes oft dem Zufall überlassen. Klare Richtlinien und Prozesse sind ein wichtiger Baustein für die Einhaltung der DSGVO.
Keine Reaktion auf potenzielle Datenschutzvorfälle
Ein weiterer kritischer Punkt ist die fehlende Vorbereitung auf mögliche Datenschutzvorfälle. Mitarbeiter wissen oft nicht, wie sie einen Datenverlust, einen Hackerangriff oder eine andere Sicherheitsverletzung erkennen und melden sollen. Die DSGVO sieht klare Meldepflichten vor, die innerhalb einer bestimmten Frist erfüllt werden müssen. Wenn Mitarbeiter nicht geschult sind, wie sie solche Vorfälle handhaben sollen, kann dies zu Verzögerungen bei der Meldung und damit zu höheren Bußgeldern führen. Ein klar definierter Notfallplan und geschultes Personal sind entscheidend.
8. Mangelnde Beachtung von Betroffenenrechten
Die DSG
Autorin
