Planung ist die halbe Miete

Ihr kennt das vielleicht auch. Ihr bekommt den Auftrag, mal die Datenschutzhinweise für eine Internetseite des Unternehmens oder für ein Sonderprojekt zu erstellen. Klassische Frage:

Kannst du uns mal schnell Datenschutzhinweise zur Verfügung stellen? Wir brauchen die für die neue Website, die übermorgen online geht.

Die Erwartungshaltung der Kollegen ist hier häufig, dass Datenschutzhinweise einfach aus der Schublade kommen. Das ist nachvollziehbar, denn Datenschutzhinweise im Web lesen sich mittlerweile immer gleich. Also können die Kollegen doch auch davon ausgehen, dass diese standardisiert sind, wie z.B. ein Impressum auch.

Ja…das könnte man meinen. Häufig werden dann auch Datenschutzhinweise erstellt. Die Seite geht online. Und dann kam bei mir häufig das böse Erwachen. Denn, da es „natürlich“ (und leider) nicht möglich war, mir vorher Zugriff auf die Seiten zu geben, konnte ich mir vorher keinen Einblick darüber verschaffen, was die Seite überhaupt macht. Und dann merkte ich nicht nur einmal, dass die Datenschutzhinweise überhaupt nicht oder in wichtigen Teilen nicht dem entsprachen, was die Website „tut“.

Daher weigere ich mich in aller Regel Datenschutzhinweise für Internetseiten zu erstellen, die ich nicht vorher sehen konnte. Aber da gibt es auch noch ein weiteres Problem. Selbst wenn ich die Seiten vorher auf einem Test-Server sehen konnte, kommt es wirklich sehr häufig dazu, dass die Seiten dann beim richtigen „Live-Gehen“ auch nicht mehr zu den erstellten Datenschutzhinweisen passen. Warum nicht?

Das ist schnell erklärt. Auf dem Test-Server werden die Seiten häufig ohne Skripte oder Aufrufen zu Drittdienstleistern „gefahren“. Wenn die Seiten dann „live“ gehen, merke ich dann, dass beim Aufruf der Seite nicht nur Inhalte vom Server des Unternehmens, sondern auch von Drittdienstleistern geladen werden. Dass z.B Google Analytics eingebunden wird – normal. Wird in der Regel auch vorher benannt. Allerdings werden häufig noch weitere Dienste aufgerufen. Und das Erkennen ist dann meist gar nicht so einfach. Denn sehr häufig erfolgt diese Einbindung über den Google Tag Manager, so dass gar nicht auf Anhieb erkennbar ist, was dort überhaupt an Datenverarbeitung passiert.

Oder es werden nun Google Webfonts oder Schriftarten von Adobe Typekit eingebunden. Auch das führt zu Aufrufen von Drittdienstleistern. Und die goldene Regel für die Erstellung von Datenschutzhinweisen heißt:

Nicht nur Hinweise zu verwendeten Cookies müssen sich in den Datenschutzhinweisen befinden, sondern vor allem auch eine Erklärung zu jedem Aufruf von „Dritt-Servern“, also alles außerhalb der jeweiligen Domain des Servers.

Wie löse ich nun dieses Problem? Dazu empfehle ich folgende Schritte vor der Erstellung der Datenschutzhinweise:

  1. Informationen von den Kollegen zur Verwendung von Cookies und zur Einbindung von Drittdienstleisern einholen
  2. Mit Browser-Tools testen, was auf der Seite passiert.

Die Umsetzung beider Schritte ist nicht wirklich schwer.

Wie hole ich diese Informationen bei den Kollegen oder Agentur ein?

Ganz einfach. Ihr fragt danach. Ihr könntet z.B. Folgendes schreiben:

Liebe Kollegen,

ich soll die neuen Datenschutzhinweise für die Internetseiten erstellen. Um diese erstellen zu können, brauche ich folgende Informationen von euch:

  1. Welche Daten werden vom Webserver beim Aufruf der Seiten erhoben (z.B. IP-Adresse, Zeitpunkt, Datenmenge, Browserinformationen etc.)? Diese Daten bitte möglichst genau bezeichnen.
  2. Werden die zu Ziff. 1 erhobenen Daten gespeichert? Wenn ja, wie lange?
  3. Kommen Cookies zum Einsatz? Wenn ja, bitte alle Cookies benennen und zwar nach Art (Session Cookies / Persistent Cookies), Namen des Cookies, Speicherdauer („Lifetime“) und Zweck des Cookies.
  4. Werden fremde Webserver beim Aufruf der Internetseiten aufgerufen? Das kommt häufig bei Einbindung von Webanalyse-Tools (z.B. Google Analytics), Schriftarten („Webfonts“) oder JavaScript-Bibliotheken (jQuery etc.) in die Internetseiten vor. Bitte alle diese Drittdienstleister benennen und jeweils den Zweck der Nutzung angeben.
  5. Wenn Drittanbieter zum Einsatz kommen, bitte auch die vertraglichen Regelungen für die Einbindung zur Verfügung stellen. Wenn der Dienstleister nicht aus der EU kommt, dann bitte angeben ob die sog. EU-Standardvertragsklauseln vereinbart wurden oder – im Falle von US-Dienstleistern – ob diese in der sog. Privacy-Shield-Liste aufgeführt sind.

Wenn ich diese Informationen bekommen habe, kann ich Datenschutzhinweise erstellen bzw. ergänzende Fragen stellen oder Hinweise geben.

Bitte beachtet, dass ich die „finale“ Seite dann vor dem „Livegang“ dann noch einmal unter „Echbedingungen“ ansehen können muss, um zu sehen, ob die Datenschutzhinweise in allen Aspekten zu den Internetseiten passen.

Vielen Dank für euer Verständnis!

Natürlich könnt ihr den Text auch gerne noch einmal umformulieren.

Auf was ihr dann technisch noch einmal achten müsst und wo die Fallstricke dort liegen, erfahrt im nachfolgenden Video: