Ihr kennt das vielleicht auch. Ihr bekommt den Auftrag, mal die Datenschutzhinweise für eine Internetseite des Unternehmens oder für ein Sonderprojekt zu erstellen. Klassische Frage:

Kannst du uns mal schnell Datenschutzhinweise zur Verfügung stellen? Wir brauchen die für die neue Website, die übermorgen online geht.

Die Erwartungshaltung der Kollegen ist hier häufig, dass Datenschutzhinweise einfach aus der Schublade kommen. Das ist nachvollziehbar, denn Datenschutzhinweise im Web lesen sich mittlerweile immer gleich. Also können die Kollegen doch auch davon ausgehen, dass diese standardisiert sind, wie z.B. ein Impressum auch.

Ja…das könnte man meinen. Häufig werden dann auch Datenschutzhinweise erstellt. Die Seite geht online. Und dann kam bei mir häufig das böse Erwachen. Denn, da es „natürlich“ (und leider) nicht möglich war, mir vorher Zugriff auf die Seiten zu geben, konnte ich mir vorher keinen Einblick darüber verschaffen, was die Seite überhaupt macht. Und dann merkte ich nicht nur einmal, dass die Datenschutzhinweise überhaupt nicht oder in wichtigen Teilen nicht dem entsprachen, was die Website „tut“.

Daher weigere ich mich in aller Regel Datenschutzhinweise für Internetseiten zu erstellen, die ich nicht vorher sehen konnte. Aber da gibt es auch noch ein weiteres Problem. Selbst wenn ich die Seiten vorher auf einem Test-Server sehen konnte, kommt es wirklich sehr häufig dazu, dass die Seiten dann beim richtigen „Live-Gehen“ auch nicht mehr zu den erstellten Datenschutzhinweisen passen. Warum nicht?

Das ist schnell erklärt. Auf dem Test-Server werden die Seiten häufig ohne Skripte oder Aufrufen zu Drittdienstleistern „gefahren“. Wenn die Seiten dann „live“ gehen, merke ich dann, dass beim Aufruf der Seite nicht nur Inhalte vom Server des Unternehmens, sondern auch von Drittdienstleistern geladen werden. Dass z.B Google Analytics eingebunden wird – normal. Wird in der Regel auch vorher benannt. Allerdings werden häufig noch weitere Dienste aufgerufen. Und das Erkennen ist dann meist gar nicht so einfach. Denn sehr häufig erfolgt diese Einbindung über den Google Tag Manager, so dass gar nicht auf Anhieb erkennbar ist, was dort überhaupt an Datenverarbeitung passiert.

Oder es werden nun Google Webfonts oder Schriftarten von Adobe Typekit eingebunden. Auch das führt zu Aufrufen von Drittdienstleistern. Und die goldene Regel für die Erstellung von Datenschutzhinweisen heißt:

Nicht nur Hinweise zu verwendeten Cookies müssen sich in den Datenschutzhinweisen befinden, sondern vor allem auch eine Erklärung zu jedem Aufruf von „Dritt-Servern“, also alles außerhalb der jeweiligen Domain des Servers.

Wie löse ich nun dieses Problem? Dazu empfehle ich folgende Schritte vor der Erstellung der Datenschutzhinweise:

1. Informationen von den Kollegen zur Verwendung von Cookies und zur Einbindung von Drittdienstleisern einholen
2. Mit Browser-Tools testen, was auf der Seite passiert.

Die Umsetzung beider Schritte ist nicht wirklich schwer.

Wie hole ich diese Informationen bei den Kollegen oder Agentur ein?

Ganz einfach. Ihr fragt danach. Ihr könntet z.B. Folgendes schreiben:

Natürlich könnt ihr den Text auch gerne noch einmal umformulieren.

Auf was ihr dann technisch noch einmal achten müsst und wo die Fallstricke dort liegen, erfahrt im nachfolgenden Video: