In den letzten Newslettern haben wir darüber berichtet, wie die neue EU-DSGVO die Vorschriften zum Schutz von personenbezogenen Daten bei betriebsinternen Vorgängen extrem verschärft hat. Aber auch und gerade bei der Nutzung des Internets will die DSGVO die Rechte der Nutzer stärken. Für jeden Betrieb, der eine Homepage betreibt – und das dürfte inzwischen die überwiegende Mehrzahl sein – sieht sich damit vor dem Problem, diese sogenannten „Betroffenenrechte“ bei der Nutzung der eigenen Homepage zu berücksichtigen.

In der DSGVO heißt es dazu explizit: "Die Grundsätze einer fairen und transparenten Verarbeitung machen es erforderlich, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird." Das bedeutet, dass jede Person darüber informiert werden muss, wann und zu welchem Zweck Daten von ihr gespeichert oder verarbeitet werden. So wird alleine schon durch den Besuch der Homepage häufig die IP-Adresse erfasst und gespeichert. Darüber muss der Nutzer nun informiert werden.

Wann muss der Betrieb informieren?

Zum Zeitpunkt der Information äußert sich die DSGVO sehr konkret. In dem Moment, in dem der Betroffene personenbezogene Daten preisgibt, muss ihm darüber auch eine Information vorliegen.

Hier einige Beispiele:

„Betroffener“	personenbezogene Daten?	Anlass der Ersterhebung	Zeitpunkt der Information durch Datenschutzhinweis
Besucher der Homepage	z. B. IP-Adresse, Nutzung von Kontaktformularen, Name und Adressdaten	IP-Adresse sofort beim Aufruf der Homepage, Formulardaten beim Absenden des Formulars	Muss sofort beim Aufruf der Homepage einsehbar sein (Direktverlinkung von der Startseite)
telefonische Kontaktaufnahme	Name, Firmendaten, Angaben zum Unternehmen	Notiz der Informationen während des Gesprächs	Anrufer muss auf Datenschutzinformation hingewiesen werden (z. B. Link auf Homepage), kann diese vor Herausgabe der Daten anfordern. Ansonsten direkt nach Erfassung der Daten z. B. per E-Mail zur Verfügung stellen.
Kunde/Lieferant	Alle im Rahmen der Auftragsbearbeitung notwendigen personenbezogenen Daten.	Bei Aufnahme der Anfrage/des Auftrags.	Im Angebot/in der Auftragsbestätigung.
Mitarbeiter	Alle im Rahmen des Arbeitsvertrages erforderlichen Daten. Ggf. Einwilligung für Verwendung des Fotos.	Bei Abschluss des Arbeitsvertrages (Achtung: Hier gilt es noch weitere Unterlagen zum Datenschutz vorzuhalten.	In gleicher Form wie Arbeitsvertrag, sprich in der Regel schriftlich.

 Welche Informationen sind notwendig?

Folgende Informationen müssen dem Betroffenen zu Beginn der Datenverarbeitung zur Verfügung stehen:

• Name und Kontaktdaten der Kanzlei,
• die Kontaktdaten des Datenschutzbeauftragten, sofern dieser benannt werden muss,
• die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung (Vertragsverhältnis, rechtliche Grundlage etc.),
• bei Verarbeitung nach Art. 6 Abs. 1f (Berechtigte Interessen des Verantwortlichen oder Dritter als Erlaubnis für die Verarbeitung), die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden,
• falls die Daten weitergegeben werden, die konkreten Empfänger oder Kategorien von Empfängern (z.B. Behörden, Gesellschafter) der personenbezogenen Daten und
• gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Art. 47 oder Artikel 49 Abs. 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

Tipp:

Wer das Verzeichnis der Verarbeitungstätigkeiten, über das wir im 2. Teil dieser Serie informiert haben, erstellt hat, kann die hier notwendigen Angaben schnell zusammentragen. Es muss lediglich nachgesehen werden, in welche Prozesse Daten des Betroffenen einfließen. Die geforderten Informationen können aus dem Verzeichnis zusammengetragen und unkompliziert in Form eines Datenschutzhinweises weitergegeben werden. Es lohnt sich also, etwas mehr Aufwand für die Erstellung und regelmäßige Pflege des Verzeichnisses der Verarbeitungstätigkeiten zu investieren und hier auch die Unterstützung des Datenschutzspezialisten hinzuzuziehen.

Zusätzlich zu den oben aufgeführten Informationen muss der Betrieb dem Betroffenen noch weitere Angaben über die Verwendung seiner Daten und seine Rechte gegenüber des Betriebs verfügbar machen. So muss z. B. die Dauer, für die die personenbezogenen Daten gespeichert werden dem Betroffenen mitgeteilt werden. Falls dies nicht möglich ist, müssen zumindest die Kriterien für die Festlegung dieser Dauer bekanntgemacht werden.

Der Betroffene muss auf das Bestehen eines Rechts auf Auskunft über die betreffenden personenbezogenen Daten, Berichtigung, Löschung oder auf Einschränkung der Verarbeitung hingewiesen werden. Auch über andere bestehende Rechte muss der Betroffene informiert werden.

Der Datenschutzhinweis auf der Homepage

Um korrekte Datenschutzhinweise für die Homepage zu erstellen, müssen in einem ersten Schritt folgende Fragen geklärt werden:

1. Welche personenbezogenen Daten, inkl. der IP-Adresse, werden auf der Homepage verarbeitet?
2. Welche Dritten sind an dieser Verarbeitung beteiligt?

Die Frage, ob Dritte an der Verarbeitung beteiligt sind, stellt sich im Grunde genommen nicht. Da die meisten Betriebe für das Hosting der Homepage auf die Unterstützung eines Internet-Service-Anbieters zugreifen, dürften hier fast immer Dritte beteiligt sein.

Tipp:

Auch hier kann wieder auf das bereits beschriebene Verzeichnis der Verfahrenstätigkeiten verwiesen werden. Darin müssen, wenn das Verzeichnis korrekt erstellt wurde, alle Datenverarbeitungen auf dem Internetangebot der Kanzlei mit den notwendigen Informationen enthalten sein. Neben der Speicherung der IP-Adresse durch den Hoster der Homepage sind z. B. auch eingebundene Eingabeformulare, z. B. ein Kontaktformular oder ein Formular für Onlinebewerbungen, zu beachten.

Nachfolgend finden Sie eine beispielhafte Gliederung für eine Datenschutzinformation / einen Datenschutzhinweis für die Homepage:

1. Verantwortliche Stelle

• Name und Kontaktdaten der Kanzlei
• Sofern vorhanden Kontaktdaten des Datenschutzbeauftragten
• Adresse der Zuständigen Datenschutz-Aufsichtsbehörde ist empfehlenswert.

2. Datenverarbeitung

• Aufzählung der personenbezogenen Daten (z. B. IP-Adresse) oder der Kategorien personenbezogener Daten (z. B. Adressdaten), die auf der Homepage verarbeitet werden.
• Dauer der Speicherung dieser Daten (sofern nicht konkret benennbar die Kriterien für die Festlegung der Speicherdauer, z. B. gesetzliche Archivierungsfristen).
• Zwecke der Datenverarbeitung (z. B. Bereitstellung einer Kanzleipräsenz im Internet).
• Angabe der Rechtsgrundlage für die Verarbeitung.
• Achtung: Die in 2. genannten Informationen sind separat für jeden Dritten (Hosting, eingebundene Tools), der personenbezogene Daten des Benutzers verarbeitet, anzugeben.

3. Weitergabe und Auslandsbezug

Sofern die Weitergabe der Daten an ein Drittland oder an eine internationale Organisation geplant ist, sind hier entsprechende Informationen dazu zu hinterlegen, insbesondere über Vorhandensein oder Fehlen eines Angemessenheitsbeschlusses der Kommission und der Verweis auf geeignete oder angemessene Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

4. Betroffenenrechte

• Bestehen eines Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit.
• Bestehen eines Rechts, eine eventuell erteilte Einwilligung in die Datenverarbeitung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird.
• Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde.

Tools von Drittanbietern

Ein besonderes Augenmerk ist auf in die Kanzleihomepage eingebundene Tools von Drittanbietern zu richten, damit diese nicht übersehen werden. Wird eine Benutzeranalyse durchgeführt, so sind in der Regel Tools wie Google Analytics oder Piwik in die Homepage eingebunden. Diese Tools verarbeiten ggf. die IP-Adresse der Besucher und müssen im Detail im Datenschutzhinweis aufgeführt werden.

Wird ein Anbieter für Newsletter wie z.B. Cleverreach eingebunden oder ein Tool zur aktuellen Anzeige von Börsenkursen genutzt, eine Wettervorhersage am Standort der Kanzlei angezeigt oder einen kostenlosen Routenplaner in die Homepage integriert, dann müssen diese Tools dahingehend untersucht werden, ob die IP-Adresse des Besuchers verarbeitet wird. Wenn das so ist, müssen diese Verarbeitungen auch im Verzeichnis der Verarbeitungstätigkeit mit den notwendigen Informationen aufgeführt sein. Sie sollten außerdem prüfen, ob durch die Nutzung der Tools eine Auftragsverarbeitung zu Stande kommt. In einem solchen Fall wäre eine datenschutzkonforme Durchführung der Verarbeitung und der Abschluss vertraglicher Vereinbarungen sicherzustellen.

Fazit

Die Informationspflichten eines Betriebs werden durch die DSGVO grundlegend erweitert. Allein im Hinblick auf den Datenschutzhinweis der Homepage sind wesentlich mehr und detailliertere Auskünfte erforderlich, als das bisher der Fall war. Insbesondere scheint ein sauber geführtes Verzeichnis der Verfahrenstätigkeit (siehe Teil 2 dieser Serie) von besonderer Wichtigkeit zu sein.