Eine Datenschutzerklärung umschreibt Maßnahmen, die eine Organisation / ein Unternehmen ergreift, um die Privatsphäre seiner Kunden zu wahren. Hierbei geht es insbesondere um personenbezogene Daten, wie sie gesammelt, genutzt und ob sie ggf. an Dritte weitergegeben werden.
Eine Datenschutzerklärung ist für fast jede unternehmerische Website Pflicht. Denn alleine das Angebot eines Kontaktformulars oder ein Formular zum Abonnieren eines Newsletters erfordern einen entsprechenden Hinweis des Website-Betreibers, was mit den dort eingetragenen und an das Unternehmen übermittelten Daten (Name, E-Mail-Adresse) passiert. Außerdem hat der Kunden ein Anrecht auf Auskunft über seine Daten (Auskunftspflicht des Anbieters) und ein Recht auf Löschung derselben. Diese Angaben und Pflichten sind im Telemediengesetz (TMG) geregelt.
Zu den personenbezogene Daten zählen alle persönlichen Daten wie beispielsweise:
- Name, Alter, Familienstand, Geburtsdatum
- Anschrift, Telefonnummer, E-Mail Adresse
- Konto-, Kreditkartennummer
- Kraftfahrzeugnummer, Kfz-Kennzeichen
- Personalausweisnummer
- Sozialversicherungsnummer
- Krankendaten
- Zeugnisse
- etc.
Selbst IP-Adressen werden in vielen Ländern - auch in Deutschland - dazu gezählt.
Web-Anlayse-Tools wie Google Analytics oder Piwik erheben u.a. auch IP-Adressen und speichern diese für die Auswertung der Nutzung einer Website. Hierzu werden häufig Nutzerprofile erstellt. Sowohl die Speicherung der IP-Adresse als auch die Auswertung von Nutzerprofilen per Cookie, machen eine Datenschutzerklärung erforderlich.
Auftragsdatenvereinbarung
Wenn ein Unternehmen ein anderes Unternehmen damit beauftragt, Daten für sich zu verarbeiten, so handelt es sich dabei – sofern auch personenbezogene Daten verarbeitet werden – datenschutzrechtlich um eine Verarbeitung von Daten im Auftrag oder anders ausgedrückt um eine Auftragsdatenverarbeitung. In nahezu jedem Unternehmen kommt eine Auftragsdatenverarbeitung zum Einsatz. Sei es durch die Nutzung eines externen Rechenzentrums oder die Wartung von IT-Systemen durch technische Dienstleister. Auch wenn ein Unternehmen einen Dienstleister mit der Erstellung und Auswertung einer Webanalyse beauftragt, liegt eine Auftragsdatenverarbeitung vor. Selbst bei Cloud-basierten Diensten, wie Dropbox u.a.
Google Analytics
Aus dieser Rechtslage ergibt sich, dass bei der datenschutzkonformen Nutzung von Google Analytics ein Vertrag zur Auftragsdatenverarbeitung mit Google geschlossen werden muss.
Piwik
Bei der Nutzung von Piwik lassen sich unter Einstellungen > Privatsphäre einmal die IP-Adressen anonymisieren und weiter unten kann die "Do not Track"-Einstellung aktiviert werden, die es Nutzern ermöglicht zu entscheiden, ob ihr Klick-Verhalten gespeichert werden darf. Ein entsprechender Passus kann dann auf der Website innerhalb der Datenschutzerklärung angezeigt werden.
Weitere Informationen zum Thema:
- RA Schwenke: Google Analytics rechtssicher nutzen – Anleitung und Muster für Webmaster
- Datenschutzbeauftragter-Info: Piwik datenschutzkonform einsetzen
- Datenschutz-Guru: Auftragsdatenverarbeitung
Ergänzung 21.01.2017:
Auch der Einsatz von Social Media Buttons (Facebook, Twitter, Google+ & Co.) ist nicht datenschutzkonform. Hier gibt es das Open-Source-Programm Shariff, welches von c’t und Heise entwickelt wurde. Der Shariff-Button stellt den direkten Kontakt zwischen dem jeweiligen sozialen Netzwerk und dem Besucher erst dann her, wenn letzterer aktiv auf den Share-Button klickt.
Die gewerbliche Nutzung von GoogleMaps ist nur über die Google Maps API und nicht über die viel einfachere HTML-Code-Integration gestattet. Auch hier werden Nutzerdaten an Google übermittelt, worauf in der Datenschutzerklärung hinzuweisen ist. Als Alternative zu GoogleMaps bietet sich der Einsatz von OpenStreetMap an.