Es gibt noch immer zahlreiche Unternehmen, die die 2018 eingeführte Datenschutz-Grundverordnung (DSGVO)
nicht vollständig umgesetzt haben. Vielen Unternehmen ist dabei die Notwendigkeit und schon gar nicht der Umfang der Umsetzung klar genug. Von den teils drakonischen Folgen bzw. Bußgeldern ganz zu schweigen. Die geltende DSGVO betrifft alle Unternehmen, die eine Webseite betreiben und personenbezogene Daten verarbeiten, oder einen Shop bzw. Newsletter anbieten. Was heutzutage im Grunde auf jeden Marktteilnehmer zutrifft.
Im Folgenden zeigen wir ihnen die häufigsten Verstöße gegen die DSGVO und erklären, worauf Sie achten sollten um typische Fehler zu vermeiden.
Was ist ein Verstoß gegen die DSGVO?
So gut wie jedes Kapitel der DSGVO regelt die Pflichten, die von verantwortlichen Stellen, d.h. Unternehmen, Vereinen, Behörden etc. einzuhalten sind. Werden diese Vorgaben nicht eingehalten, handelt es sich um einen Verstoß gegen die DSGVO. Sämtliche Vorfälle, bei denen personenbezogene Daten unbeabsichtigt offengelegt, manipuliert oder vernichtet werden, gelten als besonders kritische Verletzung des Datenschutzes – oft auch Datenpanne genannt. Angesichts der schier unendlichen Möglichkeiten individueller Verstöße, ist es nicht verwunderlich, dass der Gesetzgeber nicht jeden Einzelfall konkret beschreibt, sondern allgemeine Formulierungen findet, die dann ggf. von Gerichten ausgelegt werden müssen. So ist ein Verstoß gegen den Schutz personenbezogener Daten allgemein definiert als jede unrechtmäßige oder unbeabsichtigte Handlung, die …
„… zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung bzw. zum unbefugten Zugang zu personenbezogenen Daten führt“ (vgl. Art. 4 Ziff. 12 DSGVO)
Ob ein Datenschutzverstoß gegenüber der Behörde meldepflichtig ist, hängt von den betroffenen Daten und dem Risiko für die betroffene natürliche Person ab. Die Formulierungen hierzu sind jedoch nicht weniger allgemein gehalten. (vgl. Erwägungsgrund 85 DSGVO) Immer gemeldet werden muss eine Datenschutzpanne, die einen physischen, materiellen oder immateriellen Schaden nach sich zieht, z.B. ein Identitätsdiebstahl, Diskriminierung oder finanzielle Verluste und dies möglichst innerhalb von 72 Stunden.
Typische Verstöße gegen die DSGVO
Es gib nahezu unendlich viele Beispiele, wobei einige Verstöße besonders häufig auftreten und in der Praxis für Webseitenbetreiber besonders relevant sind.
➤ 1. Ein Datenschutzbeauftragter wurde nicht benannt
Wenn in ihrem Unternehmen mindestens 20 Personen ständig mit der Speicherung oder Verarbeitung personenbezogener Daten beschäftigt sind, sind Sie verpflichtet einen DSB zu benennen. Zudem können bestimmte Branchen unabhängig von diesem Schwellenwert zur Benennung eines DSB verpflichtet sein, wenn sie mit besonders sensiblen Daten arbeiten. Zum Beispiel im Gesundheitswesen.
➤ 2. Fehlende oder fehlerhafte Datenschutzerklärung
Wenn personenbezogene Daten auf ihrer Webseite erhoben werden, ist die Angabe einer Datenschutzerklärung verpflichtend. Fehlt die Datenschutzerklärung, obwohl z.B. die IP-Adresse des Users, sein Standort oder seine Email Adresse erhoben werden, ist die Erklärung inhaltlich Falsch oder fehlen wesentliche Angaben, handelt es sich um einen Verstoß gegen die DSGVO.
➤ 3. Datenspeicherung und Weitergabe ohne Einverständnis der Betroffenen
Ein weiterer häufiger Verstoß ist das Erfassen personenbezogener Daten, ohne dass die betroffene Person davon in Kenntnis gesetzt wurde und der Verarbeitung ihrer Daten im konkreten Fall aktiv zustimmen konnte. Beispiele für eine solche Verarbeitung persönlicher Daten sind die Eintragung in einen Newsletter-Mailverteiler, die Weiterleitung der Daten an Dritte (z.B. Spedition) oder eine Erfassung zu statistischen oder Marketing Zwecken.
➤ 4. Verlust von personenbezogenen Daten
Ein unsachgemäßer und nicht sicherer Umgang mit persönlichen Daten ist eine weitere häufige Ursache für Datenschutzverstöße. Hierzu zählen u.a. das offen Herumliegenlassen von firmeninternen Datenträgern, der Verlust von Datenträgern, oder auch Hackerangriffe aufgrund mangelhafter Sicherheitsvorkehrungen. Schlimmsten Falls führt dies dazu, dass Daten in die Hände von Dritten fallen. Ganz unbeabsichtigt kann dies auch in einem so simplen wie schwerwiegenden Fall geschehen, bei dem Sie versehentlich eine Rundmail so verschicken, dass die Adressen aller Empfänger für die jeweils anderen sichtbar sind (Verteiler in CC und nicht in BCC).
Wie können Sie Verstöße gegen die DSGVO vermeiden?
Verstöße gegen den Datenschutz können Sie teuer zu stehen kommen. Keine Webseite ist aber natürlich auch keine Alternative. Deswegen gilt, halten sie sich auf dem Laufenden was neue Regelungen angeht und bemühen Sie sich die Anforderungen, die die DSGVO stellt, einzuhalten. Damit vermindern Sie ihr Risiko erheblich.
Gehen Sie wie folgt vor:
- Beginnen Sie mit einer Bestandsaufnahme! Welche Datenverarbeitungen erfolgen auf Ihrer Webseite? Dabei helfen können ggf. automatische Analysen, oder sie gehen auf Nummer sicher und fragen eine professionelle Agentur. So erfahren Sie u.a. welche Drittanbieter auf Ihrer Webseite eingebunden sind.
- Anschließend sollten Sie prüfen, ob die Verarbeitung, der auf ihrer Webseite erhoben Daten, rechtmäßig ist. Überprüfen Sie für jede einzelne Tätigkeit, welche Rechtsgrundlage gilt und ob die Einstellungen ihrer Webseite die entsprechenden Anforderungen erfüllen. Achten Sie darauf, das erhobene Daten nicht über den angegebenen Zweck hinaus verarbeitet und keine unnötigen Daten erfasst werden.
- Schließen Sie mit einer transparenten und vollständigen Darstellung in Ihrer Datenschutzerklärung welche Daten erfasst werde, wofür diese genutzt werden und wie lange die Daten gespeichert werden. Unter anderem müssen Sie die User hier auch informieren, wer für die Datenverarbeitung verantwortlich ist und welche Rechte sie haben. Nehmen Sie hierfür ruhig professionelle Hilfe in Anspruch.
Datenschutz ist ein stetiger Prozess. Ändern sich Abläufe auf ihrer Webseite, ändert sich die Verarbeitung von Daten, muss dies in der Datenschutzerklärung berücksichtigt werden. Prüfen Sie daher regelmäßig, ob Anpassungen erforderlich sind. Darüber hinaus sollten Sie auch gesetzliche Änderungen oder neue Rechtsprechung im Auge behalten. Diese können ebenfalls Anpassungen der Datenschutzerklärung erforderlich machen.
Die 5 häufigsten Verstöße gegen die DSGVO auf Webseiten
Wir raten ihnen dringend dazu, sich intensiv mit diesem Thema zu befassen, oder ihre Webseite, Landingpage oder
Shop von Experten prüfen zu lassen. Zudem ändern sich die Datenschutzanforderungen ständig, weshalb wir
ebenfalls dazu raten, sich ihre Datenschutzerklärung mit ihrer Webagentur anzusehen und ggf. anzupassen.
Wenn ihr Unternehmen bis dato im Bereich des Datenschutzes noch überhaupt nicht tätig geworden ist, sollten Sie
entweder einen spezialisierten Rechtsanwalt kontaktieren oder sich an einen Datenschutzberater wenden.
➤ 1. Cookie Banner / Consent Tool
Rechts sehen Sie, wie ein DSGVO konformes Cookie
Banner auszusehen hat. Es ist nicht mehr ausreichend nur die Auswahl „Alle Cookies annehmen“ oder „Alle Cookies ablehnen“ anzubieten. Der Webseitenbesucher muss die Möglichkeit haben, auszuwählen, welche seiner Daten getrackt werden dürfen und welche nicht.
➤ 2. Google Fonts
Ohne auf etwaige Urheberrechte zu achten, nutzen Viele einfach irgendwelche Schriftarten auf ihrer Webseite. Google bietet eine Bibliothek von über 1400 Schriftarten, die man ohne eine Lizenz kostenfrei nutzen kann. Dieses interaktive Verzeichnis kann remote aber auch lokal eingebunden werden. Aber Achtung: Die Einbindung von Google Fonts kann gegen den Datenschutz verstoßen.
Lesen Sie hierzu unseren Artikel zum Thema Google Fonts.
➤ 3. Checkboxen unter Kontaktformular
➤ 4. Marketing Tracking Pixel
Tracking Pixel sind 1x1Pixel große transparente Grafiken, die beim Aufrufen einer Webseite geladen werden und damit Nutzerdaten tracken. Sofern der Webseitenbesucher die entsprechenden Cookies akzeptiert hat, ist dies auch erlaubt. Jedoch erfolgt ihre Einbindung oft falsch. Es müssen einheitliche Buttons und ,,Events“ im Business Manager definiert werden und es muss festgelegt werden, dass nur dieses Event getrackt werden darf, wenn der Besucher der Webseite beispielsweise nicht alle Cookies akzeptiert.
➤ 5. Einbindung von YouTube Videos
Jedes Mal, wenn ein User eine Seite von ihnen aufruft, auf der ein YouTube Video eingebunden ist, werden Daten des Users an YouTube übermittelt. Im Hinblick auf die DSGVO stellen YouTube Videos damit ein datenschutzrechtliches Risiko dar und bedürfen mindestens einer Zustimmung durch den User. Fragen Sie uns gerne, wenn Sie an Möglichkeiten interessiert sind YouTube Videos rechtlich sicher einzubinden, hinausgehend über ein einfaches Einbetten in WordPress o.a. mit einem Link, wie rechts im Screenshot gezeigt.
Fazit:
Nehmen Sie mögliche Datenschutzverstößen und die Datenschutzerklärung ernst. Selbst kleine Verstöße auch unbeabsichtigte können zu horrenden Bußgeldern führen. Hinzu kommen dann noch der Vertrauens- und Imageverlust bei ihren Kunden. Achten Sie darauf, dass ihre Webseite, Landingpage oder Onlineshop immer auf dem neuesten Stand ist und aktualisieren Sie ihre Datenschutzerklärung regelmäßig. Um hier nicht den Überblick zu verlieren, ist es ratsam einen Datenschutzbeauftragten zu benennen. Wenn Sie einen DSB benennen, gehen Sie nicht davon aus, dass er die Pflichten als DSB nebenbei erledigt, während er bereits einen anderen Vollzeit Job in ihrem Unternehmen ausübt. Geben Sie ihrem DSB die Zeit, damit er seinen Aufgaben und Pflichten gewissenhaft nachkommen kann und zu einem zuverlässigen Ansprechpartner in allen relevanten Fragen rund um das Thema Datenschutz in ihrem Unternehmen wird. Wenn sie unsere Empfehlungen berücksichtigen, verringern Sie ihr Risiko in eine Datenschutz-Falle zu tappen erheblich. Zudem bevorzugt Google rechtlich sichere Seiten und stuft sie als relevant und sicher für andere User ein. Und das gibt ihnen einen Boost für ihr Ranking in den Google Suchergebnissen.