Springe zum Inhalt

Warum Datenschutzbeauftragte mit Webseiten überfordert sind

Mit Einzug der Datenschutzgrundverordnung (DS-GVO) stellen immer mehr Unternehmen einen Datenschutzbeauftragten an. Dieser soll helfen, Datenschutzrichtlinien einzuhalten. Doch der Datenschutzbeauftragte kann vieles nicht leisten, was von ihm erwartet wird.

Datenschutz

Was macht der Datenschutzbeauftragte?

Laut Wikipedia wirkt der Beauftragte für den Datenschutz darauf hin, dass die einschlägigen Gesetze eingehalten werden. Das sind aktuell u.a. das Bundesdatenschutzgesetz (BDSG) und das Telemediengesetz (TMG). Mit der DS-GVO werden diese durch andere Gesetze und Richtlinien abgelöst. Zum Teil entstehen mit der DS-GVO neue Verpflichtungen, zum großen Teil bleiben sie aber gleich.
Die Aufgaben des Datenschutzbeauftragten sind vielfältig, der er ist für alle Prozesse im Unternehmen zuständig, die mit personenbezogenen Daten zu tun haben.
Er darf sich nicht selbst kontrollieren. Ist jemand also für die Erstellung oder Inhalte der Firmenwebseite zuständig, darf er nicht als Datenschutzbeauftragter für Webseiten agieren.
Deshalb werden oft externe Mitarbeiter für diese verantwortungsvolle Aufgabe eingestellt.

Was kann der Datenschutzbeauftragte leisten?

Das hängt natürlich von der Kompetenz und Erfahrung der jeweiligen Person ab. Typischerweise handelt es sich wohl nicht um einen IT-Spezialisiten, denn der beschäftigt sich selten tiefgehend mit Unternehmensprozessen aller Art. Der Datenschutzbeauftragte muss jedenfalls eine entsprechende Sachkunde aufweisen, um formal das Thema Datenschutz für das Unternehmen zu untersuchen, Maßnahmen vorzuschlagen und zu überwachen.
Die Aus- und Weiterbildung ist nicht geregelt. Statt dessen gibt es zahlreiche Kurse, auch von IHKs, die zu dem Job befähigen sollen.
Von einer fundierten Ausbildung kann aktuell kaum die Rede sein.
Datenschutzbeauftragte, die Anwälte sind, haben in der Regel sehr wenig Einblick in technische Abläufe, die für Webseiten relevant sind. Und solche, die einen IT-Hintergrund haben, kennen sich sicher nicht mit einschlägigen juristischen Gegebenheiten aus.

Das Problem

Wie dargestellt, ist es sehr unwahrscheinlich, dass ein Datenschutzbeauftragter sowohl technische als auch juristische Expertise mit bringt. Websites sind aber in erster Linie ein technisches Konstrukt, das auch aus Quellcode besteht. Die Inhalte einer Webseite wiederum unterliegen dem BDSG ebenso wie dem TMG.
Abgesehen davon sind Webseiten häufig sehr umfangreich. Unsere Untersuchung von über 400 Websites zeigt, dass im Durchschnitt mehrere hundert Seiten auf einer Webpräsenz vorhanden sind.

IP-Adressen als personenbezogenes Datum

Das Problem mit Webseiten: Jeder Zugriff durch einen Nutzer auf eine Seite verursacht zwangsläufig den Austausch personenbezogener Daten. Denn seit einem BGH-Urteil aus dem Jahr 2017 gelten IP-Adressen als personenbezogen.
Bindet man auf einer Seite eine Karte der Firma Google ein, passiert technisch folgendes:

  1. Die Webseite wird geladen, weil der Nutzer sie aufgerufen hat
  2. Dabei wird die IP-Adresse des Nutzers an den Server geschickt, auf dem die Webseite betrieben wird. Der Betreiber erhält also personenbezogene Daten seines Nutzers, ob er will oder nicht
  3. Nun wird die Google Maps Komponente geladen
  4. Dabei wird die IP-Adresse des Nutzers an die Firma Google mit Sitz in den USA geschickt (dort gelten die strengen Datenschutzrichtlinien aus Deutschland und der EU nicht)
  5. Google speichert die IP-Adresse des Nutzers wahrscheinlich und wertet sie ebenso wahrscheinlich umfangreich aus (siehe Remarketing für Werbeanzeigen)
  6. Der Betreiber der Webseite haftet zunächst für das Verhalten von Google

Die Datenschutzerklärung

Um Ihre Haftung als Verantwortlicher für eine Webseite zu beschränken und um Ihre Nutzer gemäß BDSG und DS-GVO korrekt zu unterrichten, müssen Sie eine Erklärung für jeden Vorgang abgeben, bei dem Daten Ihrer Nutzer weitergegeben werden. Im Falle der Einbindung von Google Maps ist das gegeben. Daher muss eine Erklärung für Google Maps in Ihrer Datenschutzerklärung vorhanden sein. Ist sie das nicht, handeln Sie rechtswidrig und können dafür abgemahnt werden. Mit der DS-GVO drohen für (vermeintlich geringe) Verstöße dieser Art rigorose Strafen.

Das Dilemma

Der Datenschutzbeauftragte wird höchstwahrscheinlich nicht alle 180 Seiten Ihrer Webpräsenz aufrufen, ansehen, den Quellcode analysieren und Ihnen dann Empfehlungen geben, was Sie zu tun haben.

Er wird Ihnen für alle eingesetzten Komponenten auf einer Website nicht mitteilen können, ob diese datenschutzrechtlich korrekt konfiguriert sind.

Als Beweis dafür, dass das Problem real ist sei hier ein kaum zu glaubender Fall erwähnt: Wir haben mehrere IHK-Webseiten untersucht und festgestellt, dass jeweils eine handvoll gravierender Verstöße gegen Datenschutzgesetze vorliegen. Dies ist umso erstaunlicher, weil IHKs sogar selbst Kurse mit dem Titel Webseiten-Check anbieten. In diesen Kursen lernen Teilnehmer, worauf zu achten ist, um Webseiten rechtssicher zu gestalten. Dies ist kein Vorwurf an die IHKs: Nahezu jedes Unternehmen hat eine rechtswidrige Webseite.

Die Gesetze sind einfach kaum einzuhalten. Die Verantwortlichen sind überfordert und brauchen technische und juristische Expertise in einem Gesamtpaket. Das zu finden ist kaum möglich. Wir meinen, mit unserem Angebot genau diese Lücke zu schließen. Natürlich kann auch ein Anwalt 180 Seiten prüfen. Fragen Sie ihn mal nach seinem Tagessatz. Wir bieten eine wirtschaftliche Lösung an, die Ihnen das liefert, was Webseitenbetreiber brauchen: Effiziente, bezahlbare Lösungen.

Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn Sie diese Website ohne Änderung der Cookie-Einstellungen verwenden oder auf "Akzeptieren" klicken, erklären Sie sich damit einverstanden.

Schließen