DSGVO für RedakteurInnen

Hinweise zur Ergänzung der allgemeinen Datenschutzinformationen

Die Datenschutzgrundverordnung gilt seit dem 25. Mai 2018 auch in Deutschland und etabliert erweiterte Informationspflichten für Webseitenbetreiber, die vom Nutzer personenbezogene Daten erheben.

„Personenbezogen“ heißt, dass der Seitenverantwortliche aus den erhobenen Daten einen Personenbezug direkt oder indirekt herstellen kann (z. B. Erhebung der vollständigen IP-Adresse beim Aufrufen der Seite, Tracking- und Analyse-Tools, ggf. Cookies, Formulare, Angabe der E-Mail-Adresse für Newsletterversand usw.).

Die Datenschutzerklärung der zentralen Website der Universität wurde bereits an die DSGVO angepasst. Sollten Sie darin die identischen Verarbeitungsvorgänge für Ihre Website identifizieren, können Sie diese direkt als Muster für Ihre Seite verwenden. Sie müssen lediglich in der Vorlage das Logging-Verhalten sowie den Einsatz von Cookies an das Verhalten Ihrer Website anpassen, sofern Abweichungen bestehen.

Sollten Sie auf Ihrer Website weitere Elemente verwenden, mit denen personenbezogene Daten erhoben werden, müssen Sie eine für Sie passende Datenschutzerklärung erstellen bzw. die Vorlage anpassen und ergänzen.

Diese Ergänzung hat Art, Umfang Zweck und Dauer der jeweiligen Datenverarbeitung zu nennen. Der Aufbau könnte dabei folgendermaßen gestaltet werden, die Informationen können aber auch in einem Fließtext (sofern er noch einigermaßen gut lesbar ist) zur Verfügung gestellt werden:

1.   Umfang der Verarbeitung personenbezogener Daten

Hier wird möglichst detailliert beschrieben, welche personenbezogenen Daten auf der Website durch wen auf welche Weise verarbeitet werden.

2.   Rechtsgrundlage für die Verarbeitung personenbezogener Daten

Hier wird die Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten genannt. In der Regel wird diese aus dem Katalog des Art. 6 Abs. 1 DSGVO stammen, ggf. ist eine Einwilligung einzuholen.

3.   Zweck der Datenverarbeitung

Hier wird detailliert beschrieben, welche Zwecke die WebsitebetreiberInnen mit der Verarbeitung der personenbezogenen Daten bezwecken.

4.   Dauer der Speicherung

Grundsätzlich erfolgt eine Löschung der Daten, sobald der Zweck ihrer Erhebung erfüllt wurde. Es ist jedoch im Einzelfall näher anzugeben, wann dies für den konkreten Einsatzfall gegeben ist. Können keine genauen Angaben gemacht werden, so sind zumindest Kriterien zu nennen, die den NutzerInnen eine Bestimmung des Löschungszeitpunktes erleichtern.

5.   Betroffenenrechte

Hier könnte einfach stehen, dass hinsichtlich der Betroffenenrechte auf die allgemeine Datenschutzerklärung verwiesen wird.

Weitere Besonderheiten könnten sein:

1. Blog mit Kommentarfunktion

Beim Betrieb eines Blogs mit Kommentarfunktion werden zusätzliche personenbezogene Daten (Beispiel: Pseudonyme) gespeichert. Dabei muss auch auf eine Möglichkeit, Kommentare zu abonnieren, eingegangen werden. Das Kommentieren sollte nur nach Einholung einer Einwilligung zur Verarbeitung der personenbezogenen Daten möglich sein. In diesem Fall ist eine Rechtfertigung nach Art. 6 Abs. 1 lit. a DSGVO möglich.

2. Verarbeitung besonderer Kategorien personenbezogener Daten, Art. 9 DSGVO

Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse und weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person sind grundsätzlich untersagt. Art. 9 Abs. 2 DSGVO enthält jedoch einen Ausnahmekatalog. Sollten WebsitebetreiberInnen Daten dieser Art auf ihrer Website verarbeiten, so ist vorweg eine Prüfung vorzunehmen. Die entsprechende Erlaubnisnorm ist dann in der Datenschutzerklärung zu nennen.

 3. Weitergabe personenbezogener Daten an Dritte

Eine Vielzahl von Websites nutzt Erweiterungen von Drittanbietern. Oftmals werden bei solchen Implementierungen personenbezogene Daten an die Drittanbieter weitergegeben oder automatisiert übermittelt. Art, Umfang, Zweck und Dauer dieser Verarbeitung von personenbezogenen Daten können dabei im Einzelfall unterschiedlich ausgestaltet sein. Eine umfassende Auflistung aller Situationen, in denen personenbezogene Daten an Dritte weitergegeben werden, würde den Rahmen dieser Arbeitshilfe sprengen. Die WebsitebetreiberInnen haben daher im Einzelfall zu prüfen, welche Dienste von Drittanbietern auf der Website in Anspruch genommen werden und, ob dabei eine Weitergabe von personenbezogenen Daten erfolgt. Entsprechend muss diese Datenverarbeitung in der Datenschutzerklärung nach den Vorgaben aufgenommen werden.

Beispiele für die Weitergabe von personenbezogenen Daten an Dritte können sein:

Weitergabe an Dienstleister
Insbesondere im Rahmen von Vertragsschlüssen über die Website werden personenbezogene Daten oftmals an Dienstleister weitergegeben. Dienstleister können jedoch auch alleine im Interesse der Websitebetreiber tätig werden (z. B. technischer Service).

Third-Party-Cookies
Die Einbindung von eigenen Cookies ist Teil der allgemeinen Datenschutzerklärung. Oftmals werden darüber hinaus auch Cookies von Drittanbietern eingesetzt. Diese sind detailliert zu beschreiben. Die Nutzer sind auf die Verwendung von Third-Party-Cookies beim Aufruf der Website hinzuweisen. Eine Verhinderungsmöglichkeit zur Speicherung dieser Cookies findet sich in den Einstellungen des Browsers. Ob überhaupt eine Rechtsgrundlage für die Universität besteht, sollten diese eingesetzt werden, müsste gesondert geprüft werden.

Einsatz von Social-Media-Plugins
Beim Einsatz von Social-Media-Plugins werden personenbezogene Daten der NutzerInnen an die Anbieter sozialer Netzwerke weitergeleitet. Dazu gehören auch Plugins von Google Maps oder das Einbinden von Youtube-Videos. Nach bisheriger Rechtslage war es empfehlenswert, derlei Plugins nur im Rahmen einer „Zwei-Klick-Lösung“ zu nutzen. Demnach wurden die Daten erst nach vorheriger Einwilligung der NutzerInnen übermittelt. Auch nach Einführung der DSGVO ist dieser Weg gangbar und wohl rechtssicher. Rechtsgrundlage für die Verarbeitung der Daten nach einer Einwilligung des Nutzers ist Art. 6 Abs. 1 lit. a DSGVO.

Websiteanalysedienste
Websiteanalysedienste (z. B. Google Analytics oder Adobe Analytics) zur Effizienzsteigerung der eigenen Website, die von Drittanbietern betrieben werden, erfordern die Weitergabe von Daten über die Websitebesucher an die Drittanbieter. Eine Einwilligung der NutzerInnen wird dabei in aller Regel nicht eingeholt. Die Daten werden in die USA übermittelt. Da es Alternativen gibt, die keine personenbezogenen Daten erheben und übermitteln (z. B. Matomo, ehemals Piwik) sollte der Einsatz von erstgenannten Analysediensten nicht erfolgen.

Einsatz von Google Fonts, Google Kalendern usw.
Auch beim Einsatz von Google Fonts (häufig bei Gestaltung einer Website mit dem CMS WordPress genutzt) werden mit hoher Wahrscheinlichkeit personenbezogene Daten von BesucherInnen an Google übermittelt. Da hierfür in der Regel keine Einwilligung eingeholt werden kann, eine Übermittlung ohne diese aber nicht datenschutzkonform ist, sollten keine Google Fonts verwendet werden. Das gleiche gilt u. U. für den Einsatz von bestimmten Kalendern und Captchas.

Überprüfung, ob die eigene Website Verbindungen zu anderen Seiten aufbaut

Es lässt sich relativ einfach selbst überprüfen, ob die eigene Website Verbindungen, z .B. zu Google aufbaut:

  1. Drücken von F12
  2. Seite aktualisieren
  3. Reiter „Netzwerkanalyse“ anklicken
  4. Unterreiter „Alle“ anklicken
  5. Unter „Host“ werden alle Seiten angezeigt, die eine Verbindung mit der eigenen aktuellen Seite aufbauen.