HTMLy: Legal stuff (Datenschutz)

Neben dem Impressum ist der Datenschutz und hier speziell die Datenschutzerklärung ein weiteres Thema, an welchem man als Betreiber einer Webseite dank DSGVO und BDSG neu nicht vorbeikommt. Interessanterweise bin ich bei diesem Thema aufgeschlossener als bei der Impressumspflicht. Dabei ist der Datenschutz deutlich komplexer, da nicht nur die rechtliche Seite, sondern auch die technische eine Rolle spielt. Vielleicht liegt's es genau daran. Das Thema Datenschutz bietet mehr "Fleisch" als das Thema Impressum.

Erstellt wird so eine Seite für die Datenschutzaufklärung auf exakt demselben Wege wie die Impressum-Seite. Daher werde ich hierauf nicht weiter eingehen, sondern meinen Fokus ein wenig mehr auf den Inhalt der Datenschutzerklärung richten. — Okay, doch noch ein Tipp, falls ihr datenschutz-generator.de nutzen wollt: Bevor ihr den dort erzeugten HTML-Quellcode in HTMLy einfügt, ersetzt mit einem Texteditor die Überschriften der Ebenen h3 durch h5, h2 durch h4 und zuletzt h1 durch h3. Ihr merkt schon, immer zwei Ebenen weiter.

Daten… Schutz… Welche Daten und Schutz vor was?

Mit "Daten" sind sämtliche personenbezogenen Informationen gemeint, also z. B. Name, Anschrift, E-Mail-Adresse, aber auch die besonders schützenswerten Daten wie solche über den Gesundheitszustand, sexuelle Orientierung, Mitgliedschaft in einer Gewerkschaft usw.

Und "Schutz"? Die o. g. Daten sollen beispielsweise vor Einsicht/Weitergabe, Veränderung und (versehentlichem) Löschen geschützt werden. Genauer könnt ihr das in den eingangs verlinkten Texten bzw. der Datenschutzerklärung für diese Webseite nachlesen.

An welcher Stelle kommt man da nun als Webseitenbetreiber ins Spiel? Habt ihr ein Kontaktformular, über das euch Besucher eine Nachricht senden können? Dann sollte die Webseite, die das Formular bereitstellt, z. B. nur per HTTPS (also verschlüsselt) erreichbar sein, um eine Manipulation der eingegebenen Daten während der Übertragung zum Webserver zu verhindern. (Wenn ihr die Nachricht anschließend allerdings per unverschlüsseltem POP3 auf euren Rechner holt, dann ist euch nicht mehr zu helfen. ;-) )

Kein Kontaktformular vorhanden? Gut. Aber der Webserver, auf dem eure Seite läuft, speichert bestimmt für eine gewisse Zeit die IP-Adressen der Besucher, um z. B. Angriffe erkennen und abwehren zu können. Und auch IP-Adressen sind personenbezogene Daten, da man oftmals in Kombination mit dem Zeitpunkt, den Besitzer feststellen kann. So gaaanz eindeutig ist das aber nicht immer, jedoch wurde von den Richtern oftmals so entschieden.

Statt Kontaktformular habt ihr ein Kommentarsystem? Dort kann ein Besucher (freiwillig) auch seine E-Mail-Adresse für künftige Benachrichtigungen oder Antworten von euch eingeben? Dann seid ihr verpflichtet, durch geeignete "technisch-organisatorische Maßnahmen" (TOM) sicherzustellen, dass diese E-Mail-Adresse auch wirklich nur für Personen mit berechtigtem Interesse einsehbar ist. Ihr wollt dem Besucher antworten? Dann habt ihr ein berechtigtes Interesse. Andererseits hat eine gedruckte Liste mit E-Mail-Adressen von eurer Webseite nichts im Altpapiercontainer zu suchen. Jedenfalls nicht ungeschreddert und am besten auf zwei Container verteilt.

Ähm, so lang sollte dieser Beitrag eigentlich gar nicht werden. Ich könnte sicherlich noch eine ganze Weile weiterschreiben, nehme hier aber mal eine Abkürzung:

  1. Macht euch selbst das Leben leichter, denn: "Daten, die ihr nicht von euren Besuchern erfasst, müssen auch nicht geschützt werden."
  2. Verwendet einen der vielen Generatoren für Datenschutzerklärungen, z. B. datenschutz-generator.de. Oder, falls Geld für euch keine Rolle spielt, beauftragt einen fähigen Anwalt damit, euch eine individuelle Erklärung zu formulieren.
  3. Hostet ihr eure Webseite nicht auf dem eigenen Server zu Hause, schließt mit eurem Hoster einen Auftragsverarbeitungsvertrag ab, denn z. B. die IP-Adressen eurer Webseitenbesucher landen in den Log-Dateien auf seinem Server.

Ende der Durchsage.

Disclaimer: Das war keine Rechtsberatung. Ich habe lediglich, nach bestem Wissen und Gewissen, meinen Kenntnisstand wiedergegeben. Sollte ich irgendwo Unsinn geschrieben haben, kontaktiert mich gern.