Eine Datenschutzerklärung umschreibt Maßnahmen, die ein Unternehmen oder Organisation ergreift, um die Privatsphäre seiner Kunden zu wahren. Hierbei geht es insbesondere um personenbezogene Daten, wie sie gesammelt, genutzt und ob sie ggf. an Dritte weitergegeben werden.
Eine Datenschutzerklärung ist für fast jede unternehmerische Website Pflicht. Denn alleine das Angebot eines Formulars oder Kontaktformulars zum Abonnieren eines E-Mail-Newsletters erfordern einen entsprechenden Hinweis des Webseiten-Betreibers, was mit den dort eingetragenen und an das Unternehmen übermittelten Daten (Name, E-Mail-Adresse etc. ) passiert. Außerdem hat der Webseitenbesucher ein Anrecht auf Auskunft über seine Daten (Auskunftspflicht des Anbieters) und ein Recht auf Löschung derselben. Diese Pflichten und Angaben sind im Telemediengesetz (TMG) geregelt.
Zu den personenbezogene Daten zählen alle persönlichen Daten wie beispielsweise:
- Name, Alter, Familienstand, Geburtsdatum
- Anschrift, Telefonnummer, E-Mail Adresse
- Kraftfahrzeugnummer, Kfz-Kennzeichen
- Personalausweisnummer
- Krankendaten
- Zeugnisse
- Konto-, Kreditkartennummer
- Sozialversicherungsnummer
- etc.
Web-Anlayse-Tools wie Piwik oder Google Analytics erheben u.a. auch IP-Adressen und speichern diese für die Auswertung der Nutzung einer Website. Hierzu werden häufig Nutzerprofile erstellt. Sowohl die Speicherung der IP-Adresse als auch die Auswertung von Nutzerprofilen per Cookie, machen eine Datenschutzerklärung erforderlich.
Selbst IP-Adressen werden in vielen Ländern – auch in Deutschland – dazu gezählt.
Auftragsdatenvereinbarung
Wenn ein Unternehmen ein anderes Unternehmen damit beauftragt, Daten für sich zu verarbeiten, so handelt es sich dabei – sofern auch personenbezogene Daten verarbeitet werden – datenschutzrechtlich um eine Verarbeitung von Daten im Auftrag oder anders ausgedrückt um eine Auftragsdatenverarbeitung. In nahezu jedem Unternehmen kommt eine Auftragsdatenverarbeitung zum Einsatz. Sei es durch die Nutzung eines externen Rechenzentrums oder die Wartung von IT-Systemen durch technische Dienstleister. Auch wenn ein Unternehmen einen Dienstleister mit der Erstellung und Auswertung einer Webanalyse beauftragt, liegt eine Auftragsdatenverarbeitung vor. Selbst bei Cloud-basierten Diensten, wie Dropbox u.a.
Google Analytics
Aus dieser Rechtslage ergibt sich, dass bei der datenschutzkonformen Nutzung von Google Analytics ein Vertrag zur Auftragsdatenverarbeitung mit Google geschlossen werden muss.
Piwik
Bei der Nutzung von Piwik lassen sich unter Einstellungen > Privatsphäre einmal die IP-Adressen anonymisieren und weiter unten kann die “Do not Track”-Einstellung aktiviert werden, die es Nutzern ermöglicht zu entscheiden, ob ihr Klick-Verhalten gespeichert werden darf. Ein entsprechender Passus kann dann auf der Website innerhalb der Datenschutzerklärung angezeigt werden.
Weitere Informationen zum Thema:
- RA Schwenke: Google Analytics rechtssicher nutzen – Anleitung und Muster für Webmaster
- Datenschutzbeauftragter-Info: Piwik datenschutzkonform einsetzen
- Datenschutz-Guru: Auftragsdatenverarbeitung
Categories:
Neuen Kommentar schreiben