Was Startups beim Datenschutz beachten sollten
Auch wenn die ersten großen Fragenzeichen allmählich aus den Köpfen verschwinden – die Datenschutz-Grundverordnung, kurz DSGVO, stellt besonders für viele junge Unternehmen noch immer ein Buch mit sieben Siegeln dar. Mit der Gründung einer Firma kommen auf die Unternehmer viele verschiedene Anforderungen zu, sodass es passieren kann, dass sie sich mit Themen wie Datenschutz nicht sorgfältig genug befassen. Allerdings existieren im Internet in Bezug auf die Einhaltung der DSGVO verschiedene Stolpersteine. Abhängig davon, welche Daten die Websites erheben und verarbeiten, gelten viele unterschiedliche Informationspflichten. Um zumindest vermeintlich die nötigsten Anforderungen zu erfüllen, kopieren Start-ups die Datenschutzerklärungen anderer Websites oder lassen sie automatisch generieren. Aber jede Homepage besitzt eine individuelle Struktur und verwendet unterschiedliche Plug-ins, Cookies oder Tracking-Tools. Es gibt daher nicht eine Datenschutzerklärung, die für alle Unternehmenswebsites allgemein gilt.
User informieren
Websites erfassen und verarbeiten unterschiedlichste Daten sowohl, wenn User ihre Kontaktdaten selbst eingeben, als auch im Hintergrund. Hierbei handelt es sich um sogenannte Metadaten. Laut Artikel 13 der DSGVO müssen betreffende Personen bei der Erhebung personenbezogener Daten informiert werden. Bereits IP-Adressen gelten der DSGVO zufolge dabei als personenbezogene Daten, sodass jede Website, die diese speichert – also nahezu alle – eine Datenschutzerklärung benötigt. In der Regel speichern selbst Under-Construction-Websites oder Web-Visitenkarten IP-Adressen und müssen deshalb über eine Datenschutzerklärung verfügen. Zwar wissen auch Start-ups, dass sie diese auf ihrer Homepage veröffentlichen müssen, jedoch häufig nicht, dass es dabei auf die korrekte Formulierung ankommt. Inhaltlich soll eine Datenschutzerklärung den Nutzer darüber aufklären, welches Interesse daran besteht, die entsprechenden Daten zu verarbeiten. Ebenso muss eine korrekt verfasste Datenschutzerklärung Details der Betroffenenrechte umfassen. Hierzu zählen das Recht auf Widerruf und das Beschwerderecht. Auch wenn die Absicht besteht, Daten an Drittstaaten weiterzugeben, muss darüber in der Datenschutzerklärung Auskunft erfolgen. Start-ups, die über mehr als zehn Mitarbeiter verfügen, sind zudem verpflichtet, einen internen oder externen Datenschutzbeauftragten zu benennen. Seine Kontaktdaten muss die Datenschutzerklärung ebenfalls enthalten. Die Gesetzgebung gibt aber nicht nur die Inhalte vor, sondern erteilt zudem Anweisungen bezüglich der Form der Datenschutzerklärung. Sie soll dem User in „klarer und einfacher Sprache“ genauso wie in „präziser, transparenter, verständlicher und leicht zugänglicher Form“ zur Verfügung stehen. Konkret bedeutet dies etwa, dass der Nutzer sie von jeder Unterseite aus mit einem Klick über einen eigenen Menüpunkt erreichen kann und sie keinen Unterpunkt des Impressums darstellen darf, wenn hier keine eindeutige Kennzeichnung erfolgt.
Eingeschränktes Tracking
Nachzuvollziehen, welcher User für wie lange auf der Website verweilt, stellt für Start-ups einen großen Mehrwert dar, um einschätzen zu können, wie das Produkt oder die Dienstleistung bei ihren Kunden ankommen. Hierzu nutzen viele Unternehmen Tracking-Tools. Hier gibt es zwei verschiedene Lösungen für DSGVO-konformes Webtracking. Zum einen können Unternehmen anonymisierte Nutzerprofile erstellen und damit nur Daten wie Datum und Uhrzeit des Besuchs tracken. Sie gelten nicht als personenbezogen oder personenbeziehbar. Zum anderen können sie Profile erstellen, bei denen die Nutzer ein Pseudonym erhalten. Wenn keine der beiden Möglichkeiten für das Unternehmen infrage kommt, gilt es genaue Regeln zu befolgen. Es richtet dann eine Opt-in-Option auf der Website ein. User müssen der Nutzung ihrer Daten also aktiv zustimmen und diese Zustimmung muss sich auch widerrufen lassen.
Sensibler Umgang mit Nutzerdaten
Social Plug-ins zu sozialen Netzwerken wie Facebook, Instagram oder Xing gehören mittlerweile beinahe zum Standardaufbau einer Website. Besonders Start-ups möchten mit ihren Social-Media-Präsenzen persönliche Insights bieten. Allerdings stellen Social Plug-ins eine datenschutzrechtliche Herausforderung dar, da die Einbettung der Buttons meist über Inlineframes erfolgt, die personenbezogene Daten an die Betreiber weitergeben. Wer nicht auf Social Plug-ins auf seiner Homepage verzichten möchte, muss den User über die Weitergabe seiner Daten informieren. Während der Aufforderung zur Aktivierung eines Plug-ins kann der User dann beispielsweise die entsprechende Information erhalten. Eine weitere häufig genutzte Option stellt die Einbindung interaktiver Karten auf der Homepage dar. Häufig nutzen Betreiber dafür ein „Google Maps API“. Auch in diesem Fall erfolgt eine Weitergabe personenbezogener Daten, über die Nutzer – beispielsweise über ein Plug-in – entsprechende Informationen erhalten müssen. Darüber hinaus muss die Datenschutzerklärung einen eindeutigen und ausführlichen Hinweis dazu enthalten.
Über den Autor
Der zertifizierte Datenschutzbeauftragte Haye Hösel ist Geschäftsführer und Gründer der HUBIT Datenschutz GmbH & Co. KG, die bei allen Fragen rund um die Themen Datenschutz und Informationssicherheit berät. Er arbeitet auch als externer Fachberater für den TÜV Süd im Bereich Datenschutz. Das mittlerweile elfköpfige Team setzt sich aus zertifizierten Datenschutzbeauftragten, Juristen sowie IT-Experten zusammen und hat sich auf die Erarbeitung von individuellen Datenschutzkonzepten spezialisiert. Damit Kunden deutschlandweit einen Ansprechpartner vor Ort haben, ist der Aufbau des HUBIT Datenschutz Franchise-Netzwerks geplant.
Startup-Jobs: Auf der Suche nach einer neuen Herausforderung? In der unserer Jobbörse findet Ihr Stellenanzeigen von Startups und Unternehmen.