Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
✓ Ausprobieren DSGVO Website-Check sofort DSGVO-Probleme finden

Privatlivspolitik på hjemmesider: Indhold og vejledning

0
recommendations for content and structure of the privacy policy
Dr. DSGVO Newsletter detected: Extended functionality available
More articles · Website-Checks · Live Offline-AI
📄 Artikel som PDF
📄 Artikel som PDF (kun for abonnenter på nyhedsbrevet)
🔒 Premium-Funktion
Der aktuelle Beitrag kann in PDF-Form angesehen und heruntergeladen werden

📊 Download freischalten
Der Download ist nur für Abonnenten des Dr. DSGVO-Newsletters möglich

En privatlivspolitik skal være tilgængelig på alle offentlige hjemmesider. Ud over standardtekster skal den også indeholde forklaringer på alle anvendte værktøjer og alle databehandlingsoperationer. Men privatlivspolitikken alene er ikke nok.

Indledning

Den personlige informationsbekendtgørelse på hjemmesider er påkrævet. Dette følger af Artikel 12 samt Artikel 13 i den europæiske dataskyddsforskrift (GDPR) og fakten, at netværksadresser indeholder personlige oplysninger. Næsten hver hjemmeside udgør en tilbud. Er en hjemmeside næsten tom, skal den muligvis ikke have en personlige informationsbekendtgørelse. Alene ved at give besked om sit eget ( erhvervsagtige ) virksomhedsfelt er nok til at opfylde tilbuddets karakter (se eksempel, hvor jeg mener, at der mangler personlige informationsbekendtgørelser). Jeg henviser også til min undersøgelse af begrebet omkring dataindsamling og den ansvarlighed, som følger deraf.

Pga. lovgivning er det bedre at give siden med betegnelsen "Datatilsynshåndbogen" eller "datatilsynsinformationer". I dette indlæg bruges i stedet den tidligere ikke så kritiske betegnelse "datatilsynserklæring". Se her til domen af 27.12.2018 – 23 U 196/13.

Fra erfaring vedkender jeg, at farer (klagemål, advarsel, bøde) i første række ikke kommer fra dataskyddstekster, men fra rettighedsudtrukket integrerede værktøjer, manglende SSL-certifikater, ikke fungerende samtykningsspørgsmål, for meget afkaldte data i formulareller manglende links til dataskyddserklæringen.

At forklare noget er ikke ensbetydende med, at det er tilladt.

Tag eksemplet med lejemordere:

Du hyrer en lejemorder og forklarer din hensigt til offeret. Vil det gøre det bedre?

Hyppige misforståelser om databeskyttelseserklæringer

Det skal tillades en bemærkning om, at oprettelse af persondatatexter er grundlæggende muligt for enhver og ofte også sinnegyldig. De kræver ikke en advokat til dette formål. Risikoen ligger andre steder. Hvis du ønsker at beskytte dine hjemmesider, skal du først tænke på andre ting end persondatatexter. Jeg påstår også, at selv advokater ofte ikke rigtigt kan klare disse tekstindledninger. Dette skyldes blandt andet, at for værktøjer fra Google eller Facebook er det ofte ikke klart eller mange ikke nøjagtig kendt, hvilke databehandling der foregår ved hjælp af hvem.

Fra min erfaring kan jeg påstå, at det for at skrive gode persondatoprotokolstekster til værktøjer først og fremmest kræver teknisk forståelse og anden grundlæggende juridisk forståelse. Derudover er kendskab til opbygningen af persondatoprotokoller nyttigt, fordi alle disse tekster har den samme grundstruktur.

Indhold af privatlivspolitikken

Indholdet af databeskyttelsesoplysningerne kan hovedsageligt opdeles i tre dele:

  • Websejens-specifikke oplysninger: Indledningstekst, nævnelse af ansvarlig enhed, nævnelse af DSB, kontaktinformationer
  • Almindelige oplysninger om pligter: Disse er altid ens (Sidst opdateret: 09.08.2021)
  • Angaben til særlige databehandlingstilfælde på hjemmesiden: Relevant ved brug af nyhedsbreve, formulærer eller værktøjer som Google Maps

Almindelige oplysninger om ansvar

Først må en række af almindelige oplysninger gives. Der tilhører:

  • Registreredes rettigheder: Standardtekster
  • Retlige grundlag: Standardtekster (kan også tilføjes med specifikke udforminger)
  • Ansvarlige myndighed: Hvem er ansvarlig for beskyttelse af persondata på hjemmesiden og hvordan kan den person opsnappes?
  • Angivelse af kontaktinformationer til persondataombudsmanden: Kan evt. fravalgtes

De registreredes rettigheder kan forklares på følgende måde.

Registreredes rettigheder

De berørte rettigheder følger af Art. 15 GDPR. Her en mustertext til at nævne de berørte rettigheder. Bedes evt. tilpas. Teksten skal kun bruges med et tak-link på https://dr-dsgvo.de.

Det har du ret til:

  • i overensstemmelse med Art. 15 GDPR kan du kræve oplysninger om de personlige data, jeg har behandlet vedrørende dig. I særdeleshed kan du få oplysninger om formålet med behandlingen, kategorien af persondata, kategorierne af modtager, som dine data er blevet eller bliver offentliggjort til, den planlagte opholdstid, eksistensen af retten til at rette, slette, begrænse behandlingen eller modsige, eksistensen af et klageforslag, herkomsten af dine data, hvis disse ikke er blevet indsamlet af mig selv, samt om der findes en automatisk beslutningstager, inklusive profilering og evt. tilstrækkelige oplysninger om detaljerne heri;
  • i overensstemmelse med artikel 16 i GDPR straks at anmode om rettelse af ukorrekte eller ufuldstændige personoplysninger, der er gemt af mig;
  • at kræve sletning af dine personlige data, der er gemt af mig i overensstemmelse med artikel 17 i GDPR, medmindre behandlingen er nødvendig for at udøve retten til ytrings- og informationsfrihed, for at overholde en juridisk forpligtelse, af hensyn til offentlighedens interesse eller for at etablere, udøve eller forsvare juridiske krav;
  • i overensstemmelse med artikel 18 i GDPR at kræve begrænsning af behandlingen af dine personoplysninger, hvis du bestrider nøjagtigheden af oplysningerne, behandlingen er ulovlig, men du nægter at slette dem, og vi ikke længere har brug for oplysningerne, men du har brug for dem til at hævde, udøve eller forsvare juridiske krav, eller du har gjort indsigelse mod behandlingen i overensstemmelse med artikel 21 i GDPR;
  • i overensstemmelse med artikel 20 i GDPR at modtage dine personoplysninger, som du har givet mig, i et struktureret, almindeligt anvendt og maskinlæsbart format eller at anmode om, at de overføres til en anden dataansvarlig;
  • i overensstemmelse med Art. 7 § 3 GDPR kan du tilbagekalde din en gang givet samtykke til mig. Det betyder, at vi ikke længere må fortsætte med at behandle dine personoplysninger på baggrund af dit tidligere samtykke, og
  • I henhold til artikel 77 i GDPR har du ret til at indgive en klage til en tilsynsmyndighed, uden at det berører andre administrative eller retslige midler. Som regel kan du kontakte tilsynsmyndigheden på dit sædvanlige opholdssted eller arbejdssted eller stedet for den påståede overtrædelse, hvis den registrerede er af den opfattelse, at behandlingen af personoplysninger om dem er i strid med EU's generelle databeskyttelsesforordning (GDPR).

Juridisk grundlag

Retssætningerne skal blot generelt nævnes. Tilføjeligt kan der for hver databehandling foregående en specifik nævnelse ske, hvis denne ikke er åbenlysende. Her et mustertext. Teksten skal kun anvendes med en tak-link til https://dr-dsgvo.de.

Vi behandler de data, der genereres, når du besøger vores websted eller bruger de tilbudte kontaktmuligheder, i overensstemmelse med bestemmelserne i den europæiske generelle databeskyttelsesforordning (GDPR) og den tyske føderale databeskyttelseslov (BDSG). Afhængigt af hvilken sag du kontakter os om via hjemmesiden, er der forskellige retsgrundlag for dette. Det specifikke retsgrundlag for databehandling afhænger af den kontekst og det formål, som vi modtager dine data til. Som regel er retsgrundlaget for databehandling resultatet af de muligheder, der er anført nedenfor:

Art. 6 I lit. a GDPR tjener som retsgrundlag for behandlingsaktiviteter, for hvilke vi indhenter samtykke til et specifikt behandlingsformål. Et samtykke, der er givet, kan til enhver tid tilbagekaldes.

Er der behandling af personlige oplysninger til at opfylde en kontrakt, hvor den pårørende er parterne, nødvendig, som f.eks. ved behandlingsprocesser, der kræves for levering af varer eller ydelse af en anden tjeneste eller modtagerleistung, så foregår behandlingen på Artikel 6 I lit. b GDPR. Det samme gælder for sådanne behandlingsprocesser, der er nødvendige til at udføre prækontraktuelle procedurer, f.eks. i tilfælde af anmodninger om vores produkter eller tjenester.

Underliever vi en retlig forpligtelse, hvorved en behandling af personlige oplysninger er påkrævet, såsom til opfyldelse af skattemæssige pligter, så baserer den behandling sig på Art. 6 I lit. c GDPR.

Sidst på dag kunne behandlingsprocesser være baseret på Art. 6 I lit. f GDPR. På denne lovgivningssgrundlag baserer behandlingsprocesser, der ikke er omfattet af de ovennævnte lovgivningsgrunde, hvis behandlingen er nødvendig til at sikre et berettiget interesse for vores virksomhed eller en tredje part, så længe de pågældende personers interesser, grundrettigheder og grundlønn ikke overvejer.

Eksempel på tekst til henvisning til retsgrundlag

Vær opmærksom på, at det ikke er muligt at besøge en hjemmeside, uden at der behandles personoplysninger. Det bør derfor ikke fremgå, at det er muligt at besøge hjemmesiden uden at afgive personoplysninger.

Oplysninger om særlige databehandlingsoperationer

For hver databehandling på hjemmesiden skal der gøres konkrete oplysninger. Se også Art. 15 GDPR. Fælles afsnit er:

  • Serverens logfiler: De fleste servere gemmer adgangsprotokoller. Dette bør forklaret blive
  • Cookies: De fleste hjemmesider sætter kiks ind. Teknisk nødvendige kiks, som login-afhandlingen på WordPress-hjemmesider eller kiks fra VG Wort, er uskyldigt. For at undgå spørgsmål bør også uskyldige kiks forklaret blive. Husk, at kiks ikke er tekstfiler, selv om det ofte påstås
  • Formulare: Fortæl, hvad der sker med dataene. I almindelighed anvendes dataene kun til at besvare spørgsmålet og eventuelle efterfølgende spørgsmål eller yderligere kommunikation, som følge af dette
  • Nyhedsbrev: Fortæl, hvordan dataene (mindst den e-mail-adresse) behandles. Navn Widerrufsmöglichkeit (Abmeldning af nyhedsbreven). Sæt en nyhedsbrev-tjeneste ind, navn det. Sørg for, at der ikke er et tracking-pixel i nyhedsbrev-e-mails (og hvis der alligevel er, spørg først om tilladelse)
  • Andre dataindsamlinger: Tilbyd en tilbagekaldelsestjeneste via hjemmesiden eller afhandle ansøgningsprocesser via hjemmesiden eller behandle data på hjemmesiden til andre, endnu ikke nævnte grunde, skal dette forklaret blive.
  • Værktøjer: For hver brugt værktøj skal især forklaret blive:
    • Navn på værktøjet
    • Udbyder
    • Formål
    • Anvendte cookies. Per cookie: navn, levetid, formål
    • Indsamlede data
    • Steder for dataindsamling, hvis de også finder sted uden for udbyderens hjemsted (land)
    • Datamodtagere, hvis der er andre end udbyderen
    • Mulige risici, som f.eks. dataoverførsel til usikre tredjelande
    • Eksisterende garantier, f.eks. en kontrakt om ordrebehandling
  • Eksterne filer: Selv for billeder, skrifttyper, videoer, hjælpebiblioteker osv. skal det forklaret blive, hvad der er med det på sinde.

Hvis du har en kontrakt med en leverandør af et værktøj eller eksterne filer, kan det i enkelte tilfælde være tilladt ikke at angive dette.

Hvordan ved du egentlig, hvilke værktøjer og eksterne filer der er integreret på din hjemmeside? Her er et par mulige svar. Kun ét af dem er korrekt:

  1. Du gætter
  2. Du spørger dit internetbureau
  3. Du spørger din databeskyttelsesrådgiver
  4. Du spørger en advokat
  5. De prøver at se nærmere på din hjemmeside
  6. Du bruger et værktøj, der automatisk scanner hele din hjemmeside. Hvis du vil have mere sikkerhed, betaler du lidt mere for et ekstra manuelt tjek

Der er for mange værktøjer og cookies simpelthen ingen beskyttelse af personlige oplysninger. Hvis leverandøren af en tjeneste eller dens præcise firmaerform ikke kendes, kan der ikke forekomme en ordentlig erklæring. Ofte er formålet med cookies ukendt eller antaget. Er dette tilfældet, er det ikke muligt at anvende værktøjer på en lovgivende måde, der håndterer de relevante cookies, fordi de nødvendige oplysninger om cookie'en ikke kan forekomme i overensstemmelse med artikel 13 GDPR.

Til analyseværktøjer og andre værktøjer, der indsamler data, skal brugeren tilbydes en mulighed for at afvise (Opt-Out). Samtykket skal også stilles til de fleste værktøjer.

Typisk struktur for en databeskyttelsestekst for et værktøj

En mulig persondataaftale for Google Maps skal vise, hvordan en persondataaftale til et værktøj kan opbygges. Vær venligst opmærksom på, at her mangler oplysningerne om cookies, da ingen anden end Google synes at vide, hvilke cookies der bruges til hvilken bestemt formål!

Eksempel på databeskyttelsestekst (cookie-oplysninger mangler!). Billedet blev automatisk oversat.

Teksten behandler flere aspekter:

  • Navn på tjenesten (Tools). For nyhedsbreve ville simpelthen blot Nyhedsbrev hedde
  • Udbyder af tjenesten: Fulde firma med adresse og almindelig landekort: USA forstår hverken. Andre ISO-koder er ikke forståelige
  • Formål: Hvorfor bliver tjenesten brugt?
  • Retshensig: Denne kan enten være tilknyttet en bestemt tjeneste eller i en almindelig afsnit uden forbindelse til en tjeneste. Ofte følger retshensigen af sig selv ud fra, hvordan en tjeneste bliver indbunden. Med samtykningsfråge er retshensingen den samtykke, uden sådan en fråge skal der normalt kun være tale om et berettiget interesse. En specifikt angivet retshensig skal dog også stemme overens. Hvis man skriver "samtykke" og laster en tjeneste op uden samtykke, provokerer det problemer.
  • Specifikke oplysninger: Hvad skal brugeren vide mere om?
  • Databehandling: Hvad sker der med dataene, der opstår ved hentning og drift af værktøjet?
  • Modtager af data: Hvem kan modtage dataene? I tvivlsomme tilfælde anbefales en overordnet angivelse
  • Omtale af risici: Ved overførsel af data til usikre tredjelande, læser gerne en hemmelig tjeneste med. Det skal forklaret blive
  • Yderligere oplysninger: En link til leverandørens privatpolitiske erklæring kan være både nyttig og skadeligt. De af Google tilgjengelige oplysninger er ikke regelmæssigt tilstrækkelige til at skabe transparens. Ved en henvisning skal især sikret blive, at man henviser til et dansk dokument.

Når I nu overvejer, hvordan oplysningerne til Google Maps skal foretages, vil I se, at dette ikke er muligt. Alene den angivelse af ovennævnte formål "Kortet bruger vi til at vise vores placering." bør være grund til spørgsmålet: Er kortet overhovedet nødvendigt eller hvad er dens fordel?

Yderligere anbefalinger

Erklaringerne skulle være let forståelige, og det gælder for den almindelige borger uden teknisk eller juridisk fagkendskab. Dette fremgår af Art. 12 GDPR.

Det er i almindelighed ikke forbudt at placere dataskutzklæringen som en selvstændig afsnit under "Om os", men jeg anbefaler, at placere klæringen på eigen page eller i det mindste gøre den tilgængelig via en egen link fra hver side.

Der Link til persondatapolitikken skal være tilgængelig med maksimalt to klik. Ved responsiv design for smartphones skal linken ikke kun være tilgængelig via et hamburger-menu, men også altid synlig i sidermen. Selv på såkaldte hemmelige login-sider skal der være en link.

Der link til persondatopskriftens beskyttelse skal eindeutigt navngives, altså med persondatopskriftens beskyttelse, persondata o.s.v. Opdatering: anbefales er de betegnelser persondatasikringen eller persondatainformationer, for at undgå juridiske problemer.

Navnlig Datatilsynsmyndigheden (DSB) i persondatapolitikken. Har I ikke en egen DSB, skal den ansvarlige for datafremstillingen nævnes.

En virksomhed skal have en person til at håndhænde persondata, hvis de har mere end 19 fast ansatte, der regelmæssigt arbejder med databehandling. Det er så godt som altid tilfældet, når den nævnte antal ansatte har et computerarbejdssted. Virksomheder med flere end 250 ansatte skal også have en person til at håndhænde persondata.

Desuden gælder bestillingspligten for DSB for mange virksomheder, der regelmæssigt behandler persondata (se art. 37 § 1 b GDPR). Til denne kategori hører ifølge min opfattelse alle virksomheder med en offentlig hjemmeside, fordi netværk-adresser siden år 2017 regnes som persondata.

Fortrolighedspolitik for omfattende

Spørgsmålet var ofte, om det var et problem med for meget tekst i privatlivspolitikken, og om man overhovedet skulle frygte en advarsel. Min mening om dette:

  • Strukturér din privatlivspolitik i klart genkendelige afsnit
  • Hvis der er et par tekster for meget, er det ikke noget problem
  • Bare lad være med at overdrive
  • Hvis du for nylig har brugt et værktøj, men ikke længere gør det, skal du ikke fjerne teksten, før du er sikker på, at ingen cacher er aktive
  • Hvis du snart planlægger at bruge et værktøj (kontaktformular, nyhedsbrev, script, analyseværktøj osv.), skal du inkludere databeskyttelsesteksten på forhånd

Især det sidste punkt gør det klart, at man ikke kan få problemer på grund af for meget tekst (hvis den holder sig inden for rimelighedens grænser): Hvordan skal nogen kunne bevise, at de ikke har tænkt sig at bruge et erklæret, men endnu ikke implementeret værktøj i den nærmeste fremtid? Derudover kan en enkelt side med databeskyttelsesoplysninger også opbevares for flere websteder på samme tid, selv om jeg af flere grunde fraråder dette. Databeskyttelsestekster bør dog kun være til stede, hvis der rent faktisk er brug for dem. Ellers er de et unødvendigt mål.

Engelsk privatlivspolitik

Hvis en hjemmeside også henvender sig til andre markeder end Tyskland, Østrig og Schweiz, skal privatlivspolitikken som minimum også findes på engelsk. Der skal være en tysksproget erklæring til det tyske marked.

Også interessant

About the author on dr-dsgvo.de
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.

Cookie-pop-ups: fem grunde til, at de ikke kan fungere