Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
✓ Ausprobieren DSGVO Website-Check sofort DSGVO-Probleme finden

Integritetspolicy på webbplatser: Innehåll och vägledning

0
recommendations for content and structure of the privacy policy
Dr. DSGVO Newsletter detected: Extended functionality available
More articles · Website-Checks · Live Offline-AI

En integritetspolicy måste finnas tillgänglig på varje offentlig webbplats. Förutom standardtexter måste den också innehålla förklaringar av alla verktyg som används och alla databehandlingsoperationer. Enbart en integritetspolicy är dock inte tillräckligt.

Inledning

Dataskyddspolicyn på webbplatser är obligatoriskt. Detta framgår av Artikel 12 samt Artikel 13 GDPR och faktumet att nätverksadresser innehåller personuppgifter. Nästan varje webbplats utgör ett erbjudande. Om en webbplats är nästan tom, behöver den kanske ingen dataskyddspolicy. Bara hänvisningen till det egna (yrkesmässiga) verksamhetsfältet räcker m. E. för att uppfylla erbjudandekaraktären (se exempel, där m. E. saknas dataskyddshänvisningar). Se även min undersökning till begreppet insamling av data och den ansvarighet som uppstår därför.

På grund av juridiska skäl är det bättre att ge sidan med information om personuppgiftshantering den beteckningen "Information om dataskydd" eller "Datenschutzinformationen". I detta inlägg används istället den tidigare inte så kritiska benämningen "privacy policy". Se till exempel domen från 27.12.2018 – 23 U 196/13.

Jag vet från erfarenhet att faror (klagomål, varning, böter) i första hand inte kommer från dataskyddstexter utan från rättsligt felaktigt integrerade verktyg, saknade SSL-certifikat, inte fungerande frågor om samtycke, för mycket uppsökta data i formulär eller saknade länkar till dataskyddsutskottet.

Att förklara något betyder inte att det är tillåtet.

Ta exemplet med kontraktsmördare:

Du anlitar en kontraktsmördare och förklarar din avsikt för offret. Kommer det att göra det bättre?

Ofta förekommande missförstånd om dataskyddsförklaringar

Det är tillåtet att påpeka att skapandet av dataskyddstexter i princip är möjligt för vem som helst och ofta är meningsfullt. De behöver inte en advokat för det. Riskerna ligger någon annanstans. Om du vill skydda dina webbsidor, börja med att tänka på andra saker än dataskyddserkläringen. Dessutom hävdar jag att även advokater ofta inte riktigt lyckas med dessa informationsstexter. Bland annat ligger det till del att för verktyg från Google eller Facebook är det ofta inte klart, och många vet inte exakt, vilka dataskyddshanteringar som faktiskt sker av vem.

Jag påstår utifrån min erfarenhet att för att skapa bra dataskyddstexter för verktyg är det första tekniskt förståelse och andra grundläggande juridisk förståelse till nytta. Dessutom är kunskapen om hur man bygger upp dataskyddstexter användbar, eftersom alla texter av detta slag har samma grundstruktur.

Innehåll i integritetspolicyn

Innehållet i dataskyddsinformationen kan i huvudsak delas in i tre delar:

  • Sidor-specifika uppgifter: Inledande text, nämnd av ansvarig enhet, nämnd av dataskyddsförfattaren (DSB), kontaktuppgifter
  • Allmänna skyldigheter: Dessa är alltid lika (Senast uppdaterad: 09.08.2021)
  • Angaben till särskilda dataverkshändelser på webbplatsen: Relevant vid användning av nyhetsbrev, formulär eller verktyg som Google Maps

Allmänna uppgiftshandlingar

Först måste en rad av allmänna uppgifter ges. Till dessa hör:

  • Registrerades rättigheter: Standardtexter
  • Rättsliga grunder: Standardtexter (kan även utformas mer specifikt)
  • Ansvarig myndighet: Vem är ansvarig för dataskydd på webbplatsen och hur kan den personen nås?
  • Uppgift om kontaktuppgifter för dataskyddsförvaltaren: Kan eventuellt falla bort

De registrerades rättigheter kan förklaras på följande sätt.

Registrerades rättigheter

De som berörs har rättigheter som utgår från Artikel 15 GDPR. Här ett exempel på en formulering för att nämna de som berörs. Vänligen anpassa eventuellt. Texten ska bara användas med en länk till tack https://dr-dsgvo.de.

Du har rätt till det:

  • Enligt artikeln 15 i GDPR kan du begära utlämning av uppgifter om de personuppgifter som jag har behandlat. Särskilt kan du begära utlämning av uppgifter om syftet med behandlingen, vilka kategorier av personuppgifter som har använts, vilka kategorier av mottagare som dina uppgifter har delats med eller kommer att dela med, den planerade lagringsperioden, om du har rätt till rättelse, radering, begränsning av behandlingen eller invändning, om du har rätt att anmäla dig till en tillsynsmyndighet, var uppgifterna kommer från, såvida de inte samlades in av mig själv, samt om det finns någon automatisk beslutsfattande process inklusive profilering och eventuellt tillgängliga informationer om dess detaljer;
  • i enlighet med artikel 16 i GDPR omedelbart begära rättelse av felaktiga eller ofullständiga personuppgifter som lagras av mig;
  • att kräva radering av dina personuppgifter som lagras av mig i enlighet med artikel 17 i GDPR, såvida inte behandlingen är nödvändig för att utöva rätten till yttrandefrihet och information, för att uppfylla en rättslig skyldighet, av hänsyn till allmänintresset eller för att fastställa, göra gällande eller försvara rättsliga anspråk;
  • i enlighet med artikel 18 i GDPR kräva att behandlingen av dina personuppgifter begränsas om du bestrider uppgifternas riktighet, om behandlingen är olaglig men du vägrar att radera dem och vi inte längre behöver uppgifterna, men du behöver dem för att hävda, utöva eller försvara rättsliga anspråk eller om du har gjort en invändning mot behandlingen i enlighet med artikel 21 i GDPR;
  • i enlighet med artikel 20 i GDPR, att få dina personuppgifter som du har lämnat till mig i ett strukturerat, allmänt använt och maskinläsbart format eller att begära att de överförs till en annan personuppgiftsansvarig;
  • Enligt Artikel 7 § 3 GDPR kan du återkalla din en gång givna samtycke till mig när som helst. Detta medför att vi inte längre får fortsätta med datapolitiken, som grundades på detta samtycke, i framtiden och
  • I enlighet med artikel 77 i GDPR har du rätt att lämna in ett klagomål till en tillsynsmyndighet, utan att det påverkar tillämpningen av andra administrativa eller rättsliga åtgärder. I regel kan du kontakta tillsynsmyndigheten på din vanliga bostadsort eller arbetsplats eller platsen för den påstådda överträdelsen om den registrerade anser att behandlingen av personuppgifter som rör dem strider mot EU:s allmänna dataskyddsförordning (GDPR).

Rättslig grund

Rättsliga grunderna bör allmänt nämnas. Dessutom kan för varje datahanteringsåtgärd en specifik nämnd ske, om detta inte är uppenbart. Här ett exempel på texten. Texten ska bara användas med en tack-länk till https://dr-dsgvo.de.

Vi behandlar de uppgifter som genereras när du besöker vår webbplats eller använder de kontaktalternativ som erbjuds i enlighet med bestämmelserna i den europeiska allmänna dataskyddsförordningen (GDPR) och den tyska federala dataskyddslagen (BDSG). Beroende på i vilket ärende du kontaktar oss via webbplatsen finns det olika rättsliga grunder för detta. Den specifika rättsliga grunden för databehandling beror på sammanhanget och syftet med att vi tar emot dina uppgifter. Som regel är den rättsliga grunden för databehandling resultatet av de alternativ som anges nedan:

Art. 6 I lit. a GDPR utgör den rättsliga grunden för behandlingar för vilka vi erhåller samtycke för ett specifikt behandlingssyfte. Ett samtycke som har beviljats kan återkallas när som helst.

Om behandlingen av personuppgifter är nödvändig för att uppfylla ett kontrakt, där den berörda personen är en part, såsom vid behandlingar som krävs för leverans av varor eller tillhandahållande av någon annan tjänst eller motprestation, så grundas behandlingen på artikel 6 I lit. b GDPR. Samma gäller för sådana behandlingsprocesser som är nödvändiga för att genomföra förekontraktliga åtgärder, till exempel vid frågor om våra produkter eller tjänster.

Underkastar vi oss en rättslig förpliktelse, genom vilken en behandling av personuppgifter är nödvändig, till exempel för att uppfylla skatteregler, så baseras behandlingen på Artikel 6 I literna c GDPR.

I slutändan kunde hanteringsprocesser på Artikel 6 I punkt f GDPR basera sig. På denna rättsliga grundval baseras hanteringsprocesser som inte omfattas av någon av de tidigare rättsliga grunderna, när hantering krävs för att skydda ett berättigat intresse hos vårt företag eller en tredje part, så länge intressena, grundläggande rättigheter och grundläggande friheter för den berörde inte överväger.

Exempeltext för åberopande av rättsliga grunder

Observera att det inte är möjligt att besöka en webbplats utan att personuppgifter behandlas. Därför bör det inte anges att det är möjligt att besöka webbplatsen utan att lämna personuppgifter.

Information om särskilda databehandlingsåtgärder

För varje datahanteringsåtgärd på webbplatsen ska specifika uppgifter lämnas. Se även Artikel 15 GDPR. Vanliga avsnitt är:

  • Serverloggar: De flesta servrar sparar åtkomstloggar. Detta bör förklaras
  • Cookies: De flesta webbplatser sätter Cookies in. Tekniskt nödvändiga Cookies, som till exempel inloggningshantering på WordPress-webbplatser eller Cookies från VG Wort, är oproblematiska. För att undvika frågor bör även oproblematiska Cookies förklaras. Observera att Cookies inte är textfiler, även om det ofta påstås så
  • Formulär: Angegebe Daten werden nur zur Beantwortung der Anfrage und eventueller Rückfragen or weiterer, sich daraus ergebender Kommunikation verwendet
  • Nyhetsbrev: Angegebe Daten (minstens e-postadress) ska behandlas. Nämna möjligheten att ångra sig (avbeställa nyhetsbrev). Använd en tjänst för nyhetsbreven, nämna den. Se till att det inte finns något spårningspixel i nyhetsbrevs-e-post (och om det finns ett, fråga efter tillstånd)
  • Övriga datinsamlingar: Erbjud en återringstjänst via webben eller hantera ansökningar via webben eller bearbeta data på webben för andra, ännu inte förklarade skäl, måste detta förklaras.
  • Verktyg: För varje verktyg som används måste särskilt förklaras:
    • Namn på verktyget
    • Leverantör
    • Syfte
    • Cookies som används. Per cookie: namn, livslängd, syfte
    • Insamlade uppgifter
    • Platser för datainsamling, om de också äger rum utanför leverantörens säte (land)
    • Datamottagare, om det finns andra än leverantören
    • Eventuella risker, t.ex. överföring av uppgifter till osäkra tredje länder
    • Befintliga garantier, till exempel ett avtal om orderhantering
  • Externa filer: Även för bilder, skrift, videor, hjälpbibliotek osv. måste förklaras vad det är med dem.

Om du har ett avtal med en leverantör av ett verktyg eller externa filer kan det i enskilda fall vara tillåtet att inte deklarera detta.

Hur vet du egentligen vilka verktyg och externa filer som är integrerade på din webbplats? Här är några möjliga svar. Endast ett av dem är korrekt:

  1. Du gissar
  2. Du frågar din Internetbyrå
  3. Du frågar ditt dataskyddsombud
  4. Du frågar en advokat
  5. De försöker ta en närmare titt på din webbplats
  6. Du använder ett verktyg som automatiskt skannar hela din webbplats. Om du vill ha mer säkerhet betalar du lite mer för en extra manuell kontroll

För många verktyg och Cookies finns det enkel inte någon integritetspolicy. Om tillhandahållaren av ett tjänst eller dess exakta firma är okänd, kan ingen ordentlig förklaring ske. Många gånger är syftet med Cookies okänt eller antas. Om detta är fallet är en rättsligt konform användning av verktyg som hanterar de berörda kakorna inte möjlig, eftersom de krav på information om kakorna som föreskrivs i artikel 13 GDPR inte kan uppfyllas.

Till analysverktyg och andra verktyg som samlar in data, måste användaren erbjudas en valmöjlighet (Opt-Out) att inte delta. Samtycket måste också begäras för de flesta verktygen.

Typisk struktur för en dataskyddstext för ett verktyg

En möjlig dataskyddstext för Google Maps ska visa hur en dataskyddstext för ett verktyg kan se ut. Vänligen observera att uppgifterna om Cookies saknas, eftersom ingen verkar veta vilka Cookies som används till vilken specifik ändamål!

Exempel på dataskyddstext (cookie-information saknas!). Bilden översattes automatiskt.

Texten tar upp flera aspekter:

  • Namn på tjänsten (Verktyg). För nyhetsbrev skulle enkelt Nyhetsbrev heta
  • Leverantör av tjänsten: Fullständig firma inklusive adress och vanligaste landsbeteckning: USA förstås säkert av alla. Andra ISO-koder är inte begripliga
  • Syfte: Varför används tjänsten?
  • Rättslig grund: Denna kan antingen anges för en tjänst i ett specifikt avsnitt eller i ett allmänt avsnitt utan tjänstrelaterad anknytning. Ofta följer rättslig grund också av den typ och sätt på vilket en tjänst är kopplad in. Med samtyckesfråga är rättslig grund samtycket, utan sådan fråga återstår vanligtvis bara det berättigade intresset. En specifikt angiven rättslig grund bör dock också stämma. Den som skriver "samtycke" och laddar en tjänst utan samtycke, provocerar problem.
  • Specifik information: Vad ska användaren veta tillägg?
  • Databehandling: Vad händer med de data som skapas vid anrop och drift av verktyget?
  • Mottagare av data: Vem kan ta emot data? I tvivel rekommenderas en överordnad anmärkning
  • Omnämnande av risker: Vid datatransfer till osäkra tredjeländer läser gärna en hemlig tjänst med. Detta bör förklaras
  • Ytterligare information: En länk till leverantörens integritetspolicy kan vara till hjälp, men också skadlig. De uppgifter som Google tillhandahåller är regelbundet inte lämpliga för att skapa transparens. Vid en länkning bör särskilt uppmärksammas att man pekar på ett tyskt dokument.

När du nu funderar på hur uppgifterna till Google Maps ska göras, kommer du att konstatera att detta inte är möjligt. Bara den angivna anledningen "Vi använder kartan för att visa vår position" borde ge anledning till frågan: Behövs kartan överhuvudtaget respektive vad är dess nytta?

Ytterligare rekommendationer

Förklaringarna ska vara lättförståeliga och gälla för den vanlige medborgaren utan tekniskt eller juridiskt sakkunskap. Det framgår av Artikel 12 GDPR.

Det är grundläggande inte förbjudet att placera dataskyddspolicyn i form av en egen avdelning i företagsinformationen. Jag rekommenderar dock att placera uttalandet på eget sida eller åtminstone göra det tillgängligt via en egen länk från varje sida.

Länken till dataskyddspolicyn måste vara tillgänglig med maximalt två klick. När det gäller responsiv design för smartphones bör länken inte bara visas via ett hamburgermeny, utan även alltid synlig i fotsonen. Även på s.k. hemliga inloggningssidor måste en länk finnas tillgänglig.

Länken till dataskyddspolicyn ska tydligt benämnas, alltså med dataskyddspolicy, dataskydd o.s.v. Uppdatering: rekommenderade är de beteckningar dataskyddsinformationer eller dataskyddsinformationer, för att undvika juridiska problem.

Nämnda Datatillsynshavaren (DSB) ska nämnas i dataskyddspolicyn. Har ni ingen egen DSB, är den ansvarige för datahanteringen att nämnas.

Varje företag som har mer än 19 anställda och regelbundet beordrar behandling av personuppgifter måste ha en dataskyddsföreträdare (DSB). Det är så gott som alltid fallet när den nämnda antalet anställda har ett datorarbetsplats. Företag med mer än 250 anställda måste också beställa en DSB.

Utöver det gäller beställningsplikten för DSB även för många företag som regelbundet hanterar personuppgifter (jämför artikel 37 §1 b GDPR). Till denna kategori hör enligt min uppfattning alla företag med en offentlig webbplats, eftersom nätverkadresser redan från år 2017 räknas som personuppgifter.

Integritetspolicyn är för omfattande

Frågan uppstod ofta om det var ett problem med för mycket text i integritetspolicyn och om man ens borde vara rädd för en varning. Min åsikt om detta:

  • Strukturera din integritetspolicy i tydligt identifierbara avsnitt
  • Om det finns några texter för mycket är det inget problem
  • Överdriv bara inte
  • Om du nyligen har använt ett verktyg men inte längre gör det ska du inte ta bort texten förrän du är säker på att inga cacher är aktiva
  • Om du planerar att använda ett verktyg (kontaktformulär, nyhetsbrev, skript, analysverktyg etc.) inom kort ska du inkludera dataskyddstexten i förväg

Särskilt den sista punkten gör det tydligt att man inte kan få problem på grund av för mycket text (om den håller sig inom rimliga gränser): Hur ska någon kunna bevisa att de inte planerar att använda ett deklarerat men ännu inte driftsatt verktyg inom den närmaste tiden? Dessutom kan en enda sida med dataskyddsinformation också sparas för flera webbplatser samtidigt, även om jag av flera skäl avråder från detta. Dataskyddstexter bör dock bara finnas om de faktiskt behövs. Annars utgör de ett onödigt mål.

Integritetspolicy på engelska

Om en webbplats även riktar sig till andra marknader än Tyskland, Österrike och Schweiz ska integritetspolicyn åtminstone finnas på engelska. En tyskspråkig förklaring måste tillhandahållas för den tyska marknaden.

Också intressant

About the author on dr-dsgvo.de
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.

Popup-fönster med Cookies: fem skäl till varför de inte fungerar