denisismagilov - stock.adobe.com

Online-Datenschutz ist kein Versteckspiel

Der Europäische Datenschutzausschuss hat auf irreführende Praktiken bei Social Media hingewiesen. Viele dieser Datenschutz-Mängel können auch bei Websites von Unternehmen bestehen.

Kaum ein Unternehmen verzichtet noch darauf, eine eigene Website im Internet zu haben. Auch ein Auftritt in den führenden sozialen Medien erscheint für viele Unternehmen als Pflichtprogramm. Doch es ist nicht einfach, bei Online-Auftritten und in den sozialen Netzwerken die für Unternehmen so wichtige Compliance sicherzustellen, auch und gerade im Datenschutz.

Der Einsatz von Cookie-Bannern, die dem Datenschutz entsprechen, ist nur ein Beispiel dafür, wenn es um Firmen-Websites geht.

Generell müssen Unternehmen darauf achten, dass sie ihren Informationspflichten den Nutzenden gegenüber nachkommen und dass es die erforderliche Transparenz im Online-Datenschutz gibt. Viele Negativbeispiele findet man bei sozialen Netzwerken, hier kann man häufig sehen, wie man es nicht machen sollte.

Irreführung am Beispiel Social Media

Zu Social Media hat der Europäische Datenschutzausschuss (EDSA) unter anderem eine neue Leitlinie angenommen, nachdem für diese die öffentliche Konsultationsphase abgeschlossen war, also Rückmeldungen und Kommentare dazu abgegeben werden konnten.

Diese Leitlinien betreffen irreführende Designs auf der Benutzeroberfläche von Social-Media-Plattformen (Guidelines 3/2022 on Deceptive design patterns in social media platform interfaces: practical recommendations

Die Leitlinien beschreiben nicht nur häufige Mängel, sie bieten auch für das Entwickeln und Nutzen solcher Plattformen praktische Empfehlungen, zur Bewertung und zur Vermeidung von Designmustern auf Benutzeroberflächen, die gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen.

Designaspekte im Datenschutz

Sogenannte „Deceptive Design Patterns“ beeinflussen das Verhalten der Nutzenden und deren Fähigkeit, ihre personenbezogenen Daten wirksam zu schützen. Aus diesem Grund hängen Design-Fragen auch mit Datenschutzvorgaben zusammen.

Fragen zur Datenschutzkonformität von Benutzeroberflächen bei Online-Anwendungen, nicht nur im Social-Media-Bereich, lassen sich insbesondere mit den datenschutzrechtlichen Grundsätzen in der DSGVO klären. 

Dort wird unter anderem gefordert: Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz).

Irreführende, täuschende Designmuster entsprechen dem sicherlich nicht. Schließlich spielen auch die Anforderungen des Privacy by Design and Default nach DSGVO eine entscheidende Rolle, da ihre Anwendung den Social-Media-Anbietern vor der Einführung einer Benutzeroberfläche helfen würde, irreführende Designmuster von vornherein zu vermeiden, so die Aufsichtsbehörden.

Best Practices gegen Irreführung bei Online-Diensten

Für Unternehmen mit Firmen-Website ist besonders wichtig: Die Datenschutzaufsichtsbehörden geben in den Leitlinien nicht nur Beispiele, was alles als irreführend bei den Oberflächen für Nutzende von Social Media angesehen werden sollte. Sie nennen auch konkrete Vorgehensweisen, wie sich solche Täuschungen und damit Datenschutzmängel bei sozialen Medien und natürlich auch bei anderen Online-Diensten vermeiden lassen. Dazu gehören auch klassische Internetauftritte.

Die Hinweise der Aufsichtsbehörden können also auch Unternehmen helfen, ihren Online-Datenschutz für den eigenen Firmenauftritt im Internet zu prüfen und zu verbessern.

Konkret werden insbesondere diese Best Practices genannt:

Verknüpfungen: Links zu Informationen, Aktionen oder Einstellungen, die Benutzenden bei der Verwaltung ihrer Daten und ihrer Datenschutzeinstellungen eine praktische Hilfe sein können, sollten verfügbar sein, wo immer sie damit konfrontiert werden (zum Beispiel Links, die zu den relevanten Teilen der Datenschutzerklärung weiterleiten).

Kontaktinformationen: Die Kontaktadresse des Unternehmens zur Adressierung von Datenschutzanfragen sollte in der Datenschutzerklärung klar angegeben werden. Es sollte in einem Abschnitt vorhanden sein, in dem Benutzende es erwarten können.

Kontaktaufnahme mit der Aufsichtsbehörde: Angabe der genauen Identität der Aufsichtsbehörde und Angabe eines Links zu ihrer Website oder der spezifischen Website-Seite im Zusammenhang mit der Einreichung einer Beschwerde. Diese Informationen sollten in einem Abschnitt vorhanden sein, in dem Benutzende sie erwarten können, zum Beispiel in einem Abschnitt zu Rechten.

Überblick über die Datenschutzerklärung: Fügen Sie am Anfang / Kopf der Datenschutzerklärung ein (ausklappbares) Inhaltsverzeichnis mit Überschriften und Unterüberschriften ein, dass die verschiedenen Passagen der Datenschutzerklärung anzeigt. Die Benennung der einzelnen Passagen führt den Nutzer eindeutig zum genauen Inhalt und ermöglicht es ihm, den gesuchten Abschnitt schnell zu finden und anzuspringen.

Erkennung und Vergleich von Änderungen: Wenn Änderungen an der Datenschutzerklärung vorgenommen werden, machen Sie frühere Versionen zugänglich, geben Sie das Datum der Veröffentlichung an und heben Sie die Änderungen hervor.

Kohärente Formulierungen: Auf der gesamten Website werden die gleichen Formulierungen und Definitionen für den gleichen Datenschutz verwendet. Der in der Datenschutzerklärung verwendete Wortlaut sollte mit dem im Rest der Datenschutzrichtlinie verwendeten übereinstimmen.

Bereitstellung von Definitionen: Wenn Sie unbekannte oder technische Wörter oder Fachjargon verwenden, hilft die Bereitstellung einer Definition in einfacher Sprache den Benutzenden, die ihnen bereitgestellten Informationen zu verstehen. Die Definition kann direkt in den Text eingefügt sein, wenn der Benutzer mit der Maus über das Wort fährt, sowie in einem Glossar verfügbar gemacht werden.

Verwendung von Beispielen: Neben Pflichtangaben, die den Zweck der Verarbeitung klar und präzise angeben, können Beispiele verwendet werden, um eine bestimmte Datenverarbeitung zu veranschaulichen, um sie für Benutzende greifbarer zu machen.

Kontextinformationen: Bringen Sie neben einer umfassenden Datenschutzrichtlinie kurze Informationen zum am besten geeigneten Zeitpunkt für den Benutzenden, um spezifische und kontinuierliche Informationen darüber zu erhalten, wie seine oder ihre Daten verarbeitet werden.

Unternehmen tun gut daran, sich diese Praxishinweise der Aufsichtsbehörden zu eigen zu machen, denn damit lassen sich die Negativbeispiele, die den Datenschützern bei Social-Media-Plattformen aufgefallen sind, vermeiden.

Letztlich werden damit Datenschutzverletzungen verhindert, denn nichts anderes sind die von dem Europäischen Datenschutzausschuss beschriebenen Irreführungen durch Social Media.

Erfahren Sie mehr über Datenschutz und Compliance