Du fragst dich, warum und wie detailliert du den Zweck der Datenverarbeitung bei einem Service angeben musst? In diesem Artikel wollen wir dir erklären, warum du zu jedem Service, den du auf deiner Website nutzt, den Zweck der Datenverarbeitung angeben musst und wie genau du diesen Zweck beschreiben solltest, damit du die DSGVO erfüllst und die Besucher deiner Website alle notwendigen Informationen haben. Was ein Service ist und wie du ihn auf deiner Website findest, haben wir dir in einem anderen Artikel erklärt.
Warum musst du einen Zweck für Services angeben?
Mit Real Cookie Banner ermöglichen wir dir, die Anforderungen aus der DSGVO als Betreiber einer Website, zu erfüllen und um den Datenschutz von deinen Besuchern zu gewährleisten. Als Website-Betreiber bist du aus datenschutzrechtlicher Perspektive der sog. Verantwortliche, weshalb dich durch die DSGVO verschiedene Pflichten treffen. Als Verantwortlicher musst du gem. Art. 12 DSGVO geeignete Maßnahmen treffen, um den von der Datenverarbeitung betroffenen Personen alle Informationen, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Diese Informationen, die du den betroffenen Personen zur Verfügung stellen musst, werden sehr detailliert in Art. 13 DSGVO beschrieben und darunter finden sich auch die in diesem Artikel beschriebenen Zwecke, für die diese personenbezogenen Daten verarbeitet werden.
Du weißt nun also, dass du die Zwecke der Datenverarbeitung angeben musst, damit die Besucher auf deiner Website alle nötigen Informationen zur Datenverarbeitung erhalten. Aber was genau musst du als Zweck angeben?
Was ist ein Zweck und sein Nutzen?
In der DSGVO wird der Zweck als einer der zentralen Grundsätze für die Verarbeitung personenbezogener Daten definiert. Der Zweck bezieht sich auf den konkreten Grund, warum personenbezogene Daten erhoben, gespeichert, genutzt oder anderweitig verarbeitet werden. Dieser Zweck muss vom Verantwortlichen, also von dir, klar definiert und benannt werden. Wenn du auf deiner Website z. B. ein Kontaktformular eingebunden hast, damit die Besucher deiner Website dich unkompliziert anschreiben können, dann musst du ganz klar beschreiben, für welche Art der Kommunikation dieses Kontaktformular gedacht ist und warum die Datenverarbeitung im Kontaktformular notwendig ist. Ein detailliertes Beispiel dazu folgt in einem späteren Abschnitt.
Personenbezogene Daten dürfen nur für spezifische, explizite und legitime Zwecke erhoben und verarbeitet werden. Wenn die Daten für einen anderen Zweck als den ursprünglich angegebenen Zweck verwendet werden sollen, muss die betroffene Person darüber informiert werden und seine Einwilligung dazu geben. Das heißt: Erweiterst du den Zweck eines Services, musst du eine neue Einwilligung im Cookie Banner einholen. Die betroffene Person hat das Recht, den Zweck der Datenverarbeitung zu kennen und zu überprüfen, ob die Verarbeitung im Einklang mit diesem Zweck steht. Wir sind also immer an die von uns definierten Zwecke gebunden und müssen diese Zwecke sehr klar beschreiben. Die Einhaltung dieses sogenannten Zweckbindungsgrundsatzes ist ein wichtiger Teil der DSGVO und trägt dazu bei, die Privatsphäre und die Rechte der betroffenen Personen zu schützen.
Der Zweck bezieht sich auf den konkreten Grund, warum personenbezogene Daten erhoben, gespeichert, genutzt oder anderweitig verarbeitet werden. Dieser Zweck muss von dir als Verantwortlicher klar definiert und dokumentiert werden, damit du den Zweckbindungsgrundsatz der DSGVO einhalten kannst. In der Praxis solltest du den Zweck so genau wie möglich beschreiben, damit die betroffenen Personen verstehen können, wofür ihre Daten verwendet werden.
Welche Fragen muss der angegebene Zweck beantworten?
Der Zweck bezieht sich also auf den konkreten Grund, warum personenbezogene Daten erhoben, gespeichert, genutzt oder anderweitig verarbeitet werden. Dieser Zweck muss von dir als Verantwortlicher klar definiert und benannt werden, damit du den Zweckbindungsgrundsatz der DSGVO einhalten kannst. In der Praxis solltest du den Zweck so genau wie möglich beschreiben, damit die betroffenen Personen verstehen können, wofür ihre Daten verwendet werden. Dafür solltest du die folgenden Fragen beantworten:
- Welche Funktion erfüllt der von dir genutzte Service?
- Aus welchem Grund nutzt du ausgerechnet diesen Service und was kann dieser Service also besser als andere, weshalb du dich für die Nutzung entschieden hast?
- Welche personenbezogenen Daten werden verarbeitet und was passiert mit ihnen?
- Müssen diese personenbezogenen Daten verarbeitet werden, um diesen Service nutzen zu können?
- Wer erhält Zugriff auf diese Daten?
- Werden durch diesen Service Cookies gesetzt und wenn ja, welche Funktionen können diese Cookies haben?
- Können die erhobenen personenbezogenen Daten mit anderen Daten verknüpft werden?
- Welchem Zweck dient diese Verknüpfung mit anderen Daten?
Diese Fragen sollen dir ein Gefühl dafür geben, welche Informationen für den Besucher deiner Website interessant sein können. Selten kann man all diese Fragen zu 100 % beantworten, da manche Informationen z. B. durch den Service-Betreiber nicht öffentlich ersichtlich sind. Du kannst so also den Anbieter des Services um eine Beantwortung der Fragen bitten. Häufig wirst du es aber schwer haben, hier eine sinnvolle Antwort zu erhalten.
Dieser Fragenkatalog ist natürlich nicht abschließend und du solltest selbst stets überprüfen, ob die zur Verfügung gestellten Informationen für deine Website-Besucher ausreichend sind. Wie kann die Beantwortung der Fragen aber in der Praxis aussehen?
Angabe des Zweckes anhand eines Beispiels
Die Informationen in deinem Real Cookie Banner sollte daher transparent und leicht verständlich darüber informieren, welche personenbezogenen Daten gesammelt werden, wer sonst noch Zugriff auf die Daten erhält und ob die Daten mit anderen Daten verbunden werden können.
Schauen wir uns das beispielhaft anhand der Einbettung eines YouTube-Videos an, um zu verstehen, was das in der Praxis bedeutet:
Wenn du ein YouTube-Video auf deiner Website laden möchtest, muss zwangsläufig die IP-Adresse des Besuchers an YouTube bzw. Google übermittelt werden, damit der Videoplayer und später ggf. das Video geladen werden kann. Auch wenn Google angibt, dass die IP-Adresse nicht gespeichert und zu Marketingzwecken auswertet wird, muss die IP-Adresse in der Regel im Webserver, den Logs usw. auf Google-Servern verarbeitet werden. Die Skripte von YouTube und Google können diverse Cookies setzen und teilweise auch auslesen, die z.B. gesetzt wurden, als der Nutzer zuvor auf youtube.com eingeloggt war. Warum du für das Setzen und Lesen nicht-essentiellen Cookies eine Einwilligung benötigst, haben wir dir in separaten Artikel ausführlich erklärt.
Die Angabe des Zweckes für unser Beispiel könnte also folgendermaßen lauten, wenn wir alle relevanten Fragen aus dem vorherigen Abschnitt beantworten:
“YouTube ermöglicht die direkte Einbettung von auf youtube.com veröffentlichten Inhalten in Websites, um den Internetauftritt durch Videos aufzuwerten. Um diesen Service nutzen zu können, muss aus technischen Gründen die IP-Adresse des Nutzers verarbeitet werden und es müssen Cookies gesetzt werden. Die Cookies können von dir und von Google verwendet werden, um besuchte Websites und detaillierte Statistiken über das Nutzerverhalten zu sammeln und werden zur Verbesserung der Dienste von Google genutzt. Diese Daten können auch von Google mit den Daten der auf youtube.com und google.com angemeldeten Nutzer verknüpft werden.”
Folgen von der falschen Angabe der Zwecke
Wenn die Zwecke der Datenverarbeitung nicht klar und eindeutig beschrieben sind, kann dies zu Verstößen gegen die DSGVO führen und könnte Sanktionen von einer Aufsichtsbehörde (wie z. B. Bußgelder) oder Schadenersatzforderungen von betroffenen Personen nach sich ziehen. Eine Erklärung wie beispielsweise der Satz „Wir verwenden Cookies, um dir ein besseres Nutzungserlebnis bieten zu können.“ reichen als Zweckbeschreibung definitiv nicht aus. Deswegen bietet dir Real Cookie Banner zahlreiche Service-Vorlagen an, in denen die möglichen Zwecke bereits in vorformulierten Zwecken beschrieben sind. Wir empfehlen dir jedoch trotzdem, den Zweck der Datenverarbeitung für deinen konkreten Fall regelmäßig zu überprüfen und zu aktualisieren.
Bei der Verarbeitung von besonders sensiblen personenbezogenen Daten kann es auch notwendig sein, dass du eine Datenschutzfolgenabschätzung (DSFA) gemäß Art. 35 DSGVO durchführen musst, wenn das voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben wird. Es ist wichtig, dass neben den genauen Informationen im Cookie Banner auch die Datenschutzerklärung auf der Website leicht zugänglich und klar formuliert ist, damit die betroffenen Personen dort nachlesen können, welche Daten und zu welchem Zweck sie erhoben werden.
Du hast bei Real Cookie Banner auch die Option, die Zwecke jedes einzelnen Cookies oder Cookie-ähnlichem Datum detailliert zu beschreiben. Die ePrivacy Richtlinie und das TTDSG verlangen, dass ein nicht-professioneller Nutzer den Zweck dieses Dienstes versteht und weiß, wie personenbezogene Daten gesammelt werden und wie Cookies zu diesem Zweck verwendet werden.