Datenschutz auf Behördenwebsites
Ein klarer und gut strukturierter Datenschutzbereich ist ein fester Bestandteil jeder Website einer öffentlichen Einrichtung. Für Organisationen des öffentlichen Sektors in der EU ist das nicht nur gute Praxis, sondern auch eine konkrete Anforderung an Transparenz, Vertrauen und Rechtskonformität. Bürgerinnen und Bürger, Mitarbeitende, Lieferanten und weitere Anspruchsgruppen müssen nachvollziehen können, welche personenbezogenen Daten erhoben werden, zu welchem Zweck sie verarbeitet werden, wie lange sie gespeichert bleiben und welche Rechte sie ausüben können.
Der Datenschutzbereich einer Website sollte diese Informationen in verständlicher Sprache bereitstellen, ausgerichtet an den Bedürfnissen der Nutzerinnen und Nutzer statt an internen Verwaltungsstrukturen. So erfüllen Einrichtungen die Transparenzpflichten der DSGVO und erleichtern zugleich die Nutzung der Website. Die Inhalte sollten über die Hauptnavigation leicht auffindbar sein, barrierefrei formuliert werden und auf verschiedenen Geräten sowie mit assistiven Technologien gut nutzbar sein.
Was der Bereich enthalten sollte
Ein vollständiger Datenschutzbereich bündelt die wichtigsten Informationen, die Nutzerinnen und Nutzer bei der digitalen Kommunikation mit einer Einrichtung benötigen. In der Praxis gehören dazu in der Regel:
- Informationen zur Verarbeitung personenbezogener Daten
Hier sollte erläutert werden, welche Kategorien personenbezogener Daten verarbeitet werden, zu welchem Zweck dies geschieht, auf welcher Rechtsgrundlage die Verarbeitung beruht, wie lange Daten gespeichert werden und ob sie an Dritte weitergegeben werden. Für öffentliche Einrichtungen ist besonders wichtig, zwischen Verarbeitungen aufgrund einer gesetzlichen Pflicht, im Rahmen einer öffentlichen Aufgabe oder auf Grundlage einer Einwilligung zu unterscheiden, etwa bei der Anmeldung zu einem Newsletter.
- Hinweise zu den Rechten betroffener Personen
Nutzerinnen und Nutzer sollten ihre Rechte klar verstehen können, darunter das Recht auf Auskunft, Berichtigung, Löschung, soweit anwendbar, Einschränkung der Verarbeitung, Widerspruch und das Recht, Beschwerde einzulegen. Die Website sollte erklären, wie diese Rechte im Kontext der jeweiligen Einrichtung gelten, denn einzelne Rechte können eingeschränkt sein, wenn Daten aufgrund gesetzlicher Vorgaben oder zur Wahrnehmung einer öffentlichen Aufgabe verarbeitet werden.
- Antragsformulare oder Vorlagen
Standardisierte Vorlagen erleichtern es Personen, Anträge einzureichen, und helfen Einrichtungen bei einer einheitlichen Bearbeitung. Diese Formulare sollten einfach aufgebaut, barrierefrei und so gestaltet sein, dass nur die Angaben abgefragt werden, die zur Identitätsprüfung und Bearbeitung des Anliegens wirklich erforderlich sind.
- Kontaktdaten des Datenschutzbeauftragten
Die Kontaktdaten des Datenschutzbeauftragten sollten gut sichtbar und aktuell sein. Dazu gehören in der Regel Name oder Funktionsbezeichnung, E-Mail-Adresse und weitere passende Kontaktwege, damit Nutzerinnen und Nutzer wissen, an wen sie sich mit Fragen zur Verarbeitung personenbezogener Daten wenden können.
- Zusätzliche Datenschutzinformationen für digitale Dienste
Wenn die Einrichtung Online-Formulare, Portale, Buchungstools oder andere digitale Angebote bereitstellt, sollte jeder Dienst bei Bedarf auf eigene Datenschutzinformationen verlinken. Das ist besonders wichtig, wenn je nach Dienst unterschiedliche Systeme, Auftragsverarbeiter oder Aufbewahrungsfristen gelten.
Aspekte der Barrierefreiheit und Nutzbarkeit
Datenschutzinformationen helfen nur dann, wenn Menschen sie erreichen und verstehen können. Websites des öffentlichen Sektors sollten deshalb sicherstellen, dass Datenschutzhinweise, Formulare und ergänzende Materialien die Anforderungen an Barrierefreiheit erfüllen, etwa durch klare Überschriften, gut lesbare Kontraste, Tastaturbedienbarkeit und Kompatibilität mit Screenreadern. Wenn Videos eingesetzt werden, um Datenschutzregeln zu erklären, sollten sie Untertitel und, wo sinnvoll, ein Transkript enthalten.
Einrichtungen sollten außerdem eine zu juristische Sprache vermeiden. Wer wissen möchte, wie sich Rechte nach der DSGVO ausüben lassen, sollte nicht erst komplizierte Fachbegriffe entschlüsseln müssen. Kurze Zusammenfassungen, klare Handlungsaufforderungen und eindeutig beschriftete Links machen diesen Bereich deutlich verständlicher.
Steuerung und Rechtskonformität
Die Website sollte den aktuellen Stand der Datenschutzpraxis der Einrichtung zuverlässig abbilden.