gegeben ist ein Bundesverband, der weitere Landes- und Ortsverbände vertritt. Nun gibt es die Idee eine General-Datenschutzerklärung zu erstellen, die querbeet über alle Verbände / Organisationen mit jeweils eigener Web-Site gelten soll. Dass damit die verantwortliche Stelle nicht zu benennen ist, wäre schon mal das erste Problem. Am Beispiel Google Analytics wird es noch krasser: die General-DSE soll GA beinhalten, unabhängig davon, ob GA genutzt wird oder nicht. Wie sich der Besucher nun orientieren kann, ob es eingesetzt wird, blieb offen. Wie die notwendige Einwilligung laufen soll, ist ebenfalls unklar.
Bin daher auf der Suche nach Evidenz / Nachweisen, die dieses Vorhaben als nicht praxistauglich beschreiben.
PS: dass manche Muster-DSE und / oder generatorbasierte DSE den Anspruch erheben allgemeingültig zu sein (oder nur in einem leicht zu überlesendem Disclaimer dies gerade stellen), ist mir durchaus bekannt.
Nur weil GA nicht zum Einsatz kommt ist es ja nicht unschädlich. Mindestens verunsichert /erschreckt die Nennung. Mich jedenfalls versetzt es in Schwingungen und macht mich gegenüber dem Verantwortlichen… voreingenommen. (Ablehnung des Anbieters, Punktabzug auch bei ansonsten interessantn Produkten, Hass…)
(Und wo es GA wirklich gibt, läuft es m. E. meistens unzulässig; u. a. weil man weder in der Information noch in der Einwilligung die genauen Zwecke und Datenempfänger hinbekommt.)
Informiert man bewusst und systematisch über (viel) mehr als tatsächlich verarbeitet wird, ist die erteilte Information nicht mehr zutreffend. Verstößt gegen den Transparenz-Grundsatz (Art. 5 DSGVO) und die detaillierten Informationspflichten (Art. 13, 14). Die Verwirrung, falls jemand den Unterschied zwischen Schein (Info) und Sein (fehlender Einwiligungsdialog bzw. fehlende Google-Anbindung) feststellt geht prinzipiell in Richtung Verstoß gegen Treu und Glauben (Art. 5).
Sollte man also nicht zu leicht nehmen.
Vielleicht im Vorfeld eine interne Matrix, was die einzelnen Verbände einsetzen werden und daraufhin im jeweiligen Auftritt die passenden Textbausteine anzeigen oder nicht.
Bzw. in den Datenschutzerklärungen aller Auftritte eine (barrierefreie) Tabelle mit allen möglichen Elementen (und Verantwortlichen) und Kennzeichnung, wer welche davon einsetzt (und bei welcher (Sub)Domain Verantwortlicher ist). “Such dir was aus!” = nicht gerade transparenter.
D., der als Betroffener nur lesen möchte, was tatsächlich Sache ist. (Und natürlich keinen Google-Quatsch sehen will, solange es auch anders geht; es geht immer anders, Art. 25…)
Eine DSE auf einer Webseite ist eine Information zur Datenverarbeitung in Bezug auf die zugehörige Website (nach Art.13 DSGVO). Und zwar selbstverständlich sind konkret die Dinge anzugeben, die dort vorhanden sind. Was nicht da ist, darf auch nicht angegeben werden.
Wie will der Bundesverband dies für alle möglichen Auftritte seiner Mitglieder sicherstellen, für die er ja gar nicht verantwortlich ist? Würde nur funktionieren, wenn alle Orts- und Landesverbände die gleichen Systeme/Funktionen auf die gleiche Art und Weise einsetzen.
Ich stimme Domasla völlig zu - so wie geschildert würde es wahrscheinlich gegen mehrere Grundsätze des Art.5 verstoßen.
Schließe mich dem an: eine Information nach Art. 13 sollte darlegen was ist, nicht was sein könnte.
Sollte die Information auch als Grundlage für eine Einwilligung herangezogen werden, dann erst Recht.
Gut fand ich den Podcast Rechtsbelehrung 135 mit Dr. Nina Herbort - zwar zu Cookies, aber eben auch zu Andorderungen an Information.