Navigation öffnen

Der erste Aspekt, den Sie auf Ihrer Website angehen sollten, ist die Datenschutzerklärung. Jede Webseite, die solche Daten erhebt, bedarf einer Datenschutzerklärung. Dieses Dokument ist öffentlich verfügbar und kann leicht von Wettbewerbern oder Aufsichtsbehörden eingesehen werden. Daher bietet es eine große Angriffsfläche. In der Datenschutzerklärung sollen Unternehmen ihre Kunden darüber aufzuklären, in welchem Umfang und zu welchen Zwecken seine personenbezogenen Daten verwendet werden. Doch was gilt es, zu beachten? Und welche Neuerungen hat die EU-DSGVO mit sich gebracht?

Hintergründe zur Datenschutzerklärung

Sinn und Zweck von Datenschutzerklärungen

Wer sich im Internet bewegt hinterlässt zwangsläufig eine Datenspur. Viele dieser Daten ermöglichen Rückschlüsse auf die Person vor dem Bildschirm, was zu einem Interessenkonflikt führt. Webseitenbetreiber auf der einen Seite können die anfallenden Daten zu Analysezwecken, zur Verbesserung ihres Angebots, zur Finanzierung oder zur Werbung verwenden. Der Internetnutzer hingegen ist mit einigen dieser Nutzungsmöglichkeiten womöglich nicht einverstanden, möchte anonym bleiben oder zumindest von aufdringlicher Werbung verschont werden.

YouTube-Video: "DSGVO: Was muss in die neue Datenschutzerklärung?"
YouTube-Video: „DSGVO: Was muss in die neue Datenschutzerklärung?“

Datenschutzerklärungen sollen die Datenerhebung für den Webseitenbesucher transparent machen. In einem leicht erreichbaren und möglichst verständlichen Text klärt der Webseitenbetreiber über Art und Umfang der Datenerhebung auf, erläutert ob und welche Daten gespeichert werden und inwiefern Dritte in diese Vorgänge eingebunden sind.

Wer benötigt eine Datenschutzerklärung? 

Jeder, der personenbezogene Daten erhebt oder verarbeitet, muss hierüber in einer Datenschutzerklärung aufklären. Das bedeutet, dass grundsätzlich jeder Webseitenbetreiber eine Datenschutzerklärung bereithalten muss. Deren Inhalt kann sich je nach Art der angebotenen Dienste und auf der Webseite aktiven Analyse-Tools stark unterscheiden. Daher reichen pauschale Platzhaltertexte in den meisten Fällen nicht aus.

Eine Datenschutzerklärung ist allerdings dann entbehrlich, wenn die entsprechende Seite lediglich Teil eines anderen Internetangebots ist. So bedarf der Betrieb der firmeneigenen Facebook-Seite keiner separaten Datenschutzerklärung – hier ist die allgemeine Datenschutzerklärung von Facebook einschlägig.

Personenbezogene Daten

Wenn im Rahmen der Datenschutzerklärung von Daten gesprochen wird, dann sind meist „personenbezogene“ Daten gemeint. Nach der gesetzlichen Definition sind personenbezogene Daten

alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen“.

Artikel 4 Nr. 1 DSGVO

Damit sind solche Daten gemeint, die sich einer bestimmten oder jedenfalls (später) bestimmbaren Person zuordnen lassen. Beispiele hierfür sind Name, Adresse oder Telefonnummer. Auch eine IP-Adresse lässt sich einem Internetanschluss und folglich dem konkreten Anschlussinhaber zuordnen.

Verständnis: Unterschied zwischen digitaler und analoger Welt

Die (strengen) datenschutzrechtlichen Anforderungen an Webseitenbetreiber erschließen sich schon aufgrund ihrer Komplexität – verständlicherweise – nicht jedem. Die gesetzlichen Vorschriften sind jedoch nicht einer fanatischen Überregulierung, sondern vielmehr den Besonderheiten der digitalen Welt geschuldet. Wer im Supermarkt um die Ecke einkaufen geht, der ist dabei persönlich anwesend und zeigt auch sein Gesicht, hinterlässt jedoch keinerlei Informationen.

Datenverarbeitung

Bei einem Einkauf in einem Online-Shop hingegen wird bereits bei Aufruf der Webseite die IP-Adresse registriert. Jeder einzelne Klick kann nachvollzogen werden: Welche Produkte wurden angesehen? Wie lange ist der Nutzer auf einer Produktseite verblieben? Wurde etwas in den Warenkorb gelegt und wieder herausgenommen?

Wird tatsächlich ein Kauf getätigt, müssen Personalien und Zahlungsinformationen eingegeben werden und wer möchte kann das Paket auch noch zu einer bestimmten Uhrzeit bestellen, sodass auch jemand zu Hause ist.

Die dadurch in der digitalen Welt anfallenden Datenberge sind immens und ermöglichen vielfältige Nutzungsmöglichkeiten. Ungeachtet der Frage ob und wie diese Daten überhaupt genutzt werden hat derjenige, der die Daten hinterlässt, ein Recht über den Umgang mit den eigenen Daten aufgeklärt zu werden.

Die Datenschutzerklärung ist ein kleiner Schritt hin zur Transparenz und zur Selbstbestimmung der Internetnutzer.

Einschlägige Gesetze

DSGVO

Das Datenschutzrecht ist über verschiedene Gesetzeswerke verteilt. Grundlegende Bestimmungen wie Definitionen und allgemeine Regelungen zur Erhebung, Verarbeitung und Weitergabe von personenbezogenen Daten finden sich in der Datenschutzgrundverordnung (DSGVO) bzw. den Bundesdatenschutzgesetz in der Fassung vom 25. Mai 2018 (BDSG). Die DSGVO ersetzt die Regelungen über Datenschutzerklärungen, die zuvor in den Datenschutzgesetzen des Bundes und der Länder sowie in § 13 Telemediengesetz (TMG) zu finden waren.

Sonderregeln die Telekommunikation betreffend stehen im Telekommunikationsgesetz (TKG).

Daneben kann für gewerbsmäßige Webseitenbetreiber – insbesondere bei Verstößen gegen datenschutzrechtliche Vorschriften – das Gesetz gegen unlauteren Wettbewerb (UWG) Bedeutung erlangen.

Wirkung der Datenschutzerklärung

Die Datenschutzerklärung dient primär lediglich der rechtskonformen Information der Webseitenbesucher über den Umgang mit den anfallenden Daten durch den Webseitenbetreiber. Irrelevant ist, ob der Text der Erklärung überhaupt von dem einzelnen Webseitenbesucher gelesen oder wahrgenommen wird. Sofern die Erklärung entsprechend der gesetzlichen Vorschriften auf der Webseite bereitgehalten wird (zu den Formvorschriften weiter unten), hat der Webseitenbetreiber seine gesetzlichen Informationspflichten erfüllt.

Allerdings entfaltet eine Datenschutzerklärung über die bloße Information hinaus keine rechtliche Wirkung! Insbesondere kann eine Datenschutzerklärung nicht als Rechtsgrundlage für eine Datenerhebung herangezogen werden. Das Datenschutzrecht ist um den sogenannten „Erlaubnisvorbehalt“ konstruiert. Das bedeutet, dass der Betroffene in die Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten vorher einwilligen oder ein gesetzlicher Rechtfertigungstatbestand bestehen muss.

Ist also für eine konkrete Datenerhebung oder -nutzung die Einwilligung des Webseitenbesuchers erforderlich, muss dies separat erfolgen. Die Datenschutzerklärung kann lediglich über die Umstände dieser Datennutzung aufklären, aber keine Einwilligung ersetzen.

Folgen bei fehlenden oder fehlerhaften Datenschutzerklärungen

Fehlt eine Datenschutzerklärung oder weist sie inhaltliche oder formale Fehler auf, kann das je nach Schwere des Verstoßes weitreichende Folgen haben. Die DSGVO sieht bei Verstößen ein Bußgeld von theoretisch bis zu 20 Millionen EUR bzw. bis zu 4 % des weltweiten Jahresumsatzes vor – je nachdem, welcher Betrag höher ist. Darüber hinaus kann bei datenschutzrechtlichen Verstößen die jeweilige Aufsichtsbehörde aktiv werden.

Abmahnung

Darüber hinaus ist es möglich, dass Sie wettbewerbsrechtlich abgemahnt werden, wenn Sie keine oder nur eine fehlerhafte Datenschutzerklärung auf Ihrer Webseite bereithalten. Dies ist zwar in der Rechtsprechung umstritten, doch viele Gerichte haben es anerkannt, wenn Wettbewerber ihre Konkurrenten wegen Fehlern bei der Datenschutzerklärung abmahnen. Gehen Sie hier also kein Risiko ein! Die Datenschutzerklärung ist der am Leichtesten zu prüfende Teil Ihres Internetauftritts.

Inhalt der Datenschutzerklärung

In Artikel 13 DSGVO findet sich eine Liste der Informationen, die nach der DSGVO zwingend in einer Datenschutzerklärung stehen müssen und an der Sie sich orientieren können. Lesen Sie sich diesen Artikel aufmerksam durch!

Durch die DSGVO sind neue Informationspflichten im Vergleich zur alten Rechtslage dazugekommen. Neu ist vor allem, dass nun auch die Rechtsgrundlage der Datenverarbeitung anzugeben ist. Zudem muss die Datenschutzerklärung nun deutlich mehr Informationen darüber enthalten, welche Rechte die Betroffenen nach der DSGVO haben.

Daher gilt: Auch wenn Sie bereits eine Datenschutzerklärung auf Ihrer Webseite haben, müssen Sie diese dringend an die DSGVO anpassen.

Generell muss in der Datenschutzerklärung über jede Erhebung, Verarbeitung und Nutzung personenbezogener Daten aufgeklärt werden – etwa über die Verarbeitung der IP-Adresse, von Browser-Daten, Cookies, Webanalyse-Tools wie Google Analytics sowie Social Media Plugins.

Die geforderten Informationen müssen Sie leicht und verständlich formulieren und übersichtlich gliedern.

1. Die grundlegenden Fragen

Eine Datenschutzerklärung muss Antwort auf folgende Fragen geben können:

Alles, was Sie über die DSGVO für Webseiten-Betreiber wissen müssen, finden Sie in diesem Buch von RA Christian Solmecke und Sibel Kocatepe.
  • Welche personenbezogenen Daten werden erhoben?
  • Was passiert mit den erhobenen Daten?
  • Warum werden überhaupt Daten erhoben?
  • Werden die erhobenen Daten an Dritte weitergegeben?
  • Findet ein grenzüberschreitender Datenverkehr statt?
  • Welche Maßnahmen werden zur Gewährleistung der Sicherheit der Daten ergriffen

2. Neuerungen durch die Datenschutzgrundverordnung (DSGVO)

Die europäische Datenschutzgrundverordnung hat die Vereinheitlichung des europäischen Datenschutzrechts zum Ziel. Zwar bedeutet das wieder neue Gesetze und verlangt insbesondere von gewerbsmäßigen Webseitenbetreibern eine verstärkte Auseinandersetzung mit den bußgeldbewehrten Regelungen. Die positiven Folgen sind allerdings nicht außer Acht zu lassen: Einheitliche Regelungen bieten erheblich mehr Rechtssicherheit, der deutsche Flickenteppich aus Gesetzen wird weitestgehend abgelöst oder angepasst und Unternehmer mit deutschlandübergreifenden Adressaten müssen sich nicht mehr um abweichende ausländische Gesetzeslagen sorgen. Die DSGVO trat im Mai 2016 in Kraft und findet seit dem 25. Mai 2018 Anwendung.

In Art. 13 der Datenschutzgrundverordnung findet sich eine Liste der Dinge, die nach der neuen Verordnung in einer Datenschutzerklärung stehen müssen. Die wichtigsten Änderungen im Überblick:

Nennung der Rechtsgrundlage

Neben der Erläuterung des Datenerhebungs- bzw. -verarbeitungsvorgangs und der Darlegung des dahinterstehenden Zwecks, muss nun auch die konkret anwendbare Rechtsgrundlage genannt werden. Denn die Datenschutzgrundverordnung verlangt in Art. 13 Abs. 1 c) neben der Angabe des Zwecks der Datennutzung auch deren Rechtsgrundlage.

In Betracht kommende Rechtsgrundlagen finden sich in Art 6 Abs. 1 DSGVO. Von Bedeutung sind insbesondere eine vom Betroffenen erteilte Einwilligung (z.B.: Eintragung in einen Newsletter-Verteiler für Erhebung der E-Mail-Adresse) und die Notwendigkeit der Vertragserfüllung. Für jede einzelne in der Datenschutzerklärung aufgelistete Datenerhebung oder -verarbeitung sollte mithin die entsprechende Rechtsgrundlage genannt werden.

Information über Art und Umfang der Datenerhebung

Während § 13 TMG die Information über Art, Umfang und Zweck verlangt, konzentriert sich die DSGVO auf Zweck und Rechtsgrundlage der Datenerhebung bzw. -verarbeitung. Es ist trotzdem zu empfehlen, Erläuterungen zu Art und Umfang in alten Datenschutzerklärungen zu belassen bzw. auch in neue aufzunehmen. Zwar ist das nun europarechtlich nicht mehr zwingend vorausgesetzt. Es schadet jedoch nicht, die Datenschutzerklärung ausführlich und detailliert zu halten, zumal die Datenschutzgrundverordnung an anderer Stelle eine „präzise“, „transparente“ und „verständliche“ Information vorschreibt.

Separater Hinweis auf das Widerrufsrecht des Nutzers

Gemäß Art. 21 DSGVO hat der Webseitenbesucher das Recht,

aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung [ihn betreffende personenbezogene Daten], […] Widerspruch einzulegen“.

Ein weiteres Widerspruchsrecht existiert gegen Direktwerbung. Hierüber hat der Webseitenbetreiber spätestens im Zeitpunkt der ersten Kommunikation aufzuklären.

Inwiefern die Information über dieses Recht Teil der Datenschutzerklärung sein muss, ist allerdings noch unklar. Zum einen verlangt die Verordnung einen Hinweis in einer

von anderen Informationen getrennten Form“.

Zum anderen hält sich die praktische Bedeutung für Webseitenbetreiber zunächst in Grenzen: Das Widerrufsrecht des Art. 21 DSGVO betrifft Datenverarbeitungen, die ohne Einwilligung des Betroffenen zulässig sind, gegen die er jedoch besondere Gründe vorbringen kann, was schließlich zu einer Interessenabwägung führt. Der Betroffene muss hingegen keine Begründung angeben, wenn er einer zulässigen Direktwerbung widerspricht.

Empfehlung: Um sicherzugehen und auch die eng umgrenzten Fälle abzudecken, sollte in einem separaten Absatz der Datenschutzerklärung durch hervorgehobene Schrift auf das Widerrufsrecht und den Art. 21 DSGVO hingewiesen werden.

Rechte des Nutzers

Damit jeder die bestmögliche Kontrolle über seine eigenen personenbezogenen Daten behält, sieht das Gesetz verschiedene Ansprüche gegen die für die Datenverarbeitung verantwortliche Stelle vor. Hierüber ist der Webseitenbesucher aufzuklären. Ausgangsprunkt dieser Rechte ist der (unentgeltliche) Auskunftsanspruch. Der Webseitenbetreiber ist verpflichtet, seine Besucher auf Anfrage über deren konkret gespeicherten personenbezogenen Daten zu informieren.

Ist der Webseitenbesucher entsprechend über seine Daten informiert worden, stehen ihm drei weitere Ansprüche zur Verfügung: Er kann falsche Daten berichtigenlöschen oder sperren lassen.

Personenbezogene Daten müssen ohne Aufforderung automatisch gelöscht werden, wenn sie entweder nicht mehr genutzt werden oder die für ihre Nutzung erteilte Einwilligung widerrufen wird. Eine Ausnahme besteht bei solchen Daten, für die besondere Fristen – etwa steuer- oder handelsrechtlicher Natur – gelten.

3. Konkrete Arten der Datenerhebung

Abhängig von der Art des erbrachten Dienstes und des Umfangs der erhobenen Daten empfiehlt sich aus Gründen der Verständlichkeit eine Untergliederung der Datenschutzerklärung. In einer kurzen Einleitung kann über Sinn und Zweck der Datenschutzerklärung informiert sowie die datenschutzrechtlich verantwortliche Stelle – grundsätzlich der Webseitenbetreiber – genannt werden. Darüber hinaus bietet sich eine Auflistung der verschiedenen Arten von Datensätzen und eingesetzten Tools an.

a) IP-Adresse

IP-Adressen

IP-Adressen sind im Internet zur Kommunikation unerlässlich und werden beim Aufruf einer Webseite an deren Server gesendet. Für den Betrieb der meisten Dienste stellt die IP-Adresse die Grundvoraussetzung dar. Das betrifft beispielsweise auch die bei vielen Webseiten im Hintergrund laufenden Nutzerstatistiken. Als personenbezogenes Datum muss über den Umgang mit IP-Adressen in der Datenschutzerklärung informiert werden.

b) Browser-Daten

Der eigene Browser verrät eine Vielzahl von Dingen über seinen Nutzer. Wer zum Beispiel seine derzeitige IP-Adresse herausfinden möchte, besucht die Seite www.wieistmeineip.de und erhält zudem noch Informationen über Betriebssystem und Browser-Version. Das ist aber nur ein Bruchteil der Informationen, die manche Webseiten mit den entsprechenden Tools über ihre Besucher herausfinden können. Was in diesem Bereich alles möglich ist, zeigt die Webseite www.browserspy.dk sehr anschaulich. Auf welche Weise diese Informationen dem Browser entlockt werden, wird hiererklärt. Werden Daten über den Browser der Webseitenbesucher gesammelt – etwa durch das sogenannte „Canvas-Fingerprinting“ – so sollte hierüber dringend in der Datenschutzerklärung aufgeklärt werden. Während Informationen über Betriebssystem oder Browser-Typ alleine keinen Personenbezug aufweisen, lassen sich aus Informationen wie Hardware-Komponenten, installierten Patches, Treiber und Software detaillierte Nutzerprofile erstellen, die zumindest später den Nutzer bestimmbar machen.

c) Cookies

Cookie

Cookies sind kleine Datenpakete, die auf dem Endgerät des Webseitenbesuchers gespeichert werden und von der Webseite bzw. ihrem Server beim erneuten Aufruf abgerufen werden können. Das ermöglicht beispielsweise die Speicherung von Login-Informationen, Suchanfragen oder dem Inhalt des Warenkorbs über einen längeren Zeitraumhinweg. Da hierfür auch immer die IP-Adresse des konkreten Nutzers erforderlich ist, bedarf der Einsatz von Cookies einer Aufklärung in der Datenschutzerklärung.

Nicht ausreichend ist jedoch der bloß pauschale Hinweis auf Cookies. Vielmehr sollte der datenschutzrelevante Vorgang beim Einsatz von Cookies kurz skizziert werden. Des Weiteren ist zwischen den verschiedenen Arten von Cookies zu unterscheiden. Speicherdauer und -Kapazität von Cookies unterscheiden sich teils sehr stark, weshalb die Datenschutzerklärung in diesem Bereich durchaus detaillierter sein sollte.

d) Analyse-Tools

Webseitenbetreiber haben ein nachvollziehbares Interesse an der Erstellung von Nutzerstatistiken. Hierzu werden meist spezielle Tools von Drittanbietern wie Piwik oder Google Analytics eingesetzt. Dem Einsatz dieser Tools sollte ein eigener Bereich in der Datenschutzerklärung gewidmet werden. Mitunter stellen die Anbieter der Tools Textbausteine zur Verwendung in der eigenen Datenschutzerklärung zur Verfügung. Diese können genutzt werden, bedürfen aber teils einer Anpassung.

Informiert werden muss über den konkreten Datenerhebungsvorgang durch das Analyse-Tool und die anschließende Verarbeitung der Daten. Danach ist der Webseitenbesucher über Möglichkeiten der Verhinderung der Datenerhebung durch das Tool und insbesondere sein Widerspruchsrecht zu informieren. Im Falle von Google Analytics beispielsweise ist ein Link auf ein entsprechendes Browser-Plugin zu setzen. Darüber hinaus kann ein Java Script verbaut werden, der dem Webseitenbesucher mit nur einem Klick ein sogenanntes „Opt-Out-Cookie“ ablegt, wodurch eine Datenerfassung verhindert wird. Schließlich sollten die Nutzungsbedingungen sowie die Datenschutzerklärung des eingesetzten Analyse-Dienstes verlinkt werden, sodass sich der Nutzer unmittelbar beim Anbieter informieren kann.

e) Social Plugins

Facebook Like Button

Auf der Webseite eingebaute Elemente von sozialen Netzwerken wie der „Gefällt mir“-Button von Facebook, der „Tweet“-Button von Twitter und ähnliche „Share“-Buttons werden als „Social Plugins“ bezeichnet. Sie ermöglichen dem Webseitenbesucher eine Verknüpfung von Webseiteninhalten mit seinen Online-Profilen. Diese Verknüpfung erfordert bestimmte personenbezogene Daten des Webseitenbesuchers, worüber in der Datenschutzerklärung aufgeklärt werden muss. Darüber hinaus muss auf die jeweiligen Datenschutzerklärungen der Anbieter der eingesetzten Plugins verlinkt werden, damit sich die Nutzer auch hierüber informieren können.

Problematisch an Social Plugins ist jedoch, dass die für diese Verknüpfung erforderliche Datenerhebung bereits mit dem erstmaligen Aufruf der Webseite erfolgt. Diese Art der Datennutzung, insbesondere die Weitergabe personenbezogener Daten an Dritte, bedarf allerdings einer Einwilligung, die in diesem Fall nicht eingeholt werden kann. Der Webseitenbesucher hat keine Möglichkeit, der Datenerhebung durch die sozialen Netzwerke zu widersprechen.

Derzeit liegt der Fall beim Europäischen Gerichtshof (EuGH), der über die Frage der Zulässigkeit des „Facebook Like Buttons“ im Verfahren Fashion ID entscheiden wird (Az. C 40/17).

Eine mögliche Lösung könnte die 2-Klick-Variante darstellen: Die Plugins bleiben so lange deaktiviert, bis sie vom Webseitenbesucher selbst per Klick aktiviert werden. Erst dann erfolgt die Datenübermittlung. Das funktioniert folgendermaßen:

  1. Zunächst wird der Button ohne Funktionalität als reines Bild eingebunden. Nutzerdaten werden dabei nicht übermittelt, wenn die gewünschte Seite geladen wird.
  2. Hierbei bietet es sich an, den Nutzer durch ein sogenanntes Mouseover, also ein Textfeld das bei Mauskontakt automatisch erscheint, bereits vor dem ersten Klick über die datenschutzrechtliche Problematik „aufzuklären“.
  3. Durch einen Klick können die Nutzer diese Platzhalter-Bilder aktivieren.
  4. Aktiviert der Nutzer den Button dann durch einen ersten Klick, wird der eigentliche Button nachgeladen und eine Serververbindung mit dem sozialen Netzwerk hergestellt.
  5. Ein weiterer Klick führt dann die eigentliche Funktion des Buttons aus. Es öffnet sich ein neues Fenster und die Nutzer müssen sich in dem sozialen Netzwerk einloggen, woraufhin ihre Daten übermittelt werden.

Doch auch hier ist die Rechtslage aber nicht abschließend geklärt.

f) Sonstige Daten

Weitere hinweisbedürftige Datennutzungen können beispielsweise die Profilbildung oder die Erforderlichkeit für bestimmte Dienstleistungen sein. Generell kann als Faustregel dienen, dass in der Datenschutzerklärung über jede Erhebung, Verarbeitung und Nutzung personenbezogener Daten aufgeklärt werden soll. Wie bereits geschrieben wird dadurch die Einwilligung an sich nicht ersetzt. Jedoch soll der Webseitenbesucher auch über den konkreten Vorgang hinter der Datennutzung aufgeklärt werden, um sich ein besseres Bild davon machen zu können.


DSGVO-Checkliste zur Datenschutzerklärung (nach Art. 13 DSGVO)

Zwingend:

  • Name und Kontaktdaten des Verantwortlichen (ggf. auch Vertreter)
  • Zweck und Rechtsgrundlage der Verarbeitung
  • Falls Rechtsgrundlage der Art. 6 I f DSGVO ist: Angabe der berechtigten Interessen des Verantwortlichen oder Dritten
  • Aufklärung über Rechte des Betroffenen (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragung)
  • Hinweis auf Beschwerderecht bei einer Aufsichtsbehörde
  • Speicherdauer der Daten (jedenfalls die Kriterien für die Festlegung dieser Dauer)

Optional bzw. situationsabhängig:

  • Falls eine Einwilligung Rechtsgrundlage ist: Hinweis auf die Möglichkeit des jederzeitigen Widerrufs
  • Sofern vorhanden: Kontaktdaten des Datenschutzbeauftragten
  • Bei gesetzlicher oder vertraglicher Pflicht zur Datenerhebung: Aufklärung des Betroffenen über diese Pflicht und die möglichen Folgen einer Nichtbereitstellung
  • Beim Einsatz automatisierter Entscheidungsfindungen (einschl. Profiling): Aufklärung hierüber, insbesondere die zugrundeliegende Logik, die Tragweite und die angestrebten Auswirkungen für den Betroffenen

Im Falle der Beteiligung Dritter:

  • Bei einer Weitergabe an Dritte: Angabe der Empfänger/ Kategorie von Empfängern
  • Angabe der Absicht zur Datenübermittlung ins Ausland (dann auch Angabe des von der Kommission festgelegten Datenschutzniveaus des jeweiligen Drittlandes)
  • Im Falle von Übermittlungen nach Art. 4647 oder 49 DSGVO: Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind

Diese Checkliste können Sie hier auch herunterladen.

Datenschutzerklärungsgenerator DSGVO

Datenschutzerklärungen müssen natürlich einzelfallgerecht und umfassend formuliert werden. Dies kostet aber Zeit. Eine Möglichkeit, um erst einmal eine Datenschutzerklärung auf Ihrer Website zu haben, ist es, eine solche Erklärung über den Datenschutz-Generator der Rechtsanwaltskanzlei »Wilde Beuger Solmecke« zu generieren:

DSGVO

Datenschutzgenerator

Mit dem Datenschutz-Generator der Rechtsanwaltskanzlei „Wilde Beuger Solmecke“ können Sie schnell und einfach eine individuelle Datenschutzerklärung für Ihre Webseite generieren.

Hier geht’s zum Datenschutz-Generator

Hinweis: Allerdings kann die Kanzlei keine Haftung für die Korrektheit der Datenschutzerklärung geben oder dafür garantieren, dass sie in Ihrem konkreten Einzelfall völlig passend ist. Jedenfalls minimieren Sie aber das Risiko negativer Konsequenzen.

Rechtskonforme Einbindung der Datenschutzerklärung

1. Platzierung und Erreichbarkeit

Sie müssen die Informationen für den Besucher der Website jederzeit verfügbar halten. Die Datenschutzerklärung muss von jeder Seite und auch von mobilen Endgeräten aus erreichbar sein:

Datenschutzerklärung-Link auf der WBS-Seite
  • Der Webseitenbesucher muss die Datenschutzerklärung also direkt zu Beginn des Nutzungsvorgangs wahrnehmen können. Ausreichend hierfür ist, dass der Nutzer die Datenschutzerklärung nach erstmaligem Aufruf der Webseite mit nur einem Klick erreichen kann.
  • Darüber hinaus ist die jederzeitige Abrufbarkeit verpflichtend. Die Erreichbarkeit der Datenschutzerklärung mit nur einem Klick gilt also nicht nur für den erstmaligen Aufruf der Webseite, sondern muss auf jeder einzelnen Unterseite gewährleistet sein.

Darüber hinaus sollte an die Kompatibilität mit mobilen Endgeräten gedacht werden. Die Datenschutzerklärung darf nicht nur am Desktop-Computer, sondern muss ebenso am kleinen Smartphone-Bildschirm erreichbar und abrufbar sein.

In der Praxis hat es sich etabliert, den Link auf die Datenschutzerklärung neben den Link auf das Impressum zu platzieren, weshalb der durchschnittliche Internetnutzer in der Fußzeile der Website mittlerweile diese Links zu den allgemeineren Informationen erwartet.

WICHTIG: Die Datenschutzerklärung muss eindeutig als solche gekennzeichnet sein. Daher ist es nicht ausreichend, sie innerhalb des Impressums unterzubringen. Datenschutzerklärung und Impressum sind klar voneinander zu trennen.

2. Struktur und Verständlichkeit

Eine Datenschutzerklärung soll den Webseitenbesucher über die Nutzung seiner Daten informieren. Das wird erschwert, wenn die Erklärung selbst unnötig kompliziert verfasst und inhaltlich unzusammenhängend aufgebaut wird.

Datenschutzerklärung WBS

Wie bereits oben angedeutet empfiehlt es sich, die Datenschutzerklärung in mehrere Absätze zu aufzuteilen. Den Anfang macht eine Präambel bzw. eine kurze Einführung in Sinn und Zweck des folgenden Texts. Dann wird die verantwortliche Stelle genannt, also derjenige, der die Datenerhebung durchführt. Hier bedarf es Name und Anschrift sowie einer Kontaktmöglichkeit, ähnlich wie im Impressum. Anschließend wird in einzelnen Absätzen über die unterschiedlichen Arten der Datenerhebung und -nutzung aufgeklärt. Das umfasst die Erläuterung des technischen Vorgangs, des Zwecks und nach der DSGVO auch die Rechtsgrundlage. Dabei sollte möglichst einfaches Deutsch verwendet und auf technische Fachausdrücke weitestgehend verzichtet werden. Zusätzlich kann auf etwaige Maßnahmen zur Gewährleistung der Datensicherheit, wie bspw. besondere Verschlüsselungen hingewiesen werden. Gegen Ende der Datenschutzerklärung wird der Webseitenbesucher über seine Rechte aufgeklärt. Sofern es einen Datenschutzbeauftragten gibt, kann dieser zum Schluss als Kontaktperson genannt werden.

Als Beispiel für eine umfangreiche, aber gut strukturierte Datenschutzerklärung kann auf unsere eigene Datenschutzerklärung verwiesen werden.


Wir erstellen Ihre individuelle Datenschutzerklärung!

Datenschutzerklärungen müssen einzelfallgerecht und umfassend formuliert werden. Dafür braucht es Erfahrung und ein gutes Verständnis für die vielen Dienste, die auf einer Webseite im Hintergrund Daten sammeln, ohne dass der Webseiten-Betreiber dies vielleicht bewusst ist. Unsere Experten im Datenschutzrecht haben nicht nur für unsere eigene Webseite, sondern auch für die Seiten unserer Mandanten bereits viele rechtssichere Datenschutzerklärungen erstellt. Wir helfen auch Ihnen gerne!

Rufen Sie uns unter 0221 / 951 563 0 (Beratung bundesweit) an.