Die Datenschutzerklärung auf Ihrer Webseite dient dazu, Ihre Besucher darüber aufzuklären, in welchem Umfang und zu welchem Zweck seine personenbezogenen Daten verarbeitet werden. Datenschutzerklärungen sollen die Datenerhebung für den Betroffenen transparent machen und ihm so die Möglichkeit geben, autonom über die Verarbeitung seiner Daten zu entscheiden. Gleichzeitig ist die Datenschutzerklärung ein Instrument für Sie, um Ihren gesetzlichen Informationspflichten nachzukommen, indem Sie dort den Betroffenen zum Beispiel über seine Rechte informieren können.  

Was sind personenbezogene Daten? 

Personenbezogene Daten sind dabei all die Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dies sind insbesondere Einzelangaben über persönliche und sachliche Verhältnisse wie beispielsweise Name, Alter, Familienstand oder Geburtsdatum. Personenbezogene Daten können aber auch Kontonummer, Kfz-Kennzeichen oder die Telefonnummer sein. Entscheidend ist, dass die Daten mit dem Namen verbunden sind oder sich eine Verbindung und damit eine Identifizierung aus dem Inhalt unmittelbar herstellen lässt.

Wer braucht eine Datenschutzerklärung?

Personenbezogene Daten sind dabei all die Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dies sind insbesondere Einzelangaben über persönliche und sachliche Verhältnisse wie beispielsweise Name, Alter, Familienstand oder Geburtsdatum. Personenbezogene Daten können aber auch Kontonummer, Kfz-Kennzeichen oder die Telefonnummer sein. Entscheidend ist, dass die Daten mit dem Namen verbunden sind oder sich eine Verbindung und damit eine Identifizierung aus dem Inhalt unmittelbar herstellen lässt.

Webseiten, über die personenbezogene Daten des Kunden oder Besuchers erhoben werden bedürfen einer Datenschutzerklärung. Letztlich braucht fast jede Webseite eine Datenschutzerklärung, da fast immer personenbezogene Daten erhoben werden – selbst, wenn Sie als Betreiber der Webseite dies nicht wissen. 

Zunächst einmal ist dabei an solche Daten zu denken, die Sie im Zusammenhang mit dem Besuch des Kunden beispielsweise über personenbezogene Cookies sammeln. Binden Sie auf Ihrer Webseite Social-Media-Plug-ins ein, so fallen auch dabei Daten an, über die Sie Ihre Kunden unterrichten müssen. Aber auch wenn Sie Webanalyseinstrumente wie Google Analytics verwenden, mit denen Sie das Nutzerverhalten analysieren können, müssen Sie dies in Datenschutzerklärung angegeben. Nur wenn allein anonyme, systembezogene oder statistische Daten ohne Personenbezug, wie zum Beispiel Browsertyp, verwendetes Betriebssystem oder Uhrzeit der Serveranfrage, verarbeitet werden, bedarf es keiner Datenschutzerklärung. 

Auch, wenn Kunden über die Webseite etwas bestellen, eine Anfrage über ein Kontaktformular senden oder einen Newsletter abonnieren können, werden Daten wie Name, Adresse, Geburtsdatum oder E‐Mail-Adresse erhoben. Auch müssen diese oftmals sogar an Dritte, wie zum Beispiel Lieferunternehmen oder Banken, weitergegeben werden – darüber muss der Kunde aufgeklärt werden und damit einverstanden sein.

Auch wenn Sie bereits eine Datenschutzerklärung auf Ihrer Website bereithalten, sollten Sie beachten, dass es mit Inkrafttreten der europäischen Datenschutzgrundverordnung (DSGVO) eine neue rechtliche Ausgangslage gibt, die einige Änderungen mit sich gebracht hat.   

Inhalt der Datenschutzerklärung einer Webseite

Welche Anforderungen der Gesetzgeber an den Inhalt einer Datenschutzerklärung stellt, hängt eng mit Ihren Informationspflichten zusammen. Denn der europäische Gesetzgeber hat klare Vorstellungen davon, was der Betroffene alles vor Abgabe der Einwilligung wissen muss und hat dies in Art. 13 und 14 DSGVO normiert. In diesen Normen findet sich eine Liste der Informationen, die nach der neuen Verordnung in einer Datenschutzerklärung stehen müssen und an der Sie sich orientieren können.

Dabei muss Ihre Datenschutzerklärung folgende Aspekte enthalten:

• Name und Kontaktdaten des Verantwortlichen (ggf. auch Vertreter) 
• gegebenenfalls Kontaktdaten des Datenschutzbeauftragten,
• Zweck der Verarbeitung
• Rechtsgrundlage der Verarbeitung (zu finden in Art. 6 Abs. 1 DSGVO)
• Falls die Rechtsgrundlage der Datenverarbeitung Art. 6 Abs. 1 lit. f DSGVO ist: Angabe der berechtigten Interessen des Verantwortlichen oder Dritten
• Aufklärung über Rechte des Betroffenen: Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragung
• Hinweis auf Beschwerderecht bei einer Aufsichtsbehörde
• Speicherdauer der Daten
• Falls eine Einwilligung Rechtsgrundlage der Datenverarbeitung ist: Hinweis auf die Möglichkeit des jederzeitigen Widerrufs
• Bei gesetzlicher oder vertraglicher Pflicht zur Datenerhebung: Aufklärung des Betroffenen über diese Pflicht und die möglichen Folgen einer Nichtbereitstellung
• Beim Einsatz automatisierter Entscheidungsfindungen, einschließlich Profiling: Aufklärung hierüber, insbesondere über die zugrunde liegende Logik, die Tragweite und die angestrebten Auswirkungen für den Betroffenen
• Bei einer Weitergabe an Dritte: Angabe der Empfänger bzw. der Kategorie von Empfängern
• Angabe der Absicht zur Datenübermittlung in ein Drittland und Angabe des von der
• Kommission festgelegten Datenschutzniveaus des Drittlandes
• Im Falle von Übermittlungen nach Art. 46, 47 oder 49 DSGVO: Verweis auf die geeigneten oder angemessenen Garantien, die verbindlichen internen Datenschutzvorschriften und das Vorliegen der jeweiligen Voraussetzungen sowie auf die Möglichkeit und die Modalitäten des Erhalts einer Kopie

In der Praxis sollte eine Datenschutzerklärung deshalb zumindest die folgenden Fragen beantworten:

• Welche Arten von personenbezogenen Daten werden erhoben?
• Sind gegebenenfalls Zugriffsrechte erforderlich?
• Zu welchem Zweck werden die Daten erhoben?
• Auf welcher rechtlichen Grundlage erfolgt die Datenverarbeitung?
• Wie lange werden die Daten gespeichert, und unter welchen Umständen werden sie wieder gelöscht?
• Wird das Nutzerverhalten ausgewertet?
• Werden Daten an Dritte übermittelt?
• Wie kann der App-Nutzer Sie kontaktieren?
• Wie kann der App-Nutzer der Datennutzung widersprechen?
• Welche Konsequenzen hat ein Widerspruch auf die bis dahin rechtmäßig durchgeführte Datenverarbeitung?

Vorsicht! Durch die Erläuterung in der Datenschutzerklärung wird eine evtl. erforderliche Einwilligung durch den Nutzer nicht ersetzt! Dennoch soll der Website-Besucher auch über den konkreten Vorgang hinter der Datennutzung aufgeklärt werden, um sich ein besseres Bild davon machen zu können.

Besonders häufige Datenverarbeitungen auf Webseiten  

IP-Adresse

IP-Adressen sind im Internet zur Kommunikation unerlässlich und werden beim Aufruf einer Website an deren Server gesendet. Für den Betrieb der meisten Dienste stellt die IP-Adresse die Grundvoraussetzung dar. Das betrifft beispielsweise auch die bei vielen Websites im Hintergrund laufenden Nutzerstatistiken. Da die IP-Adresse ein personenbezogenes Datum ist, müssen Sie den Nutzer in Ihrer Datenschutzerklärung darüber informieren, wozu Sie seine IP-Adresse verwenden.

Browser-Daten

Der eigene Browser verrät eine Vielzahl von Dingen über seinen Nutzer. Werden Daten über den Browser der Website-Besucher gesammelt, so sollten Sie hierüber dringend in der Datenschutzerklärung aufklären. Während Informationen über Betriebssystem oder Browser-Typ alleine keinen Personenbezug aufweisen, lassen sich aus Informationen wie Hardware-Komponenten, installierten Patches, Treibern und Software detaillierte Nutzerprofile erstellen, die zumindest später den Nutzer bestimmbar machen.

Cookies

Allerdings könnten die Informationen, die Sie in Ihrer Datenschutzerklärung im Hinblick auf den Einsatz von Cookies nun auch nach der neuen DSGVO bereithalten, schon bald nach Inkrafttreten der e-Privacy-Verordnung ändern. Denn das Setzen von Cookies fällt in bestimmten Fällen in den Regelungsbereich der europäischen Verordnung. Hier sollten Sie künftige Entwicklungen im Blick behalten!

Webanalyse-Tools

Website-Betreiber haben ein nachvollziehbares Interesse an der Erstellung von Nutzerstatistiken. Hierzu werden meist spezielle Tools von Drittanbietern eingesetzt, wie Google Analytics oder Matomo (ehemals Piwik). Dem Einsatz dieser Tools sollten Sie einen eigenen Bereich in Ihrer Datenschutzerklärung widmen. Informiert werden muss über den konkreten Datenerhebungsvorgang durch das Analyse-Tool und die anschließende Verarbeitung der Daten. Danach müssen Sie den Website-Besucher darüber aufklären, wie er eine Datenerhebung durch das Tool verhindern kann, und müssen ihn insbesondere über sein Widerspruchsrecht informieren.

Mitunter stellen die Anbieter der Tools Textbausteine zur Verwendung in der eigenen Datenschutzerklärung zur Verfügung. Diese können genutzt werden, bedürfen aber teils einer Anpassung durch einen spezialisierten Rechtsanwalt.

Wie sollten Sie eine Datenschutzerklärung formulieren? 

Der Text der Datenschutzerklärung muss dem Betroffenen gem. Art 12 Abs. 1 DSGVO in einer präzisen, transparenten, verständlichen und leicht zugänglichen Form sowie in einer klaren und einfachen Sprache übermittelt werden. Das können Sie erreichen, indem Sie den Text einfach formuliert und in deutscher Sprache verfassen und nach Möglichkeit auf eine allzu komplizierte juristische Fachsprache verzichten. 

Gegen Ende der Datenschutzerklärung wird der Website-Besucher über seine Rechte aufgeklärt. Sofern Sie einen Datenschutzbeauftragten haben, sollte dieser zum Schluss als Kontaktperson genannt werden.

Damit die Datenschutzerklärung übersichtlicher wird, sollten Sie mit mehreren Absätzen arbeiten. Zur erleichterten Lesbarkeit bietet es sich an, zum einen mit Zwischenüberschriften zu arbeiten und zum anderen eine Funktion einzubauen, bei der sich der Text bei einem Klick auf- bzw. zuklappt.

Form der Datenschutzerklärung auf Webseiten 

Die Datenschutzerklärung muss schriftlich oder in anderer Form erfolgen, gegebenenfalls auch elektronisch. Sofern der Betroffene dies wünscht, können die Datenschutzinformationen unter bestimmten Umständen auch mündlich erteilt werden. 

Wo und wie sollte die Datenschutzerklärung eingebunden werden?

Welche Gefahren drohen bei fehlerhafter Datenschutzerklärung? 

Fehlt eine Datenschutzerklärung oder weist sie inhaltliche oder formale Fehler auf, kann das je nach Schwere des Verstoßes weitreichende Folgen haben. Dabei hinaus kann bei datenschutzrechtlichen Verstößen die jeweilige Aufsichtsbehörde aktiv werden. Die DSGVO sieht bei Verstößen ein Bußgeld von bis zu 20 Millionen Euro vor. 

Des Weiteren ist auch eine wettbewerbsrechtliche Haftung möglich. Wer keine oder nur eine fehlerhafte Datenschutzerklärung auf seiner Webseite bereithält muss folglich mit Abmahnungen rechnen.

Schließlich können Betroffene neuerdings auch wegen der Verletzung des Datenschutzrechts im Rahmen ihrer Schadensersatzansprüche nun auch ihren immateriellen Schaden geltend machen.

DSGVO für Website-Betreiber

Alle weiteren Informationen zum Buch und seiner Bestellung finden Sie hier: wbs.is/dsgvo-buch

Datenschutz-Erklärungs-Generator

Sie können für Ihre Webseite zunächst den kostenfreien Datenschutzerklärungs-Generator verwenden, den wir von der Kanzlei WILDE BEUGER SOLMECKE gemeinsam mit der Deutschen Gesellschaft für Datenschutz (DGD) entwickelt haben.

Hier sei allerdings darauf hingewiesen, dass eine automatisch generierte Datenschutzerklärung nicht dieselbe Rechtssicherheit bietet wie eine individuell von uns für Sie erstellte. Sie müssen selbst sicherstellen, dass alle von Ihnen verwendeten Plugins und Website-Elemente, über die personenbezogene Daten verarbeitet werden, auch in der Datenschutzerklärung erwähnt werden.

Aus diesem Grund übernimmt die Kanzlei für die über den Datenschutzerklärung-Generator generierten Datenschutzerklärungen keine Haftung. 

Wenn wir Sie individuell beraten, können wir auf jeden einzelnen Aspekt Ihrer Website, der damit einhergehenden Technik und den Verwendungen in Ihrem Unternehmen eingehen. 

Wir gestalten Ihre individuelle Datenschutzerklärung

Das Expertenteam um Rechtsanwalt Christian Solmecke hat bereits zahlreiche Datenschutzerklärungen nach der DSGVO für große bis kleine Unternehmen sowie Selbstständige erstellt. Wir stehen Ihnen gerne Rede und Antwort für Ihre Fragen. Auch erstellen wir Ihnen gern Ihre individuelle und rechtssichere Datenschutzerklärung für Ihre Webseite. Rufen Sie uns unter der Rufnummer 0221 / 951 563 0 (Beratung bundesweit) an!

---