Themen

Nicht erst seit 2018 musst du dich als Selbständige:r an die Regeln der Datenschutzgrundverordnung (DSGVO) halten und eine Datenschutzerklärung für Kund:innen auf deiner Webseite integrieren. Darin musst du darüber informieren, in welchem Umfang und zu welchem Zweck personenbezogene Daten verwendet werden. Erfahre hier, was es dabei zu beachten gilt und profitiere von unserer Checkliste.

Jetzt abspielen

Definition: Was ist eine Datenschutz­erklärung?

Eine allgemeine Datenschutzerklärung informiert Webseitenbesucher:innen darüber, was mit ihren personenbezogenen Daten geschieht. Wenn du für dein Unternehmen eine Website erstellt hast, solltest du dich auf jeden Fall über eine regelkonforme Datenschutzerklärung und deren erforderliche Inhalte schlau machen. Das Gleiche gilt, wenn du einen Onlineshop erstellen willst oder bereits einen betreibst.

Wann brauchst du eine Datenschutz­erklärung?

Wenn du als Selbstständige:r einen Onlineshop betreibst und mit personenbezogenen Daten arbeitest, brauchst du stets eine Datenschutzerklärung. Deren korrekte Inhalte beschäftigen wohl die meisten Webseiten-Betreiber:innen. Denn wer hier Fehler macht, muss mit beträchtlichen Strafen rechnen: Bis zu 20 Millionen Bußgeld oder vier Prozent des Jahresumsatzes sind im schlimmsten Fall zu bezahlen.

Von einer wettbewerbsrechtlichen Abmahnung ganz abgesehen.

Bedeutet: Deine Konkurrent:innen am Markt können deine Datenschutzerklärung auf Richtigkeit prüfen und dich über hierauf spezialisierte Anwält:innen abmahnen lassen.

Hier ist also Vorsicht geboten, um zu vermeiden, dass ein Verfahren gegen dich eröffnet wird.

Worüber informiert eine Datenschutzerklärung?

Möchtest du wissen, was genau in deine Datenschutzerklärung gehört, solltest du den Artikel 13 der DSGVO kennen. Er bietet dir Orientierung und hilft, Fehler zu vermeiden. Welche neuen Informationspflichten mittlerweile hinzugekommen sind, kannst du ebenfalls darin nachlesen. Der offensichtlichste Unterschied im Vergleich zur alten Rechtsgrundlage sind laut DSGVO die gestärkten Rechte betroffener User:innen und Kund:innen. Denn bei der Datenschutzerklärung geht es stets um den regelkonformen Umgang mit personenbezogenen Daten (z. B. um Kundendaten), die du als Unternehmer:in erhebst. Handelt es sich um anonymisierte Daten, braucht es keine Datenschutzerklärung. So jedenfalls die Theorie.

Auf der sicheren Seite bist du, wenn du auch bestehende Datenschutzerklärungen für deine Webseiten prüfst und bei Bedarf an die neuen Bestimmungen angleichst. Denn – wie gesagt – du musst darin über jede Erhebung bzw. Verarbeitung sowie Nutzung personenbezogener Daten aufklären. Das heißt: Deine Datenschutzerklärung muss folgende Fragen korrekt und klar beantworten:

  • Welche Daten werden erhoben?
  • Weshalb werden sie erhoben?
  • Was passiert mit ihnen?
  • Werden die personenbezogenen Daten an Dritte weitergegeben?
  • Findet vielleicht sogar eingrenzüberschreitender Datentransfer statt?
  • Welche Sicherheitsmaßnahmen zum Datenschutz werden getroffen?

Datenschutzerklärung für alle Fälle

Selbst wenn du keine Daten deiner Besucher:innen erhebst, ist es gut möglich, dass dein Hoster das macht und in diesem Fall bist du wieder in der Pflicht. Denkbar ist zum Beispiel, dass du in dem Vertrag über die Bereitstellung der Dienste zugestimmt hast, dass dein Hoster Server-Logfiles erstellt oder bestimmte Tracking-Tools einsetzt – und die musst du in der Datenschutzerklärung erwähnen.

Um auf Nummer sicher zu gehen, solltest du daher auch dann eine Einwilligung und Datenschutzerklärung auf deiner Seite aufführen, wenn du keine personenbezogenen Daten sammelst. Du kannst dir die Erklärung häufig nur dann sparen, wenn du z. B. neben deiner Website noch eine Instagram-Seite für dein Unternehmen betreibst. Häufig reicht es aus, wenn du die vorhandene Datenschutzerklärung von Instagram nutzt.

Mit der Datenschutzerklärung bist du auf der sicheren Seite

Auch ohne Webseite brauchst du mitunter eine Datenschutzerklärung. Zum Beispiel dann, wenn du über Printmedien Anzeigenschaltest und über E-Mail personenbezogene Daten deiner Interessent:innen und potenziellen Kunden:innen sammelst.

Was sind personenbezogene Daten?

Stellt sich natürlich die Frage, was überhaupt zu den personenbezogenen Daten gehört, die besonders geschützt werden müssen. Laut DSGVO sind damit folgende Daten gemeint:

  • IP-Adresse
  • Standortdaten
  • E-Mail-Adresse

Aber auch die Klassiker wie

  • Name des oder der Websitebesucher:in
  • Alter des oder der Websitebesuchers:in
Diese Daten sollten daher im Rahmen der Datenschutzerklärung auf keinen Fall außer Acht gelassen werden.

Inhalt der Datenschutzerklärung: Was hat sich seit Einführung der DSGVO geändert?

Seit Mai 2018 müssen Datenschutzerklärungen auf den Webseiten den Vorgaben der Datenschutzgrundverordnung (DSGVO) enstsprechen. Die gute Nachricht: So viel änderte sich gar nicht. Denn die wesentlichen Punkte, die eine Datenschutzerklärung schon vor dem Inkrafttreten der DSGVO erfüllen musste, muss sie auch jetzt erfüllen. Sie mus beispieslweise Informationen enthalten über:

  • Art: Welche Daten erhebst du?
  • Umfang: Wie umfangreich ist die Erhebung?
  • Zweck der Erhebung: Warum erhebst du die Daten?
  • Verwendung von personenbezogenen Daten: Was passiert mit den Daten?
  • Weitergabe: Gibst du die Daten an Drittanbieter oder andere Personen oder Unternehmen weiter?
  • Datensicherheit: Welche Vorkehrungen hast du getroffen, um die Sicherheit der Daten zu garantieren?
Auf deiner Seite muss also auf jeden Fall eine Erklärung darüber zu finden sein, dass du überhaupt personenbezogene Daten erhebst.

Neben den personenbezogenen Daten gehören dazu

  • Tracking- und Analysetools
  • Social Media Plug-Ins
  • Browser-Daten

Durch die neuen Anforderungen der DSGVO änderte sich jedoch die Art und Weise, wie Nutzer:innen der Website informiert werden müssen. Seit der Neuregelung müssen Betreiber:innen nämlich umfassender informieren.

Dazu gehört:

Rechtsgrundlage nennen:
Die DSGVO sieht vor, dass Webseitenbetreiber:innen von nun an die konkrete Rechtsgrundlage nennen müssen, auf der sie die Daten erheben und verarbeiten. Diese Erwähnung gehört also in die jeweilige Datenschutzerklärung hinein.

Nutzer:innen über Rechte informieren:
Nutzer:innen haben umfassende Rechte im Hinblick auf ihre Daten. Als Betreiber:in musst du deine Nutzer:innen darüber informieren. Zu diesen Nutzerrechten gehören:

  1. Widersrufsrecht: Es sollte als separater Hinweis zum Beispiel mit hervorgehobener Schrift und unter Angabe des Art. 21 DSGVO in der Datenschutzerklärung stehen
  2. Recht auf Löschung/Korrektur
  3. Recht auf Auskunft
  4. Beschwerderecht
  5. Recht auf Datenübertragbarkeit
  6. Recht auf Einschränkung der Verarbeitung
  7. Kontaktdaten des oder der Datenschutzbeauftragten: Sollte es in deinem Unternehmen eine:n Datenschutzbeauftragte:n geben, muss dieser oder diese ebenfalls in der Datenschutzerklärung genannt werden. In den meisten Fällen genügt es jedoch, wenn du die E-Mail-Adresse angibst.
  8. Weiterverarbeitung der Daten: Wenn die Daten aus der Datenerhebung auf deiner Website an einen Server in einem nicht europäischen Drittland übermittelt werden, musst du auch das in der Datenschutzerklärung sagen. Ebenfalls wichtig ist dabei die Angabe, ob es mit dem jeweiligen Land ein Datenschutzabkommen gibt.
  9. Speicherdauer: Du musst deine Nutzer:innen außerdem darüber informieren, wie lange du ihre persönlichen Daten speicherst.
  10. Nutzung einer automatisierten Entscheidungsfindung: Nutzt du auf deiner Seite Dienste wie eine vollautomatisierte Datenanalyse, haben deine Nutzer:innen das Recht, auch das zu erfahren. Entsprechend gehört auch diese Angabe in die Datenschutzerklärung hinein.

Wie muss die Datenschutz­erklärung formuliert sein?

Zu den Vorgaben der DSGVO im Hinblick auf die Datenschutzerklärung gehört außerdem die Art und Weise, in der Informationen den User:innen übermittelt werden. Damit ist gemeint, dass die Informationen zur Verarbeitung der personenbezogenen Daten bestimmte Voraussetzungen erfüllen müssen.

Sie müssen folgendermaßen formuliert sein:

  • präzise
  • verständlich
  • transparent
  • leicht zugänglich
  • in klarer und einfacher Sprache
Tipp

Um die Voraussetzungen für die Art und Weise der Übermittlung zu erfüllen, kannst du die Datenschutzerklärung auch visuell gestalten und gliedern. Verschiedene Absätze oder gar Bulletpoints erleichtern den Nutzer:innen das Lesen. Was sich wiederum positiv auf die Verständlichkeit der Datenschutzerklärung auswirkt.

Wo muss die Datenschutz­erklärung zu finden sein?

Auch den Ort, an dem die Datenschutzerklärung zu finden ist, darfst du nicht vernachlässigen. Denn eine kurze Angabe im Impressum reicht in der Regel nicht aus – jedenfalls solltest du gerade in diesem Punkt keine Verstöße gegen die Vorgaben riskieren.

Besser ist es daher, wenn du dafür sorgst, dass die Nutzer:innen von jeder Unterseite aus Zugriff auf die Datenschutzerklärung haben und dass diese eindeutig betitelt ist. Idealerweise können Nutzer:innen deine Datenschutzerklärung mit nur einem Klick erreichen und finden diesen Link ohne Probleme auf deiner Webseite.

Diese Paragraphen solltest du kennen

Alles über die Impressumspflicht und deren Inhalte findest du in § 5 Telemediengesetz (TMG) unter dem Schlagwort „Pflicht zur Anbietererkennung bei Online-Angeboten“ sowie in § 18 des Medienstaatsvertrags (MStV).

Checkliste: Zwingende Angaben laut DSGVO

Achtung

Diese Aufzählung erhebt keinen Anspruch auf Vollständigkeit oder Richtigkeit. Solltest du konkrete Fragen zum Thema Datenschutz haben, empfiehlt sich der Gang zu einem Rechtsanwalt oder einer Rechtsanwältin. Denn das Thema ist durchaus komplex und schon kleine, scheinbar unbeachtliche Verstöße können sehr große Folgen haben.

Nach Art.13 DSGVO gehören die folgenden Daten und Angaben zwingend indeine Datenschutzerklärung:

  • eine Einleitung: In dieser wird darüber informiert, was eine Datenschutzerklärung ist
  • Kontaktdaten und Namen des Datenschutzbeauftragten bzw. seines Vertreters
  • Zweck und Rechtsgrundlagen der Datenverarbeitung und Dauer der Speicherung gemäß DSGVO
  • Angaben zu automatisierten Vorgängen der Datenverarbeitung, zum Beispiel Server-Log-Files
  • Angaben zu den jeweiligen Prozessen, bei denen personenbezogene Kundendaten erhoben werden. Dazu gehören zum Beispiel Kontaktformulare, Newsletter Anmeldungen, Bestellungen im Onlineshop
  • Angaben zur Verwendung von Plug-ins, Tracking, Cookies und externen Inhalten. An dieser Stelle musst du also auch die Inhalte von Drittanbietern, wie zum Beispiel Social Media Netzwerk-Einbindungen nennen
  • Informationen zu den einzelnen Rechten von User:innen bzw. Kund:innen. Gemeint sind beispielsweise das Beschwerderecht bei einer Datenschutzbehörde, das Recht auf Auskunft sowie auf Löschung, das Recht auf Berichtigung und Einschränkung der Verarbeitung. Sowie das Recht auf Datenherausgabe und das Recht auf Widerruf der Einwilligung
Tipp

Investiere lieber ein wenig Geld und lass dich von einem Rechtsanwalt oder einer Rechtsanwältin beraten, statt Fehler in der Datenschutzerklärung zu riskieren. Das bedeutet natürlich nicht, dass du dich vorab nicht schon einmal über das Thema informieren solltest. So kannst du selbst Wissen erwerben und konkrete Fragen abklären.

Kannst du rechtssichere Datenschutzerklärungen mit Generator erstellen?

Datenschutzerklärungen müssen stets umfassend und individuell, also bezogen auf jedes Geschäftsmodell, formuliert werden. Dabei gilt es nicht nur die Neuerungen in der DSGVO zu berücksichtigen, sondern mitunter auch feinen Fallstricken auszuweichen. Das kostet nicht nur Knowhow, sondern auch Zeit. Deshalb sind im Netz immer häufiger Anbieter:innen eines Datenschutz-Generators zu finden, die es dir ermöglichen, schnell und einfach eine auf dich zugeschnittene Datenschutzerklärung für deine Website zu generieren.

Im Vergleich zu vielen vorformulierten Muster-Datenschutzerklärungen oder simplen Vorlagen für eine Datenschutzerklärung kannst du mithilfe eines Datenschutz-Generators deine Datenschutzerklärung für Webseiten wesentlich individueller erstellen. Denn ein Generator ermöglicht es dir, alle für dich relevanten Angaben, zum Beispiel zu Verarbeitungsvorgängen oder Tools, direkt anzuklicken. So gestaltest du eine inhaltlich auf dich zugeschnittene Datenschutzerklärung, beispielsweise als PDF.

Solch einfache Standard-Datenschutzerklärungen über einen Generator sind auf jeden Fall besser als nichts. Allerdings übernehmen die diversen Anbieter:innen keine Haftung für deren Korrektheit.

Juristischer Rat ist durch nichts zu ersetzen

Wenn du auf Nummer sicher gehen willst, dann verlass dich nicht nur auf einen Datenschutz-Generator. Denn mit einer individuell erstellten Datenschutzerklärung von Fachjurist:innen können diese digitalen Tools naturgemäß nicht mithalten.

Andererseits ist eine individuelle und aktuelle Datenschutzerklärung von einem Profi natürlich auch mit Kosten verbunden. Eine erste (und vorübergehende) Alternative könnte die Musterdatenschutzerklärung der Universität Münster sein.

FAQs: Häufige Fragen zum Thema Datenschutz­erklärung

Wann brauche ich eine gesetzeskonforme Datenschutzerklärung auf Englisch?

Als deutscher Webseitenbetreiber, der seine Website in deutscher Sprache anbietet, musst du auch deine Datenschutzerklärung auf Deutsch zur Verfügung stellen. Es gibt auch Ausnahmen, die dazu führen, dass du eine englische Übersetzung der Datenschutzerklärung brauchst: 1. wenn du eine Telefonnummer mit internationaler Vorwahl besitzt 2. wenn deine Webseite auch auf Englisch existiert und du damit internationale Kund:innen ansprechen möchtest 3. wenn du in englischsprachigen Ländern Ware verkaufen möchtest Generell macht es Sinn, eine Datenschutzerklärung auf Englisch bereitzustellen. Denn englischsprachige User:innen aus der EU, die kein Deutsch verstehen, können dann deine Erklärung zur Erhebung personenbezogener Daten auch verstehen.

Brauche ich die Einwilligung und Datenschutz­erklärung, wenn ich keine personen­bezogenen Daten erhebe?

Auch dann, wenn du keine personen­bezogenen Daten erhebst, solltest du eine Datenschutz­erklärung auf deiner Website haben. Denn dein Hoster könnte Daten deiner User:innen erheben.

Was müssen die in der Datenschutz­erklärung erforderlichen Informationen über die Dauer der Speicherung enthalten?

In diesem Absatz deiner Datenschutz­erklärung solltest du angeben, wie lange die jeweiligen Daten gespeichert werden. Am besten du gibst das für die jeweiligen Punkte separat an.

Was muss in einer DSGVO-konformen Datenschutz­erklärung stehen?

Wenn du wissen möchtest, was eine DSGVO-konforme Datenschutzerklärung beinhalten muss, kannst du in der oben genannten Checkliste nachsehen. Dort sind deine Pflichten allgemein aufgeführt. Bei individuellen oder darüber hinausgehenden Fragen solltest du einen oder eine Rechtsexpert:in befragen.

Zusammenfassung

Datenschutz­erklärung zusammen­gefasst

  • Eine Datenschutzerklärung ist Pflicht, wenn du personenbezogene Daten auf deiner Website erhebst.
  • Manchmal musst du diese auch in Englisch anbieten, vor allem dann, wenn du internationale Kund:innen ansprichst.
  • In Ausnahmefällen brauchst du auch bei Printangeboten eine Datenschutzerklärung.
  • Du solltest dich genau an die Vorgaben der Datenschutzgrundverordnung halten, denn Verstöße können strafrechtliche Konsequenzen mit einem Bußgeld in Millionenhöhe haben.
  • Im Netz gibt es kostenlose Muster-Datenschutzerklärungen oder Vorlagen. Du kannst auch einen Generator zur Erstellung einer Datenschutzerklärung nutzen. Um auf der sicheren Seite zu sein, empfiehlt sich jedoch eine individuelle Rechtsberatung bzw. Erstellung durch einen Fachjuristen.
Lust auf mehr? Freue dich auf bereichernde
Inhalte für dein Business.
Lust auf mehr? Freue dich auf bereichernde Inhaltefür dein Business.
Abonniere den lexfree Newsletter
2
Personen gefällt dieser Beitrag.

feel free und stell uns deine Fragen!

Mehr hilfreiche Infos zu diesem Thema – gleich weiterlesen:

Mehr Infos und Inspiration zu diesem Thema – gleich weiterlesen:

Mehr Infos und Inspiration zu diesem Thema – gleich weiterlesen: