Themen

Nicht erst seit Mai 2018 müssen sich Webseitenbetreiber an die Datenschutzvorgaben halten und eine Datenschutzerklärung für Kund:innen und andere User:innen auf ihrer Webseite aufführen. Wann auch du eine Datenschutzerklärung brauchst, was dabei zu beachten ist und eine Checkliste der wichtigsten Punkte, findest du hier bei uns.

Jetzt abspielen

Definition: Was ist eine Datenschutz­erklärung?

Eine allgemeine Datenschutzerklärung informiert Webseitenbesucher:innen darüber, was mit ihren personenbezogenen Daten geschieht. Wenn du für dein Unternehmen eine Website erstellt hast, solltest du dich auf jeden Fall über eine Datenschutzerklärung und ihre Funktionen informieren. Das Gleiche gilt, wenn du einen Onlineshop erstellen willst oder bereits einen betreibst.

Wann brauchst du eine Datenschutz­erklärung?

Der Inhalt der Datenschutzerklärung beschäftigt wohl die meisten Webseitenbetreiber:innen. Denn wer als Unternehmer:in hier Fehler macht, muss mit beträchtlichen Kosten rechnen: Bis zu 20 Millionen Bußgeld oder vier Prozent des Jahresumsatzes sind im schlimmsten Fall zu bezahlen.

Von einer wettbewerbsrechtlichen Abmahnung ganz abgesehen.

Bedeutet: Deine Konkurrent:innen am Markt können deine Datenschutzerklärung auf Richtigkeit prüfen und dich über hierauf spezialisierte Anwält:innen abmahnen lassen.

Hier ist also Vorsicht geboten, um zu vermeiden, dass ein Verfahren gegen dich eröffnet wird.

Es geht bei der Datenschutzerklärung jedoch immer nur um personenbezogene Daten (z. B. um Kundendaten), die erhoben werden. Wenn du anonymisierte Daten erhebst, brauchst du keine Datenschutzerklärung. So jedenfalls die Theorie.

Denn selbst wenn du als Solo-Selbstständige:r keine Daten deiner Besucher:innen erhebst, ist es gut möglich, dass dein Hoster das macht und in diesem Fall bist du wieder in der Pflicht. Denkbar ist zum Beispiel, dass du in dem Vertrag über die Bereitstellung der Dienste zugestimmt hast, dass dein Hoster Server-Logfiles erstellt oder bestimmte Tracking-Tools einsetzt – und die musst du in der Datenschutzerklärung erwähnen.

Um auf Nummer sicher zu gehen, solltest du daher auch dann eine Einwilligung und Datenschutzerklärung auf deiner Seite aufführen, wenn du keine personenbezogenen Daten sammelst. Du kannst dir die Erklärung häufig nur dann sparen, wenn du z. B. neben deiner Website noch eine Instagram-Seite für dein Unternehmen betreibst. Häufig reicht es aus, wenn du dafür die vorhandene Datenschutzerklärung von Instagram nutzt.

Achtung

Auch ohne Webseite brauchst du eine Datenschutzerklärung. Zum Beispiel dann, wenn du über Printmedien Anzeigen schaltest und über E-Mail personenbezogene Daten deiner Interessent:innen und potenziellen Kunden:innen sammelst.

Was sind personenbezogene Daten?

Stellt sich natürlich die Frage, was überhaupt zu den personenbezogenen Daten gehört, die besonders geschützt werden müssen. Typischerweise sind damit folgende Daten gemeint:

  • IP-Adresse
  • Standortdaten
  • E-Mail-Adresse

Aber auch die Klassiker wie

  • Name des oder der Websitebesucher:in
  • Alter des oder der Websitebesuchers:in
Diese Daten sollten daher im Rahmen der Datenschutzerklärung auf keinen Fall außer Acht gelassen werden.

Was hat sich seit Einführung der DSGVO für die Datenschutz­erklärung geändert?

Seit Mai 2018 müssen Datenschutzerklärungen auf den Webseiten den Vorgaben der Datenschutzgrundverordnung (DSGVO) enstsprechen. Die gute Nachricht: So viel änderte sich gar nicht. Denn die wesentlichen Punkte, die eine Datenschutzerklärung schon vor dem Inkrafttreten der DSGVO erfüllen musste, muss sie auch jetzt erfüllen. Sie mus beispieslweise Informationen enthalten über:

  • Art: Welche Daten erhebst du?
  • Umfang: Wie umfangreich ist die Erhebung?
  • Zweck der Erhebung: Warum erhebst du die Daten?
  • Verwendung von personenbezogenen Daten: Was passiert mit den Daten?
  • Weitergabe: Gibst du die Daten an Drittanbieter oder andere Personen oder Unternehmen weiter?
  • Datensicherheit: Welche Vorkehrungen hast du getroffen, um die Sicherheit der Daten zu garantieren?
Auf deiner Seite muss also auf jeden Fall eine Erklärung darüber zu finden sein, dass du überhaupt personenbezogene Daten erhebst.

Neben den personenbezogenen Daten gehören dazu

  • Tracking- und Analysetools
  • Social Media Plug-Ins
  • Browser-Daten

Durch die DSGVO änderte sich jedoch die Art und Weise, wie Nutzer:innen der Website informiert werden müssen. Seit der Neuregelung müssen Betreiber:innen nämlich umfassender informieren.

Dazu gehört:

Rechtsgrundlage nennen:
Die DSGVO sieht vor, dass Webseitenbetreiber:innen von nun an die konkrete Rechtsgrundlage nennen müssen, auf der sie die Daten erheben und verarbeiten. Diese Erwähnung gehört also in die jeweilige Datenschutzerklärung hinein.

Nutzer:innen über Rechte informieren:
Nutzer:innen haben umfassende Rechte im Hinblick auf ihre Daten. Als Betreiber:in musst du deine Nutzer:innen darüber informieren. Zu diesen Nutzerrechten gehören:

  1. Widerspruchsrecht
  2. Recht auf Löschung/Korrektur
  3. Recht auf Auskunft
  4. Beschwerderecht
  5. Recht auf Datenübertragbarkeit
  6. Recht auf Einschränkung der Verarbeitung
  7. Kontaktdaten des oder der Datenschutzbeauftragten: Sollte es in deinem Unternehmen eine:n Datenschutzbeauftragte:n geben, muss dieser oder diese ebenfalls in der Datenschutzerklärung genannt werden. In den meisten Fällen genügt es jedoch, wenn du die E-Mail-Adresse angibst.
  8. Weiterverarbeitung der Daten: Wenn die Daten aus der Datenerhebung auf deiner Website an einen Server in einem nicht europäischen Drittland übermittelt werden, musst du auch das in der Datenschutzerklärung sagen. Ebenfalls wichtig ist dabei die Angabe, ob es mit dem jeweiligen Land ein Datenschutzabkommen gibt.
  9. Speicherdauer: Du musst deine Nutzer:innen außerdem darüber informieren, wie lange du ihre persönlichen Daten speicherst.
  10. Nutzung einer automatisierten Entscheidungsfindung: Nutzt du auf deiner Seite Dienste wie eine vollautomatisierte Datenanalyse, haben deine Nutzer:innen das Recht, auch das zu erfahren. Entsprechend gehört auch diese Angabe in die Datenschutzerklärung hinein.

Wie muss die Datenschutz­erklärung formuliert sein?

Zu den Vorgaben der DSGVO im Hinblick auf die Datenschutzerklärung gehört außerdem die Art und Weise, in der Informationen den User:innen übermittelt werden. Damit ist gemeint, dass die Informationen zur Verarbeitung der personenbezogenen Daten bestimmte Voraussetzungen erfüllen müssen.

Sie müssen folgendermaßen formuliert sein:

  • präzise
  • verständlich
  • transparent
  • leicht zugänglich
  • in klarer und einfacher Sprache
Tipp

Um die Voraussetzungen für die Art und Weise der Übermittlung zu erfüllen, kannst du die Datenschutzerklärung auch visuell gestalten und gliedern. Verschiedene Absätze oder gar Bulletpoints erleichtern den Nutzer:innen das Lesen. Was sich wiederum positiv auf die Verständlichkeit auswirkt.

Wo muss die Datenschutz­erklärung zu finden sein?

Auch den Ort, an dem die Datenschutzerklärung zu finden ist, darfst du nicht vernachlässigen. Denn eine kurze Angabe im Impressum reicht in der Regel nicht aus – jedenfalls solltest du gerade in diesem Punkt keine Verstöße gegen die Vorgaben riskieren.

Besser ist es daher, wenn du dafür sorgst, dass die Nutzer:innen von jeder Unterseite aus Zugriff auf die Datenschutzerklärung haben und dass diese eindeutig betitelt ist. Idealerweise können Nutzer:innen deine Datenschutzerklärung mit nur einem Klick erreichen und finden diesen Link ohne Probleme auf deiner Webseite.

Checkliste: Diese Angaben gehören in die Datenschutz­erklärung

Zumindest die folgenden Daten und Angaben gehören auf jeden Fall in deine Datenschutzerklärung hinein.

Achtung

Diese Aufzählung erhebt keinen Anspruch auf Vollständigkeit oder Richtigkeit. Solltest du konkrete Fragen zum Thema Datenschutz haben, empfiehlt sich der Gang zu einem Rechtsanwalt oder einer Rechtsanwältin. Denn das Thema ist durchaus komplex und schon kleine, scheinbar unbeachtliche Verstöße können sehr große Folgen haben.

Die Checkliste für deine Datenschutzerklärung:

  • Einleitung
  • Kontaktdaten und Name des oder Datenschutzbeauftragten
  • Angaben zu Rechtsgrundlagen, Datenverarbeitung und Dauer der Speicherung
  • Angaben zu automatisierten Vorgängen der Datenverarbeitung, zum Beispiel Server-Log-Files
  • Angaben zu den jeweiligen Prozessen, bei denen personenbezogene Kundendaten erhoben werden. Dazu gehören zum Beispiel Kontaktformulare, Newsletter Anmeldungen, Bestellungen im Onlineshop
  • Angaben zur Verwendung von Plug-ins, Tracking, Cookies und externen Inhalten. An dieser Stelle musst du also auch die Inhalte von Drittanbietern, wie zum Beispiel Social Media Netzwerk-Einbindungen nennen
  • Beschwerderecht und andere Rechte der User:innen
Tipp

Lieber ein wenig Geld investieren und von einem Rechtsanwalt oder einer Rechtsanwältin beraten lassen, statt Fehler in der Datenschutzerklärung zu riskieren. Das bedeutet natürlich nicht, dass du dich vorab nicht schon einmal über das Thema informieren solltest.

Rechtssichere Datenschutz­erklärung mit Generator erstellen?

Schon 2018, also um den Starttermin der DSGVO herum, konnte man im Netz immer mehr Anbieter finden, die Muster für eine einfache Datenschutzerklärung oder einen Generator anbieten, e-recht24 ist beispielsweise ein solcher Anbieter.

Diese Muster und Standrad-Datenschutzerklärungen sind auf jeden Fall besser als nichts.

Achtung

Du solltest dich aber nicht darauf verlassen. Denn mit einer individuell erstellten Datenschutzerklärung können sie naturgemäß nicht mithalten.

Andererseits ist eine individuelle und aktuelle Datenschutzerklärung von einem Profi natürlich auch mit Kosten verbunden. Eine erste (und vorübergehende) Alternative könnte die Musterdatenschutzerklärung der Universität Münster sein.

FAQs: Häufige Fragen zum Thema Datenschutz­erklärung

Brauche ich die Einwilligung und Datenschutz­erklärung, wenn ich keine personen­bezogenen Daten erhebe?

Auch dann, wenn du keine personen­bezogenen Daten erhebst, solltest du eine Datenschutz­erklärung auf deiner Website haben. Denn dein Hoster könnte Daten deiner User:innen erheben.

Was müssen die in der Datenschutz­erklärung erforderlichen Informationen über die Dauer der Speicherung enthalten?

In diesem Absatz deiner Datenschutz­erklärung solltest du angeben, wie lange die jeweiligen Daten gespeichert werden. Am besten du gibst das für die jeweiligen Punkte separat an.

Was muss in einer DSGVO-konformen Datenschutz­erklärung stehen?

Wenn du wissen möchtest, was eine DSGVO-konforme Datenschutzerklärung beinhalten muss, kannst du in der oben genannten Checkliste nachsehen. Dort sind deine Pflichten allgemein aufgeführt. Bei individuellen oder darüber hinausgehenden Fragen solltest du einen oder eine Rechtsexpert:in befragen.

Zusammenfassung

Datenschutz­erklärung zusammen­gefasst

  • Eine Datenschutzerklärung ist Pflicht, wenn du personenbezogene Daten auf deiner Website erhebst.
  • In Ausnahmefällen brauchst du auch bei Printangeboten eine Datenschutzerklärung.
  • Du solltest dich genau an die Vorgaben halten, denn Verstöße können rechtliche Konsequenzen haben – bis zu 20 Millionen Bußgeld sind denkbar.
  • Im Netz gibt es Muster-Datenschutzerklärungen, die teilweise recht gut sind. Um auf der sicheren Seite zu sein, empfiehlt sich jedoch eine individuelle Rechtsberatung.
2
Personen gefällt dieser Beitrag.

feel free und teile deine Fragen,
Ideen und Wünsche mit uns!

Jetzt kontaktieren

Mehr hilfreiche Infos zu diesem Thema – gleich weiterlesen:

Mehr Infos und Inspiration zu diesem Thema – gleich weiterlesen:

Mehr Infos und Inspiration zu diesem Thema – gleich weiterlesen: