Definition: Was ist eine Datenschutzerklärung?
Eine allgemeine Datenschutzerklärung informiert Webseitenbesucher:innen darüber, was mit ihren personenbezogenen Daten geschieht. Wenn du für dein Unternehmen eine Website erstellt hast, solltest du dich auf jeden Fall über eine Datenschutzerklärung und ihre Funktionen informieren. Das Gleiche gilt, wenn du einen Onlineshop erstellen willst oder bereits einen betreibst.
Wann brauchst du eine Datenschutzerklärung?
Der Inhalt der Datenschutzerklärung beschäftigt wohl die meisten Webseitenbetreiber:innen. Denn wer als Unternehmer:in hier Fehler macht, muss mit beträchtlichen Kosten rechnen: Bis zu 20 Millionen Bußgeld oder vier Prozent des Jahresumsatzes sind im schlimmsten Fall zu bezahlen.
Von einer wettbewerbsrechtlichen Abmahnung ganz abgesehen.
Bedeutet: Deine Konkurrent:innen am Markt können deine Datenschutzerklärung auf Richtigkeit prüfen und dich über hierauf spezialisierte Anwält:innen abmahnen lassen.
Hier ist also Vorsicht geboten, um zu vermeiden, dass ein Verfahren gegen dich eröffnet wird.
Es geht bei der Datenschutzerklärung jedoch immer nur um personenbezogene Daten (z. B. um Kundendaten), die erhoben werden. Wenn du anonymisierte Daten erhebst, brauchst du keine Datenschutzerklärung. So jedenfalls die Theorie.
Denn selbst wenn du als Solo-Selbstständige:r keine Daten deiner Besucher:innen erhebst, ist es gut möglich, dass dein Hoster das macht und in diesem Fall bist du wieder in der Pflicht. Denkbar ist zum Beispiel, dass du in dem Vertrag über die Bereitstellung der Dienste zugestimmt hast, dass dein Hoster Server-Logfiles erstellt oder bestimmte Tracking-Tools einsetzt – und die musst du in der Datenschutzerklärung erwähnen.
Um auf Nummer sicher zu gehen, solltest du daher auch dann eine Einwilligung und Datenschutzerklärung auf deiner Seite aufführen, wenn du keine personenbezogenen Daten sammelst. Du kannst dir die Erklärung häufig nur dann sparen, wenn du z. B. neben deiner Website noch eine Instagram-Seite für dein Unternehmen betreibst. Häufig reicht es aus, wenn du dafür die vorhandene Datenschutzerklärung von Instagram nutzt.
Was sind personenbezogene Daten?
Stellt sich natürlich die Frage, was überhaupt zu den personenbezogenen Daten gehört, die besonders geschützt werden müssen. Typischerweise sind damit folgende Daten gemeint:
- IP-Adresse
- Standortdaten
- E-Mail-Adresse
Aber auch die Klassiker wie
- Name des oder der Websitebesucher:in
- Alter des oder der Websitebesuchers:in
Diese Daten sollten daher im Rahmen der Datenschutzerklärung auf keinen Fall außer Acht gelassen werden.
Was hat sich seit Einführung der DSGVO für die Datenschutzerklärung geändert?
Seit Mai 2018 müssen Datenschutzerklärungen auf den Webseiten den Vorgaben der Datenschutzgrundverordnung (DSGVO) enstsprechen. Die gute Nachricht: So viel änderte sich gar nicht. Denn die wesentlichen Punkte, die eine Datenschutzerklärung schon vor dem Inkrafttreten der DSGVO erfüllen musste, muss sie auch jetzt erfüllen. Sie mus beispieslweise Informationen enthalten über:
- Art: Welche Daten erhebst du?
- Umfang: Wie umfangreich ist die Erhebung?
- Zweck der Erhebung: Warum erhebst du die Daten?
- Verwendung von personenbezogenen Daten: Was passiert mit den Daten?
- Weitergabe: Gibst du die Daten an Drittanbieter oder andere Personen oder Unternehmen weiter?
- Datensicherheit: Welche Vorkehrungen hast du getroffen, um die Sicherheit der Daten zu garantieren?
Auf deiner Seite muss also auf jeden Fall eine Erklärung darüber zu finden sein, dass du überhaupt personenbezogene Daten erhebst.
Neben den personenbezogenen Daten gehören dazu
- Tracking- und Analysetools
- Social Media Plug-Ins
- Browser-Daten
Durch die DSGVO änderte sich jedoch die Art und Weise, wie Nutzer:innen der Website informiert werden müssen. Seit der Neuregelung müssen Betreiber:innen nämlich umfassender informieren.
Dazu gehört:
Rechtsgrundlage nennen:
Die DSGVO sieht vor, dass Webseitenbetreiber:innen von nun an die konkrete Rechtsgrundlage nennen müssen, auf der sie die Daten erheben und verarbeiten. Diese Erwähnung gehört also in die jeweilige Datenschutzerklärung hinein.
Nutzer:innen über Rechte informieren:
Nutzer:innen haben umfassende Rechte im Hinblick auf ihre Daten. Als Betreiber:in musst du deine Nutzer:innen darüber informieren. Zu diesen Nutzerrechten gehören:
- Widerspruchsrecht
- Recht auf Löschung/Korrektur
- Recht auf Auskunft
- Beschwerderecht
- Recht auf Datenübertragbarkeit
- Recht auf Einschränkung der Verarbeitung
- Kontaktdaten des oder der Datenschutzbeauftragten: Sollte es in deinem Unternehmen eine:n Datenschutzbeauftragte:n geben, muss dieser oder diese ebenfalls in der Datenschutzerklärung genannt werden. In den meisten Fällen genügt es jedoch, wenn du die E-Mail-Adresse angibst.
- Weiterverarbeitung der Daten: Wenn die Daten aus der Datenerhebung auf deiner Website an einen Server in einem nicht europäischen Drittland übermittelt werden, musst du auch das in der Datenschutzerklärung sagen. Ebenfalls wichtig ist dabei die Angabe, ob es mit dem jeweiligen Land ein Datenschutzabkommen gibt.
- Speicherdauer: Du musst deine Nutzer:innen außerdem darüber informieren, wie lange du ihre persönlichen Daten speicherst.
- Nutzung einer automatisierten Entscheidungsfindung: Nutzt du auf deiner Seite Dienste wie eine vollautomatisierte Datenanalyse, haben deine Nutzer:innen das Recht, auch das zu erfahren. Entsprechend gehört auch diese Angabe in die Datenschutzerklärung hinein.
Wie muss die Datenschutzerklärung formuliert sein?
Zu den Vorgaben der DSGVO im Hinblick auf die Datenschutzerklärung gehört außerdem die Art und Weise, in der Informationen den User:innen übermittelt werden. Damit ist gemeint, dass die Informationen zur Verarbeitung der personenbezogenen Daten bestimmte Voraussetzungen erfüllen müssen.
Sie müssen folgendermaßen formuliert sein:
- präzise
- verständlich
- transparent
- leicht zugänglich
- in klarer und einfacher Sprache
Wo muss die Datenschutzerklärung zu finden sein?
Auch den Ort, an dem die Datenschutzerklärung zu finden ist, darfst du nicht vernachlässigen. Denn eine kurze Angabe im Impressum reicht in der Regel nicht aus – jedenfalls solltest du gerade in diesem Punkt keine Verstöße gegen die Vorgaben riskieren.
Besser ist es daher, wenn du dafür sorgst, dass die Nutzer:innen von jeder Unterseite aus Zugriff auf die Datenschutzerklärung haben und dass diese eindeutig betitelt ist. Idealerweise können Nutzer:innen deine Datenschutzerklärung mit nur einem Klick erreichen und finden diesen Link ohne Probleme auf deiner Webseite.
Checkliste: Diese Angaben gehören in die Datenschutzerklärung
Zumindest die folgenden Daten und Angaben gehören auf jeden Fall in deine Datenschutzerklärung hinein.
Die Checkliste für deine Datenschutzerklärung:
Rechtssichere Datenschutzerklärung mit Generator erstellen?
Schon 2018, also um den Starttermin der DSGVO herum, konnte man im Netz immer mehr Anbieter finden, die Muster für eine einfache Datenschutzerklärung oder einen Generator anbieten, e-recht24 ist beispielsweise ein solcher Anbieter.
Diese Muster und Standrad-Datenschutzerklärungen sind auf jeden Fall besser als nichts.
Andererseits ist eine individuelle und aktuelle Datenschutzerklärung von einem Profi natürlich auch mit Kosten verbunden. Eine erste (und vorübergehende) Alternative könnte die Musterdatenschutzerklärung der Universität Münster sein.
FAQs: Häufige Fragen zum Thema Datenschutzerklärung
Inhalte für dein Business.