Definition: Was ist eine Datenschutzerklärung?
Eine allgemeine Datenschutzerklärung informiert Webseitenbesucher:innen darüber, was mit ihren personenbezogenen Daten geschieht. Wenn du für dein Unternehmen eine Website erstellt hast, solltest du dich auf jeden Fall über eine regelkonforme Datenschutzerklärung und deren erforderliche Inhalte schlau machen. Das Gleiche gilt, wenn du einen Onlineshop erstellen willst oder bereits einen betreibst.
Wann brauchst du eine Datenschutzerklärung?
Wenn du als Selbstständige:r einen Onlineshop betreibst und mit personenbezogenen Daten arbeitest, brauchst du stets eine Datenschutzerklärung. Deren korrekte Inhalte beschäftigen wohl die meisten Webseiten-Betreiber:innen. Denn wer hier Fehler macht, muss mit beträchtlichen Strafen rechnen: Bis zu 20 Millionen Bußgeld oder vier Prozent des Jahresumsatzes sind im schlimmsten Fall zu bezahlen.
Von einer wettbewerbsrechtlichen Abmahnung ganz abgesehen.
Bedeutet: Deine Konkurrent:innen am Markt können deine Datenschutzerklärung auf Richtigkeit prüfen und dich über hierauf spezialisierte Anwält:innen abmahnen lassen.
Hier ist also Vorsicht geboten, um zu vermeiden, dass ein Verfahren gegen dich eröffnet wird.
Worüber informiert eine Datenschutzerklärung?
Möchtest du wissen, was genau in deine Datenschutzerklärung gehört, solltest du den Artikel 13 der DSGVO kennen. Er bietet dir Orientierung und hilft, Fehler zu vermeiden. Welche neuen Informationspflichten mittlerweile hinzugekommen sind, kannst du ebenfalls darin nachlesen. Der offensichtlichste Unterschied im Vergleich zur alten Rechtsgrundlage sind laut DSGVO die gestärkten Rechte betroffener User:innen und Kund:innen. Denn bei der Datenschutzerklärung geht es stets um den regelkonformen Umgang mit personenbezogenen Daten (z. B. um Kundendaten), die du als Unternehmer:in erhebst. Handelt es sich um anonymisierte Daten, braucht es keine Datenschutzerklärung. So jedenfalls die Theorie.
Auf der sicheren Seite bist du, wenn du auch bestehende Datenschutzerklärungen für deine Webseiten prüfst und bei Bedarf an die neuen Bestimmungen angleichst. Denn – wie gesagt – du musst darin über jede Erhebung bzw. Verarbeitung sowie Nutzung personenbezogener Daten aufklären. Das heißt: Deine Datenschutzerklärung muss folgende Fragen korrekt und klar beantworten:
- Welche Daten werden erhoben?
- Weshalb werden sie erhoben?
- Was passiert mit ihnen?
- Werden die personenbezogenen Daten an Dritte weitergegeben?
- Findet vielleicht sogar eingrenzüberschreitender Datentransfer statt?
- Welche Sicherheitsmaßnahmen zum Datenschutz werden getroffen?
Datenschutzerklärung für alle Fälle
Selbst wenn du keine Daten deiner Besucher:innen erhebst, ist es gut möglich, dass dein Hoster das macht und in diesem Fall bist du wieder in der Pflicht. Denkbar ist zum Beispiel, dass du in dem Vertrag über die Bereitstellung der Dienste zugestimmt hast, dass dein Hoster Server-Logfiles erstellt oder bestimmte Tracking-Tools einsetzt – und die musst du in der Datenschutzerklärung erwähnen.
Um auf Nummer sicher zu gehen, solltest du daher auch dann eine Einwilligung und Datenschutzerklärung auf deiner Seite aufführen, wenn du keine personenbezogenen Daten sammelst. Du kannst dir die Erklärung häufig nur dann sparen, wenn du z. B. neben deiner Website noch eine Instagram-Seite für dein Unternehmen betreibst. Häufig reicht es aus, wenn du die vorhandene Datenschutzerklärung von Instagram nutzt.
Mit der Datenschutzerklärung bist du auf der sicheren Seite
Auch ohne Webseite brauchst du mitunter eine Datenschutzerklärung. Zum Beispiel dann, wenn du über Printmedien Anzeigenschaltest und über E-Mail personenbezogene Daten deiner Interessent:innen und potenziellen Kunden:innen sammelst.
Was sind personenbezogene Daten?
Stellt sich natürlich die Frage, was überhaupt zu den personenbezogenen Daten gehört, die besonders geschützt werden müssen. Laut DSGVO sind damit folgende Daten gemeint:
- IP-Adresse
- Standortdaten
- E-Mail-Adresse
Aber auch die Klassiker wie
- Name des oder der Websitebesucher:in
- Alter des oder der Websitebesuchers:in
Diese Daten sollten daher im Rahmen der Datenschutzerklärung auf keinen Fall außer Acht gelassen werden.
Inhalt der Datenschutzerklärung: Was hat sich seit Einführung der DSGVO geändert?
Seit Mai 2018 müssen Datenschutzerklärungen auf den Webseiten den Vorgaben der Datenschutzgrundverordnung (DSGVO) enstsprechen. Die gute Nachricht: So viel änderte sich gar nicht. Denn die wesentlichen Punkte, die eine Datenschutzerklärung schon vor dem Inkrafttreten der DSGVO erfüllen musste, muss sie auch jetzt erfüllen. Sie mus beispieslweise Informationen enthalten über:
- Art: Welche Daten erhebst du?
- Umfang: Wie umfangreich ist die Erhebung?
- Zweck der Erhebung: Warum erhebst du die Daten?
- Verwendung von personenbezogenen Daten: Was passiert mit den Daten?
- Weitergabe: Gibst du die Daten an Drittanbieter oder andere Personen oder Unternehmen weiter?
- Datensicherheit: Welche Vorkehrungen hast du getroffen, um die Sicherheit der Daten zu garantieren?
Auf deiner Seite muss also auf jeden Fall eine Erklärung darüber zu finden sein, dass du überhaupt personenbezogene Daten erhebst.
Neben den personenbezogenen Daten gehören dazu
- Tracking- und Analysetools
- Social Media Plug-Ins
- Browser-Daten
Durch die neuen Anforderungen der DSGVO änderte sich jedoch die Art und Weise, wie Nutzer:innen der Website informiert werden müssen. Seit der Neuregelung müssen Betreiber:innen nämlich umfassender informieren.
Dazu gehört:
Rechtsgrundlage nennen:
Die DSGVO sieht vor, dass Webseitenbetreiber:innen von nun an die konkrete Rechtsgrundlage nennen müssen, auf der sie die Daten erheben und verarbeiten. Diese Erwähnung gehört also in die jeweilige Datenschutzerklärung hinein.
Nutzer:innen über Rechte informieren:
Nutzer:innen haben umfassende Rechte im Hinblick auf ihre Daten. Als Betreiber:in musst du deine Nutzer:innen darüber informieren. Zu diesen Nutzerrechten gehören:
- Widersrufsrecht: Es sollte als separater Hinweis zum Beispiel mit hervorgehobener Schrift und unter Angabe des Art. 21 DSGVO in der Datenschutzerklärung stehen
- Recht auf Löschung/Korrektur
- Recht auf Auskunft
- Beschwerderecht
- Recht auf Datenübertragbarkeit
- Recht auf Einschränkung der Verarbeitung
- Kontaktdaten des oder der Datenschutzbeauftragten: Sollte es in deinem Unternehmen eine:n Datenschutzbeauftragte:n geben, muss dieser oder diese ebenfalls in der Datenschutzerklärung genannt werden. In den meisten Fällen genügt es jedoch, wenn du die E-Mail-Adresse angibst.
- Weiterverarbeitung der Daten: Wenn die Daten aus der Datenerhebung auf deiner Website an einen Server in einem nicht europäischen Drittland übermittelt werden, musst du auch das in der Datenschutzerklärung sagen. Ebenfalls wichtig ist dabei die Angabe, ob es mit dem jeweiligen Land ein Datenschutzabkommen gibt.
- Speicherdauer: Du musst deine Nutzer:innen außerdem darüber informieren, wie lange du ihre persönlichen Daten speicherst.
- Nutzung einer automatisierten Entscheidungsfindung: Nutzt du auf deiner Seite Dienste wie eine vollautomatisierte Datenanalyse, haben deine Nutzer:innen das Recht, auch das zu erfahren. Entsprechend gehört auch diese Angabe in die Datenschutzerklärung hinein.
Wie muss die Datenschutzerklärung formuliert sein?
Zu den Vorgaben der DSGVO im Hinblick auf die Datenschutzerklärung gehört außerdem die Art und Weise, in der Informationen den User:innen übermittelt werden. Damit ist gemeint, dass die Informationen zur Verarbeitung der personenbezogenen Daten bestimmte Voraussetzungen erfüllen müssen.
Sie müssen folgendermaßen formuliert sein:
- präzise
- verständlich
- transparent
- leicht zugänglich
- in klarer und einfacher Sprache
Wo muss die Datenschutzerklärung zu finden sein?
Auch den Ort, an dem die Datenschutzerklärung zu finden ist, darfst du nicht vernachlässigen. Denn eine kurze Angabe im Impressum reicht in der Regel nicht aus – jedenfalls solltest du gerade in diesem Punkt keine Verstöße gegen die Vorgaben riskieren.
Besser ist es daher, wenn du dafür sorgst, dass die Nutzer:innen von jeder Unterseite aus Zugriff auf die Datenschutzerklärung haben und dass diese eindeutig betitelt ist. Idealerweise können Nutzer:innen deine Datenschutzerklärung mit nur einem Klick erreichen und finden diesen Link ohne Probleme auf deiner Webseite.
Diese Paragraphen solltest du kennen
Alles über die Impressumspflicht und deren Inhalte findest du in § 5 Telemediengesetz (TMG) unter dem Schlagwort „Pflicht zur Anbietererkennung bei Online-Angeboten“ sowie in § 18 des Medienstaatsvertrags (MStV).
Checkliste: Zwingende Angaben laut DSGVO
Nach Art.13 DSGVO gehören die folgenden Daten und Angaben zwingend indeine Datenschutzerklärung:
Kannst du rechtssichere Datenschutzerklärungen mit Generator erstellen?
Datenschutzerklärungen müssen stets umfassend und individuell, also bezogen auf jedes Geschäftsmodell, formuliert werden. Dabei gilt es nicht nur die Neuerungen in der DSGVO zu berücksichtigen, sondern mitunter auch feinen Fallstricken auszuweichen. Das kostet nicht nur Knowhow, sondern auch Zeit. Deshalb sind im Netz immer häufiger Anbieter:innen eines Datenschutz-Generators zu finden, die es dir ermöglichen, schnell und einfach eine auf dich zugeschnittene Datenschutzerklärung für deine Website zu generieren.
Im Vergleich zu vielen vorformulierten Muster-Datenschutzerklärungen oder simplen Vorlagen für eine Datenschutzerklärung kannst du mithilfe eines Datenschutz-Generators deine Datenschutzerklärung für Webseiten wesentlich individueller erstellen. Denn ein Generator ermöglicht es dir, alle für dich relevanten Angaben, zum Beispiel zu Verarbeitungsvorgängen oder Tools, direkt anzuklicken. So gestaltest du eine inhaltlich auf dich zugeschnittene Datenschutzerklärung, beispielsweise als PDF.
Solch einfache Standard-Datenschutzerklärungen über einen Generator sind auf jeden Fall besser als nichts. Allerdings übernehmen die diversen Anbieter:innen keine Haftung für deren Korrektheit.
Juristischer Rat ist durch nichts zu ersetzen
Wenn du auf Nummer sicher gehen willst, dann verlass dich nicht nur auf einen Datenschutz-Generator. Denn mit einer individuell erstellten Datenschutzerklärung von Fachjurist:innen können diese digitalen Tools naturgemäß nicht mithalten.
Andererseits ist eine individuelle und aktuelle Datenschutzerklärung von einem Profi natürlich auch mit Kosten verbunden. Eine erste (und vorübergehende) Alternative könnte die Musterdatenschutzerklärung der Universität Münster sein.
FAQs: Häufige Fragen zum Thema Datenschutzerklärung
Inhalte für dein Business.