Jede Website braucht eine Datenschutzerklärung. Damit wird den Informationspflichten aus Art. 13 DSGVO entsprochen. Der Website-Betreiber informiert damit seine Besucher, wie personenbezogene Daten erhoben, verwendet, gespeichert und geschützt werden. Außerdem gibt die Datenschutzerklärung an, mit welchem Zweck und aufgrund welcher Rechtsgrundlage die Daten verarbeitet werden. Zudem muss darüber informiert werden, ob oder wie Daten weitergegeben oder in ein Drittland übermittelt werden. Alle Dienste, die auf der Website integriert sind und Daten verarbeiten, müssen mit aufgenommen und detailliert beschrieben werden. Wenn eine Datenschutzerklärung fehlt oder unzureichend ist, drohen Abmahnungen und schmerzliche Bußgelder. Aufgrund der Komplexität und der sich stetig wandelnden Sach- und Rechtslage empfiehlt es sich, bei der Erstellung auf Tools oder Personen mit hoher Rechtsexpertise zurückzugreifen.
Inhaltsverzeichnis
- Was ist mit Datenschutzerklärung gemeint?
- Wer braucht eine Datenschutzerklärung?
- Was muss in einer Datenschutzerklärung stehen?
- Wie erstelle ich eine Datenschutzerklärung for meine Website?
- Beispiel eines Textbausteins
- Wer darf eine Datenschutzerklärung erstellen?
- Was passiert wenn ich keine Datenschutzerklärung habe?
- Fazit
Was ist mit Datenschutzerklärung gemeint?
In der „Datenschutzerklärung“ informiert der Website-Betreiber detailliert über seinen Umgang mit personenbezogenen Daten. Der Name des Dokuments kann variieren, sodass auch „Datenschutzrichtlinie“, „Datenschutzbestimmungen“ oder Datenschutz- und Cookie- Richtlinie“ sowie „Privacy Policy“ geläufig sind. Unabhängig von dem Namen bleibt der Zweck der Gleiche: die Aufklärung über die Verarbeitung von personenbezogenen Daten.
In diesem Artikel haben wir uns für den Begriff „Datenschutzerklärung“ entschieden, da er unserer Meinung nach am ehesten den zugrundeliegenden Zweck aufgreift.
Wer braucht eine Datenschutzerklärung?
Um das Ergebnis vorwegzunehmen: Jeder Website-Betreiber braucht eine Datenschutzerklärung!
Diese Pflicht ergibt sich aus Art. 13 DSGVO. Danach muss jeder, der personenbezogene Daten verarbeitet, die betroffenen Personen über die Einzelheiten seiner Verarbeitung aufklären. Doch findet bei jedem „Besuch“ einer Website auch zwingend eine solche Datenverarbeitung statt? Ja! Denn bereits beim Aufrufen einer Website werden automatisch zumindest die IP-Adressen der Website-Besucher weitergeleitet oder gespeichert und damit verarbeitet. Da bereits IP-Adressen unter die personenbezogenen Daten zu fassen sind, trifft die Pflicht zur Datenschutzerklärung folglich jeden Website-Betreiber.
Diese Pflicht gilt allerdings nicht nur für die Datenverarbeitung auf einer Website, sondern immer dann, wenn personenbezogene Daten in irgendeiner Form verarbeitet werden. In dem Website-fernen Kontext spricht man häufig von „Informationspflichten nach DSGVO“, „Datenschutzbelehrung“ oder „Informationspflicht nach Art. 13 und 14 DSGVO“.
Was muss in einer Datenschutzerklärung stehen?
Da die Ausgestaltungen der Datenschutzerklärungen stark variieren, kommen bei Website-Betreibern immer wieder Unsicherheiten auf, welche inhaltlichen Angaben eine Datenschutzerklärung enthalten muss.
Folgende Informationen sollte eine Datenschutzerklärung immer bereithalten:
- Die verantwortliche Stelle und Kontaktinformationen für Anfragen und Beschwerden
- Art und Zweck der verarbeiteten Daten
- die Rechtsgrundlage
- Empfänger der Daten
- die Speicherdauer
- Übermittlung in ein Drittland
- die Verwendung von Cookies und Tracking-Technologien
- die Möglichkeit zum Widerruf der Einwilligung
- die Rechte der Betroffenen (z.B. Auskunft, Berichtigung, Löschung)
Dabei sollte die Datenschutzerklärung präzise, transparent, in leicht zugänglicher Form und in einer klaren und einfachen Sprache formuliert sein, damit die betroffenen Personen nachvollziehen können, wie ihre Daten verarbeitet werden.
Wie erstelle ich eine Datenschutzerklärung für meine Website?
Die Komplexität der Erstellung einer Datenschutzerklärung ergibt sich vor allem daraus, dass sie individuell auf alle Dienste und Tools abgestimmt sein muss, die auf einer Website eingebunden sind.
Soweit Sie Ihre Datenschutzerklärung selbst erstellen wollen, empfehlen wir Ihnen folgendermaßen vorzugehen:
Formulieren Sie die oben genannten Pflichtangaben für Ihr Unternehmen. Prüfen Sie sorgfältig, welche Funktionen und Dienste auf Ihrer Website integriert sind. Erstellen Sie passende Textbausteine zu jedem der eingebundenen Dienste. Daraus muss hervorgehen:
- wer für den Dienst verantwortlich ist (d.h. Firmenname und Adresse)
- zu welchem Zweck verarbeitet der Dienst Daten
- mit welcher Rechtsgrundlage werden diese Daten verarbeitet
- setzt der Dienst Cookies auf Ihrer Website
- wie lange werden die Daten von dem Dienst gespeichert
- findet eine Übertragung der Daten an Dritte statt.
Formulieren Sie die Rechte der Betroffenen. Achten Sie auf eine klare und einfache Sprache.
Die Datenschutzerklärung muss stets der aktuellen Rechtslage entsprechen und damit auch die aktuelle Rechtsprechung berücksichtigen. Außerdem sollte eine Datenschutzerklärung auch immer die technologischen Entwicklungen und Veränderungen im Auge behalten, um rechtssicher zu bleiben.
Als Laie ist es demnach eine große Aufgabe und Herausforderung, die Datenschutzerklärung selbst zu erstellen.
Wir empfehlen, die Rechtsexpertise von Anwälten oder Datenschutzbeauftragten zu nutzen, um den Webauftritt des Unternehmens rechtssicher zu gestalten. Idealerweise betrachtet man die Datenschutzerklärung als fortlaufenden Prozess, der sich immer wieder an die aktuellen Gegebenheiten, sei es seitens der Website oder seitens der Rechtslage, anpasst.
Beispiel eines Textbausteins
Viele Websites werden mit einem Baukasten System erstellt. Die konkrete Ausgestaltung des Textbausteins für die Datenschutzerklärung könnte dabei folgendermaßen aussehen:
Zur Erstellung unserer Website nutzen wir den Dienst Website-Builder123. Dieser Dienst wird von der Website-Builder123 GmbH, Muster Straße 1, 12345 Musterstadt, Germany.
Website-Builder123 ist ein Website Baukasten System. Mit diesem Dienst können wir unsere Website nach unseren Wünschen gestalten und unserem Ziel der Nutzerfreundlichkeit entsprechen.
Website-Builder123 verwendet Cookies. Diese Cookies werden nur mit Einwilligung des Website-Besuchers gesetzt und ist jederzeit widerrufbar. Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 lit. a DSGVO.
Im Übrigen ist der Einsatz des Dienstes für uns technisch notwendig, um unsere Website darzustellen. Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 lit. f DSGVO.
Die Daten werden gelöscht, sobald sie für die Verarbeitungszwecke nicht mehr erforderlich sind.
Nähere Informationen:
<URL der Datenschutzerklärung des Dienstes>.
Wer darf eine Datenschutzerklärung erstellen?
Auch wenn wir empfehlen, eine Datenschutzerklärung von einem Experten erstellen zu lassen, existieren grundsätzlich keine formalen Anforderungen an den Verfasser.
Die Erstellung bedarf einer hohen Genauigkeit und erfordert, dass an zahlreiche unterschiedliche Faktoren gedacht wird. Außerdem müssen aktuelle technologische Entwicklungen nachvollzogen werden, um das dynamische und wettbewerbsintensive Umfeld der Dienstanbieter korrekt zu erfassen und in der Datenschutzerklärung adäquat abzubilden.
Was passiert, wenn ich keine Datenschutzerklärung habe?
Das Fehlen einer Datenschutzerklärung oder das Vorhandensein einer unzureichenden Datenschutzerklärung kann ernsthafte Konsequenzen haben. Es handelt sich dabei um einen Verstoß gegen geltende Datenschutzbestimmungen (in Deutschland ist neben der DSGVO insbesondere auch das BDSG zu nennen), welcher mit einem Bußgeld von bis zu 20 Millionen Euro oder 4 % des weltweit erzielten Jahresumsatzes geahndet werden kann – je nachdem, welcher Betrag höher ist.
Fazit
Sobald Sie eine Website betreiben, brauchen Sie eine Datenschutzerklärung. Diese dürfen Sie grundsätzlich auch selbst erstellen. Dabei müssen Sie allerdings eine Vielzahl an Faktoren berücksichtigen und sicherstellen, dass die Informationen über die Datenverarbeitung auf der Website stets auf dem neuesten Stand sind. Deshalb ist unsere Empfehlung, an dieser Stelle auf Experten mit langjähriger Erfahrung oder auf entsprechende automatisierte Lösungen zu setzen. So schaffen Sie Rechtssicherheit, sparen sich wertvolle Zeit und vermeiden die Gefahr von Abmahnungen und Strafzahlungen.
Ähnliche Beiträge zum Thema Datenschutz
Verarbeitungsverzeichnis (VVZ) und Löschkonzept
Die effektive Implementierung des Verarbeitungsverzeichnisses (VVZ) und des Löschkonzepts ist im Kontext der Datenschutz-Grundverordnung (DSGVO) von zentraler Bedeutung. Dieser Text beleuchtet die gesetzlichen Anforderungen, Struktur
6 Antworten zum Auftragsverarbeitungsvertrag(AVV)
Ein Auftragsverarbeitungsvertrag (AVV) spielt eine zentrale Rolle im modernen Datenschutz. Gemäß DSGVO ist er unerlässlich, sobald ein Unternehmen einen externen Dienstleister beauftragt, personenbezogene Daten zu
Technische und organisatorische Maßnahmen
In einer immer stärker digitalisierten Welt ist der Schutz personenbezogener Daten von höchster Bedeutung. Technische und organisatorische Maßnahmen (TOMs) stellen sicher, dass Unternehmen aller Größen