Datenschutzerklärung für Webseiten
Als Betreiber einer Website sind Sie aufgrund der datenschutzrechtlichen Bestimmungen bei der Verarbeitung von personenbezogenen Daten verpflichtet, die Besucher Ihrer Website über die Verwendung Ihrer Daten zu unterrichten. Und seit dem 25. Mai 2018 stellt die DSGVO neue Anforderungen an die Datenschutzerklärung auf Webseiten. Ältere Datenschutzerklärungen müssen also angepasst werden – sonst droht eine Abmahnung. Im folgenden Beitrag geben wir Ihnen einen kurzen Überblick über die Anforderungen, die an eine Datenschutzerklärung für eine Webseite gestellt werden.
Die Datenschutzerklärung auf Ihrer Webseite dient dazu, Ihre Besucher darüber aufzuklären, in welchem Umfang und zu welchem Zweck seine personenbezogenen Daten verarbeitet werden. Datenschutzerklärungen sollen die Datenerhebung für den Betroffenen transparent machen und ihm so die Möglichkeit geben, autonom über die Verarbeitung seiner Daten zu entscheiden. Gleichzeitig ist die Datenschutzerklärung ein Instrument für Sie, um Ihren gesetzlichen Informationspflichten nachzukommen, indem Sie dort den Betroffenen zum Beispiel über seine Rechte informieren können.
Was sind personenbezogene Daten?
Personenbezogene Daten sind dabei all die Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dies sind insbesondere Einzelangaben über persönliche und sachliche Verhältnisse wie beispielsweise Name, Alter, Familienstand oder Geburtsdatum. Personenbezogene Daten können aber auch Kontonummer, Kfz-Kennzeichen oder die Telefonnummer sein. Entscheidend ist, dass die Daten mit dem Namen verbunden sind oder sich eine Verbindung und damit eine Identifizierung aus dem Inhalt unmittelbar herstellen lässt.
Wer braucht eine Datenschutzerklärung?
Personenbezogene Daten sind dabei all die Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dies sind insbesondere Einzelangaben über persönliche und sachliche Verhältnisse wie beispielsweise Name, Alter, Familienstand oder Geburtsdatum. Personenbezogene Daten können aber auch Kontonummer, Kfz-Kennzeichen oder die Telefonnummer sein. Entscheidend ist, dass die Daten mit dem Namen verbunden sind oder sich eine Verbindung und damit eine Identifizierung aus dem Inhalt unmittelbar herstellen lässt.
Webseiten, über die personenbezogene Daten des Kunden oder Besuchers erhoben werden bedürfen einer Datenschutzerklärung. Letztlich braucht fast jede Webseite eine Datenschutzerklärung, da fast immer personenbezogene Daten erhoben werden – selbst, wenn Sie als Betreiber der Webseite dies nicht wissen.
Zunächst einmal ist dabei an solche Daten zu denken, die Sie im Zusammenhang mit dem Besuch des Kunden beispielsweise über personenbezogene Cookies sammeln. Binden Sie auf Ihrer Webseite Social-Media-Plug-ins ein, so fallen auch dabei Daten an, über die Sie Ihre Kunden unterrichten müssen. Aber auch wenn Sie Webanalyseinstrumente wie Google Analytics verwenden, mit denen Sie das Nutzerverhalten analysieren können, müssen Sie dies in Datenschutzerklärung angegeben. Nur wenn allein anonyme, systembezogene oder statistische Daten ohne Personenbezug, wie zum Beispiel Browsertyp, verwendetes Betriebssystem oder Uhrzeit der Serveranfrage, verarbeitet werden, bedarf es keiner Datenschutzerklärung.
Auch, wenn Kunden über die Webseite etwas bestellen, eine Anfrage über ein Kontaktformular senden oder einen Newsletter abonnieren können, werden Daten wie Name, Adresse, Geburtsdatum oder E‐Mail-Adresse erhoben. Auch müssen diese oftmals sogar an Dritte, wie zum Beispiel Lieferunternehmen oder Banken, weitergegeben werden – darüber muss der Kunde aufgeklärt werden und damit einverstanden sein.
Auch wenn Sie bereits eine Datenschutzerklärung auf Ihrer Website bereithalten, sollten Sie beachten, dass es mit Inkrafttreten der europäischen Datenschutzgrundverordnung (DSGVO) eine neue rechtliche Ausgangslage gibt, die einige Änderungen mit sich gebracht hat.
Inhalt der Datenschutzerklärung einer Webseite
Welche Anforderungen der Gesetzgeber an den Inhalt einer Datenschutzerklärung stellt, hängt eng mit Ihren Informationspflichten zusammen. Denn der europäische Gesetzgeber hat klare Vorstellungen davon, was der Betroffene alles vor Abgabe der Einwilligung wissen muss und hat dies in Art. 13 und 14 DSGVO normiert. In diesen Normen findet sich eine Liste der Informationen, die nach der neuen Verordnung in einer Datenschutzerklärung stehen müssen und an der Sie sich orientieren können.
Dabei muss Ihre Datenschutzerklärung folgende Aspekte enthalten:
- Name und Kontaktdaten des Verantwortlichen (ggf. auch Vertreter)
- gegebenenfalls Kontaktdaten des Datenschutzbeauftragten,
- Zweck der Verarbeitung
- Rechtsgrundlage der Verarbeitung (zu finden in Art. 6 Abs. 1 DSGVO)
- Falls die Rechtsgrundlage der Datenverarbeitung Art. 6 Abs. 1 lit. f DSGVO ist: Angabe der berechtigten Interessen des Verantwortlichen oder Dritten
- Aufklärung über Rechte des Betroffenen: Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragung
- Hinweis auf Beschwerderecht bei einer Aufsichtsbehörde
- Speicherdauer der Daten
- Falls eine Einwilligung Rechtsgrundlage der Datenverarbeitung ist: Hinweis auf die Möglichkeit des jederzeitigen Widerrufs
- Bei gesetzlicher oder vertraglicher Pflicht zur Datenerhebung: Aufklärung des Betroffenen über diese Pflicht und die möglichen Folgen einer Nichtbereitstellung
- Beim Einsatz automatisierter Entscheidungsfindungen, einschließlich Profiling: Aufklärung hierüber, insbesondere über die zugrunde liegende Logik, die Tragweite und die angestrebten Auswirkungen für den Betroffenen
- Bei einer Weitergabe an Dritte: Angabe der Empfänger bzw. der Kategorie von Empfängern
- Angabe der Absicht zur Datenübermittlung in ein Drittland und Angabe des von der
- Kommission festgelegten Datenschutzniveaus des Drittlandes
- Im Falle von Übermittlungen nach Art. 46, 47 oder 49 DSGVO: Verweis auf die geeigneten oder angemessenen Garantien, die verbindlichen internen Datenschutzvorschriften und das Vorliegen der jeweiligen Voraussetzungen sowie auf die Möglichkeit und die Modalitäten des Erhalts einer Kopie
Generell kann als Faustregel dienen, dass in der Datenschutzerklärung über jede Erhebung, Verarbeitung und Nutzung personenbezogener Daten aufgeklärt werden soll. Bei der Formulierung der Datenschutzerklärung sollten Sie vor allem darauf achten, dass der Nutzer umfassend darüber informiert wird, welche personenbezogenen Daten die Webseite von ihm wie und wozu erhebt, was danach mit den Daten geschieht und welche Rechte der betroffene Nutzer hat.
In der Praxis sollte eine Datenschutzerklärung deshalb zumindest die folgenden Fragen beantworten:
- Welche Arten von personenbezogenen Daten werden erhoben?
- Sind gegebenenfalls Zugriffsrechte erforderlich?
- Zu welchem Zweck werden die Daten erhoben?
- Auf welcher rechtlichen Grundlage erfolgt die Datenverarbeitung?
- Wie lange werden die Daten gespeichert, und unter welchen Umständen werden sie wieder gelöscht?
- Wird das Nutzerverhalten ausgewertet?
- Werden Daten an Dritte übermittelt?
- Wie kann der App-Nutzer Sie kontaktieren?
- Wie kann der App-Nutzer der Datennutzung widersprechen?
- Welche Konsequenzen hat ein Widerspruch auf die bis dahin rechtmäßig durchgeführte Datenverarbeitung?
Vorsicht! Durch die Erläuterung in der Datenschutzerklärung wird eine evtl. erforderliche Einwilligung durch den Nutzer nicht ersetzt! Dennoch soll der Website-Besucher auch über den konkreten Vorgang hinter der Datennutzung aufgeklärt werden, um sich ein besseres Bild davon machen zu können.
Besonders häufige Datenverarbeitungen auf Webseiten
IP-Adresse
IP-Adressen sind im Internet zur Kommunikation unerlässlich und werden beim Aufruf einer Website an deren Server gesendet. Für den Betrieb der meisten Dienste stellt die IP-Adresse die Grundvoraussetzung dar. Das betrifft beispielsweise auch die bei vielen Websites im Hintergrund laufenden Nutzerstatistiken. Da die IP-Adresse ein personenbezogenes Datum ist, müssen Sie den Nutzer in Ihrer Datenschutzerklärung darüber informieren, wozu Sie seine IP-Adresse verwenden.
Browser-Daten
Der eigene Browser verrät eine Vielzahl von Dingen über seinen Nutzer. Werden Daten über den Browser der Website-Besucher gesammelt, so sollten Sie hierüber dringend in der Datenschutzerklärung aufklären. Während Informationen über Betriebssystem oder Browser-Typ alleine keinen Personenbezug aufweisen, lassen sich aus Informationen wie Hardware-Komponenten, installierten Patches, Treibern und Software detaillierte Nutzerprofile erstellen, die zumindest später den Nutzer bestimmbar machen.
Cookies
Cookies sind kleine Datenpakete, die auf dem Endgerät des Website-Besuchers gespeichert werden und von der Website bzw. ihrem Server beim erneuten Aufruf abgerufen werden können. Das ermöglicht es beispielsweise, Login-Informationen, Suchanfragen oder den Inhalt des Warenkorbs über einen längeren Zeitraum hinweg zu speichern. Da es möglich ist, über Cookies einzelne Nutzer zu identifizieren, müssen Sie Ihre Website-Nutzer über den Einsatz von Cookies in der Datenschutzerklärung informieren.
Nicht ausreichend ist jedoch der bloß pauschale Hinweis auf Cookies. Vielmehr sollte der datenschutzrelevante Vorgang beim Einsatz von Cookies kurz skizziert werden. Des Weiteren ist zwischen den verschiedenen Arten von Cookies zu unterscheiden. Die Speicherdauer und -kapazität von Cookies unterscheiden sich teils sehr stark, weshalb die Datenschutzerklärung in diesem Bereich durchaus detaillierter sein sollte.
Allerdings könnten die Informationen, die Sie in Ihrer Datenschutzerklärung im Hinblick auf den Einsatz von Cookies nun auch nach der neuen DSGVO bereithalten, schon bald nach Inkrafttreten der e-Privacy-Verordnung ändern. Denn das Setzen von Cookies fällt in bestimmten Fällen in den Regelungsbereich der europäischen Verordnung. Hier sollten Sie künftige Entwicklungen im Blick behalten!
Webanalyse-Tools
Website-Betreiber haben ein nachvollziehbares Interesse an der Erstellung von Nutzerstatistiken. Hierzu werden meist spezielle Tools von Drittanbietern eingesetzt, wie Google Analytics oder Matomo (ehemals Piwik). Dem Einsatz dieser Tools sollten Sie einen eigenen Bereich in Ihrer Datenschutzerklärung widmen. Informiert werden muss über den konkreten Datenerhebungsvorgang durch das Analyse-Tool und die anschließende Verarbeitung der Daten. Danach müssen Sie den Website-Besucher darüber aufklären, wie er eine Datenerhebung durch das Tool verhindern kann, und müssen ihn insbesondere über sein Widerspruchsrecht informieren.
Mitunter stellen die Anbieter der Tools Textbausteine zur Verwendung in der eigenen Datenschutzerklärung zur Verfügung. Diese können genutzt werden, bedürfen aber teils einer Anpassung durch einen spezialisierten Rechtsanwalt.
Social Plug-ins
Auf der Website eingebaute Elemente von sozialen Netzwerken wie der „Gefällt mir“-Button von Facebook, der „Tweet“-Button von Twitter und ähnliche „Share“-Buttons werden als Social Plug-ins bezeichnet. Sie ermöglichen dem Website-Besucher eine Verknüpfung von Website-Inhalten mit seinen Online-Profilen. Diese Verknüpfung erfordert bestimmte personenbezogene Daten des Website-Besuchers, worüber in der Datenschutzerklärung aufgeklärt werden muss. Darüber hinaus müssen Sie auch auf die jeweiligen Datenschutzerklärungen der Anbieter der von Ihnen eingesetzten Plug-ins verlinken, damit sich die Nutzer auch hierüber informieren können.
Wie sollten Sie eine Datenschutzerklärung formulieren?
Der Text der Datenschutzerklärung muss dem Betroffenen gem. Art 12 Abs. 1 DSGVO in einer präzisen, transparenten, verständlichen und leicht zugänglichen Form sowie in einer klaren und einfachen Sprache übermittelt werden. Das können Sie erreichen, indem Sie den Text einfach formuliert und in deutscher Sprache verfassen und nach Möglichkeit auf eine allzu komplizierte juristische Fachsprache verzichten.
Den Anfang macht eine Präambel bzw. eine kurze Einführung in Sinn und Zweck des folgenden Textes. Dann nennen Sie die verantwortliche Stelle, also denjenigen, der die Datenerhebung durchführt. Hier müssen Sie einen Namen und eine Anschrift sowie eine Kontaktmöglichkeit angeben, ähnlich wie im Impressum.
Anschließend klären Sie den Nutzer in einzelnen Absätzen über die unterschiedlichen Arten der Datenverarbeitung auf. Das umfasst die Erläuterung des technischen Vorgangs, des Zwecks und nach der Datenschutz-Grundverordnung auch die Rechtsgrundlage.
Gegen Ende der Datenschutzerklärung wird der Website-Besucher über seine Rechte aufgeklärt. Sofern Sie einen Datenschutzbeauftragten haben, sollte dieser zum Schluss als Kontaktperson genannt werden.
Damit die Datenschutzerklärung übersichtlicher wird, sollten Sie mit mehreren Absätzen arbeiten. Zur erleichterten Lesbarkeit bietet es sich an, zum einen mit Zwischenüberschriften zu arbeiten und zum anderen eine Funktion einzubauen, bei der sich der Text bei einem Klick auf- bzw. zuklappt.
Form der Datenschutzerklärung auf Webseiten
Die Datenschutzerklärung muss schriftlich oder in anderer Form erfolgen, gegebenenfalls auch elektronisch. Sofern der Betroffene dies wünscht, können die Datenschutzinformationen unter bestimmten Umständen auch mündlich erteilt werden.
Wo und wie sollte die Datenschutzerklärung eingebunden werden?
Nach den gesetzlichen Vorgaben müssen Sie dafür Sorge tragen, dass die Datenschutzerklärung jederzeit und ohne großen Suchaufwand abgerufen werden kann. Doch was bedeutet dies konkret?
Zunächst kann die Unterrichtung zentral in einer von jeder Seite aus erreichbaren Datenschutzerklärung erfolgen. Dazu bietet sich beispielsweise ein Button am Fuß der Webseite in der Nähe des Impressums oder der AGB an. Als Bezeichnungen kommen dabei Begriffe wie DATENSCHUTZERKLÄRUNG, DATENSCHUTZHINWEIS oder einfach DATENSCHUTZ in Betracht.
Alternativ kann auch eine Kundeninformationsseite eingerichtet werden. In diesem Fall sollte dann der Link DATENSCHUTZ auf den Abschnitt mit den entsprechenden Angaben verweisen. In jedem Fall muss die Datenschutzerklärung aber mit einem Klick erreichbar sein.
In jedem Fall sollte aber sofort erkennbar sein, wo sich die Datenschutzhinweise befinden. Eine Platzierung im Impressum oder in den Allgemeinen Geschäftsbedingungen ist beispielsweise nicht zulässig.
Soforthilfe vom Anwalt
Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.
Welche Gefahren drohen bei fehlerhafter Datenschutzerklärung?
Fehlt eine Datenschutzerklärung oder weist sie inhaltliche oder formale Fehler auf, kann das je nach Schwere des Verstoßes weitreichende Folgen haben. Dabei hinaus kann bei datenschutzrechtlichen Verstößen die jeweilige Aufsichtsbehörde aktiv werden. Die DSGVO sieht bei Verstößen ein Bußgeld von bis zu 20 Millionen Euro vor.
Des Weiteren ist auch eine wettbewerbsrechtliche Haftung möglich. Wer keine oder nur eine fehlerhafte Datenschutzerklärung auf seiner Webseite bereithält muss folglich mit Abmahnungen rechnen.
Schließlich können Betroffene neuerdings auch wegen der Verletzung des Datenschutzrechts im Rahmen ihrer Schadensersatzansprüche nun auch ihren immateriellen Schaden geltend machen.
DSGVO für Website-Betreiber
In dem neuen Buch DSGVO für Website-Betreiber, das Rechtsanwalt Christian Solmecke und Volljuristin Sibel Kocatepe kurz nach Anwendbarkeit der DSGVO geschrieben haben, wird Ihnen Schritt für Schritt erklärt, wie Sie Ihren Webauftritt – und insbesondere ihre Datenschutzerklärung – vollständig rechtskonform gestalten. Dort finden Sie auch ausführliche Muster-Datenschutzerklärungen. Das Werk ist gut verständlich auch für Nichtjuristen geschrieben.
Alle weiteren Informationen zum Buch und seiner Bestellung finden Sie hier: wbs.is/dsgvo-buch
Datenschutz-Erklärungs-Generator
Sie können für Ihre Webseite zunächst den kostenfreien Datenschutzerklärungs-Generator verwenden, den wir von der Kanzlei WILDE BEUGER SOLMECKE gemeinsam mit der Deutschen Gesellschaft für Datenschutz (DGD) entwickelt haben.
Hier sei allerdings darauf hingewiesen, dass eine automatisch generierte Datenschutzerklärung nicht dieselbe Rechtssicherheit bietet wie eine individuell von uns für Sie erstellte. Sie müssen selbst sicherstellen, dass alle von Ihnen verwendeten Plugins und Website-Elemente, über die personenbezogene Daten verarbeitet werden, auch in der Datenschutzerklärung erwähnt werden.
Aus diesem Grund übernimmt die Kanzlei für die über den Datenschutzerklärung-Generator generierten Datenschutzerklärungen keine Haftung.
Wenn wir Sie individuell beraten, können wir auf jeden einzelnen Aspekt Ihrer Website, der damit einhergehenden Technik und den Verwendungen in Ihrem Unternehmen eingehen.
Wir gestalten Ihre individuelle Datenschutzerklärung
Das Expertenteam um Rechtsanwalt Christian Solmecke hat bereits zahlreiche Datenschutzerklärungen nach der DSGVO für große bis kleine Unternehmen sowie Selbstständige erstellt. Wir stehen Ihnen gerne Rede und Antwort für Ihre Fragen. Auch erstellen wir Ihnen gern Ihre individuelle und rechtssichere Datenschutzerklärung für Ihre Webseite. Rufen Sie uns unter der Rufnummer 0221 / 951 563 0 (Beratung bundesweit) an!