Zur Navigation springen Zum Inhalt springen Zum Footer springen

Datenschutzerklärung: Tipps für rechtskonforme Erstellung

Oder wählen Sie einen passenden Anwalt in Ihrer Nähe

IT-Recht

So gut wie jeder benötigt eine Datenschutzerklärung. Das galt schon vor der Datenschutzgrundverordnung – kurz DSGVO. Allerdings: Die DSGVO hat die Anforderungen an die Datenschutzerklärung erheblich erhöht. Erheblich gestiegen sind auch die Bußgelder für Verstöße. Schon deshalb sollte niemand auf eine passende Datenschutzerklärung verzichten.

Die wichtigsten Fakten

  • Eine falsche oder fehlende Datenschutzerklärung birgt Risiken durch Abmahnungen, Bußgelder und Schadensersatzforderungen.
  • Die Datenschutzerklärung dient der Erfüllung der Informationspflichten der Datenschutzgrundverordnung.
  • Die Datenschutzerklärung muss die Verarbeitung personenbezogener Daten umfassend beschreiben.
  • Personenbezogene Daten sind alle Daten, mit denen sich ein Mensch identifizieren lässt, z. B. Namen, Telefonnummern, aber auch IP-Adressen.

So gehen Sie vor

  • Analysieren Sie genau, welche Daten Sie zu welchen Zwecken verarbeiten.
  • Beschreiben Sie diese ausführlich in einer klaren verständlichen Sprache.
  • Nennen Sie Verantwortlichen, Datenschutzbeauftragten und Betroffenenrechte.
  • Sorgen Sie dafür, dass davon betroffene Personen die Datenschutzerklärung leicht erreichen.
  • Passen Sie die Datenschutzerklärung stets den Veränderungen an.

Wer braucht eine Datenschutzerklärung?

Oder einfacher gefragt: Wer braucht keine Datenschutzerklärung? Denn das sind weitaus weniger Personen. Insofern beim Datenschutz außen vor ist, wer personenbezogene Daten ausschließlich für persönliche oder familiäre Tätigkeiten verarbeitet, z. B. eine Familienhomepage betreibt.

Personenbezogene Daten sind nur solche, mit denen sich ein bestimmter Mensch identifizieren lässt. Das kann so gut wie jede Information sein. Typische Beispiele sind etwa Name, Telefonnummer, Adresse, Geburtsdatum, Haarfarbe oder Geschlecht. Personenbezogen ist aber auch eine im Internet verwendete IP-Adresse.

Als nicht mehr persönlich und familiär gilt bereits ein privater Blog mit Werbung, die etwas Geld bringen soll. Dadurch ist der Blog bereits gewerblich und unterliegt dem Datenschutzrecht. Der Blogbetreiber benötigt eine Datenschutzerklärung – und zwar nicht irgendeine, sondern eine passende Datenschutzerklärung.

Was für einen Blog mit kleiner Einnahmequelle gilt, gilt für jede gewerblich genutzte Website. Ob Arzt, Anwalt, Handwerker oder Restaurant: Die Praxishomepage, Kanzleiwebseite oder Firmenseite benötigt eine Datenschutzerklärung.

Besucher müssen die Datenschutzerklärung leicht erreichen können. Schon deshalb droht eine Abmahnung durch Wettbewerber. Best Practice ist deshalb ein Link mit einer klaren Bezeichnung wie „Datenschutzerklärung“, „Datenschutzbestimmungen“ oder „Datenschutz“ auf jeder einzelnen Webseite der Website, z. B. unten im Footer. Besucher der Website sollten die Datenschutzerklärung von überall in nicht mehr als zwei Klicks erreichen können.

Außerdem wichtig ist das Einbinden eines deutlichen Links auf die Datenschutzerklärung überall auf der Website, wo sie Daten abfragt. Besonders gilt das bei Kontaktformularen. Nicht zuletzt gilt: Impressum und Datenschutzerklärung immer trennen und nie vermischen. Denn für beides gelten verschiedene Regeln.

Keine Website, keine Datenschutzerklärung: Irrtum!

Datenschutz ist keine reine Online-Angelegenheit. Auch ohne eine Website ist eine Datenschutzerklärung erforderlich. Jeder, der personenbezogene Daten erhebt, muss die Informationspflichten erfüllen.

Die Information kann durch Aushang oder durch Verweis auf einen Link mit der Datenschutzerklärung erfolgen. Zu informieren ist insbesondere über eine Videoüberwachung in Geschäftsräumen und Betriebsstätten. Da ein Arbeitnehmerdatenschutz besteht, gilt das auch, wenn sich nur Mitarbeiter dort aufhalten.

An Auftragsverarbeitung denken

Nutzen Sie Google Analytics oder wird Ihre Website auf einem fremden Server gehostet. Dann verarbeiten Sie Daten mit Hilfe Dritter. Auch darüber müssen Sie ausführlich in der Datenschutzerklärung informieren. Außerdem müssen Sie eine Auftragsverarbeitung mit jedem Anbieter vereinbaren.

Reicht nicht einfach ein Muster für die Datenschutzerklärung?

Nun ein Muster ist besser als keine Datenschutzerklärung. Ein Muster ist aber keine Lösung. Denn jede Datenschutzerklärung muss nicht irgendwie, sondern genau darüber informieren, welche Verarbeitung stattfindet.

Jede Website ist anders. Deshalb gilt: Maßgeblich für den Inhalt der Datenschutzerklärung ist der Inhalt der Website. Hilfreich ist eine Website-Analyse. Wo werden überall personenbezogene Daten erfasst? Mit welchen Servern verbindet sich die Website? Welche Dienste laufen im Hintergrund?

rechtshelfer - Datenschutzerklaerung_erstellen.jpg

Datenschutzerklärung erstellen

Die DSGVO verlangt eine vollständige und aktuelle Datenschutzerklärung.

Lassen Sie Ihre rechtssichere Datenschutzerklärung erstellen!

Worüber muss die Datenschutzerklärung informieren?

Weitverbreitete Website-Elemente, über die auch die Datenschutzerklärung informieren muss, sind z. B.:

  • Kontaktformulare
  • Newsletter-Angebote
  • Online-Shop-Module
  • Affiliate-Partnerprogramme wie von Amazon, Zalando, Check24
  • externe Inhalte wie etwa Google Maps, YouTube, Twitter, Facebook
  • Tools zur Website-Analyse wie etwa Google Analytics, Matomo zuvor Piwik
  • Remarketing-Lösungen wie etwa Google AdWords, Facebook Pixel, Bing Ads
  • WordPress-Plugins mit Schnittstellen

Jeder Dienst ist einzeln aufzuführen. Die Datenschutzerklärung muss dabei auch die verwendeten Techniken wie Cookies, Tracking Pixel bzw. Web Beacons, Common-IDs oder Browser Fingerprinting beschreiben. Die Datenschutzerklärung muss dabei mehr als nur auf die Datenschutzerklärung des Dienstanbieters hinweisen.

Bei jedem dieser und weiterer Inhalte muss die Datenschutzerklärung stets folgende Fragen beantworten:

  • Welche personenbezogenen Daten werden verarbeitet?
  • Wie erfolgt die Verarbeitung?
  • Zu welchem Zweck geschieht das?
  • Auf welcher Rechtsgrundlage basiert die Verarbeitung? Wenn sie aufgrund berechtigter Interessen erfolgt, sind diese zu nennen.
  • Wie können Betroffene der Verarbeitung widersprechen z. B. per Opt-Out?
  • Wann werden die Daten gelöscht bzw. gesperrt?
  • Wer erhält die Daten?
  • Werden insbesondere personenbezogene Daten in Länder übermittelt, die kein der EU vergleichbares Datenschutzniveau haben, wie etwa in die USA?

Klare und einfache Sprache verwenden

Die DSGVO verpflichtet zur Information in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache. Sind Kinder betroffen, ist noch mehr darauf zu achten. Auch Bilder und Grafiken sind zum besseren Verständnis erlaubt.

Was muss eine Datenschutzerklärung immer enthalten?

Die ausführliche Beschreibung soll jedem klarmachen, was mit seinen personenbezogenen Daten geschieht. Zum Datenschutz muss die Datenschutzerklärung noch weitere Informationen geben. Folgendes muss jede Datenschutzerklärung nennen:

  • die Kontaktdaten des Verantwortlichen
  • die Kontaktmöglichkeiten zum Datenschutzbeauftragten
  • alle Betroffenenrechte wie Auskunft, Löschung, Widerspruch, Beschwerde usw.

Eine Datenschutzerklärung beinhaltet zudem:

  • Hinweise auf Server-Logfiles
  • Erläuterungen spezieller Begriffe wie personenbezogene Daten, Cookies, Tracking, Remarketing

Erst die Datenschutzerklärung ändern, dann die Datenverarbeitung

Die Datenschutzerklärung muss die Datenverarbeitung stets richtig beschreiben. Bei jeder Änderung ist die Datenschutzerklärung anzupassen. Und zwar bevor diese umgesetzt ist – also bevor das neue Kontaktformular, das neue Tracking-Tool oder die auf der Seite aktiv ist.

rechtshelfer - Datenschutzerklaerung_erstellen.jpg

Datenschutzerklärung erstellen

Die DSGVO verlangt eine vollständige und aktuelle Datenschutzerklärung.

Lassen Sie Ihre rechtssichere Datenschutzerkärung erstellen!

Was droht bei einer fehlenden oder fehlerhaften Datenschutzerklärung?

Fehlt eine Datenschutzerklärung auf der Website, kann das jeder Besucher schnell erkennen. Auch Fehler in einer Datenschutzerklärung können Außenstehende leicht entdecken. Browser-Add-Ons zeigen beispielsweise, was auf der Website alles zum Einsatz kommt. Fehlende Hinweise darauf in der Datenschutzerklärung oder fehlerhafte Beschreibungen und ein Datenschutzverstoß liegt nahe.

Dementsprechend hoch ist das Risiko rechtlicher Schritte durch Verbraucherverbände, Wettbewerbsverbände, Datenschutzbehörden, aber auch durch Nutzer der Website. In der Folge drohen Abmahnungen und Unterlassungserklärungen, Auflagen und Bußgelder sowie Schadensersatzforderungen.

Möglicherweise können Konkurrenten eine unzureichende Datenschutzerklärung als Wettbewerbsverstoß abmahnen. Erste im Lichte der DSGVO getroffene Entscheidungen hielten die Abmahnung eines Wettbewerbers wegen einer unzureichenden Datenschutzerklärung für zulässig. Die Datenschutzerklärung war nur sieben Zeilen lang und fand sich zudem nur im Impressum der Website. Von speziellen Informationspflichten ganz abgesehen, fehlten in der Erklärung bereits grundlegende Informationen wie zum Verantwortlichen und zu den Betroffenenrechten.

Eine weiteres Risiko bergen die hohen Bußgelder. Die DSGVO hat die Sanktionsmöglichkeiten der Datenschutzbehörden drastisch erweitert. Statt maximal 300.000 Euro erlaubt die DSGVO nun Bußgelder bis zu 20.000.000 Euro bzw. bis zu 4 Prozent des gesamten weltweiten Vorjahresumsatzes eines Unternehmens – je nachdem, welcher Betrag höher ist. Die DSGVO verlangt von den Datenschutzbehörden ausdrücklich, dass die Verhängung von Geldbußen auch abschreckend ist.

Mit einer aktuellen Datenschutzerklärung sind sie auf der sicheren Seite.

Von
Christian Günther
anwalt.de-Redaktion