Muster-Datenschutzerklärung für Websites

Die Datenschutzerklärung – Wissenswertes

Die Datenschutzgrundverordnung (DSGVO) verpflichtet Verantwortliche und somit auch Website-Betreiber, ihre Nutzer bei der Erhebung personenbezogener Daten klar und verständlich über die Verarbeitung zu informieren.

Praktisch erfolgt die Information zum Datenschutz durch Einbinden von Links auf eine Datenschutzerklärung. Dieser einheitlich benannte Link ist am besten auf jeder einzelnen Seite einer Website eingebunden. Durch die umfangreichen Informationspflichten ist das Erstellen einer Datenschutzerklärung eine komplexe Angelegenheit. Muster für die Datenschutzerklärung können dabei wertvolle Hilfe leisten.

Folgen einer fehlenden Datenschutzerklärung

Eine fehlende oder fehlerhafte Datenschutzerklärung kann einen Verstoß gegen das Datenschutzrecht darstellen und von einer Datenschutzbehörde geahndet werden. Das Bußgeld kann bis zu 20.000.000 Euro oder im Fall eines Unternehmens bis zu 4 Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen, je nachdem, welcher der Beträge höher ist. Zudem droht die Abmahnung durch Konkurrenten wegen eines Wettbewerbsverstoßes. Einzelne Gerichte sehen insofern im Datenschutzrecht wettbewerbsrechtlich relevante Marktverhaltensvorschriften.

Vorgehen bei Erstellung einer Datenschutzerklärung

Erster Schritt bei der Erstellung einer Datenschutzerklärung sind folgende Fragen: Wo erhebe ich überall Daten auf meiner Website? Wo übermittelt ein Nutzer mit seinem Browser beim Besuch der Website bewusst oder unbewusst Daten an mich oder an andere Unternehmen? Da es beim Datenschutz nur um den Schutz personenbezogener Daten geht, sind diese Daten näher zu betrachten. Personenbezogene Daten sind dabei üblicherweise – aber nicht abschließend – Daten wie Name, Geschlecht, Adresse, Telefonnummer, E-Mail-Adresse, Bankverbindung, Fotos, Standortdaten und ähnliche Informationen, mittels derer sich natürliche Personen identifizieren lassen. Schnittstellen dafür auf einer Website können beispielsweise Kontaktformulare, Bestellmasken, Newsletter-Abos, Kommentarfunktionen, Gewinnspiele oder Nutzerforen sein. Wer solche Angebote auf der Website hat, muss darüber in seiner Datenschutzerklärung informieren.

Auch die IP-Adresse von Website-Besuchern gilt inzwischen als personenbezogenes Datum. Diese erfassen gern genutzte Dienste zur Website-Analyse oder Online-Werbung wie Google Analytics oder Google AdSense, aber auch Social-Media-Plug-ins. Die genannten Dienste lassen sich im Muster-Datenschutzerklärungs-Generator spezifisch auswählen.

Cookies

Auch Cookies gelten als personenbezogene Daten im Sinne der DSGVO, wenn sie natürlichen Personen zugeordnet werden können. In diesem Fall muss die Datenschutzerklärung auch auf diese kleinen Textdateien eingehen, die der Browser auf dem jeweiligen Gerät speichert.

Google Analytics

Wer Google Analytics verwendet, muss darauf in der Datenschutzerklärung hinweisen. Mit Google ist zudem eine Auftragsverarbeitung zu vereinbaren. Die DSGVO ermöglich nun auch den elektronischen Abschluss einer solchen Vereinbarung. IP-Adressen sind durch die entsprechende Konfiguration von Google Analytics nur anonymisiert zu speichern. Die Speicherdauer sollte zudem auf den kürzestmöglichen Zeitraum eingestellt sein. In der Datenschutzerklärung ist zudem darüber zu informieren, wie Nutzer die Analyse verhindern können. Das dazu von Google angebotene Add-On funktioniert nicht mit allen Browsern. Deshalb sollte die Website zusätzlich ein Opt-Out-Cookie anbieten. Binden Sie dazu folgenden Code vor Ihrem Analytics-Code auf Ihrer Website ein und ersetzen Sie die Zeichen UA-XXXX-Y durch Ihre Google-Analytics-ID:

<script type="text/javascript">
var gaProperty = 'UA-XXXX-Y';
var disableStr = 'ga-disable-' + gaProperty;
if (document.cookie.indexOf(disableStr + '=true') > -1) {
window[disableStr] = true;
}
function gaOptout() {
document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/';
window[disableStr] = true;
}
</script>

Google AdSense

Vergleichbares wie für Google Analytics gilt für Googles Werbedienst Google AdSense. Mit Google AdSense schaltet Google Werbeanzeigen auf damit versehenen Websites. Dabei beteiligt Google deren Betreiber an den über Aufrufe der AdSense-Anzeigen generierten Einnahmen. Google AdSense arbeitet ebenfalls mit Cookies und übermittelt u. a. die IP-Adresse an Google, weshalb Nutzer darüber ebenfalls in der Datenschutzerklärung zu informieren sind. Google verpflichtet AdSense-Nutzer zudem, einen Cookie-Hinweis auf ihrer Website zu platzieren.

Social-Media-Plug-ins

Auch Social-Media-Plug-ins, wie der +1-Button von Google, der Like-Button von Facebook oder der Tweet-Button von Twitter, ermöglichen es, das Surfverhalten von Nutzern zu analysieren. Ausgewertet werden die Adresse der besuchten Seite und wann ein Nutzer diese aufgerufen hat. Ist ein Nutzer dabei zugleich bei Google, Facebook oder Twitter angemeldet, kann ihm der jeweilige Anbieter sein Surfverhalten direkt zuordnen. Da die Plug-ins bereits Daten beim Aufruf einer damit versehenen Webseite erfassen, hielt das Landgericht Düsseldorf die Verwendung des Facebook-Like-Buttons, ohne dass Nutzer ausdrücklich zuvor eingewilligt haben, für rechtswidrig. Die endgültige Entscheidung des zur Klärung angerufenen Europäischen Gerichtshofs (EuGH) steht noch aus. Dennoch sollten Website-Betreiber entsprechende Social-Media-Plug-ins nur so einbinden, dass sie erst mit dem Betätigen des jeweiligen Buttons Daten übertragen. Technisch umsetzbar ist das beispielsweise mit der sogenannten Shariff-Lösung.

Weitere Dienste

Über diese Dienste hinaus gibt es viele weitere kostenlose wie professionelle Angebote. Sobald diese personenbezogene Daten verarbeiten, sind sie in der Datenschutzerklärung zu nennen. Nicht vergessen werden sollte zudem eine Auftragsverarbeitung mit dem jeweiligen Anbieter zu vereinbaren.

(GUE)