Inhalte und Hinweise nach DSGVO
Eine unvollständige Datenschutzerklärung, ein falsches Impressum oder Tracking ohne Einwilligung: Wie Sie Abmahnungen und DSGVO-Bußgelder verhindern? Hier erhalten Sie einen Überblick über sämtliche Inhalte einer Datenschutzerklärung.
Zahlreiche Unternehmen haben die letzten, wirtschaftlich eher schwierigen, Monate genutzt, um sich dem Thema Digitalisierung zu widmen. Das Dilemma: Gerade für Laien sind die Bestimmungen zum Datenschutz im Internet oft nur schwer nachzuvollziehen. Vielerorts besteht die Sorge, Fehler zu begehen und sich angreifbar zu machen.
Sinn & Zweck einer Datenschutzerklärung
Wer personenbezogene Daten verarbeitet ist nach Art. 13, 14 DSGVO verpflichtet, die betroffenen Personen über Art und Zweck der Datenverarbeitung zu unterrichten. Sprich, er muss erklären, welche Daten er auf welche Art und Weise verarbeitet, ob er sie weitergibt usw. Auf Webseiten erfolgt diese Unterrichtung typischerweise durch die sog. “Datenschutzerklärung”
Streng nach dem Gesetz, sollte die Information vor Beginn des Datenverarbeitungsvorgangs erfolgen. Beim Webseitenbesuch ist dies freilich schwierig, denn ist die Seite einmal aufgerufen, hat die Datenverarbeitung bereits begonnen.
Wann besteht die Pflicht einer Datenschutzerklärung?
Kurz gesagt: Immer! Denn ohne die Verarbeitung von Informationen, die sich auf eine zumindest theoretisch identifizierbare natürliche Person beziehen, lässt sich keine Website betreiben. Denn zu „personenbezogenen Daten“ gelten neben offensichtlich Dingen wie bspw. Name, Wohnort oder E-Mail-Adresse einer Person auch spezifische Merkmale, wie deren IP-Adresse oder die Kenntnis darüber, welche Seiten im Internet besucht wurden.
Das bedeutet, dass grundsätzlich jeder Webseitenbetreiber eine Datenschutzerklärung bereithalten muss. In diesem Sinne müssen neben Unternehmen, Behörden oder Onlineshops auch Blogs und Internetseiten von Vereinen den Anforderungen der Datenschutz-Grundverordnung (DSGVO) nachkommen.
Deren Inhalt einer jeden Datenschutzerklärung kann sich je nach Art der angebotenen Dienste und verwendeten Analyse-Tools stark unterscheiden.
Was gehört in die Datenschutzerklärung einer Homepage?
Allgemeine Datenschutzhinweise
Generell muss eine Datenschutzerklärung über jede Erhebung, Verarbeitung und Nutzung personenbezogener Daten aufklären. Dazu zählen bspw. die Verarbeitung der IP-Adresse, Browser-Daten, der Einsatz von Cookies und Webanalyse-Tools sowie Social Media Plugins.
Der Verantwortliche
Beginnen sollten Sie am Besten stets mit der Information, wer für die Datenverarbeitung auf der Webseite verantwortlich ist. Das ist die Person oder Firma, die die Webseite betreibt. Wenn Sie eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten benannt haben, sind auch diese hier aufzuführen.
Zweck und Rechtsgrundlage der Verarbeitung
Neben der Erläuterung dazu, welche Daten, zu welchem Zweck erhoben und verarbeitet werden, ist auch die Rechtsgrundlage der Verarbeitung zu nennen also die Antwort auf die Frage, warum die Datenverarbeitung überhaupt legal ist. In Betracht kommende Rechtsgrundlagen finden sich vorwiegend in Art 6 Abs. 1 DSGVO .
Hinweise zu Cookies, Webanalyse-Tools und Statistikanwendungen
Die Erfassung von Daten mit Personenbezug auf einer Website kann auch über Cookies erfolgen. Cookies haben verschiedenste Funktionen, einer der häufigsten Einsatzzwecke ist das Marketing. Hier speichern sieInformationen über das Nutzerverhalten und dienen dazu, kundenorientierte Werbung einzublenden. Ähnlich Erfolgt der Einsatz von Analyse-Tools. Welche Inhalte der Website werden besonders oft gelesen? Wie lange verweilt der Nutzer auf der Seite? Mit welchen Endgeräten wird die Website am häufigsten besucht?. Dabei werden personenbezogenen Informationen über den Nutzer gespeichert. Welche das sind und wie diese verarbeitet werden, müssen Sie in der Datenschutzerklärung erläutern.
Einbindung von Plugins
In vielen Branchen ist der Social-Media-Auftritt bei Instagramm oder LinkedIn usw. nicht mehr wegzudenken. Oft werden diese mittels Plugins mit der eigenen Homepage verbunden. Durch die Einbindung entsprechender Plugins – wie bspw. von Facebook, YouTube oder Google – wird eine direkte Verbindung zwischen dem Browser der Nutzer und den Servern der Social-Media-Betreiber hergestellt. Erläutern Sie deshalb detailliert, welche Angaben zur Nutzung dieser Dienste auf Ihrer Website bearbeitet werden.
Betroffenenrechte
Webseitenbesucher sind ausführlich über ihre Rechte als Betroffener aufzuklären. So findet sich in Art. 15 DSGVO das Recht auf datenschutzrechtliche Auskunft, welches zunehmend an Bekanntheit gewinnt. Hiernach ist der Webseitenbetreiber dazu verpflichtet, Nutzer auf Anfrage über deren konkret gespeicherten personenbezogenen Daten zu beauskunften. Weitere Ansprüche: Das Recht auf Berichtigung, falscher Daten, deren Lösung oder Sperrung (Art. 16, 17, 18 DSGVO).
Werden personenbezogene Daten nicht mehr genutzt oder wurde die für ihre Nutzung erteilte Einwilligung widerrufen, müssen diese ohne Aufforderung automatisch gelöscht werden. Davon ausgenommen sind lediglich solche Daten, für die besondere Fristen – etwa steuer- oder handelsrechtlicher Natur – gelten.
Orientierungshilfe
Eine Orientierungshilfe zum konkreten Inhalt und der Gliederung einer Datenschutzerkärung bietet Artikel 13 DSGVO. Hier finden Sie eine Liste der Informationen, die nach der DSGVO zwingend in einer Datenschutzerklärung enthalten sein müssen.
Wir empfehlen Ihnen folgende Inhalte bereit zu stellen:
- Name und Kontaktdaten des Verantwortlichen (ggf. auch Vertreter)
- Kontaktdaten des Datenschutzbeauftragten (sofern vorhanden)
- Zweck und Rechtsgrundlage der Verarbeitung
- Weitergabe von Daten an Dritte (auch sog. Auftragsverarbeiter): Angabe der Empfänger/ Kategorie von Empfängern
- Aufklärung über Rechte des Betroffenen (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragung)
- Hinweis auf Beschwerderecht bei einer Aufsichtsbehörde
- Speicherdauer der Daten
- Profiling (Einsatz automatisierter Entscheidungsfindungen): Aufklärung über die zugrundeliegende Logik, Tragweite und die angestrebten Auswirkungen für den Betroffenen
Haben Sie auch nichts vergessen?
Ihre fertige Datenschutzerklärung sollte letztlich auf folgende Fragen antworten können:
- Welche personenbezogenen Daten werden erhoben?
- Was passiert mit den erhobenen Daten?
- Warum werden überhaupt Daten erhoben?
- Werden die erhobenen Daten an Dritte weitergegeben?
- Findet ein grenzüberschreitender Datenverkehr statt?
- Welche Maßnahmen werden zur Gewährleistung der Sicherheit der Daten ergriffen?
Unter folgendem Link finden Sie unsere beispielhafte Gliederung einer Datenschutzerklärung. Diese beinhaltet die wichtigsten Punkte. Fragen Sie uns, falls Sie weitere Informationen zum Inhalt der einzelnen Hinweise benötigen. Wir helfen Ihnen gern weiter.
Achtung! Unter Umständen muss die Datenschutzerklärung Ihrer Website um einige Punkte ergänzt oder gekürzt werden. In diesem Sinne ist jeder Datenschutzhinweis auf einer Homepage individuell zu prüfen. Stellen Sie sicher, dass Ihre Erklärung alle BDSG und TMG relevanten Punkte umfasst.
Wo platziere ich die Datenschutzerklärung?
Gemäß Telemediengesetz müssen Datenschutzhinweise jederzeit vom Websitebesucher einsehbar sein. Stellen Sie deshalb sicher, dass der Link zu Ihrer Datenschutzerklärung von jeder einzelnen Seite Ihrer Website aus klickbar ist. Damit der Nutzer augenblicklich feststellen kann, wo er die entsprechenden Bestimmungen findet, muss der zur Datenschutzerklärung führende Link eindeutig beschriftet werden. (z.B. „Datenschutz“ oder „Datenschutzerklärung“). Datenschutzhinweise im Impressum unterzubringen, wenn dieses lediglich über den Link „Impressum“ zu erreichen ist, gilt als unzulässig.
Was droht bei fehlender oder unzureichender Datenschutzerklärung?
Eine inhaltlich oder formal fehlerhafte Datenschutzerklärung, kann weitreichende Folgen haben. Es existiert Rechtsprechung, wonach eine fehlende oder unvollständige Datenschutzerklärung als Wettbewerbsverstoß einzuordnen ist welcher abgemahnt werde kann.
Achtung! Neben Mitwerbern können auch Verbraucherschutzvereine die Abmahnung versenden und Unterlassung und Schadensersatz verlangen.
Gehen Sie hier also kein Risiko ein und prüfen Sie auch bestehende Datenschutzerklärungen auf deren formale sowie inhaltliche Vollständigkeit.
Eine korrekte Datenschutzerklärung ist kein Hexenwerk. Im Internet finden sich zahlreiche Hilfestellungen oder gar Generatoren für entsprechende Erkärungen. Wenn Sie eine komplexere Webseite betreiebn oder umfangreiche Onlinemarketingmöglichkeiten nutzen, sollten Sie sich jedoch in jedem Fall datenschutzrechtlich beraten lassen, um Fehler zu vermeiden. So vermeiden Sie unschöne Bußgelder und können sich lieber eine maßgeschneiderte Datenschutzerklärung ausarbeiten lassen.
Folgende Beiträge könnten Sie auch interessieren: