Datenschutzerklärung erstellen
Was ist eine Datenschutzerklärung? Braucht meine Website eine? Was muss sie beinhalten?
Wir fassen zusammen und helfen beim Erstellen.
Was ist eine Datenschutzerklärung?
Eine Datenschutzerklärung (DSE) beschreibt, wie Daten von einer Organisation verarbeitet werden. Das beinhaltet, wie diese Daten gesammelt, genutzt und ob sie an Dritte weitergegeben werden.
Rechtliche Grundlage für Datenschutzerklärungen ist einerseits das Telemediengesetz (TMG) mit § 13 ff. Dieses gilt für Anbieter von Telemedien (definiert als elektronische Informations- und Kommunikationsdienste, wie bspw. Websites). Nutzer von Telemedien müssen zu Beginn des Nutzungsvorgangs in allgemein verständlicher Form über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten informiert werden.
Andererseits ist mittlerweile die Datenschutz-Grundverordnung (DSGVO) in Kraft getreten, wodurch eine EU-weit verbindliche Regelung vorliegt. Die DSGVO wird überall dort angewendet, wo personenbezogene Daten verarbeitet werden. Artikel 13 und 14 beschreiben, dass dem Betroffenen (z. B. dem Besucher einer Seite) mitzuteilen ist, wie seine personenbezogenen Daten verarbeitet werden.
Wer braucht eine Datenschutzerklärung?
Durch die Regelungen der DSGVO wird ersichtlich, dass jeder, der personenbezogene Daten verarbeitet, die Betroffenen darüber in einer Datenschutzerklärung aufklären muss.
Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Eine Verarbeitung ist jeder Vorgang, der in irgendeiner Form mit diesen Daten arbeitet. Eine ausführlichere Definition ist in Artikel 4 der DSGVO enthalten.
Als Betreiber einer Website ist man also nach dem TMG dazu verpflichtet eine Datenschutzerklärung bereitzustellen. Aber auch aus der DSGVO ergibt sich diese Pflicht, denn auch IP-Adressen sind personenbezogene Daten.
Was muss in einer Datenschutzerklärung stehen?
Nach Artikel 13 DSGVO muss eine Datenschutzerklärung folgende Informationen enthalten, wenn personenbezogene Daten bei der Person erhoben werden (bspw. beim Besuch einer Website):
- Name und Kontaktdaten des für die Datenverarbeitung Verantwortlichen
- ggf. die Kontaktdaten des Datenschutzbeauftragten
- Zweck der Datenverarbeitung und die Rechtsgrundlage (nach Art. 6 und ggf. nach Art. 9 oder Art. 10)
- die mit der Datenverarbeitung verfolgten berechtigten Interessen, wenn die Verarbeitung auf Art. 6 Abs. 1 lit. f) beruht
- ggf. die Empfänger oder Kategorien von Empfängern der Daten
- ggf. die Absicht, die Daten ins Nicht-EU-Ausland zu übertragen und die Rechtsgrundlage dafür (nach den Art. 44 ff.)
- die beabsichtigte Speicherdauer
- die Angabe der Betroffenenrechte nach den Art. 15 ff. (Bestehen eines Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung (Sperrung), Widerspruchsrechts gegen die Verarbeitung, Datenübertragbarkeit, Widerruf der Einwilligung, Beschwerderechts bei einer Aufsichtsbehörde)
- die Angabe, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben ist und ggf. die Folgen einer Nichtbereitstellung
- ggf. das Bestehen einer automatisierten Entscheidungsfindung oder Profiling (Art. 22)
Werden Daten nicht bei einer betroffenen Person erhoben, sondern stammen aus anderen Quellen, müssen diese genannt werden.
Wichtig ist auch, dass Sie über die Datenweitergabe an Dritte („Drittanbieter“) informieren. Hierzu muss Ihnen zunächst klar sein, ob eine Weitergabe stattfindet. Beispielsweise könnte auf Ihrer Website Werbung nachgeladen oder Inhalte von Youtube oder Twitter eingebunden werden.
„Wo ist das Problem?“ fragen Sie sich vielleicht. Websites sind häufig nicht nur statische Seiten, die ausschließlich vom Server des Betreibers geladen werden. Um weitere Inhalte einzublenden (z. B. Videos, Inhalte aus Social-Media oder Werbung), zur Monetarisierung, zur Optimierung der Darstellung und des „Benutzererlebnisses“ oder zur Nachverfolgung von Besuchern, greifen Betreiber von Internetseiten oft zu Tools von Drittanbietern.
Diese Drittanbieter erhalten dann mit jedem Besuch die Information, dass die Seite besucht worden ist. Dritte erfahren dadurch auch, wer die Seite besucht, da jedes Mal die IP-Adresse und weitere Parameter des Browser-Fingerabdrucks übermittelt werden. Für seitenübgreifende Dienste von Drittanbietern (also Dienste, die auf vielen Websites verwendet werden wie Google Analytics, Facebook und co) sammelt sich so schnell ein riesiger Datensatz, mit dem sich das Surfverhalten von Nutzern nachverfolgen lässt.
Haben Sie Interesse an einer Datenschutzberatung?
Wie erstelle ich eine Datenschutzerklärung?
Mit dem Wissen, wozu eine Datenschutzerklärung gut ist und was hinein muss, kann man relativ einfach eine solche erstellen. Die Form ist dabei grundsätzlich frei wählbar. Das TMG fordert lediglich, dass die Erklärung in „allgemein verständlicher Form“ zu erfolgen hat.
An sich kann man damit anfangen loszutippen. Damit nun aber nicht jeder Betreiber das Rad neu erfinden muss, gibt es verschiedene Möglichkeiten, sich das Leben leichter zu machen. Wir stellen diese vor und gehen darauf ein:
Datenschutzerklärung: Muster oder Vorlage verwenden
Datenschutzerklärungen sind häufig gleich aufgebaut. Sprüche wie „Wir nehmen Datenschutz sehr ernst.“, wer kennt sie nicht? Grund für die Ähnlichkeit ist, dass sich viele Erklärungen an Vorlagen oder Mustern orientieren. Gut an solchen Vorlagen ist, dass man sich viel Schreibarbeit erspart. An vielen Stellen werden Standardformulierungen und -Klauseln verwendet. Diese wirken gerne etwas generisch, dienen aber der Rechtssicherheit gegenüber Eigenformulierungen.
Grundsätzlich muss die im Muster beschriebene Art, Umfang und Gründe der Datenverarbeitung zu der auf Ihrer Seite passen. Gerade bei größeren Webseiten ist es nicht einfach, alle Verarbeitungen zu erfassen.
Das ist zu beachten:
- Namen/Firma des Verantwortlichen anpassen
- Prüfen, ob die Datenerfassung so stattfindet wie beschrieben
- Insbesondere prüfen, ob die Rechtsgrundlage für die Übertragung stimmt
- Überprüfen, ob Datenweitergabe an Dritte ergänzt werden muss
- Keine stark veralteten Vorlagen verwenden
- Gegenlesen
Hier können Sie nach Datenschutzerklärungsvorlagen suchen.
Der Datenschutzerklärung Generator
Ein Generator für Datenschutzerklärungen hilft bei der Erstellung. Die wichtigsten Daten werden abgefragt und daraufhin automatisch eine Datenschutzerklärung generiert.
Zu beachten ist, dass alle Verarbeitungen (auch durch Dritte) korrekt angegeben werden. Die generierte Datenschutzerklärung ist nur so gut, wie die eingegebenen Daten zutreffend sind.
Trotz Sorgfalt beim Eintragen der Daten kann es vorkommen, dass die generierten Passagen zur Verarbeitung durch Drittanbieter nicht zutreffen. Das ist oft dann der Fall, wenn Dienste von Drittanbietern nicht in der Standardkonfiguration benutzt werden. Beispielsweise verwenden wir Matomo zur Reichweitenanalyse und haben das Programm maximal datensparsam eingestellt. Die Beschreibungen über Matomos Funktionsweise trafen daher bei uns nur noch bedingt zu, wodurch wir Hand anlegen mussten.
Das ist zu beachten:
- Daten werden korrekt angegeben
- Dienste von Drittanbietern werden korrekt benannt
- Die Datenweitergabe dort wird korrekt beschrieben
- Gegenlesen
Ein häufige anzutreffender Fehler ist auch, dass zu viele Drittanbieterdienste in der Datenschutzerklärung vorkommen. Getreu dem Motto „lieber zu viel als zu wenig“ werden im Generator großzügig Häkchen gesetzt. Dem geschulten Auge (z. B. bei einer Prüfung durch eine Behörde) fällt das sofort auf und hinterlässt einen faden Beigeschmack.
Gut ausgestattete Datenschutzmanagementsysteme, wie etwa unsere DatenschutzCloud24, haben häufig einen Generator für Datenschutzerklärungen an Bord. Wurde das System zudem gut gepflegt, fällt es leicht den Überblick über die Datenweitergabe, wie etwa an Dritte, zu behalten und sich daran zu orientieren.
Bei Fragen zum Thema Datenschutz stehen wir Ihnen gerne zur Verfügung.
Eine Datenschutzerklärung erstellen lassen
Datenschutzerklärungen zu erstellen kann überfordernd sein. Sie sind häufig Ziel von Abmahnungen und Abmahnwellen, besonders nach Änderungen an Gesetzen. Wer sich nicht mit der Thematik auseinander setzen kann oder möchte aber trotzdem Rechtssicherheit sucht, kann einen Externen damit beauftragen eine Datenschutzerklärung zu erstellen.
Anwälte und Datenschutzbeauftrage bieten diese Dienstleistung an. Falls Sie konkrete Fragen haben oder eine Datenschutzerklärung erstellt oder überprüft haben möchten, stehen wir Ihnen gerne zur Seite.
Was sind die Folgen bei fehlender oder falscher Datenschutzerklärung?
Für einen Teil der Besucher wirken unvollständige oder fehlende Datenschutzerklärungen, Impressen und ähnliche unsersiös. Insbesondere bei Shops kann dies dazu führen, dass potentielle Kunden die Waren lieber anderswo kaufen.
Fehler in der Datenschutzerklärung sind Verstöße gegen die DSGVO und somit abmahnfähig, wenn die Verstöße einen wettbewerbrechtlichen Bezug haben (analog zu diesem Urteil). Seitenbetreiber wurden bspw. für die nicht/falsch beschriebene Einbindung von Facebook like- und share-Buttons, Google Analytics und Google Fonts abgemahnt. Die Folgen sind Beseitigung der Verstöße, Abgabe einer Unterlassungserklärung sowie die Übernahme der Kosten der Abmahnung. Solche Abmahnungen werden massenweise von Abmahnverbänden versendet.
Neben Abmahnungen werden durch mangelhafte Datenschutzerklärungen die Grundsätze der DSGVO verletzt, wie etwa die Pflicht, Betroffene über ihre Rechte zu informieren. Verstöße gegen die DSGVO sind mit Bußgeldern belegt, welche die Behörden verhängen können.